Informe Final Gutierrez Olivos - PDF

UNIVERSIDAD SAN PEDRO
FACULTAD DE INGENIERA
ESCUELA DE INGENIERA INFORMTICA Y DE SISTEMAS
AUDITORIA DE SEGURIDAD DE INFORMACIN EN

EL REA DE OPERACIONES DE LA EMPRESA
SERVICIOS DIGITALES SAC
TESIS PARA OBTENER EL TTULO PROFESIONAL DE INGENIERO EN INFORMTICA Y DE SISTEMAS
Autores:
Gutirrez Olivos. Jonatn Josu
Asesor:
Paredes Jacinto Marlene
CHIMBOTE PERU
2017
INDICE GENERAL
Palabras Clave II
Titulo III
Resumen IV
Abstract V
Introduccin 1
Metodologa 17
Resultados 19
Anlisis Y Discusin 56
Conclusiones 57
Recomendaciones 58
Referencias Bibliogrficas 59
Apndices y Anexos 60
I
PALABRAS CLAVES
Tema AUDITORIA INFORMATICA
Especialidad GESTION
KEYWORDS:
Tema COMPUTER AUDIT
Especialidad MANAGEMENT
LINEA DE INVESTIGACION
CODIGO LINEA
04020003 Investigacin para la mejora de la creatividad

individual y grupal
II
TITULO
AUDITORIA DE SEGURIDAD DE LA INFORMACIN

EN EL REA DE OPERACIONES DE LA EMPRESA
SERVICIOS DIGITALES SAC
III
RESUMEN
La investigacin tuvo como objetivo el desarrollar un plan de auditoria de seguridad de

informacin en el rea de operaciones de la empresa servicio digitales SAC.
El siguiente estudio de investigacin es de tipo descriptivo de diseo no experimental de

corte transversal; que para el desarrollo dela auditoria se aplic el estndar del marco de
referencia de COBIT 4.1. Y para el desarrollo del informe final de auditoria se utiliz la
metodologa MAGERIT.
Se logr desarrollar el anlisis de gestin de riesgos reforzando la seguridad de los activos

y de la informacin en general dentro del rea de operaciones de la empresa Servicios
Digitales SAC.
IV
ABSTRACT
The objective of the investigation was to develop an audit plan for information security
in the area of operations of the digital service company SAC.
The following research study is descriptive of non-experimental cross-sectional design;

that for the development of the audit the COBIT framework reference standard 4.1 was
applied. And the MAGERIT methodology was used to develop the final audit report.
It was possible to develop the analysis of risk management, reinforcing the security of
assets and information in general within the area of operations of the company Servicios
Digitales SAC.
V
INTRODUCCIN
Se revis la investigacin de Cadme Ruiz y Duque Pozo (2011), en Cuenca Ecuador,

en su trabajo de grado titulado Diseo de Controles internos en los sistemas de
informacin computarizados de la Universidad de La Guajira, plantea el diseo de
controles utilizando como base la metodologa propuesta por COBIT. Utilizamos dicho
estudio como gua ya que se tomaron en cuenta todas las reas o dominios que la norma
establece, con la finalidad de definir una gua orientadora en el desarrollo de las normas
de control de los sistemas de informacin de la universidad. La recoleccin de datos se
llev a cabo a travs de la observacin directa y revisin documental, utilizando el anlisis
de datos cuantitativos y cualitativos.
Tambin se revis la investigacin de Sigenza Daz (1990), Zulia - Venezuela, en su

tesis de grado titulada: Control interno de sistemas de informacin computarizado de la
Universidad del Zulia, establece los controles que se deben tomar en cuenta para
garantizar la eficiencia y eficacia en el funcionamiento del sistema de informacin
utilizado por dicha universidad, de manera que proporcione informacin til para la toma
de decisiones.
Se pudo observar tambin la investigacin de Daz Marcelo y Ugarte Espinoza (2013)

en Huacho - Per, en su tesis Auditoria de Seguridad Informtica aplicada a la
Municipalidad Provincial Huaura - Huacho, realiza el proyecto con el objetivo de la
auditoria de seguridad informtica aplicada a la Municipalidad Provincial Huaura
Huacho para de esta manera evaluar la eficiencia y eficacia respecto a la seguridad fsica,
lgica y los procesos Informticos en la Municipalidad Provincia Huaura- Huacho y as
poder detectar vulnerabilidades existentes en lo relativo a controles de seguridad. En su
proyecto de tesis desarrolla dentro de ella la Cobit.
El resultado de su tesis hizo que se logre una obtencin de reduccin en el ambiente de

riesgos vigentes e incremento de la confiabilidad, integridad y disponibilidad de la
informacin.
1
Teniendo en cuenta tambin otra investigacin de Cceres Garca (2014), en
Huacho - Per, en su tesis de grado titulada: Implementacin de una Auditoria
Informtica para la Oficina de Servicios Informticos de la UNJFSC aplicando el marco
de referencia COBIT, cuyo objetivo fue realizar una evaluacin de la Gestin de la
Informacin en la Oficina de Servicios Informticos de la Universidad Nacional Jos
Faustino Snchez Carrin, con la cual se logr encontrar aspectos que no permiten la
optimizacin y buena gestin de la informacin en dicha oficina la cuales fueron
observadas para la evaluacin correspondiente, usando la metodologa de trabajo COBIT
se logr medir el grado de madurez en la que se encontraba.
Socialmente el presente trabajo de investigacin se justifica debido a los riesgos a los

que estn expuestos todos los activos de informacin hoy en da, el impacto que la
interrupcin de estos puede causar, es de suma importancia la definicin de una
metodologa y el uso de algunas herramientas que nos ayuden a reducir y mitigar este tipo
de riesgos. Es por todo esto que se propone una auditora de seguridad y calidad de
informacin, el cual nos brindar los procedimientos y lineamientos necesarios para
identificar y evaluar los riesgos, las amenazas, vulnerabilidades de los activos de
informacin, implantar los controles necesarios que ayudarn a salvaguardar los activos
de informacin de los procesos de tecnologa, alinendolo de esta manera a los objetivos
estratgicos de la empresa.
La auditora informtica en las empresas de la ciudad de Chimbote tiene cada vez
mayor importancia, es por esto que el aporte en un aspecto cientfico que revela esta tesis
se enfoca en la proteccin de los datos y en la estructura computacional y todo lo
relacionado con esta. La ejecucin de esta tesis de auditora permitir una evaluacin
objetiva de la seguridad de los recursos tecnolgicos y as fortalecer sus conocimientos,
dentro de la empresa servicios digitales, de esta manera el proyecto dar un aporte hacia
la investigacin en temas relacionados con auditoras informticas.
Las organizaciones pblicas y privadas da a da generan conocimientos, datos,

reportes, actas y material diferente que son de gran importancia para ellas, lo cual
representa cada una de ellas la mayor parte de informacin requerida para la funcionalidad
de las organizaciones.
2
Debido a que le empresa Servicios Digitales SAC va creciendo poco a poco y
recalcando que es una entidad que se dedica al rubro de telecomunicaciones, la
probabilidad de que la informacin sea interceptada, robada o modificada por personas
inescrupulosas y sin autorizacin de acceso a esta, ha aumentado exponencialmente. Lo
cual resulta peligroso para la organizacin, ya que mucha de la informacin fundamental
para realizacin de los procesos crticos del negocio puede ser vulnerada y amenazada
ocasionando la interrupcin de estos procesos.
Toda esta informacin se ve vulnerable ya que es almacenada en diferentes medios
tanto fsicos como electrnicos y adems es puesta a disposicin del personal que quiera
hacer uso de esta informacin para la toma de decisiones, realizacin de planes, reportes,
inventarios entre otros.
Por todo lo anteriormente citado la empresa se ve en la necesidad de la implementacin
de herramientas, procedimientos, controles y polticas que aseguren la confidencialidad,
disponibilidad e integridad de la informacin, es por esto que se plantea el siguiente
enunciado de la problemtica: Cmo desarrollar una auditoria de la seguridad de la
informacin al rea de operaciones de la empresa Servicio Digitales SAC?
Para desarrollar la investigacin es necesario conocer lo siguiente:
Auditoria
Segn Ramiro Andrade Puga (2000), nos aclara y lo define como el examen posterior
y sistemtico que realiza un profesional auditor, de todas o parte de las operaciones o
actividades de una entidad con el propsito de opinar sobre ellas, o de dictaminar cuando
se trate de estados financieros
Auditoria Informtica
Segn Jos A. Echenique (2003), explica que la auditora en informtica es la

revisin y evaluacin de los controles, sistemas, procedimientos de informtica; de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participa en el procesamiento de la informacin, a fin de que por medio del sealamiento
de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin
que servir para una adecuada toma de decisiones.
3
Auditoria Externa
Efectuada por profesionales que no dependen del negocio ni econmicamente ni

laboralmente y a quienes se reconoce un juicio imparcial merecedor de la confianza de
terceros. El objeto de su trabajo es la emisin de un dictamen el cual puede basarse, o en
un examen del aspecto contable de la empresa de o en el aspecto contable y operativo de
la misma.
Auditoria Interna
El trabajo es desarrollado por personas que dependen de la empresa, quienes revisan

aspectos que interesan a la administracin de la misma. El Auditor Interno se encargar
de ver que las polticas y los procedimientos establecidos por la empresa se apliquen de
manera consistente en todas las divisiones o departamentos de la misma.
Seguridad
Segn Portantier (2012), en su libro Seguridad Informtica, dice que con el correr
de los aos, los seres humanos dependemos cada vez ms de la tecnologa para mantener
nuestro estilo de vida. Ya sea para que las empresas puedan desarrollar sus negocios o
para que las Personas realicen sus tareas cotidianas, la tecnologa siempre est ah
simplificando las cosas. Esto ha llevado A una dependencia en la cual no todas son
ventajas. Adems de malware y virus nos referiremos a programas especializados en robar
informacin bancaria, en extraer datos realizar acciones direccionadas al enriquecimiento
ilcito.
A medida que a las personas mantenemos nuestras vidas hacia la tecnologa.

Almacenamos informacin personal, y a medida que las organizaciones confan en la
tecnologa para hacer negocios. Establecer comunicaciones y transferir fondos. Empiezan
a aparecer otras personas, que son mal intencionadas, que ven la tecnologa como una
excelente manera para cometer acciones ilcitas. Con el fin de obtener beneficios a costa
de los dems. Debido a esto, los daos por robo o prdida de informacin crecen de una
manera paralela debido a la dependencia tecnolgica.
4
Magerit
Es una metodologa de anlisis y gestin de riesgos en el cual analiza el impacto que

puede tener en la empresa una violacin de la seguridad, nos brinda un mtodo sistemtico
para analizar los riesgos derivados del uso de la tecnologa de la informacin y
comunicaciones, lo cual nos permite ir buscando e identificar las amenazas que pueden
llegar afectar a la compaa y las vulnerabilidades que pueden ser utilizadas por estas
amenazas, logrando as tener una identificacin clara de las medidas preventivas y
correctivas ms apropiadas.
Segn CSAE (2012), que ha elaborado y promueve Magerit como respuesta la

percepcin de que la Administracin Pblica (y en general toda la sociedad) depende de
la forma creciente de los sistemas de informacin para alcanzar sus objetivos. El uso de
tecnologas de la informacin y comunicaciones (TIC) supone unos beneficios evidentes
para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben gestionarse
prudentemente con medidas de seguridad que sustente una con fidelidad y confianza de
los usuarios de los servicios.
Para esto la metodologa Magerit persigue ciertos objetivos los cual nos permite
concientizar a los responsables de las organizaciones de informacin de la existencia de
riesgos y de la necesidad de gestionarlos, Ofrecer un mtodo sistemtico para analizar los
riesgos derivados del uso de tecnologas de la informacin y comunicaciones (TIC),
Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control.
5
Figura N 01 Elementos del Anlisis de Riesgo
Fuente: Metodologa Magerit Versin 3.0
El cual nos permite ver ciertas definiciones en la metodologa Magerit, como el Riesgo
que es la estimacin del grado de exposicin a que una amenaza se materialice sobre uno
o ms activos causando daos o perjuicios a la Organizacin.
En donde el riesgo indica lo que le podra pasar a los activos si no se protegieran

adecuadamente. Es importante saber qu caractersticas son de inters en cada activo, as
como saber en qu medida estas caractersticas estn en peligro y poder hacer un Anlisis
de Riesgo para poder ver el proceso sistemtico para estimar la magnitud de los riesgos
a que est expuesta una Organizacin.
El anlisis de riesgos permite determinar cmo es, cunto vale y cmo de protegido se
encuentra el sistema. En coordinacin con los objetivos, estrategia y poltica de la
Organizacin, las actividades de tratamiento de los riesgos permiten elaborar un plan de
seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que acepta la Direccin. Al conjunto de estas actividades se le denomina Proceso
de Gestin de Riesgos.
6
En el anlisis de riesgos consideramos los elementos de Magerit:
Activos
Que vienen hacer los recursos del sistema de informacin o relacionados con este,
necesarios para que la organizacin funcione correctamente y alcance los objetivos
propuestos por la direccin.
En lo cual Magerit tiene en cuenta 5 grandes categoras de activos:
El Entorno o soporte del Sistema de Informacin, que comprende activos

tangibles (como edificaciones, mobiliario, instalacin fsica en los lugares
de trabajo y segn los casos, redes de informacin externas), equipamiento
de suministro auxiliar (energa, climatizacin, comunicaciones) y personal
(de direccin, operacin, desarrollo).
El Sistema de Informacin propiamente dicho del Dominio (hardware,
redes propias, software bsico, aplicaciones).
La propia Informacin requerida, soportada o producida por el Sistema
de Informacin que incluye los datos informatizados, entrantes y
resultantes, as como su estructuracin (formatos, cdigos, claves de
cifrado) y sus soportes (tratables informticamente o no).
Las Funcionalidades del Dominio que justifican al Sistema de
Informacin, incluido desde el personal usuario a los objetivos propuestos
por la direccin del Dominio.
Otros Activos, de naturaleza muy variada, por ejemplo, la imagen de la
organizacin, la confianza que inspire, el fondo de comercio, la intimidad
de las personas.
Valoracin de los Activos

Tras identificar los Activos de su Dominio a efectos de seguridad y los rboles de
activos que transmiten los fallos de unos a otros, el Responsable del Dominio protegible
procura realizar al menos una de las formas de valoracin (intrnseca o al menos del
estado de seguridad) y registrarla como caracterstica principal de cada Activo, para poder
seguir desarrollando el Anlisis y Gestin de Riesgo.
7
Conocimiento de las Amenazas
Se definen como los eventos que pueden desencadenar un incidente en la organizacin,
produciendo daos materiales o prdidas inmateriales en sus activos en su diversidad de
sus causas:
Accidentes.
Accidente fsico de origen industrial: incendio, explosin, inundacin por roturas,
contaminacin por industrias cercanas o emisiones radioelctricas.
Avera de origen fsico o lgico, debida a un defecto de origen o sobrevenida
durante el funcionamiento del sistema.
Accidente fsico de origen natural: riada, fenmeno ssmico o volcnico, meteoro,
rayo, corrimiento de tierras, avalancha, derrumbe.
Interrupcin de servicios o de suministros esenciales: energa, agua,
telecomunicacin, fluidos y suministros diversos.
Accidentes mecnicos o electromagnticos: choque, cada, cuerpo extrao,
radiacin, electrosttica
Errores.
Errores de utilizacin ocurridos durante la recogida y transmisin de datos o en
su explotacin por el sistema.
Errores de diseo existentes desde los procesos de desarrollo del software
(incluidos los de dimensionamiento, por la posible saturacin).
Errores de ruta, secuencia o entrega de la informacin en trnsito.
Inadecuacin de monitorizacin, trazabilidad, registro del trfico de informacin.
Amenazas Intencionales Presenciales.
Acceso fsico no autorizado con inutilizacin por destruccin o sustraccin (de
equipos, accesorios o infraestructura).
Acceso lgico no autorizado con intercepcin pasiva simple de la informacin.
Acceso lgico no autorizado con alteracin o sustraccin de la informacin en
trnsito o de configuracin; es decir, reduccin de la confidencialidad para obtener
bienes o servicios aprovechables.
Acceso lgico no autorizado con corrupcin o destruccin de informacin en
trnsito o de configuracin: es decir, reduccin de la integridad y/o disponibilidad
del sistema sin provecho directo (sabotaje inmaterial, infeccin vrica.).
8
Amenazas Intencionales Tele actuadas.
Acceso lgico no autorizado con intercepcin pasiva (para anlisis de trfico...).
Acceso lgico no autorizado con corrupcin o destruccin de informacin en
trnsito o de configuracin.
Acceso lgico no autorizado con modificacin (Insercin, Repeticin) de
informacin en trnsito.
Suplantacin de Origen (del emisor o reemisor, man in the middle) o de
Identidad.
Repudio del Origen o de la Recepcin de informacin en trnsito.
Estimacin de las Vulnerabilidades

La Vulnerabilidad de un Activo se define como la potencialidad o posibilidad de
ocurrencia de la materializacin de una Amenaza sobre dicho Activo. La Vulnerabilidad
es por tanto una propiedad de la relacin entre un Activo y una Amenaza y se clasifica de
acuerdo con stos (conviene centrarse en las amenazas ms fcilmente materializables
y/o ms impactantes sobre los Activos amenazados para evitar la inmanejable explosin
combinatoria de todas las posibles amenazas sobre todos los activos retenibles). La
estimacin de la vulnerabilidad es una operacin necesaria que slo deben hacer buenos
conocedores del Dominio y de los Activos. Como no por ser imprecisa es menos delicada,
requiere una colaboracin estrecha de los dos profesionales implicados, el Responsable
del Dominio protegible por una parte y el Analista de Riesgos por otra. Esta propiedad se
termina por expresar con un valor decimal, comprendido entre los valores extremos 0 (la
Amenaza no afecta al Activo) y 1 (no alcanzable pues significa la agresin permanente).
Sin entrar en justificaciones tericas que corresponden ms a ste que a aqul, se debe
hace constar que MAGERIT evita cuidadosamente los trminos probable y probabilidad
al definir la Vulnerabilidad, mientras que emplea los conceptos de potencial y
potencialidad como ms cercanos al trnsito de amenaza materializables en agresin. Esa
potencialidad se convierte en frecuencia para los casos de calculabilidad.
9
Identificacin de Impacto
El Impacto en un Activo es la consecuencia sobre ste de la materializacin de una
Amenaza en agresin, consecuencia que puede desbordar ampliamente el Dominio y
requerir la medida del dao producido a la organizacin. Visto de forma ms dinmica,
Impacto es la diferencia en las estimaciones del estado (de seguridad) del Activo
obtenidas antes y despus del evento de agresin.
Figura N02 Impactos

Fuente: Metodologa Magerit 3.0
El Responsable del Dominio protegible para realizar la estimacin crucial de los

Impactos se apoya en la tipologa de Impactos de MAGERIT, orientada a la naturaleza
de las Consecuencias de las combinaciones Activo-Amenaza. Siguiendo esta orientacin,
no constituira normalmente un Impacto, si no entraa una Consecuencia de deterioro y
perjuicio apreciable como cambio de estado del Activo, una simple disfuncin de ste,
como por ejemplo la interrupcin del tratamiento de una aplicacin en un sistema por
micro corte de energa o el reenvo automtico de un mensaje por un servicio que tenga
mecanismos de auto-recuperacin.
COBIT Como Marco de Referencia

El marco de referencia de COBIT consta de objetivos de control de Tecnologa de
Informacin los cuales han sido basados en tres niveles de actividades, al considerar la
administracin de sus recursos los niveles son los siguientes:
Actividades
Las actividades y tareas son las acciones requeridas para poder lograr un resultado
medible, las actividades tienen un ciclo de vida a diferencia de las tareas las cuales
son ms directas.
10
Procesos
Los procesos son conjuntos de actividades o tareas con delimitacin o cortes de
control.
Dominios
Los dominios son la agrupacin natural de procesos que corresponden a la
responsabilidad organizacional.
Por lo tanto, el marco de referencia conceptual puede ser enfocado desde tres puntos
estratgicos los cuales son los criterios de informacin, recursos y procesos de la
Tecnologa Informacin.
Figura N03 Cubo de COBIT

Fuente: Marco de trabajo COBIT 4.1
11
Enfoque de Gobierno de TI
Alineacin estratgica, se enfoca en garantizar la alineacin la alineacin entre los
planes de negocio y de TI, mantener y validar la propuesta de valor de TI, y alinear
operaciones de TI con las operaciones de la empresa.
Administracin de recursos, se trata de la inversin ptima, as como la
administracin adecuada de los recursos de TI, aplicaciones, informacin,
infraestructura y personas.
Medicin del desempeo, rastrea y monitorea la estrategia de implementacin, la
terminacin de la investigacin, el uso de los recursos, el desempeo de los
procesos y la entrega del servicio.
Figura N04 reas de Enfoque del Gobierno de TI

Fuente: Marco de trabajo COBIT 4.1
Criterio de Informacin
Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos
criterios de control, los cuales son referidos en Cobit como requerimientos de informacin
del negocio. Para ello se definieron los siguientes siete criterios de informacin:
Efectividad, tiene que ver con que la informacin sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta,
consistente y utilizable.
12
Eficiencia, consiste en que la informacin sea generada con el ptimo (ms
productivo y econmico) uso de los recursos.
Confidencialidad, se refiere a la proteccin de informacin sensitiva contra
revelacin no autorizada.
Integridad, est relacionada con la precisin y completitud de la informacin, as
como con su validez de acuerdo a los valores y expectativas del negocio.
Disponibilidad, se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin concierne
a la proteccin de los recursos y las capacidades necesarias asociadas.
Cumplimiento, tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como las polticas internas.
Confiabilidad, se refiere a proporcionar la informacin apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
Recursos de TI
La organizacin de TI se desempea con respecto a estas metas como un conjunto de

procesos definidos con claridad que utiliza las habilidades de las personas, y la
infraestructura de tecnologa para ejecutar aplicaciones automatizadas de negocio,
mientras que al mismo tiempo toma ventaja de la informacin del negocio. Los recursos
de TI identificados con CobiT se pueden definir como:
Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan informacin.
La informacin son los datos en todas sus formas, de entrada, procesados y generados por los
sistemas de informacin, en cualquier forma en que sean utilizados por el negocio.
La infraestructura es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas

de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran
y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser
internas, por outsourcing o contratadas, de acuerdo a como se requieran
13
Dominios de COBIT
CobiT define las actividades de TI en un modelo genrico de 34 procesos organizado
en cuatro dominios que se llaman:
Planear y Organizar (PO)
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que
TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Entregar y dar soporte (DS)
Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del
servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administracin de los datos y de las instalaciones operativos.
Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad
y cumplimiento de los requerimientos de control. Abarca la administracin del desempeo, el
monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
Modelo de Madurez
El modelo de madurez para la administracin y el control de los procesos de TI se basa

en un mtodo de evaluacin de la organizacin, de tal forma que se pueda evaluar as
misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). La escala
incluye al 0 ya que es muy posible que no existan procesos en lo absoluto. La escala del
0-5 se basa en una escala de madurez simple que muestra como un proceso evoluciona
desde una capacidad no existente hasta una capacidad optimizada.
14
Tabla N1: Modelo Genrico de Madures
En este nivel es de una carencia completa de cualquier proceso

reconocible. La empresa
0
No ha reconocido siquiera que existe un problema a resolver.
No existente
Existe evidencia que la empresa ha reconocido que los problemas
1 Existen y requieren ser resueltos. Sin embargo; no existen procesos

estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados
Inicial de forma individual o caso por caso. El enfoque general hacia la
administracin es desorganizado.
Se ha desarrollado los procesos hasta el punto en que se siguen
2 Procedimientos similares en diferentes reas que realizan la misma tarea.

No hay entrenamiento o comunicacin formal de los procedimientos
Repetible estndar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores
son muy probables.
Los procedimientos se han estandarizado y documentado, y se
3 Han difundido a travs de entrenamiento. Sin embargo, se deja que el

individuo decida utilizar estos procesos, y es poco probable que se detecten
Definido desviaciones. Los procedimientos en s no son sofisticados pero formalizan
las prcticas existentes.
Es posible monitorear y medir el cumplimiento de los
4 Procedimientos y tomar medidas cuando los procesos no estn trabajando

Administrado de forma efectiva. Los procesos estn bajo constante mejora y
proporcionan buenas prcticas. Se usa la automatizacin y herramientas
de una manera limitada o fragmentada.
Los procesos se han refinado hasta un nivel de mejor prctica, se
5 Basan en los resultados de mejoras continuas y en un modelo de madurez

con otras empresas. TI se usa de forma integrada para automatizar el flujo
Optimizado de trabajo, brindando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rpida.
Fuente: Marco de trabajo COBIT
15
La hiptesis de la investigacin tiene un alcance descriptivo, su fin es el desarrollo de
un plan de auditoria informtica en el rea de operaciones con esto se quiere lograr llegar
tener un mejor control de la informacin, as como reforzar la seguridad del rea de
operaciones.
El objetivo general del estudio es: Desarrollar una Auditoria de seguridad de la

informacin en el rea de operaciones de la empresa Servicio Digitales SAC-Chimbote,
2017; y como objetivos especficos:
Recopilar informacin de la empresa Servicio Digitales SAC en su rea de operaciones
para determinar el estado de los procesos determinados.
Analizar la seguridad fsica y lgica de la infraestructura del rea de operaciones a fin de
detectar vulnerabilidades y tomar medidas correctivas.
Elaborar el informe de auditora proponiendo recomendaciones en base a conclusiones.
16
METODOLOGA
De acuerdo a la orientacin de la investigacin la presente tesis es de tipo descriptivo;

ya que busca la generacin de conocimiento con aplicacin directa de la sociedad o el
sector productivo.
De acuerdo a la tcnica de contratacin de la presente tesis es de carcter Descriptivo;

por que consiste en llegar a conocer las situaciones, costumbres y actitudes predominantes
a travs descripcin exactas de las actividades, objetos, procesos y personas.
La poblacin considerada dentro de estas tesis son los miembros del rea de
operaciones de la empresa Servicios Digitales SAC, que son los responsables de la
seguridad de cualquier actividad que se pretenda ejecutar en la empresa P=5.
La muestra que tenemos por ser una poblacin pequea se tomara la cantidad del
personal que trabaja dentro del rea de operaciones de la empresa M=5.
Las tcnicas e instrumentos de investigacin empleados para estas tesis son:
Tabla N02 Tcnicas Instrumentos de Investigacin
Tcnicas Instrumentos Uso

Encuestas y Cuestionario de Preguntas
Entrevistas Preguntas elaboradas
minuciosamente que
sern presentadas al
personal del rea.
Anlisis Textos, tesis, Elaboracin de
Documental revistas y estudios documentacin con
previos los resultados de las
encuestas
Observacin Visitas presenciales Reconocer lo que
nos rodea.
Fuente: COBIT 4.1
17
Se estructuraron preguntas abiertas y cerradas que brindaron informacin muy certera
para as poder tener mayor informacin y reforzar el tema de la documentacin.
Segn Glenda Osorio Laura (2012), nos conceptualiza que COBIT es un marco de trabajo
y un conjunto de herramientas de Gobierno de Tecnologa de informacin que le permite
a la gerencia cerrar la brecha entre los requerimientos de control, aspectos tcnicos y
riesgos de negocios. COBIT habilita el desarrollo de polticas claras y buenas prcticas
para el control de la Tecnologa de Informacin a lo largo de las organizaciones.
Como metodologa para el desarrollo de la auditoria se est utilizando MAGERIT ya

que segn CSAE (2012), que ha elaborado y promueve Magerit como respuesta la
percepcin de que la Administracin Pblica (y en general toda la sociedad) depende de
forma creciente de los sistemas de informacin para alcanzar sus objetivos. El uso de
tecnologas de la informacin y comunicaciones supone unos beneficios evidentes para
los ciudadanos; pero tambin da lugar a ciertos riesgos que deben gestionarse
prudentemente con medidas de seguridad que sustenten la confianza de los usuarios de
los servicios.
18
RESULTADOS
A. CUESTIONARIO
Para el informe de investigacin se han aplicado cuestionarios, las cuales se han

orientado a los miembros del rea de operaciones los cuales sern beneficiados con esta
auditoria en donde se obtuvieron los siguientes resultados.
RESULTADOS DEL CUESTIONARIO PARA USUARIOS DE LA OFICINA DE

SISTEMAS (OS)
1. El rea de Operaciones cuenta con el espacio suficiente para los equipos?
Interpretacin:
Se observa en el Grfico 1, que el 80% de los

usuarios del rea de operaciones OP est muy de
20%
acuerdo con el espacio asignado para los equipos
SI
mientras el otro 20% est de en desacuerdo, lo que
NO
permite apreciar que, a su criterio, est bien, pero
80%
se podra mejorar.
Figura N5 Cuestionario 1
Fuente: Elaboracin Propia
19
2. El material con que est construido el rea de operaciones es confiable?
Interpretacin:

0%
usuarios del rea de operaciones OP est de acuerdo
SI
con el material con el que est construido el centro
NO
de cmputo, lo que permite apreciar que es un
100% ambiente que se consideran adecuado con los
materiales utilizados en su construccin.
3. La Temperatura a la que trabajan los Equipos es adecuada de acuerdo a las

normas a las que se rigen?
Interpretacin:
40%
usuarios del rea de operaciones OP no estn en
SI
60% NO acuerdo con la temperatura a la que trabajan los

equipos, lo que permite apreciar a su criterio, que no
se estn rigiendo a las normas establecidas.
20
4. La ubicacin de los aires acondicionados es adecuada?
Interpretacin:

usuarios del rea de operaciones OP est de acuerdo
40% SI con la ubicacin de los aires acondicionados,
60% NO
mientras que el 40% solo est de acuerdo, lo que
permite apreciar que es aceptable, pero se podra
mejorar.
5. Se cuentan con Alarma contra incendios?
Interpretacin:
Se observa en el Grfico 5, que el 100% de

0%
los usuarios del rea de operaciones OP est
SI de acuerdo en que no cuentan con una
NO
alarma contra incendios, por lo tanto,
100%
tendramos que mejorar e instalar una
alarma para incendios.
21
6. estn sealizadas las rutas de evacuacin en caso de incendios?
Interpretacin:

usuarios del rea de operaciones OP est de
40% acuerdo en que se encuentran bien sealizadas
si
no rutas de evacuacin en caso de incendio o
60%
desastre natural el otro 40% no est de acuerdo
con las rutas de sealizacin de evacuacin.
7. Es adecuada la iluminacin en el rea de operaciones?
Interpretacin:
20%
acuerdo en que la iluminacin es adecuada para el
si
no desarrollo de sus actividades mientras que el 20%
se encuentra en desacuerdo.
80%
22
8. El cableado se encuentra correctamente instalado y debidamente aislado?
Interpretacin:

los usuarios del rea de operaciones OP est
40% de acuerdo en que el cableado se encuentra
si
no bien instalado y aislado mientras el 40% se
60%
encuentra en desacuerdo, lo que se puede
tratar de mejorar para llegar a tener un
mejor desempeo y as poder evitar
incidentes o desperfectos.
Figura N12 Encuesta
9. Los equipos cuentan con un estabilizador de energa?
Interpretacin:

20%
si
acuerdo en que cuentan con un estabilizador de
no
energa mientras el 20% desconoce su existencia.
80%
Figura N13 Encuesta

23
10. Cuentan con un switch de apagado de Emergencia en un lugar visible?
Interpretacin:

40% si acuerdo en que cuentan con un switch de
60%
no apagado de emergencia en un lugar visible
mientras el 20% desconoce su existencia.
Figura N14 Encuesta

11. Se cuenta con pozo a tierra?
Interpretacin:

usuarios del rea de operaciones OP afirman que
cuentan con un pozo tierra mientras el 20%
40% si
desconoce su existencia lo que se puede apreciar
no
60%
que la mayora del personal sabe de su existencia.
Figura N15 Encuesta

24
12. El Software esta licenciado al 100%?
Interpretacin:

usuarios del rea de operaciones OP afirman que
no cuentan con la licenciatura de software,
33%
si mientras el 33% afirma que tienen la licenciatura
no del software completa.
67%
Figura N16 Encuesta

13. Cuentan con un plan de mantenimiento preventivo Anual?
Interpretacin:

usuarios del rea de operaciones OP afirman
40% existe un plan de mantenimiento anual, mientras
si
no el 40% desconoce de la existencia del plan de
60%
mantenimiento preventivo.
Figura N17 Encuesta

25
14. Cuentan con copia de seguridad en un lugar distinto al de la computadora?
Interpretacin:
Se observa en el Grfico 14, que el 100%

0% de los usuarios del rea de operaciones OP
afirman existe copia de seguridad en otro
si
lugar fuera de la ubicacin del rea de
no
operacin.
100%
Figura N18 Encuesta

15. Se realizan inventarios de los equipos, del rea de operaciones?
Interpretacin:

usuarios del rea de operaciones OP afirman si
20%
llevan a cabo inventarios de los equipos
si
informticos en el rea de operacin, mientras el
20% desconoce de las auditoras realizadas.
no
80%
Figura N19 Encuesta

26
16. Cuentan con un manual para cada programa que se maneja?
Interpretacin:
Se observa en el Grfico 16, que el 80%

de los usuarios del rea de operaciones OP
20% afirman si cuentan con un manual de
usuario de los programas y otro el 20%
si desconocen del manual de los programas
no que manejan.
80%
Figura N20 Encuesta

17. El encargado del centro de cmputo te brinda soporte cuando la requieres?
Interpretacin:
60%
los usuarios del rea de operaciones OP
20% 20% afirman si cuentan con soporte por parte del
encargado mientras tenemos un 20% de
personas indecisas y otro 20% en desacuerdo,
lo cual se puede mejorar la efectividad del
servicio.
Figura N21 Encuesta
27
18. Cul es la efectividad de los tcnicos para resolver los problemas de
mantenimiento?
Interpretacin:

60% los usuarios del rea de operaciones estn
de acuerdo en la eficacia de los tcnicos en
20% 20% resolver los problemas, mientras el 20% de
usuarios indica que no se encuentran de
acuerdo y otro 20% duda de la efectividad.
Figura N22 Encuesta

19. Se Respetan el control del acceso al centro de cmputo?
Interpretacin:

80% usuarios del rea de operaciones estn de acuerdo en
que se respeta el control al acceso al centro de
20% cmputo mientras que un 20% de usuarios indica
que no se respeta.
Figura N23 Encuesta

28
20. Consideras que el servicio de internet debe estar disponible a cualquier hora y
para cualquier usuario?
Interpretacin:
80%
usuarios del rea de operaciones estn de
acuerdo en que el internet est disponible a
20%
cualquier hora y disponible para cualquier
usuario y un 20% de usuarios se encuentran
indecisos en la disponibilidad.
Figura N24 Encuesta

21. Consideras adecuadas las restricciones a ciertas pginas en internet?
Interpretacin:
80%
usuarios del rea de operaciones encuentran
adecuado las restricciones de ciertas pginas
20% en internet que no tengan que ver con lo

especificado en lo laboral y un 20% no lo cree
adecuado.
Figura N25 Encuesta

29
B. APLICACIN DE LA METODOLOGA MAGRIT
ETAPA DE PLANIFICACIN
Todas las organizaciones se encuentran expuesta a diversos tipos de riesgos; porque

no existe un ambiente totalmente seguro a un 100%. Por este motivo toda la organizacin
debe estar alerta a cualquier evento extrao y a cambio que pueda considerarse negativo
para un activo, a un proceso o a toda la organizacin. Para el desarrollo de la auditora de
seguridad informtica se utiliz la metodologa Magerit y el marco de trabajo CobiT, para
la evaluacin de la seguridad informtica actual en el rea de operaciones de la empresa
Servicios Digitales SAC. Por ello, se ha determinado realizar la auditora planteando las
siguientes fases:
FASE I: ANLISIS DE SITUACIN ACTUAL
En esta fase se realizar el anlisis de la informacin recopilada mediante ciertas

tcnicas e instrumentos de investigacin. Y as Se proceder a utilizar actividades
propuestas por Magerit, como la identificacin de activos e identificacin de las
amenazas.
FASE II: DESARROLLO DE LA AUDITORA
En esta fase se desarrolla la evaluacin de los procesos propuestos por CobiT y se

define el grado de madurez para cada proceso elegido. Se procede a realizar encuestas a
un equipo con experiencia profesional y conocimiento del rea de operaciones de dicha
empresa y con los resultados de estas encuestas se podrn determinar el grado de madurez
de cada uno de los procesos elegidos, de forma paralela se realizarn las observaciones
especificando el motivo por el que se ha designado a cada proceso en determinado grado
de madurez considerando los objetivos de control, recomendaciones y requerimientos
propuestos por CobiT para cada nivel de madurez. Como consecuencia se obtiene las
respectivas recomendaciones cuya finalidad es crecer y mejorar de manera continua sus
procesos, estas recomendaciones se presentarn tomando como referencia las sugerencias
establecidas en la gua de CobiT, para elevar los niveles de madurez de cada proceso a
corto y largo plazo. Luego se trabajar con una tabla de resumen de objetivos de control
propuesto por CobiT, esta tabla proporciona el modo en que los objetivos de control
(procesos) impactan sobre los criterios de informacin y que recursos de TI son aplicados.
30
FASE III: INFORME PRELIMINAR
En esta fase se dar la elaboracin del informe preliminar que contiene informacin
acerca de la ejecucin de la auditora, estableciendo en el informe los siguientes puntos:
alcance para la realizacin de la auditora, las herramientas usadas en la misma, los
correspondientes grados de madurez de los procesos contemplados, las recomendaciones
y conclusiones de los procesos propuestos. Luego de la tabulacin de los cuestionarios al
personal encargado del rea de operaciones, el informe ser expuesto a los mismos en
base a los resultados obtenidos, para las pertinentes observaciones y la elaboracin del
informe final.
FASE IV: INFORMES FINALES
Una vez que el informe preliminar ha sido examinado por el equipo del rea de
operaciones, se convierte en un informe tcnico, el cual est dirigido al Jefe del rea de
operaciones. Adems, se considera en esta fase la elaboracin del informe ejecutivo que
est dirigido a la Gerencia General de la empresa Servicio Digitales SAC Chimbote.
31
ETAPA DE EJECUCION
FASE I
Tabla N03 Identificacin de Activos
Servicios Internos Gestin de Servicios Asistenciales
Gestin Administrativa
Sistema Operativo
Software
Sistema de Registro de clientes
Sistema de consulta a posibles clientes
Impresoras
CPU
Equipos
Pizarra digital
Proyector
Comunicaciones Red Wi Fi
Red LAN
Soporte de Informacin Documentacin Impresa
Generador Elctrico
Cableado de Red
Equipamiento Auxiliar Mobiliario
Estabilizadores de Corriente
Instalaciones Edificio
Jefe de rea de Operaciones
Personal Asesor de Sistemas de Informacin
Secretarias
32
Para la representacin de la dependencia entre activos, proceso necesario dentro la
metodologa Magerit, se utiliz la herramienta Pilar 6.2 mediante la cual se logr el
siguiente grfico:
Figura N26 Dependencia entre activos

33
Una vez identificado los activos y su dependencia, se realiza la siguiente fase de Magerit
que es la de identificacin de amenazas por cada activo de la empresa, la cual en el
presente trabajo de investigacin se representa de la siguiente manera:
Tabla 04: Identificacin de Amenazas
Sistema Operativo Un mal uso por parte de Usuario

Carga de un virus
Impresora Mala Manipulacin por los usuarios

Cada de Agua
Siniestro
Terremoto
CPU Avera de origen fsico o lgico
Mala manipulacin por el usuarios
Cada de Agua
Siniestro
Terremoto
Pizarra Digital Avera de origen fsico o lgico

Cada de Agua
Siniestro
Terremoto
Proyector Avera de origen fsico o lgico

Cada de Agua
Siniestro
Terremoto
Red WIFI Manipulacin de la Configuracin interna
Red LAN Desgaste del cable

siniestro
Agua
Documentacin Impresa Fuego

agua
Desastres Naturales
Temperatura o humedad
Acceso no autorizado
Generador Elctrico Avera de origen fsico o lgico

34
Siniestro
Mala manipulacin
Estabilizador de corriente Avera de origen fsico o lgico

Siniestro
Mala manipulacin
Edificio Desastre Natural

Incendio
Jefe de Sistemas Enfermedad

Huelga
Incidente Familiar
Asesor de Sistemas de Informacin Enfermedad

Huelga
Incidente Familiar
Secretarias Enfermedad
Huelga
Incidente Familiar
FASE II
El Marco de referencia COBIT propone un entorno de accin donde se auditan los

recursos de tecnologa de informacin, tales como las instalaciones, sistemas, recursos
humanos entre otros.
El grado de impacto Primario (P), cuando el objetivo de control tiene un impacto directo
al requerimiento de informacin de inters.
El grado de impacto Secundario (S), cuando el objetivo de control tiene un impacto de

forma indirecta o en menor magnitud sobre el requerimiento de informacin de inters.
Espacio Blanco (Vaco), cuando el objetivo de control no tiene impacto alguno sobre el
requerimiento de informacin.
35
Tabla N5 Resumen de cuadro de objetivos de control COBIT
CRITERIOS DE INFORMACIN RECURSOS DE TI
Confidencialidad
Infraestructura
Disponibilidad
Cumplimiento
Confiabilidad
Informacin
Aplicaciones
Efectividad
Integridad
DOMINIO
Eficiencia
Personas
PROCESOS
PO1 Definir un plan estratgico de TI
PO2 Definir la arquitectura de la informacin
PLANEAR Y ORGANIZAR
PO3 Determinar la direccin tecnolgica

Definir los procesos, organizacin y relaciones
PO4
de TI
PO5 Administrar la inversin en TI
Comunicar las aspiraciones y la direccin de la
PO6
gerencia
PO7 Administrar los recursos humanos de TI
PO8 Administrar la calidad
PO9 Evaluar y administrar los riesgos de TI P S P S P P P X X X X
PO10 Administrar proyectos
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
ADQUIRIR E
IMPLEMENTAR
AI3 Adquirir y mantener infraestructura tecnolgica

AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar los cambios
AI7 Instalar y acreditar soluciones y cambios
DS1 Definir y administrar los niveles de servicio

DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
ENTREGAR Y DAR SOPORTE
DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas P P P P S P S X X X X
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuracin
DS1 Administrar los problemas
0
DS1 Administrar los datos
1
DS1 Administrar el ambiente fsico
2
DS1 Administrar las operaciones
3
ME1 Monitorear y Evaluar el Desempeo de TI P S P P P P X X X X
MONITOR
EVALUAR
EAR Y
ME2 Monitorear y Evaluar el Control Interno P P S S P P X X X X

ME3 Garantizar el Cumplimiento Regulatorio P P S P P S X X X X
ME4 Proporcionar Gobierno de TI
Fuente: Elaboracin Propia con Marco de Referencia COBIT 4.1
36
Para poder obtener los porcentajes de cada uno de los criterios de informacin del rea
de Operaciones de Servicio Digitales SAC, se asignar un valor al grado de impacto
primario (cuyo efecto es alto o fuerte), secundario (cuyo efecto es leve o medio) y blanco
(cuando no tiene ningn tipo de impacto).
Dicho porcentaje ser establecido en base a una propuesta metodolgica establecida por
una metodologa de manejo de riesgos como es COSO (Comit de Organizaciones
Patrocinadoras de la Comisin de Normas), la cual establece una ponderacin para el
grado de impacto que tienen los criterios de informacin dentro de un proceso, adems
de permitir determinar el nivel de riesgo que tendra dicho proceso, para lo cual se
establecen rangos de calificacin como se observa en la siguiente tabla:
Tabla N6 Rango de calificacin de Impacto
IMPACTO CALIFICACION %
BAJO 15% 50%
MEDIO 51% 75%
ALTO 76% 95%
VACIO - -
Fuente: Marco de referencia COSO
Tomando en cuenta la propuesta de COSO se gener una tabla de ponderaciones

mediante la cual se propone asignar un valor numrico al impacto de los criterios de
informacin de cada proceso, para esto se ha determinado tomar el valor promedio de
cada uno de los rangos mostrados en la tabla anterior, dando como resultado los siguientes
valores:
Tabla N7 Promedio de impacto
IMPACTO PROMEDIO
BAJO 32%
MEDIO 63%
ALTO 86%
Fuente: Marco de referencia COBIT
A continuacin, colocaremos los valores obtenidos en los criterios de informacin

establecidos en COBIT dentro de cada uno de los procesos utilizando los valores
obtenidos en la tabla anterior.
37
Tabla N8 Impacto sobre los criterios de informacin
CRITERIOS DE INFORMACIN
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
DOMINIO
Eficiencia
PROCESOS
PLANEAR Y ORGANIZAR

PO4 Definir los procesos, organizacin y relaciones de TI
PO6
gerencia
PO9 Evaluar y administrar los riesgos de TI 0.86 0.63 0.86 0.63 0.86 0.86 0.86
IMPLEMENTAR

ADQUIRIR E
AI3 Adquirir y mantener la infraestructura tecnolgica

AI7 Instalar y acreditar soluciones y cambios.
DS3 Administrar el desempeo y capacidad

DS5 Garantizar la seguridad de los sistemas 0.86 0.86 0.86 0.86 0.63 0.86 0.63
2
3
ME1 Monitorear y evaluar el desempeo de TI 0.86 0.63 0.86 0.86 0.86 0.86
MONITO
EVALUA
R EAR Y
ME2 Monitorear y evaluar el control interno 0.86 0.86 0.63 0.63 0.86 0.86
R
ME3 Garantizar el cumplimiento regulatorio 0.86 0.86 0.63 0.86 0.86 0.63
ME4 Proporcionar gobierno de TI
38
A continuacin, se elaborarn las tablas de madurez para cada proceso, tomando en
consideracin los resultados de los cuestionarios y entrevistas, de esa manera de indica
el grado de madurez y observaciones en cada proceso propuesto por CobiT.
MODELO DE MADURES DE LOS PROCESOS
Tabla N9 Definir Modelo De Madurez PO9
DOMINIO: PLANEAR Y ORGANIZAR
PO9: Evaluar y administrar los riesgos de TI
OBSERVACIONES
NO CUMPLE
CUMPLE
NIVEL DE LOS MODELOS DE
MADUREZ
La evaluacin de riesgos para los procesos y las El proceso de

decisiones de negocio no ocurre. La organizacin no toma evaluacin y
en cuenta los impactos en el negocio asociados a las X administracin de los
N0
vulnerabilidades de seguridad y a las incertidumbres del riesgos de TI est en

desarrollo de proyectos. un nivel 0.
Los riesgos de TI se toman en cuenta de manera ad hoc. Se

realizan evaluaciones informales de riesgos segn lo
OBJETIVO NO
determine cada proyecto. En algunas ocasiones se
CUMPLIDO
N1
identifican evaluaciones de riesgos en un plan de

proyectos, pero se asignan rara vez a gerentes especficos.
No se cuenta con un
Existe un enfoque de evaluacin de riesgos en desarrollo
plan estratgico que
y se implementa a discrecin de los gerentes de proyecto.
ayude a evaluar y
La administracin de riesgos se da por lo general a
administrar los
N2
alto nivel y tpicamente se aplica solo a proyectos grandes

riesgos de TI
o como respuesta a problemas.
Una poltica de administracin de riesgos para toda la

organizacin define cundo y cmo realizar las
N3
evaluaciones de riesgos. La administracin de riesgos

sigue un proceso definido, el cual est documentado.
39
La evaluacin y administracin de riesgos son
procedimientos estndar. Las excepciones al proceso de
N4
administracin de riesgos se reportan a la gerencia de TI.
Las buenas prcticas se aplican en toda la organizacin. La

captura, anlisis y reporte de los datos de administracin
N5
de riesgos estn altamente automatizados.
Tabla N 10 Definir Modelo De Madurez DS5
DOMINIO: ENTREGAR Y DAR SOPORTE
DS5: Garantizar la Seguridad de los Sistemas
OBSERVACIONES
NO CUMPLE
CUMPLE
MADUREZ
La organizacin no reconoce la necesidad de la El proceso de

seguridad para TI. Las responsabilidades y la rendicin garantizar los
de cuentas no estn asignadas para garantizar la sistemas se encuentra
N0
seguridad. Las medidas para soportar la administrar la en nivel 1

seguridad de TI no estn implementadas. X
La organizacin reconoce la necesidad de seguridad para OBJETIVO NO

TI. La conciencia de la necesidad de seguridad depende CUMPLIDO
principalmente del individuo. La seguridad de TI se
N1
lleva a cabo de forma reactiva. No se mide la seguridad

de TI. X No se cuenta con
medidas
Las responsabilidades y la rendicin de cuentas sobre la implementadas para
seguridad, estn asignadas a un coordinador de seguridad garantizar la
de TI, pero la autoridad gerencial del coordinador es seguridad del sistema
N2
limitada. La conciencia sobre la necesidad de la seguridad

esta fraccionada y limitada.
40
Existe conciencia sobre la seguridad y sta es promovida
por la gerencia. Los procedimientos de seguridad de TI
estn definidos y alineados con la poltica de seguridad
N3
de TI. Las responsabilidades de la seguridad de TI estn

asignadas y entendidas, pero no continuamente
implementadas.
Las responsabilidades sobre la seguridad de TI son

asignadas, administradas e implementadas de forma clara.
Regularmente se lleva a cabo un anlisis de impacto y de
riesgos de seguridad. Las polticas y prcticas de
N4
seguridad se complementan con referencias de seguridad

especficas.
La seguridad en TI es una responsabilidad conjunta del

negocio y de la gerencia de TI y est integrada con los
objetivos de seguridad del negocio en la corporacin. Los
requerimientos de seguridad de TI estn definidos de forma
N5
clara, optimizados e incluidos en un plan de seguridad

aprobado.
Tabla N11 Definir Modelo De Madurez ME1
DOMINIO: MONITORIAR Y EVALUAR
ME1: Monitorear y Evaluar el Departamento de TI
OBSERVACIONES
NO CUMPLE
CUMPLE

MADUREZ
La organizacin no cuenta con un proceso implantado de El proceso de

monitoreo. TI no lleva a cabo monitoreo de proyectos o
procesos de forma independiente. No se cuenta con Monitoreo y
reportes tiles, oportunos y precisos. La necesidad de X Evaluacin del
N0
entender de forma clara los objetivos de los procesos no Desempeo de TI se

se reconoce.
encuentra en nivel 0
41
Lugar Ado de manera formal las responsabilidades
Controles internos. Las evaluaciones de control interno de TI se
realizan como parte de las de La gerencia reconoce la necesidad
de administrar y asegurar el control de TI de forma regular. La OBJETIVO NO
experiencia individual para evaluar suficiencia del control CUMPLIDO
N1
interno se aplica de forma ad hoc. La gerencia de TI no ha asigna

para monitorear la efectividad de los con auditoras financieras
tradicionales, con metodologas y habilidades que no reflejan las
necesidades de la funcin del servicio
Informacin. La empresa Servicio
Digitales SAC no
Cuando se han identificado algunas me dicciones cuenta con un
bsicas a ser monitoreadas. Los mtodos y las tcnicas de proceso
recoleccin y evaluacin existen, pero los procesos no se implementado de
han adoptado en toda la organizaron. La interpretacin de
monitoreo, no cuenta
N2
los resultados del monitoreo se basa en la experiencia de

individuos clave. Herramientas limitadas son con los reportes tiles
seleccionadas y se implantan para recolectar informacin,
oportunos y precisos
pero esta es recoleccin no se basa en un enfoque
planeado. que identifiquen el
avance Asia los
La gerencia ha comunicado e institucionalizado un
proceso estndar de monitoreo. Se han implantado objetivos propuestos
programas educacionales y de entrenamiento para el
monitoreo. Se ha desarrollado una base de conocimiento
formalizada del desempeo histrico. Las evaluaciones
todava se realizan al nivel de procesos y proyectos
individuales de TI y no estn integradas a travs de todos
N3
los procesos. Se han definido herramientas para

monitorear los procesos y los niveles de servicio de TI.
Las mediciones de la contribucin de la funcin de
servicios de informacin al desempeo de la organizacin
se han definido, usando criterios financieros y operativos
tradicionales. Las mediciones del desempeo especficas
de TI.
La gerencia ha definido las tolerancias bajo las cuales los

procesos deben operar. Los reportes de los resultados del
monitoreo estn en proceso de estandarizarse y
normalizarse. Hay una integracin de mtricas a lo largo
de todos los proyectos y procesos de TI. Los sistemas de
reporte de la administracin de TI estn formalizados.
Las herramientas automatizadas estn integradas y se
N4
aprovechan en toda la organizacin para recolectar y

monitorear la informacin operativa de las aplicaciones,
sistemas y procesos. La gerencia puede evaluar el
desempeo con base en criterios acordados y aprobados
por las terceras partes interesadas. Las mediciones de la
funcin de TI estn alienadas con las metas de toda la
organizacin.
Cuando un proceso de mejora continua de la calidad se ha

desarrollado para actualizar los estndares y las polticas de
monitoreo a nivel organizacional incorporando mejores
prcticas de la industria. Todos los procesos de monitoreo
estn optimizados y dan soporte a los objetivos de toda la
N5
organizacin. Las mtricas impulsadas por el negocio se usan

de forma rutinaria para medir el desempeo, y estn integradas
en los marcos de trabajo estratgicos, tales como el Balance
Scorecard.
42
Tabla N 12 Definir Modelo De Madurez EM2
DOMINIO: PLANEAR Y ORGANIZAR
PO9: Evaluar y administrar los riesgos de TI
OBSERVACIONES
NO CUMPLE
CUMPLE
MADUREZ
La organizacin no cuenta con un proceso El proceso de

evaluacin y
Implantado de monitoreo. TI no lleva a cabo
X monitoreo se
monitoreo de proyectos o procesos de forma encuentra en nivel 0.
N0
Independiente. No se cuenta con reportes tiles,
Oportunos y precisos. La necesidad de entender

OBJETIVO NO
De forma clara los objetivos de los procesos no se reconocen.
CUMPLIDO
Lugar Ado de manera formal las responsabilidades
controles internos. Las evaluaciones de control interno de
TI se realizan como parte de las de La gerencia reconoce
La empresa carece de
la necesidad de administrar y asegurar el control de TI de
procedimientos para
N1
Forma regular. La experiencia individual para evaluar monitorear la

suficiencia del control interno se aplica de forma ad hoc.
La gerencia de TI no ha asigna para monitorear la
efectividad de los
efectividad de los con auditoras financieras tradicionales, controles internos a
con metodologas y habilidades que no reflejan las travs de actividades
necesidades de la funcin del servicio informacin.
administrativas y
La organizacin utiliza reporte de controles informales supervisin,
para comenzar iniciativas de accin correctiva. La
evaluacin de control interno depende de las comparaciones
habilidades de individuos clave. La organizacin tiene reconciliaciones y
una mayor conciencia sobre el monitoreo de los otras acciones
controles realiza monitoreo peridico sobre la
efectividad de lo que considera controles metodologas rutinarias. Estas
y herramientas para monitorear los controles internos, actividades de
aunque no se La organizacin utiliza reportes de control
N2
informales para comenzar monitoreo continuo

por parte de la
Iniciativas de accin correctiva. La evaluacin del
control depende de las habilidades internos. La gerencia
gerencia debern
de servicios de informacin internos crticos. Se estn revisar la existencia
empezando a un plan. Los factores de riesgo de puntos
Especficos del ambiente de TI se identifican con base vulnerables
en las habilidades de individuos.
43
La gerencia apoya y ha institucionalizado el monitoreo
del control interno. Se han desarrollado polticas y
procedimientos para evaluar y reportar las actividades de
monitoreo del control interno. Se ha definido un
programa de educacin y entrenamiento para el
monitoreo del control interno. Se ha definido tambin un
proceso para auto-evaluaciones y revisiones de
aseguramiento del control Interno con roles definidos
N3
para los responsables de la administracin del negocio y

de TI. Se usan herramientas, aunque no necesariamente
estn integradas en todos los procesos. Las polticas de
evaluacin de riesgos de los procesos de TI se utilizan
dentro de los marcos de trabajo desarrollados de manera
especfica para la funcin de TI. Se han definido polticas
para el manejo y mitigacin de riesgos especficos de
procesos
La evaluacin y administracin de riesgos son

procedimientos estndar. Las excepciones al
N4
proceso de administracin de riesgos se

reportan a la gerencia de TI.
La gerencia tiene implantado un marco de trabajo para el

monitoreo del control interno de TI. La organizacin ha
establecido niveles de tolerancia para el proceso de
monitoreo del control interno. Se han implantado
herramientas para estandarizar evaluaciones y para detectar
de forma automtica las excepciones de control. Se ha
establecido una funcin formal para el control interno de
N5
TI, con profesionales especializados y certificados que

utilizan un marco de trabajo de control formal avalado por
la alta direccin. Un equipo calificado de TI participa de
forma rutinaria en las evaluaciones de control interno. Se
ha establecido una base de datos de mtricas para
informacin histrica sobre el monitoreo del control
interno. Se realizan revisiones entre pares para verificar el
monitoreo del control interno.
44
Tabla N13 Definir Modelo De Madurez EM3
DOMINIO: MONITORIAR Y EVALUAR
PO9: Garantizar el Cumplimiento Con Requerimientos Externos
OBSERVACIONES
NO CUMPLE
CUMPLE
NIVEL DE LOS
MODELOS DE MADUREZ
Existe poca conciencia respecto a los El proceso de evaluacin y

requerimientos externos que afectan a TI, monitoreo se encuentra en
N0
sin procesos referentes al cumplimiento de

requisitos regulatorios, legales y X nivel 0.
contractuales.
Existe conciencia de los requisitos de

cumplimiento regulatorio, contractual y
legal que tienen impacto en la organizacin.
OBJETIVO NO
Se siguen procesos informales para CUMPLIDO
N1
mantener el cumplimiento, pero solo si la

necesidad surge en nuevos proyectos o como
respuesta a
Auditoras o revisiones.
La empresa no ha
establecido procesos
Existe el entendimiento de la necesidad de
cumplir con los requerimientos externos y la
referentes al cumplimiento
necesidad se comunica. En los casos en que de los requisitos
el cumplimiento se ha convertido en un regulatorios , legales y
requerimiento recurrente., como en los
reglamentos regulatorios o en la legislacin contractuales que afectan a
de privacidad, se han desarrollado las TIC`s.
N2
procedimientos individuales de
cumplimiento y se siguen ao con ao. No
existe, sin embargo, un enfoque estndar.
Hay mucha confianza en el conocimiento y
responsabilidad de los individuos, y los
errores son posibles. Se brinda
entrenamiento informal respecto a los
requerimientos externos y a los temas de
cumplimiento.
Se han desarrollado, documentado y
comunicado polticas, procedimientos y
procesos, para garantizar el cumplimiento de
los reglamentos y de las obligaciones
contractuales y legales, pero algunas quiz
no se sigan y algunas quiz estn
desactualizadas o sean pocas prcticas de
implementar. Se realiza poco monitoreo y
existen requisitos de cumplimiento que no
N3
han sido resueltos. Se brinda entrenamiento

sobre requisitos legales y regulatorios
externos que afectan a la organizacin y se
instruye respecto a los procesos de
cumplimiento definidos. Existen contratos
pro forma y procesos legales estndar para
minimizar los riesgos asociados con las
obligaciones contractuales.
45
Existe un entendimiento completo de
los eventos y de la exposicin a
requerimientos externos, y la
necesidad de asegurar el
cumplimiento a todos los niveles.
Existe un esquema formal de
entrenamiento que asegura que todo
el equipo est consciente de sus
obligaciones de cumplimiento. Las
responsabilidades son claras y se
entiende el empoderamiento de los
procesos. El proceso incluye una
revisin del entorno para identificar
requerimientos externos y cambios
N4
recurrentes. Existe un mecanismo

implantado para monitorear el no
cumplimiento de los requisitos
externos, reforzar las prcticas
internas e implementar acciones
correctivas. Los eventos de no
cumplimiento se analizan de forma
estndar en busca de las causas raz,
con el objetivo de identificar
soluciones sostenibles. Buenas
prcticas internas estandarizadas se
usan para necesidades especficas
tales como reglamentos vigentes y
contratos recurrentes de servicio.
Existe un proceso bien organizado, eficiente

e implantado para cumplir con los
requerimientos externos, basado en una sola
funcin central que brinda orientacin y
coordinacin a toda la organizacin. Hay un
amplio conocimiento de los requerimientos
externos aplicables, incluyendo sus
tendencias futuras y cambios anticipados, as
como la necesidad de nuevas soluciones. La
organizacin participa en discusiones
externas con grupos regulatorios y de la
industria para entender e influenciar los
requerimientos externos que la puedan
afectar. Se han desarrollado mejores
prcticas que aseguran el cumplimiento de
los requisitos externos, y esto
N5
Ocasiona que haya muy pocos casos de

excepciones de cumplimiento. Existe un
sistema central de rastreo para toda la
organizacin, que permite a la gerencia
documentar el flujo de trabajo, medir y
mejorar la calidad y efectividad del proceso
de monitoreo del cumplimiento. Un proceso
externo de auto-evaluacin de
requerimientos existe y se ha refinado hasta
alcanzar el nivel de buena prctica. El estilo
y la cultura administrativa de la organizacin
referente al cumplimiento es suficientemente
fuerte, y se elaboran los
Procesos suficientemente bien para
que el entrenamiento se limite al
nuevo personal y siempre que ocurra
un cambio significativo..
46
Tabla N14 Reporte General de Grado de Madurez
GRADO DE
DOMINIO PROCESO MADUREZ
Planear y Organizar PO9 Evaluar y Administrar los Riesgos de TI 0
Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas 1
Monitorear y Evaluar ME1 Monitorear y Evaluar el Desempeo de TI 0
Entregar y Dar Soporte ME2 Monitorear y Evaluar el Control Interno 0
ME3 Garantizar el Cumplimiento Regulatorio 0
Resumen De Anlisis Por Dominios:
DOMINIO: Planear y Organizar (PO9)
COBIT establece para el proceso PO9 la necesidad de cumplir con los siguientes objetivos
de control:
Marco de Trabajo de Administracin de Riesgos.

Establecimiento del Contexto del Riesgo.
Identificacin de Eventos.
Evaluacin de Riesgos de TI.
Respuesta a los Riesgos.
Mantenimiento y Monitoreo de un Plan de Accin de Riesgos.
El objetivo principal del modelo de madurez es poder ascender a un grado de madurez

superior, por esto para que el proceso PO9 ascienda a un grado de madurez 1, se
recomendara lo siguiente como estrategia a corto plazo conforme lo establece COBIT:
Deber ser implementado un plan estratgico que ayude a evaluar y administrar los
riesgos de TI, en la implementacin de este plan deber ser discutida y estarn
involucrados todos los personales del rea de sistemas de la empresa.
47
DOMINIO: Entregar y Dar Soporte (DS5)
COBIT establece para el proceso DS5 la necesidad de cumplir con los siguientes objetivos
de control:
Administracin de la Seguridad de TI
Plan de Seguridad de TI.
Administracin de Identidad.
Administracin de Cuentas de Usuario.
Pruebas, Vigilancia y Monitoreo de la Seguridad.
Definicin de Incidente de Seguridad.
Proteccin de la Tecnologa de Seguridad.
Administracin de Llaves Criptogrficas.
Prevencin, Deteccin y Correccin de Software Malicioso.
Seguridad de la Red.
Intercambio de Datos Sensitivos.

superior, por esto para que el proceso DS5 ascienda a un grado de madurez 2, se
Debern ser implementados procedimientos para la actualizacin e implementacin de

los sistemas el cual deber ser documentado para su posterior anlisis por el responsable
de la seguridad de TI.
DOMINIO: Monitorear y Evaluar (ME1)
COBIT establece para el proceso ME1 la necesidad de cumplir con los siguientes
objetivos de control:
Enfoque del Monitoreo.

Definicin y Recoleccin de Datos de Monitoreo.
Mtodo de Monitoreo.
Evaluacin del Desempeo.
Reportes al Consejo Directivo y a Ejecutivos.
Acciones Correctivas.
48
superior, por esto para que el proceso ME1 ascienda a un grado de madurez 1, se
Se deber implementar un proceso para monitorear y evaluar el desempeo de las TI, se

recomienda tomar en consideracin como estrategia realizar evaluaciones de satisfaccin
del usuario, lo cual les permitir mejorar continuamente el servicio brindado.
Monitoreo del Marco de Trabajo de Control Interno.

Revisiones de Auditora.
Excepciones de Control.
Control de Auto Evaluacin.
Aseguramiento del Control Interno.
Control Interno para Terceros.
Acciones Correctivas.

Debern ser implementados procedimientos para monitorear la efectividad de los

controles internos y deben ser evaluados en base a la necesidad de los servicios de
informacin, para lograr esto debern realizar un monitoreo permanente del control
interno, establecer responsabilidad para el control interno, implementar herramientas
integradas y actualizadas para estandarizar las evaluaciones y establecer una base de datos
para las mtricas permitiendo registrar el historial del monitoreo realizado sobre el control
interno en la empresa.
49
Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos

Contractuales.
Optimizar a Respuesta a Requerimientos Externo.
Evaluacin del Cumplimiento con Requerimientos Externos.
Aseguramiento Positivo del Cumplimiento.
Reportes Integrados.

Se debern establecer todo tipo de procesos referentes al cumplimiento de requisitos

regulatorios, legales y contractuales que afecten a las TI, para lo cual debern tener en
consideracin las evaluaciones independientes de efectividad de los servicios de TI de
forma peridica y tambin obtener acreditacin y certificaciones de seguridad y control
interno antes de implementar nuevos servicios de TI.
Resumen de Procesos y Criterios de informacin por Impacto
En la siguiente tabla se muestra el resumen de procesos y criterios de informacin por

impacto, en donde el grado de impacto primario se asigna el 86% cuyo impacto es alto,
para el grado secundario se asigna el 63% cuyo impacto es medio y para el caso en donde
la casilla se encuentre vaca, no se asignar ningn valor ya q no impacta en nada a los
criterios de informacin segn lo que especifica COBIT:
50
Tabla N15 Impacto sobre los criterios de informacin
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
DOMINIO
Eficiencia
PROCESOS
PLANEAR Y ORGANIZAR

PO4 Definir los procesos, organizacin y relaciones de TI
PO6
gerencia
IMPLEMENTAR

ADQUIRIR E
AI3 Adquirir y mantener la infraestructura tecnolgica

AI7 Instalar y acreditar soluciones y cambios.
DS3 Administrar el desempeo y capacidad

DS5 Garantizar la seguridad de los sistemas 0.86 0.86 0.86 0.86 0.63 0.86 0.63
2
3
ME1 Monitorear y evaluar el desempeo de TI 0.86 0.63 0.86 0.86 0.86 0.86
MONITO
EVALUA
R EAR Y
ME2 Monitorear y evaluar el control interno 0.86 0.86 0.63 0.63 0.86 0.86
R
ME3 Garantizar el cumplimiento regulatorio 0.86 0.86 0.63 0.86 0.86 0.63
ME4 Proporcionar gobierno de TI
51
Los resultados finales del impacto sobre criterios de informacin se mostrarn en la
siguiente tabla los resultados de los procesos definidos por COBIT sobre los criterios de
informacin:
Tabla N16 Resumen de procesos y criterios de informacin por impacto
MADUREZ
NIVEL DE
Confidencialidad
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
Eficiencia
PROCESOS
PLANEAR Y ORGANIZAR (PO)

Total real (impacto* nivel real) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0
Total ideal (impacto* nivel ideal) 3.15 3.15 4.3 4.3 4.3 3.15 3.15 5
ENTREGAR Y DAR SOPORTE (DS)
DS5 Adquirir y mantener software aplicativo 0.86 0.86 0.86 0.86 0.63 0.86 0.63
MONITOREAR Y EVALUAR (ME)
ME1 Monitorear y evaluar el desempeo de TI 0.86 0.63 0.86 0.00 0.86 0.86 0.86
ME2 Monitorear y evaluar el control interno 0.86 0.86 0.63 0.63 0.00 0.86 0.86
ME3 Garantizar el cumplimiento regulatorio 0.86 0.86 0.63 0.00 0.86 0.86 0.63
Despus de analizar los resultados que nos da la tabla de criterios de informacin por
impacto, se realiza una nueva tabla con los resultados totales, haciendo sumatoria de cada
uno de los totales reales en cada criterio evaluado por columna; de la misma manera se
suman los totales ideales, y por ltimo el porcentaje alcanzado se halla dividiendo el total
real entre el total ideal y al resultado multiplicarlo por 100.
Tabla N17 Resultados finales del impacto sobre los criterios de informacin
TOTAL REAL 4.3 3.84 3.84 2.12 3.21 4.3 3.84
TOTAL IDEAL 14.9 14.9 8.6 14.9 14.9 6.3 12.6
PORCENTAJE ALCANZADO 28.86 25.77 44.65 14.23 21.54 68.25 30.47 33.39
52
FASE III
Chimbote, 31 de octubre del 2016
Seor: Joseph Richardson Aranda Diestra
Director Ejecutivo De la Empresa Servicio Digitales SAC
Presente:
Nos dirigimos a Ud. con la finalidad de brindar a consideracin el trabajo de

Auditoria de Seguridad Informtica en el rea de operaciones, usando como herramientas
de apoyo la metodologa MAGERIT y marcos de referencia COBIT desde mayo del 2017
hasta junio del 2017, y en base al anlisis de los recursos aplicados y los datos recopilados,
se emite el presente informe.
Fecha de Inicio de la Auditoria: 12 de mayo del 2017
Fecha de Redaccin del informe de la Auditoria: 09 de junio del 2017
Equipo Auditor:
Bach. Gutirrez Olivos, Jonatn Josu
El actual informe tiene por finalidad describir los resultados de la evaluacin practicada
al rea de operaciones de la empresa Servicio Digitales SAC- Chimbote, con
determinacin suficiente para ser puesto a consideracin del equipo de evaluacin.
CONSIDERACIONES DEL EQUIPO
Luego de realizada la revisin del proyecto de Auditoria de Seguridad de Informacin en

el rea de operaciones en la empresa Servicio Digitales SAC, posteriormente en cuanto a
cada uno de los procesos que establece COBIT se hicieron observaciones con una
conclusin y su recomendacin respectiva en algunos de ellos, lo cual esta detallado a
continuacin:
53
PO9: Evaluar y Administrar los Riesgos de TI Grado de madurez: CERO
Conclusin Final: No se cuenta con un plan estratgico que ayude a evaluar y administrar los
riesgos de TI.
Recomendaciones finales:
El personal del rea de sistemas deber implementar un plan estratgico que permita
evaluar y administrar los riesgos de TI.
El personal de sistemas deber tomar decisiones informadas respecto a la exposicin
que estn dispuestos a aceptar.
DS5: Garantizar la Seguridad de los Sistemas Grado de madurez: UNO
Conclusin Final: La empresa Servicio Digitales SAC no cuenta con medidas implementadas
para garantizar la seguridad de los sistemas
Establecer programas de mantenimiento preventivo a los equipos.

Establecer procedimientos de actualizacin e implementacin de los sistemas el cual
deber ser documentado.
ME1: Monitorear y Evaluar el Desempeo de TI Grado de madurez: CERO
Conclusin Final: La empresa Servicio Digitales SAC no cuenta con un proceso implantado
de monitoreo, no cuenta con los reportes tiles oportunos u precisos que identifiquen el avance
del rea de operaciones hacia los objetivos propuestos.
Establecer un proceso para el monitoreo y evaluacin del desempeo de TI.

Generar reportes e indicadores de desempeo por parte de la gerencia.
Realizar evaluaciones de la satisfaccin del usuario.
ME2: Monitorear y Evaluar el Control Humano Grado de madurez: CERO
Conclusin Final: La empresa Servicio Digitales SAC carece de procedimientos para

monitorear la efectividad de los controles internos a travs de actividades administrativas y de
supervisin, comparaciones, reconciliaciones y otras acciones rutinarias.
Establecer un proceso para el monitoreo permanente de control interno.

Establecer programas de mejora continua permanente dentro de la organizacin.
Establecer responsabilidades para el control interno.
54
Grado de madurez: CERO
ME3: Garantizar el Cumplimiento con Requerimientos
Externos
Observaciones: La empresa Servicio Digitales SAC no ha establecido procesos referentes al

cumplimiento de los requisitos regulatorios, legales y contractuales que afecten a las TIC's.
Asegurar el cumplimiento de requerimientos legales, regulatorias y de compromisos

contractuales de los servicios de TI
Las revisiones del aseguramiento del desempeo debern ser realizadas por personal
calificado
Obtener certificacin o acreditaciones independientes de seguridad y control interno
antes de implementar nuevos servicios tecnolgicos de la informacin
Desarrollar mejores prcticas que aseguren el cumplimiento de los requisitos externos
ALCANCE DE LA AUDITORIA
El proyecto de auditora nos permiti poder evaluar el estado actual del rea de
operaciones de la empresa Servicio Digitales SAC-Nuevo Chimbote, con el cual
podremos emitir conclusiones y recomendaciones para cada uno de los procesos
contemplados en COBIT.
55
ANALISIS Y DISCUSION
Despus de haber trabajado los resultados detalladamente haciendo uso de los

instrumentos que apoyaron para la recoleccin de la informacin, se puede afirmar que
un 85% de la poblacin que fue evaluada confirma que estn al tanto de los procesos que
se desarrollan, as como de documentos y equipos de trabajo que se encuentran dentro del
rea de operaciones y que sern elementos importantes para el desarrollo de la auditora
informtica; mientras que un 15% desconoce de estos elementos, cosa que resulta
alarmante para esta rea ya que impide realizar una evaluacin adecuada de los procesos
ms importantes que se desarrollan en ella, esto nos indica que la aplicacin de la
metodologa Magerit ser de gran relevancia para obtener una mejora en la calidad de
informacin; es por esto que se coincide con Cadme Ruiz y Duque Pozo (2011), que
plantea el diseo de controles utilizando como base COBIT lo cual esto nos ayud en el
desarrollo de esta auditora y as dar creacin de una gua orientadora en el desarrollo de
las normas de control de los sistemas informticos en el rea de operaciones lo que se
concuerda con los resultados de los mismos.
As mismo resulta interesante la investigacin de Daz Marcelo y Ugarte Espinoza (2013)

al tener como marco de referencia para la realizacin de una auditoria, el COBIT 4.1 el
cual fue aplicada en la Municipalidad Provincial de Huaura donde tambin pudo lograr
una medicin de la eficacia respecto a la seguridad fsica, lgica y los procesos
informticos por lo que nos es de mucha ayuda en nuestro desarrollo auditor y
compartiendo el mismo fin de tratar hallar la medida de eficacias y as poder plantear
mejoras para las falencias halladas.
Otro ejemplo interesante en el cual se hace uso del marco de referencia COBIT es el de
Cceres Garca (2014), en el cual propone hacer uso de este marco para realizar una
evaluacin de la gestin de la informacin en la oficina de servicios informticos en la
universidad nacional Faustino Snchez Carrin lo que este fue de mucha ayuda para el
desarrollo de nuestra investigacin y llegando a la conclusin de poder lograr medir el
grado de madures en que se encuentra nuestra empresa.
Y tratando de ver el control interno en los sistemas de informacin el mejor aporte que se
puede apreciar es el de Sigenza Daz (1990), en donde nos establece controles que se
deben tomar en cuenta para garantizar la eficiencia y eficacia en el funcionamiento de los
sistemas de informacin.
56
CONCLUSIONES Y RECOMENDACIONES
CONCLUSION
I. Hacer recopilacin de informacin sobre las polticas de seguridad, lo cual se puede

determinar que no tiene una gua adecuada lo cual no da a garantizar un nivel
adecuado de seguridad informtica y de comunicaciones, as teniendo en cuenta las
debilidades halladas, la empresa debe anal izar la situacin planteada para poder as
determinar si corresponde el inicio de acciones pertinentes en cada caso por lo cual
llevar a cabo las recomendaciones dadas y as permitir mejoras considerables en los
procesos de TI.
II. La investigacin nos permiti determinar el estado en el cual se est dando en el rea
de operaciones de la empresa Servicios Digitales SAC, por lo cual se puede concluir
en el informe que en la mayora no hay polticas bien establecidas lo cual nos garantiza
la seguridad informtica, por lo que se debe tomar medidas correctivas de inmediato
en los puntos indicados en el informe.
III. Luego de aplicar tcnicas e instrumentos de investigacin, se pudo lograr identificar
vulnerabilidades que causaban algunos impactos en los procesos de TI lo que esto
deber ser solucionado por el rea de operaciones ya que repercuten sobre la
efectividad, eficiencia, confidencialidad, integridad y disponibilidad de la
informacin.
57
RECOMENDACIONES
I. Se recomienda que documenten todo lo que tenga que ver con Polticas de
seguridad, Manual de seguridad de sistemas, Manual de contingencia, Manual de
usuario y manual de procedimientos entre otros.
II. Establecer un proceso de monitoreo permanente del control interno y tambin se
deber implementar un plan de sistemas a corto plazo el cual permitir el
monitoreo del rea de operaciones y otras reas asignadas y el cual debe de
contener un cronograma de las actividades, asignacin de prioridades y
totalidades de las tareas a desarrollar durante el periodo que se establezca.
III. Establecer un proceso para el monitoreo y evaluacin de TI, lo cual se recomienda
generar reportes indicadores el cual va permitir medir el desempeo por parte de
la gerencia.
IV. Se recomienda que los usuarios puedan solicitar asesoramiento o apoyo y que esto
se pueda dar por una va de correo y as pueda generarse un cdigo de atencin
para el usuario ya que esto permitir poder dar seguimiento a su problema y
despus de solucionar medir su conformidad del usuario al ser resuelto su
problema.
V. Se sugiere una elaboracin de un plan de sistemas a corto plazo el cual ayude a
un monitoreo continuo de los roles de cada profesional del rea de operaciones
en donde deber contener un diagrama de las actividades a realizar.
58
REFERENCIA BIBLIOGRAFICA
Bibliografa
Electrnica, C. S. (2011). AVANTE Seguridad Sistemas. Obtenido de
http://www.avante.es/producto/magerit-metodologia-de-analisis-y-gestion-de-
riesgos-de-los-sistemas-de-informacion/
Electrnica, C. S. (2013). Magerit 3.0. Catalua.
Fabian, D. (2011). Desarrollo e Implementacion de Politicas y Normas y Procedimientos .

Obtenido de Imvestigacion : https://es.slideshare.net/fabiandescalzo/fabian-descalzo-
lkd2014-01
Garcia, C. (2014). Proyecto de Implementacion de una Auditoria Informatica para la Oficina de

Servicios Informaticos de la UNJFSC. Obtenido de Tesis Titulo: http://www.fiisi-
unjfsc.edu.pe/docs/documentos_normativos/dec99cfb07a1117abcc82152a7d7237a12
53e689.pdf
Gutierrez, Y. A. (2013). Auditoria Informatica. Obtenido de Tesis Titulo:

https://es.slideshare.net/ciberxxi/proyecto-de-auditora-informtica-en-la-empresa-
data-center-eirl-aplicando-la-metodologa-cobit-41
Laura, G. O. (2012). LIBRO COBIT 4.01. Obtenido de

http://cobitcuatrouno.blogspot.pe/2012/06/
Puga, R. A. (2000). Definicion de Auditoria . Obtenido de Investigacion:

http://auditoriainformaticalisseth.blogspot.pe/2013_02_01_archive.html
Razo, C. M. (2002). Auditoria en sistemas computacionales . Madrid.
59
APENDICES Y ANEXOS
CUESTIONARIO PARA USUARIOS Del AREA DE OPERACIONES
UNIVERSIDAD PRIVADA SAN PEDRO
FILIAL CHIMBOTE SEDE CHIMBOTE
FACULTAD DE INGENIERIA
INGENIERIA INFORMATICA Y DE SISTEMA
SEGURIDAD INFORMATICA
INTRODUCCION:
El presente cuestionario est elaborado con la finalidad de recopilar informacin sobre

las polticas de seguridad en el rea de operaciones con las que actualmente cuenta la
EMPRESA SERVICIO DIGITALES SAC. La informacin obtenida es estrictamente
confidencial y annima por lo que se solicita el apoyo y sinceridad en sus respuestas.
Instrucciones:
Lea y conteste detalladamente las preguntas y posibles respuestas. Marqu con una (x),
la respuesta que cree que es conveniente.
El rea de Operaciones cuenta con el espacio suficiente para los equipos?

SI ( ) NO ( )
El material con que est construido el rea de operaciones es confiable?
SI ( ) NO ( )
La temperatura a la que trabajan los equipos es adecuada de acuerdo a las
normas alas que se rigen?
60
SI ( ) NO ( )
La ubicacin de los aires acondicionados es adecuada?
SI ( ) NO ( )
Se cuenta con alarma contra incendios?
SI ( ) NO ( )
Estn Sealizadas las rutas de evacuacin en caso de incendios?
SI ( ) NO ( )
Es adecuada la iluminacin en el rea de operaciones?
SI ( ) NO ( )
El cableado se encuentra correctamente instalado y debidamente aislado?
SI ( ) NO ( )
Los equipos cuentan con un estabilizador de energa?
SI ( ) NO ( )
cuentan con un switch de apagado de emergencia en un lugar visible?
SI ( ) NO ( )
Se cuenta con pozo tierra?
SI ( ) NO ( )
El software esta licenciado al 100%?
SI ( ) NO ( )
Cuenta con un plan de mantenimiento preventivo anual?
SI ( ) NO ( )
Cuentan con copia de seguridad en un lugar distinto al de la
computadora?
SI ( ) NO ( )
Se realizan inventarios de los equipos del rea de operaciones?
SI ( ) NO ( )
Cuentan con un manual para cada programa que se maneja?
SI ( ) NO ( )
El encargado del centro de cmputo te brinda soporte cuando la
requieres?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
61
Muy en desacuerdo ( )
Cul es la efectividad de los tcnicos para resolver los problemas de
mantenimiento?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Se respetan el control del acceso al centro de cmputo?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Consideras que el servicio de internet debe estar disponible a cualquier
hora y para cualquier usuario?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
Consideras adecuadas las restricciones a ciertas pginas en internet?
Muy de acuerdo ( )
De acuerdo ( )
Indeciso ( )
En desacuerdo ( )
62
ANEXO MATRIZ DE CONSISTENCIA
METODOLOGIA
PROBLEMA OBJETIVOS HIPOTESIS VARIABLE DIMENSIONES INDICADORES
Cmo Objetivo General Variables de 1. Tipos de Fsica 1. Tipo de

desarrollar Desarrollar una La hiptesis trabajo. auditora Lgica investigacin
una auditora auditora de de la informtica. De acuerdo a la
Auditora orientacin de la
de seguridad Seguridad de la investigacin
2. Operaciones de Privilegios investigacin es de tipo
de la Informacin al Seguridad
tiene un auditoras Controles aplicada.
informacin rea de Informtica
alcance de informticas. Informacin De acuerdo a la tcnica
al rea de operaciones de la Datos de contratacin es de
operaciones empresa carcter
3. Procesos Incidencias tipo descriptiva.
de la Servicios descriptivo, dentro del rea de Polticas
empresa Digitales SAC. su fin es el operaciones. 2. Diseo de
Servicios investigacin
desarrollo de
Digitales Objetivos Documentacin No experimental
Especifico un plan de Ubicacin Descriptivo
SAC?
- Recopilar auditora en Consecuencias
informacin de el rea de 3. Poblacin y Muestra
los controles y La poblacin que se
operaciones involucra para esta
mecanismos de
a la empresa investigacin son los
seguridad
Servicios miembros que laboran
implementados en el rea de
en el rea de Digitales
Operaciones, que son el
operaciones. SAC; con personal principal. P=5.
- Elaborar la esto se Por ser una poblacin
auditoria pequea se tomar la
plantea
utilizando la cantidad del personal
lograr un que trabaja en el rea de
metodologa
mejor Operaciones.
MAGERIT para
M=5
la auditora control en la
integral de seguridad de 4. Tcnicas de
gestin de TI, informacin, Recoleccin de Datos
basado en el Encuesta
y un mejor
marco de trabajo Observacin
uso de las TI.
COBIT.
- Elaborar el
informe de
auditora de la
seguridad
informtica.
63

Informe Final Gutierrez Olivos - PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Final Gutierrez Olivos - PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD SAN PEDRO

ESCUELA DE INGENIERA INFORMTICA Y DE SISTEMAS

AUDITORIA DE SEGURIDAD DE INFORMACIN EN

TESIS PARA OBTENER EL TTULO PROFESIONAL DE INGENIERO EN INFORMTICA Y DE SISTEMAS

Gutirrez Olivos. Jonatn Josu

Paredes Jacinto Marlene

04020003 Investigacin para la mejora de la creatividad

AUDITORIA DE SEGURIDAD DE LA INFORMACIN

La investigacin tuvo como objetivo el desarrollar un plan de auditoria de seguridad de

El siguiente estudio de investigacin es de tipo descriptivo de diseo no experimental de

Se logr desarrollar el anlisis de gestin de riesgos reforzando la seguridad de los activos

The following research study is descriptive of non-experimental cross-sectional design;

Se revis la investigacin de Cadme Ruiz y Duque Pozo (2011), en Cuenca Ecuador,

Tambin se revis la investigacin de Sigenza Daz (1990), Zulia - Venezuela, en su

Se pudo observar tambin la investigacin de Daz Marcelo y Ugarte Espinoza (2013)

El resultado de su tesis hizo que se logre una obtencin de reduccin en el ambiente de

Socialmente el presente trabajo de investigacin se justifica debido a los riesgos a los

Las organizaciones pblicas y privadas da a da generan conocimientos, datos,

Para desarrollar la investigacin es necesario conocer lo siguiente:

Segn Jos A. Echenique (2003), explica que la auditora en informtica es la

Efectuada por profesionales que no dependen del negocio ni econmicamente ni

El trabajo es desarrollado por personas que dependen de la empresa, quienes revisan

A medida que a las personas mantenemos nuestras vidas hacia la tecnologa.

Es una metodologa de anlisis y gestin de riesgos en el cual analiza el impacto que

Segn CSAE (2012), que ha elaborado y promueve Magerit como respuesta la

Fuente: Metodologa Magerit Versin 3.0

En donde el riesgo indica lo que le podra pasar a los activos si no se protegieran

El Entorno o soporte del Sistema de Informacin, que comprende activos

Valoracin de los Activos

Estimacin de las Vulnerabilidades

Figura N02 Impactos

El Responsable del Dominio protegible para realizar la estimacin crucial de los

COBIT Como Marco de Referencia

Figura N03 Cubo de COBIT

Figura N04 reas de Enfoque del Gobierno de TI

La organizacin de TI se desempea con respecto a estas metas como un conjunto de

Las aplicaciones incluyen tanto sistemas de usuario automatizados como

La infraestructura es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas

Planear y Organizar (PO)

Entregar y dar soporte (DS)

Monitorear y Evaluar (ME)

El modelo de madurez para la administracin y el control de los procesos de TI se basa

En este nivel es de una carencia completa de cualquier proceso

Existe evidencia que la empresa ha reconocido que los problemas

1 Existen y requieren ser resueltos. Sin embargo; no existen procesos

Se ha desarrollado los procesos hasta el punto en que se siguen

2 Procedimientos similares en diferentes reas que realizan la misma tarea.

Los procedimientos se han estandarizado y documentado, y se

3 Han difundido a travs de entrenamiento. Sin embargo, se deja que el

Es posible monitorear y medir el cumplimiento de los

4 Procedimientos y tomar medidas cuando los procesos no estn trabajando

Los procesos se han refinado hasta un nivel de mejor prctica, se

5 Basan en los resultados de mejoras continuas y en un modelo de madurez

Fuente: Marco de trabajo COBIT

El objetivo general del estudio es: Desarrollar una Auditoria de seguridad de la

De acuerdo a la orientacin de la investigacin la presente tesis es de tipo descriptivo;

De acuerdo a la tcnica de contratacin de la presente tesis es de carcter Descriptivo;

Las tcnicas e instrumentos de investigacin empleados para estas tesis son:

Tabla N02 Tcnicas Instrumentos de Investigacin

Tcnicas Instrumentos Uso

Fuente: COBIT 4.1

Como metodologa para el desarrollo de la auditoria se est utilizando MAGERIT ya

Para el informe de investigacin se han aplicado cuestionarios, las cuales se han