Está en la página 1de 32

FACULTAD DE INGENIERÍA

CARRERA PROFESIONAL DE INGENIERÍA DE


SISTEMAS

SEGURIDAD Y AUDITORIA INFORMATICA

“AUDITORIA DE DIRECCION: EMPRESA CLARO”

AUTORES

AUQUI RAMIREZ, ALEX

BERNEDO GARCIA, ENZO

LAURENTE CCARHUACHIN, MIGUEL

PAITAMALA VEGA, MAURICE

DOCENTE

ING. RENATO AVALOS MENDOZA

LIMA, PERÚ, JULIO DE 2019


INDICE

CAPITULO I: DATOS GENERALES .................................................................. 6

1.1 Direccionamiento Estratégico Actual.................................................. 7

1.2 Organigrama de DTI ............................................................................ 12

1.3 Lugar Geográfico de la Empresa ....................................................... 12

1.4 Realidad Problemática........................................................................ 13

CAPITULO II: MARCO NORMATIVO APLICABLE ......................................... 15

2.1 Normativa Internacional ........................................................................ 16

2.2 Normativa Nacional ............................................................................... 21

CAPITULO III: ANÁLISIS DE RIESGO ............................................................ 26

3.1 Valoración del Riesgo ........................................................................... 27

3.1.1 Identificación del Riesgo ................................................................ 27

3.1.2 Análisis de Riesgo .......................................................................... 27

3.1.3 Determinación del Nivel de Riesgo ............................................... 27

3.2 Manejo del Riesgo ................................................................................. 27

3.2.1 Elaboración del Mapa de Riesgo ................................................... 27

CAPITULO IV: PLAN DE AUDITORIA ............................................................. 28

4.1 Objetivo General .................................................................................... 29

4.2 Objetivos Específicos ........................................................................... 29

4.3 Alineamiento de la Auditoria a la Estrategia del Negocio .................. 29

4.4 Alcance ................................................................................................... 30

4.5 Aclaraciones .......................................................................................... 30

4.6 Limitaciones ........................................................................................... 31

4.7 Perfil del Equipo de Auditoria .............................................................. 31

4.8 Asignación de Roles ............................................................................. 31


4.9 Lista de Personas a Entrevistar ........................................................... 31

4.10 Plan de Proyectos ............................................................................... 31

4.11 Plan de Entregables ............................................................................ 31

4.12 Pruebas de Cumplimiento .................................................................. 31

4.13 Pruebas Sustantivas ........................................................................... 31

4.14 Técnicas y Herramientas .................................................................... 31

4.15 Procedimientos de Control de Cambios ............................................ 31

4.15.1 Guía de Formatos de Control de Cambios ................................. 31

4.15.2 Formatos de Control de Cambios................................................ 31

ANEXOS ........................................................................................................... 32
INDICE DE TABLAS

Tabla 1 Cadena de Valor, Fuente: Elaboración Propia ....................................... 9


Tabla 2 Principios y Habilitadores, Fuente: Cobit5............................................ 16
INDICE DE ILUSTRACIONES

Ilustración 1 Red Dorsal Claro, Fuente: América Móvil ..................................... 11


Ilustración 2 Organigrama DTI, Fuente: Elaboración Propia ............................. 12
Ilustración 3 Ubicación Claro Peru, Fuente: Google Maps. ............................... 12
Ilustración 4 Metas Relación a Cobit5, Fuente: Ingeniería y servicios IT .......... 18
Ilustración 5 ISO 22301, Fuente: Inteli .............................................................. 21
CAPITULO I: DATOS GENERALES
EMPRESA: CLARO

Razón Social: América Móvil Perú S.A.C.

RUC: 20467534026.

Dirección: Av. Nicolás Arriola 480 – La Victoria, Lima.

Apertura en Perú: 10 de agosto de 2005.

Director General: Humberto Chávez López.

La empresa América Móvil, es la empresa líder en servicios integrados de


telecomunicaciones en Latinoamérica el cual es el rubro de la empresa. Opera
bajo la marca Claro en 16 países del continente: Argentina, Brasil, Chile,
Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, Honduras, Nicaragua,
Panamá, Paraguay, Perú, Puerto Rico, República Dominicana y Uruguay..
Asimismo, como parte del Grupo América Móvil, se encuentran las marcas
Tracfone en Estados Unidos, Telcel en México y A1 en Austria y Europa del Este.

1.1 Direccionamiento Estratégico Actual

¿Qué es América Móvil?: Es la empresa que se dedica a las telecomunicaciones


en la cual la compañía viene ofreciendo una amplia gama de servicios y
productos que varían de un mercado a otros, incluyendo servicios de voz móvil,
servicios de datos móviles, servicios de valor agregado, servicios de voz fija,
servicio de datos fijos, servicios de acceso a Internet en banda ancha, servicios
de IT, servicios de televisión de paga, servicios de venta en contenido y otros
servicios relacionados, siendo las TELECOMUNICACIONES el rubro de la
compañía.

Descripción del sector de Telecomunicaciones: El Ministerio de Transportes y


Comunicaciones (MTC) dicta las políticas de Estado y tiene una función
integradora para lograr un racional ordenamiento a través de la regulación,
promoción, ejecución y supervisión de las telecomunicaciones/TIC, en el Peru,
las empresas en este rubro son, Claro, Movistar, Entel, Bytel, Tuenti, etc.

Estas empresas brindan distintas promociones a fin de obtener mayores usuarios


consumiendo sus servicios.

El entorno de operación en Claro Peru, en cuanto a economía acaba de disminuir


una deuda impuesta por OSIPTEL, a través de la Resolución Nº 03-2019-
CD/OSIPTEL, el ente regulador modificó el monto de la multa por un caso de
venta de líneas sin haber realizado la verificación biométrica de huella dactilar,
pasando de S/571.200 (136 UIT) a S/507.360 (120,8 UIT).

Dentro del análisis interno de Claro se presentan ciertos factores serán de vital
importancia para mejorar la toma de decisiones.

El propósito de la compañía consiste en ofrecer el mejor servicio de atención a


clientes. Para ello, América Móvil cuenta con empleados capacitados, y se
empeñan en mejorar constantemente la experiencia de sus clientes tanto a través
de sus servicios y productos como de sus redes de ventas y distribución.
RECURSOS Toma de decisiones Toma de decisiones Toma de Toma de decisiones Mala coordinación Mala coordinación interna
de apoyo de apoyo decisiones de de apoyo interna, toma evita la toma de correctas
GERENCIALES
apoyo incorrectas de decisiones
decisiones

TECNOLOGÍAS Tecnología de punta Entrega y Tecnología de Entrega y Entrega de Entrega de tecnología


con un mantenimiento de punta con un mantenimiento de tecnología de de punta, pero inadecuada
mejoramiento tecnología de punta mejoramiento tecnología de punta punta gestión de mantenimiento
continuo continuo
INFRAESTRUC Bienes tangibles e Bienes tangibles e Constante Bienes tangibles e Limitación en Bienes tangibles e
intangibles intangibles inversión en intangibles cuanto a las intangibles adecuados
TURA
adecuados adecuados infraestructura y adecuados instalaciones
tecnología de
punta
RECURSOS Seguimiento y Personal Calificado Personal Personal Calificado Personal Falta de seguimiento
financiamiento y constante Calificado y y constante Calificado y adecuado.
HUMANOS
adecuado y capacitación constante capacitación constante
personal capacitado capacitación capacitación
ABASTECIMIE Entrega oportuna Política de Entrega oportuna Entrega oportuna en Entrega oportuna Demora en las acciones
adquisición eficiente la mayoría de los en la mayoría de
NTOS
casos los casos

Desarrollo e Planeamiento Procedimientos Llegada rápida a los Buenas relaciones Respuesta a destiempo
innovación de adecuados canales de con los clientes
productos y distribución
procesos

I+D Logística de Operaciones Logística de Comercializa Servicio post


entrada producción salida ción y ventas ventas
fabricación
Tabla 1 Cadena de Valor, Fuente: Elaboración Propia
Visión. Ser la empresa líder en telecomunicaciones en el Perú.

Misión. Proveer servicios de telecomunicaciones con la más alta calidad, más


amplia cobertura y constante innovación para anticiparnos a las necesidades de
comunicación de nuestros clientes; generar el mayor bienestar y desarrollo
personal y profesional de nuestros trabajadores, proporcionar bienestar y
desarrollo a la comunidad y exceder los objetivos financieros y de crecimiento de
nuestros accionistas.

Claro es el primer operador de telecomunicaciones en Perú en realizar pruebas


de 5G con velocidades superiores a 3 Gbps de descarga.

En las pruebas en vivo también se mostró una trasmisión de video en 8K, sistema
que multiplica por cuatro la resolución de su antecesor 4K.

¿A que apunta Claro? : La empresa realizó pruebas de tecnología 5G bajo el


estándar NSA (Non Stand Alone), con la aplicación FWA (Fixed Wireless
Access), alcanzando velocidades superiores a 3 Gbps de velocidad de descarga,
cifra superior a la registrada en otros ensayos realizados en vivo. Las pruebas se
llevaron a cabo en conjunto con Huawei, proveedor líder global de soluciones de
Tecnologías de la Información y Comunicación.

Vale decir que el plan estratégico al cual se afianza la compañía viene siendo
incursionar a fondo en la tecnología 5G, para esto debe realizar inversiones que
serán extraídas del fondo de sus actuales servicios.

Los resultados de las pruebas colocan a Claro como el operador con las
mediciones de velocidad más altas registradas en Perú hasta el momento. Cabe
resaltar que la banda utilizada (3.6 GHz) es una asignación temporal otorgada
por el Ministerio de Transportes y Comunicaciones.

La compañía anunció que espera que hacia 2020 logre crecimiento constante en
los ingresos como resultado de cuatro factores, principalmente la estabilidad en
ventas por servicio de voz (telefonía), avances en los datos móviles (internet)
prepago y postpago, fuerte crecimiento en datos fijos y también en televisión de
paga, el cual vendría a ser su plan estratégico para mantenerse líderes en el
rubro de las telecomunicaciones hasta este periodo mencionado.

Ilustración 1 Red Dorsal Claro, Fuente: América Móvil


1.2 Organigrama de DTI

Ilustración 2 Organigrama DTI, Fuente: Elaboración Propia

1.3 Lugar Geográfico de la Empresa


Dirección de CLARO en el Perú: Dirección: Av. Nicolás Arriola 480, Urb. Santa
Catalina – La Victoria, Lima.

Ilustración 3 Ubicación Claro Peru, Fuente: Google Maps.


1.4 Realidad Problemática

A través de los años, se puede observar que muchas empresas no han logrado
cumplir con sus metas trazadas debido a una mala gestión de dirección, es por
eso que realizar una auditoría de dirección es y siempre será considerada como
una herramienta útil en la administración de una empresa, porque es el medio
por el cual se puede llegar a analizar desde lo más profundo de la empresa, para
entender en qué nivel de crecimiento se encuentra, como logro llegar hasta ahí,
desde donde partió y hacia dónde quiere llegar.

Encontramos diversas definiciones en cuanto a la auditoria de dirección, para


Franklin E. (2007) lo define como “una revisión analítica total o parcial de una
organización con el propósito de precisar su nivel de desempeño y perfilar
oportunidades de mejora para innovar, valorar y lograr una ventaja competitiva
sustentable” Entonces realizar una auditoría de dirección es de gran importancia
para las empresas ya que esta permite ver las fallas u errores cometidos por el
personal respecto al cumplimiento de las metas y objetivos. Los especialistas
recomiendan realizar un auditoria administrativa anualmente para así determinar
en qué aspecto se tiene fallas, como mejorarlos y que se hace para lograrlas,
esto va a permitir a la organización estar en una ventaja competitiva. En la
actualidad es necesario que las microempresas y empresas para lograr sobrevivir
tengan que desarrollar sus actividades con bases y procesos administrativos que
permitan tener un control adecuado, así mismo poder obtener más utilidades, y
lograr el máximo nivel de satisfacción de los clientes para poder mantenerse en
el mercado. Para lograr esto se debe empezar desde conocer bien sus fortalezas,
oportunidades, debilidades y amenazas. Esto va a permitir a las empresas tener
un pleno conocimiento y así poder convertir sus amenazas en oportunidades,
establecer organigramas estructurales, organigramas de procesos, para poder
innovar y mejorar en las diferentes áreas.

En esta época donde la tecnología esta que avanza y actualiza día a día, existe
una gran necesidad por llevar a la mano la información que sucede diariamente,
y en el mercado de las telecomunicaciones existe alta competencia entre las
organizaciones por ofrecer servicios no solo que satisfagan las necesidades del
cliente, sino que también brinden estos a un precio accesible para el mercado.

La apertura del mercado y el aumento de la competencia han obligado a las


empresas a enfocarse en el cliente y elevar la calidad de servicios y productos.
Actualmente las organizaciones están basadas en la toma de decisiones la cual
es fundamental para el adecuado desempeño y desenvolvimiento de las
empresas en el campo, ya que es clave para el futuro éxito o fracaso de la
empresa así mismo para lograr el cumplimiento de las metas es necesario un
exhaustivo Control ya que este nos servirá para fiscalizar desde el desarrollo de
actividades hasta el uso idóneo de los recursos disponibles por la empresa.

En este contexto Claro no cuenta con un área dentro de la empresa dedicada a


realizar una auditoria por lo que no se puede conocer con exactitud los problemas
de gestión presentados en la empresa los que son apreciados superficialmente
por lo que se quiere recabar información para poder incidir en los puntos más
predeterminantes donde se focaliza el problema. Sin embargo se presentan
ciertos problemas relacionados con la dirección de la empresa Claro.

Se realiza la auditoria porque se desea realizar la evaluación hacia la gestión


administrativa en la que incluye la comprobación de que las operaciones
financieras, administrativas y económicas se realizaron conforme a las normas
legales, estatutarias y de procedimientos aplicables. Las áreas en las que se
encontraron falencias de dirección son:

 Administrador de Base de Datos


 Coordinador de Proyector y Software TI

Se revisara documentación existente para conocer detalladamente la descripción


sus funciones de cada director de área. Es allí donde se va a conocer en
profundidad las causas y consecuencias de la problemática existente que tiene
la gestión administrativa de la empresa De esta manera se verifica la situación
en la que afectan estas funciones a la empresa.
CAPITULO II: MARCO NORMATIVO APLICABLE
2.1 Normativa Internacional

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de
TI manteniendo un balance entre la realización de beneficios, la utilización de
recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea
gobernada y gestionada en forma holística para toda la organización, tomando
en consideración el negocio y áreas funcionales de punta a punta así como los
interesados internos y externos. Esta se puede aplicar a organizaciones de todos
los tamaños, tanto en el sector privado, público o entidades sin fines de lucro.

COBIT 5
PRINCIPIOS HABILITADORES
Satisfacer las necesidades del Principios, políticas y modelos de
accionista referencia
Considerar la empresa de punta Procesos
a punta
Aplicar un único modelo de Estructuras organizacionales
referencia integrado
Posibilitar un enfoque holístico Cultura, ética y comportamiento
Separar gobierno de la gestión. Información
Servicios, infraestructura y
aplicaciones
Gente, habilidades y
competencias.
Tabla 2 Principios y Habilitadores, Fuente: Cobit5

Hay que considerar el énfasis que COBIT hace en la creación de valor para el
accionista por estar guiado por los objetivos del negocio, la alineación con
estándares internacionales reconocidos y su simplicidad. Las áreas de gobierno
y gestión emanan de tan sólo 5 principios y 7 habilitadores.
Cascada de metas de empresa a metas relacionadas con las TI: El logro de
metas empresariales requiere un número de resultados relacionados con las TI,
que están representados por las metas relacionadas con la TI. Se entiende como
relacionados con las TI a la información y tecnologías relacionadas, y las metas
relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define
17 metas relacionadas con las TI.

Cascada de metas relacionadas con las ti hacia metas catalizadoras: Alcanzar


metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de
varios catalizadores. El concepto de catalizador se explica detalladamente en el
capítulo 5. Los catalizadores incluyen procesos, estructuras organizativas e
información, y para cada catalizador puede definirse un conjunto de metas
relevantes en apoyo de las metas relacionadas con la TI. Los procesos son uno
de los catalizadores y el apéndice C contiene una relación entre metas
relacionadas con las TI y los procesos relevantes de COBIT 5, los cuales
contienen metas de los procesos relacionados.

Beneficios de la Cascada de Metas de COBIT 5: La cascada de metas es


importante porque permite la definición de prioridades de implementación, mejora
y aseguramiento del gobierno de las TI de la empresa, que se basa en metas
corporativas (estratégicas) de la empresa y el riesgo relacionado. En la práctica,
la cascada de metas:

 Define objetivos y metas relevantes y tangibles a varios niveles de


responsabilidad
 Filtra la base de conocimiento de COBIT 5, sobre la base de las metas
corporativas, para extraer las guías relevantes a incluir en proyectos
específicos de implementación, mejora o aseguramiento.
 Identifica claramente y comunica cómo (algunas veces de forma muy
operativa) los catalizadores son importantes para alcanzar metas de
la empresa.
Ilustración 4 Metas Relación a Cobit5, Fuente: Ingeniería y servicios IT

ISO 30408 Gestión de recursos humanos – Gobernabilidad Humana.

Sirve para proporcionar bases y estructurar un sistema de gobierno humano


efectivo que es capaz de responder con mayor eficacia a las necesidades de
organización y funcionamiento, sino también fomentar una mayor
colaboración entre todos los interesados, prever y gestionar los riesgos de
recursos humanos y desarrollar una cultura de la empresa que está alineada con
sus valores, es aplicable a organizaciones de todos los tamaños y sectores, ya
sean públicas o privadas, con o sin fines de lucro, no aborda las relaciones con
los sindicatos u otros organismos representativos.
ISO 25000-Calidad de producto de Software

La calidad del producto, junto con la calidad del proceso, es uno de los aspectos
más importantes actualmente en el desarrollo de Software. Relacionada con la
calidad del producto, que proporciona una guía para el uso de la nueva serie de
estándares internacionales llamada Requisitos y Evaluación de Calidad de
Productos de Software. El objetivo principal de esta norma es guiar el desarrollo
de los productos de software mediante la especificación de requisitos y
evaluación de características de calidad. Esta tiene sus ventajas

Para la organización:

 Alinea los objetivos del software con las necesidades reales que se le
demandan.

 Evitando ineficiencias y maximizando la rentabilidad y calidad del producto


de software. Por otro lado, certificar el software aumenta la satisfacción del
cliente y mejora la imagen de la empresa.

 Cumplir los requisitos contractuales y demostrar a los clientes que la calidad


del software es primordial.

 El proceso de evaluaciones periódicas ayuda a supervisar continuamente el


rendimiento y la mejora.

Para los clientes:

 Al demostrar el compromiso de la organización con la calidad del software.

ISO 20000-Gestion de Servicios TI

Es la norma utilizada para la certificación. Proporciona una norma


internacionalmente reconocida de sistema de gestión de servicios de TI.

La ISO 20000 utiliza un enfoque exhaustivo de la gestión de servicios de TI y


define un conjunto de procesos necesarios para ofrecer un servicio efectivo.
Recoge desde procesos básicos relacionados con la gestión de la configuración
y la gestión del cambio hasta procesos que recogen la gestión de incidentes y
problemas. La norma adopta un enfoque de proceso para el establecimiento, la
implementación, operación, monitorización, revisión, mantenimiento, y mejora del
sistema de gestión de servicios de TI.

ISO 22301-Gestion de la continuidad del negocio

Esta certificación otorga a los SGCN (Sistema de gestión de continuidad del


negocio) prepara a las empresas para las situaciones más extremas, ya sean
interrupciones en la infraestructura de TI, incidentes con el personal o las
telecomunicaciones, terrorismo, condiciones atmosféricas desfavorables o
pandemias. Mediante la implementación de procesos claros que aseguran una
recuperación rápida, la norma contribuye a garantizar un nivel uniforme de
servicio a los clientes y otras partes interesadas.

La certificación es aplicable a todo tipo de organizaciones, además la revisión de


la norma ISO 22301 cada cinco años garantiza su relevancia con respecto a las
últimas amenazas y riesgos que se plantean.

BENEFICIOS

 Identificar y gestionar amenazas actuales y futuras para su organización.

 Adoptar un método proactivo para minimizar el impacto de los incidentes.

 Mantener al día y operando las funciones críticas durante los momentos de


crisis.

 Minimizar los tiempos muertos durante los incidentes y mejore el tiempo de


recuperación.

 Demostrar seguridad a los clientes, proveedores y para las solicitudes de


licitación.

Esta norma ayuda a las organizaciones a identificar y mitigar riesgos importantes,


de este modo, se reduce la amenaza de un incidente incluso antes de que ocurra.
La identificación de los riesgos potenciales se prepara para los imprevistos y le
permite responder rápidamente y con decisión para minimizar los periodos de
inactividad en caso de incidente.

Ilustración 5 ISO 22301, Fuente: Inteli

2.2 Normativa Nacional

NTP-ISO/IEC 22320:2017 Seguridad de la sociedad. Gestión de


emergencias. Requisitos para la respuesta ante incidentes.

Esta Norma Técnica Peruana especifica los requisitos mínimos para una
respuesta eficaz a los incidentes y proporciona los requisitos básicos para el
mando y el control, la información operacional, la coordinación y la cooperación
en el seno de una organización de respuesta a incidentes. Incluye también las
estructuras y los procesos organizacionales de mando y de control, el apoyo a
las decisiones, la trazabilidad, la gestión de la información, y la interoperabilidad.
Esta Norma Técnica Peruana establece requisitos para la información
operacional de respuesta a incidentes donde se especifican los procesos, los
sistemas de trabajo, la obtención y gestión de los datos, a fin de generar
oportunamente la información relevante y exacta. También apoya el proceso de
mando y control así como la coordinación y cooperación, internamente dentro de
la organización y externamente con otras partes implicadas, y especifica los
requisitos para la coordinación y cooperación entre las organizaciones.

Las principales acciones a implementar en el Sistema de Gestión de


Emergencias, para que cumpla con los requisitos establecidos en la Norma
Técnica Peruana - ISO 22320:2017 son:

 Desarrollar e implementar un procedimiento para la gestión eficaz de la


información operacional a la que se accede durante la gestión de una
emergencia.
 Desarrollar e implementar un procedimiento para el mando y control
durante una emergencia.
 Desarrollar e implementar un procedimiento para la cooperación y la
coordinación eficaz, durante una emergencia, de las diferentes entidades
que actúan en la respuesta en caso de cada tipo de emergencia.

NTP-ISO/IEC 17799:2007 Tecnología de la información. Código de buenas


prácticas para la gestión de la seguridad de la información

Es una norma técnica peruana que desarrolla los estándares organizacionales


de la seguridad y genera prácticas efectivas durante la gestión de la Seguridad
de la Información. Además, incrementa la confianza a la hora de establecer
relaciones entre diferentes organizaciones. Todas las recomendaciones que
genera esta norma tienen que ser utilizadas de acuerdo con la legislación
aplicable a esta materia.

La información es un activo que tiene un elevado valor para las empresas, lo que
requiere que se genere una protección adecuada. Hay que tener en cuenta el
aumento en la seguridad dentro de las organizaciones. El resultado de este
creciente aumento es que la información se encuentra más expuesta a un alto
número de amenazas y vulnerabilidades.

La información es adoptada de varías formas diferentes. Puede encontrarse en


formato papel, almacenada electrónicamente, enviada por correo electrónico, en
formato vídeo o a través de una conversación hablada personalmente. Es por
todo esto, que la información tiene que estar debidamente protegida, sea cual
sea el formato en la que no la encontremos.

El Sistema de Seguridad de la Información (SSI) ayuda a proteger


la información de un amplio rango de amenazas diferentes con el que asegurar
la continuidad del negocio, disminuir los daños generados en la organización y
maximizar el retorno de la inversiones y las oportunidades de negocio.

Esta norma cuenta con unos términos específicos, los cuales es necesario
conocer para poder entender lo que expone la norma, durante este post vamos
a ver todos los términos y a definirlos para su mejor comprensión:

Activo: es algo que tenga un gran valor para la organización.

Control: es la herramienta de gestión del riesgo, en el que se incluyen las


políticas, las pautas, las estructuras organizacionales, que sean de naturaleza
administrativa, técnica o legal.

Pauta: describe de forma clara lo que se debe hacer y cómo se debe hacer,
persiguiendo el fin de alcanzar todos los objetivos planteados en la política de
seguridad.

Instalaciones de proceso de información: Sistemas de información, servicio o


infraestructuras en las que se localice de forma física.

Seguridad de la Información: es la preservación de la confidencialidad, la


integridad y la disponibilidad de la información, además de otras muchas
propiedades como puede ser la autenticidad, la falta de rechazo, la contabilidad
y la confiabilidad que puede ser considera también.
Evento de Seguridad de la Información: es una ocurrencia que se encuentra
identificada por un sistema, servicio o red en el que se indica una posible fisura
en la política de seguridad de información o algún posible fallo en las situaciones
relevantes para la seguridad.

Incidente de Seguridad de la Información: se encuentra indicado por diferentes


eventos que no son esperados o no deseados, y que tienen una gran probabilidad
de poner en un compromiso las operaciones de negocios y las amenazas de
Seguridad de la Información.

Política de Seguridad: es un documento en el que se expresa los objetivos que


tiene una organización a la hora de implementa un Sistema de Seguridad de la
Información. Se encuentra firmada por la gerencia de la empresa y tiene que estar
disponible para todo el mundo que desee verla.

Riesgo: es la combinación de probabilidad de que ocurra un incidente y las


consecuencias de éste.

Análisis del riesgo: utilización sistemática de la información para identificar


todas las fuentes que puedan generar algún riesgo.

Evaluación del riesgo: es el proceso general de análisis y evaluación de riesgo.

Valoración del riesgo: es el proceso mediante el cual se compara el riego


estimado con el riesgo dado.

Gestión del riesgo: son actividades coordinadas para dirigir y controlar una
organización considerando el riesgo que puede producir.

Tratamiento del riesgo: es el proceso por el que se selecciona e implementa las


medidas para modificar el riesgo.

Terceros: es la persona que se reconoce por ser independiente por las partes
involucradas concerniente al tema en cuestión.

Amenaza: causa potencial de un incidente no deseado lo que puede resultar


dañando al sistema o a la organización.
Vulnerabilidad: es la debilidad presentada por un activo o grupo de activos que
pueden ser explotados por una o más amenazas.

NTP-ISO/IEC 27004:2018 Tecnología de la información. Técnicas de


seguridad. Gestión de la seguridad de la información. Seguimiento,
medición, análisis y evaluación.

Proporciona directrices destinadas a ayudar a las organizaciones en la


evaluación del desempeño de la seguridad de la información y la eficacia de un
sistema de gestión de la seguridad de la información.

Este estándar especifica cómo estructurar el sistema de medición, cuáles son los
parámetros a medir, cuándo y cómo medirlos. Además, ayuda a las empresas al
establecimiento de objetivos relacionados con el rendimiento y los criterios de
éxito.

El tipo de métodos requeridos expuestos por ISO 27004 dependerán de la


complejidad, el tamaño de la organización, del vínculo entre el coste y el beneficio
y el nivel de integración de la seguridad de la información que se haga en los
procedimientos llevados a cabo por la organización. Esta norma especifica cómo
se ha de constituir estos métodos y cómo deben integrarse y documentarse los
datos alcanzados en el SGSI.
CAPITULO III: ANÁLISIS DE RIESGO
3.1 Valoración del Riesgo

3.1.1 Identificación del Riesgo

3.1.2 Análisis de Riesgo

3.1.3 Determinación del Nivel de Riesgo

3.2 Manejo del Riesgo

3.2.1 Elaboración del Mapa de Riesgo


CAPITULO IV: PLAN DE AUDITORIA
4.1 Objetivo General

Verificar el cumplimiento de las actividades, procedimientos e intervenciones


para el desarrollo de las actividades de la dirección, y realizar las
recomendaciones para la continua mejora sin afectar la producción de la
organización.

4.2 Objetivos Específicos

 Realizar una auditoría a la dirección de la organización y asegurar que la


no sea afectada en la continuidad del negocio.
 Estar preparados frente a diversos sucesos que afecten la producción de
la organización, teniendo en cuenta los riesgos, mitigándolos de
inmediato.
 Verificar que los resultados asociados a los riesgos, sean consistentes con
la realidad del servicio que se ofrece.
 Analizar los riesgos, verificando estrategias y acciones que se orienten a
mitigar los riesgos identificados.
 Informar sobre los papeles de trabajo elaborados, que respalden el
cumplimiento de los deberes asignados en la dirección de la empresa.

4.3 Alineamiento de la Auditoria a la Estrategia del Negocio


Los gerentes, supervisores o jefes en la organización podrán gestionar mejor a
los colaboradores. En tanto, la satisfacción y productividad de cada empleado
aumentará y se tendrán mejores resultados para la empresa. La presente
auditoria tiene ciertas pautas para la realización de esta, buscando brindar
recomendaciones frente a los problemas encontrados:
 Tanto los directivos como el personal de cada área de la organización
debe estar capacitado y calificado para responder a los problemas que
surjan, brindando una respuesta sustentada de manera eficaz.
 Dentro de los riesgos que afecten la labor de los directivos de la empresa,
se debe informar sobre los sucesos ocurridos de manera inmediata.
 Los directivos deberán designar personal de reserva calificado para
responder frente a riesgos que afectarían la producción de la empresa.
 Frente a actividades de riesgo, estos que se ven afectado, deben ser
recuperados según el tiempo que recibió, en el plan de Riesgo.
 En las áreas de TI, los jefes deben despojarse de la visión de sus áreas y
empezar a protagonizar estrategias corporativas y garantizar que el
potencial de las TIC va a ser uno de los más efectivos medios de logro de
los objetivos de negocio, pues en este entorno digital prácticamente todas
las estrategias tienen un componente tecnológico importante.

4.4 Alcance
El presente trabajo tiene como alcance el diseño de plan de una auditoría basada
en Cobit 5, las normas ISO 30408, ISO 25000, ISO 20000, ISO 22301 y las
NORMAS TECNICAS PERUANAS ISO 22320, ISO 17799 ,ISO 27004, teniendo
como resultado; asegurar el cumplimiento de las asignaciones a cada miembro
de la dirección de la empresa, que deba ser personas calificadas para realizar las
funciones designadas, brindando seguridad a la ciudadanía frente a posibles
percances que interfieran con la continuidad del negocio, y que todo quede
registrado con evidencias documentadas. Y que los sistemas que realizan
actividades actualicen y encuentren fallas en el sector de TI a fin de identificar,
analizar, y restablecer la producción y operatividad del negocio.

4.5 Aclaraciones
4.6 Limitaciones

4.7 Perfil del Equipo de Auditoria

4.8 Asignación de Roles

4.9 Lista de Personas a Entrevistar

4.10 Plan de Proyectos

4.11 Plan de Entregables

4.12 Pruebas de Cumplimiento

4.13 Pruebas Sustantivas

4.14 Técnicas y Herramientas

4.15 Procedimientos de Control de Cambios

4.15.1 Guía de Formatos de Control de Cambios

4.15.2 Formatos de Control de Cambios


ANEXOS