Escolar Documentos
Profissional Documentos
Cultura Documentos
CICLO : IX
2018-II
Contenido
1. Origen de la evaluación. .................................................................................................... 3
2. Introducción ......................................................................................................................... 3
3. Objetivos .............................................................................................................................. 3
3.1. Objetivos Específicos ............................................................................................. 3
4. Alcance................................................................................................................................. 4
5. Descripción de las actividades de la entidad ................................................................. 4
6. Normativa aplicable a la entidad ...................................................................................... 6
7. Informe a emitir y fecha de entrega ................................................................................. 6
8. Puntos de atención............................................................................................................. 6
9. Personal de Auditoria......................................................................................................... 6
10. Funcionarios de la entidad a examinar ....................................................................... 6
11. Presupuesto de tiempo por categorías ....................................................................... 7
12. Cronograma tentativo .................................................................................................... 7
13. Programa ......................................................................................................................... 7
14. Formato tentativo del informe ....................................................................................... 8
Anexo ........................................................................................................................................... 9
AUDITORIA AL AREA DE TECNOLOGÍA DE INFORMACIÓN DE LA FACULTAD DE
INGENIERIA Y ARQUITECTURA DE LA UNIVERSIDAD SAN MARTIN DE PORRES
1. Origen de la evaluación.
En cumplimiento al Plan Anual de Control del año 2018, aprobado por el Decano
de la Facultad de Ingeniería y Arquitectura de la Universidad San Martin de
Porres, el Órgano de Control Institucional procederá a realizar la actividad de
control referida a la “Evaluación de los riesgos operativos y riesgos tecnológicos
de la FIA USMP”.
2. Introducción
La empresa sobre la que se realizará el estudio la identificaremos a lo largo del
presente documento como FIA USMP. La FIA USMP tiene por objetivo con esta
actividad, promover la ejecución de buenas prácticas de gestión de tecnologías
de información.
3. Objetivos
Evaluar los sistemas de información e infraestructura y establecer las acciones
correctivas para efectuar la adecuada gestión de los activos de TI e información
en la FIA USMP basados en COBIT 5.0 para el gobierno de TI y la serie de ISO
27000 para la seguridad de la información.
Objetivos
8. Puntos de atención
Los puntos críticos en los cuales se centrará esta auditoria serán el cumplimiento
en:
Software
Comunicaciones
Seguridad física
Seguridad lógica
Integridad de datos
Consistencia de datos
9. Personal de Auditoria
El equipo de trabajo está conformado por:
Recurso Cargo
Diaz Cortegana, Gestor del proyecto
Victor
Planeación 03 08 144
Elaboración de 05 08 240
observaciones
Total 32 08 1536
13. Programa
En Anexo aparte se adjuntan los Programas de Auditoria que contienen los
Procedimientos Específicos.
14. Formato tentativo del informe
El contenido del Informe resultante de la evaluación realizada, tendrá la siguiente
estructura:
_______________________ ____________________________
Objetivo 1
Equipo de
Evaluar los sistemas de información e
trabajo
infraestructura del área de TI están correctamente
resguardados por un encargado integral de los
sistemas de información que maneja la facultad.
Procedimiento:
1. Solicitar entrevista personal con el
encargado del área de TI.
2. Solicitar la relación de trabajadores del
área de TI.
3. Evaluar las tareas asignadas a los
trabajadores del área de TI.
4. Evaluar si las asignaciones laborares están
correctamente definidas y delimitadas.
5. Concluir si se está cumpliendo con una
estructura orgánica que salvaguarde la
seguridad de la información en el área de
TI.
6. Concluir en qué medida los diferentes
usuarios del área de TI influyen en el
manejo de la misma.
7. Recomendar la optimización de los
recursos.
8. Recomendar el reordenamiento de la
estructura para poder salvaguardar la
seguridad de la información del área de TI.
Objetivo 2
Identificar y evaluar los procedimientos para la
seguridad de la información que la universidad
propone para sus operaciones.
.
Equipo de
Procedimiento: trabajo
1. Solicitar información sobre el personal
vinculado a las áreas de tecnologías de
información y el tipo de accesos
correspondientes por cada uno de ellos.
2. Solicitar información sobre los tipos de
controles que utilizan las TI para el acceso
controlado de los usuarios.
3. Evaluar que tan sensible es la información
que se maneja en las diferentes áreas de
TI asociadas con la plataforma tecnológica.
4. Evaluar si se han implementado, las
medidas de seguridad física establecidas
por los estándares internacionales.
5. Concluir si se está aplicando o no los
controles adecuados para las áreas de
tecnologías de información.
6. Recomendar la definición de los procesos
correctos para la optimización y protección
de la plataforma tecnológica.
Objetivo 3
Valorar los controles de TI empleados actualmente
considerando su capacidad, consistencia y Equipo de
trabajo
mejoramiento continuo de los mismos.
Procedimiento:
1. Solicitar la información que está bajo el
cargo del área de TI
2. Solicitar información con respecto a los
controles que aplica el área de TI.
3. Solicitar listado de los responsables que
aplican los controles definidos por el área
de TI.
4. Evaluar la información que maneja el área
de TI para clasificación.
5. Evaluar la capacidad de los controles que
aplica el área de TI.
6. Concluir definiendo que información es
manejada por el área de TI y que
información debe ser excluida de su cargo.
7. Concluir estableciendo en qué estado se
encuentran los controles definidos por el
área de TI con respecto a la capacidad y
mejoramiento continuo.
8. Concluir estableciendo un proceso para
llevar a cabo los controles que maneja el
área de TI.
9. Recomendar si no se tiene definido una
clasificación de los controles que aplica el
área de TI para establecer prioridades.
10. Recomendar si es necesario optimizar el
proceso para llevar a cabo cada control
bajo el cargo del área de TI.