Pontificia Universidad Católica del Ecuador Sede Ibarra

AUDITORÍA A LA SEGURIDAD DE LA INFORMACIÓN DEL

DEPARTAMENTO DE TI DE LA PONTIFICIA UNIVERSIDAD CATÓLICA
DEL ECUADOR - SEDE IBARRA

1. PROPUESTA DE GUIA DE AUDITORIA

1.1 Descripción de la propuesta para la elaboración de la guía de auditoria
El presente trabajo de investigación se lo desarrollo tomando en consideración las tres etapas para la
auditoria de sistemas computacionales planteadas por Muñoz (2002):
 1ª etapa: Planeación de la auditoría de sistemas computacionales.
 2ª etapa: Ejecución de la auditoría de sistemas computacionales.
 3ª etapa: Dictamen de la auditoría de sistemas computacionales.

Hay que tomar en cuenta que la secuencia en el proceso de actividades es flexible y se lo adecuo a la
naturaleza de la Organización Panamericana de la Salud y las necesidades presentadas para desarrollar
el tema de estudio.

1
 Pontificia Universidad Católica del Ecuador Sede Ibarra

PLANEACIÓN:
En la primera etapa de planeación los puntos a tomar en consideración para el correcto desarrollo del
trabajo de estudio son los siguientes:
 Descripción general de la organización – PUCESI (T-ESPE-049526)
o Misión, visión y valores de la organización PUCE-PEDI-2016-2020.
o Organigrama estructural PUCE-PEDI-2016-2020.
o Lineamientos, Objetivos estratégicos y programas PUCE-PEDI-2016-2020.
 Situación actual de la Unidad de TIC – PUCESI
o Roles y funciones del departamento de TI
 Servicios que brinda Unidad de TIC – PUCESI (T-ESPE-049565)
 Descripción breve de incidentes que se reportan en mesa de ayuda (T-ESPE-049565)
 Identificar el origen de la auditoría (*)
 Realizar una visita preliminar al área que será evaluada (*)
 Establecer los objetivos (General y específicos) de la auditoría (*)
 Definir el alcance de la Auditoría (T-ESPE-049565)
 Herramientas a utilizar (T-ESPE-049565)
 Determinar los puntos que serán evaluados en la auditoría (*)
 Elaborar planes, programas y presupuestos para realizar la auditoría (*)
 Equipo auditor (T-ESPE-049526)
 Aplicación de metodología COBIT 5 para el cumplimiento de funciones y nivel de capacidad
de los procesos del área de seguridad de la información (*)
 Asignar los recursos y sistemas computacionales para la auditoría (*).

EJECUCIÓN:
En la segunda etapa destinada a la ejecución de la auditoria, los puntos a tomar en consideración son
los siguientes:
 Realizar las acciones programadas para la auditoría basadas en COBIT 5 (*)
 Aplicar los instrumentos y herramientas para la auditoría (*) (Encientas - T-ESPE-049565 - 136)

 Identificar y elaborar los documentos de desviaciones encontradas (*)

 Integrar el legajo de papeles de trabajo de la auditoría (*)

2
 Pontificia Universidad Católica del Ecuador Sede Ibarra

DICTAMEN: (* AI_ help desk cobit, T-ESPE-049526, T-ESPE-049565, T-ESPE-053368)

En lo referente a la última etapa correspondiente al dictamen de la auditoria, los puntos a seguir son
los que se detalla a continuación:
 Analizar y tabular la información (*)
 Elaborar conclusiones y recomendaciones (*)

BIBLIOGRAFÍA

En la siguiente figura se resume los pasos que se aplicarán para el desarrollo de la auditoria.

PUNTOS A SER EVALUADOS

Los puntos a ser evaluados serán los que tienen relación con el área de seguridad de la información,
descritos dentro de lo que establece COBIT 5 en el grupo de procedimientos enfocados a “entregar,
dar servicio y soporte” y “Alinear, Planificar y Organizar”.
:

3
Pontificia Universidad Católica del Ecuador Sede Ibarra

4
 Pontificia Universidad Católica del Ecuador Sede Ibarra

DESCRIPCIÓN DEL PROCEDIMIENTO DE EVALUACION

Adaptando los conceptos indicados en los enunciados a nuestro objeto de estudio se ha partido de los
criterios de información establecidos en COBIT 5, hasta llegar a un mapeo integral de los procesos y
gestiones que intervienen en el área de seguridad de la información tomando como base el marco de
referencia y buenas prácticas COBIT 5.
Generalmente los procesos que se implementan en el área de seguridad de la información son: la
gestión de incidentes mediante la utilización de tickets para un mejor control y seguimiento de los
mismos, cuando un incidente es repetitivo se convierte en un problema, existen además varios procesos
que maneja el área de seguridad de la información tales como gestión de niveles de servicio, gestión
de cambios, gestión de catálogos de servicio, entre otros.
Analizando las características de los procesos que COBIT 5 hace referencia, enunciados dentro de este
trabajo de investigación en el numeral, podemos decir que los direccionados al área de seguridad de la
información son los procesos DSS05 Gestionar los Servicios de Seguridad, APO13 Gestionar la
Seguridad, los mismos que se encuentran dentro del grupo de “Entregar, dar servicio y soporte” y
“Alinear, Planificar y Organizar”.

5
Pontificia Universidad Católica del Ecuador Sede Ibarra

6
Pontificia Universidad Católica del Ecuador Sede Ibarra

7
Pontificia Universidad Católica del Ecuador Sede Ibarra

8
Pontificia Universidad Católica del Ecuador Sede Ibarra

9
Pontificia Universidad Católica del Ecuador Sede Ibarra

10
Pontificia Universidad Católica del Ecuador Sede Ibarra

11
Pontificia Universidad Católica del Ecuador Sede Ibarra

12
Pontificia Universidad Católica del Ecuador Sede Ibarra

13
Pontificia Universidad Católica del Ecuador Sede Ibarra

14
Pontificia Universidad Católica del Ecuador Sede Ibarra

15