Plan de Trabajo para la Auditoria de la Facultad de Ingeniería y Arquitectura de la

Universidad San Martin de Porres

CURSO : SEGURIDAD Y AUDITORIA DE SISTEMAS DE INFORMACIÓN

PROFESOR : Mg. Jorge Figueroa

CICLO : IX

ALUMNOS : Díaz Cortegana, Victor

Garcia Bazalar, Antonella

Diaz Vilchez, Erick
De la Cruz Blas, Rolan
Fuentes Ramos, Erick
Tapia, Johan

Periodo: 02 OCT.2018 al 13.NOV.2018

2018-II
Contenido
1. Origen de la evaluación. .................................................................................................... 3
2. Introducción ......................................................................................................................... 3
3. Objetivos .............................................................................................................................. 3
3.1. Objetivos Específicos ............................................................................................. 3
4. Alcance................................................................................................................................. 4
5. Descripción de las actividades de la entidad ................................................................. 4
6. Normativa aplicable a la entidad ...................................................................................... 6
7. Informe a emitir y fecha de entrega ................................................................................. 6
8. Puntos de atención............................................................................................................. 6
9. Personal de Auditoria......................................................................................................... 6
10. Funcionarios de la entidad a examinar ....................................................................... 6
11. Presupuesto de tiempo por categorías ....................................................................... 7
12. Cronograma tentativo .................................................................................................... 7
13. Programa ......................................................................................................................... 7
14. Formato tentativo del informe ....................................................................................... 8
Anexo ........................................................................................................................................... 9
AUDITORIA AL AREA DE TECNOLOGÍA DE INFORMACIÓN DE LA FACULTAD DE
INGENIERIA Y ARQUITECTURA DE LA UNIVERSIDAD SAN MARTIN DE PORRES

Periodo: 02 OCT.2018 al 13.NOV.2018

1. Origen de la evaluación.
En cumplimiento al Plan Anual de Control del año 2018, aprobado por el Decano
de la Facultad de Ingeniería y Arquitectura de la Universidad San Martin de
Porres, el Órgano de Control Institucional procederá a realizar la actividad de
control referida a la “Evaluación de los riesgos operativos y riesgos tecnológicos
de la FIA USMP”.

2. Introducción
La empresa sobre la que se realizará el estudio la identificaremos a lo largo del
presente documento como FIA USMP. La FIA USMP tiene por objetivo con esta
actividad, promover la ejecución de buenas prácticas de gestión de tecnologías
de información.

3. Objetivos
Evaluar los sistemas de información e infraestructura y establecer las acciones
correctivas para efectuar la adecuada gestión de los activos de TI e información
en la FIA USMP basados en COBIT 5.0 para el gobierno de TI y la serie de ISO
27000 para la seguridad de la información.

3.1. Objetivos Específicos

a) Objetivo N°1
Evaluar los sistemas de información e infraestructura del área de TI están
correctamente resguardados por un encargado integral de los sistemas de
información que maneja la facultad.
b) Objetivo N°2
Identificar y evaluar los procedimientos para la seguridad de la información
que la universidad propone para sus operaciones.
c) Objetivo N°3
Valorar los controles de TI empleados actualmente considerando su
capacidad, consistencia y mejoramiento continuo de los mismos.
4. Alcance
El ámbito de la evaluación propuesta desde el 2 de Octubre al 13 de Noviembre
del presente año; es necesario, durante el desarrollo revisar y actualizar los
contenidos del análisis de la situación de los activos en el eventual caso que
estos cambien. Además, cabe resaltar que toda la evaluación está enmarcada
en las buenas prácticas propuestas por COBIT 5.0 y ISO/IEC 27002:2014

5. Descripción de las actividades de la entidad

El área de TI es el órgano encargado de administrar los servicios de tecnología
de la información y comunicaciones que soportan los procesos de negocio de las
diversas áreas de la USMP, desarrolla esta labor bajo la visión de mejorar los
servicios a través de la optimización de la tecnología, el control de los costos y
la utilización del nivel adecuado de recursos.

El Área de Servicios de TI coadyuva al logro de los objetivos institucionales

mediante la gestión de las tecnologías de información y comunicaciones
mediante el empleo de marcos de referencia como ITIL y COBIT para alinear los
resultados a los objetivos del planeamiento estratégico institucional,
relacionándose estrechamente con los usuarios y las empresas líderes en su
campo.
Funciones

 Participar en la elaboración y formulación del Plan Informático de la Facultad y

la USMP.
 Diseño, evaluación de propuestas y supervisión de la implementación de
soluciones en lo relacionado a las redes de comunicaciones tanto para las
Facultades como para las diferentes unidades, institutos y/o dependencias de la
Universidad, que sean solicitadas por las autoridades de la USMP.
 Dimensionar e implementar la infraestructura de servidores adecuadas a los
servicios solicitados.
 Administración, mantenimiento y optimización de la Red de Comunicaciones
LAN de la FIA.
 Administración, monitoreo y optimización de los enlaces de Comunicaciones
WAN de la USMP (Servicios de acceso a Internet de la USMP y acceso a la IP-
VPN USMP).
 Implementación y ejecución de políticas de respaldo de datos (Backups y
Restore).
 Implementación, Ejecución y Monitoreo de políticas de seguridad Informática.
 Administración, mantenimiento y optimización de plataforma de seguridad
(Firewall, soluciones Anti Spam, antivirus) para los servicios Internos y Externos
de la USMP.
 Administración, mantenimiento y optimización de los servicios de Internet USMP:
Correo docentes y administrativos USMP, Correo alumnos USMP, Páginas Web,
FTP, Listas de Distribución entre otros.
 Administración, mantenimiento y optimización de la infraestructura del proyecto
Fábrica de Software.
 Administración, mantenimiento y optimización del servidor de Base de Datos de
FIA.
 Administración, mantenimiento y optimización del servidor Active Directory de la
FIA, de la plataforma de Sistema Operativo que soporta aplicaciones críticas
como son SANET, SASIG, Intranet, SIGA.
 Soporte en la publicación de resultados de los procesos de admisión USMP.
 Soporte a nivel de servidores en los procesos de Matricula por Internet y
presencial para la USMP.
 Proporcionar asistencia técnica y asesoría relacionada a Internet y servicios
relacionados a las unidades de sistemas de las otras facultades de la USMP.
 Investigación y evaluación de TIC de última generación que permitan proponer
nuevas soluciones tecnológicas tanto para la facultad como para Universidad e
Instituciones que lo soliciten.
 Otras funciones afines que le fueran asignadas por el Jefe de FIA DATA.

Objetivos

 Los objetivos del Área de Servicios de Tecnologías de Información

 Garantizar la continuidad y eficiencia operativa del centro de cómputo y de los
servicios críticos apoyados en la aplicación de estándares y en las mejores
prácticas de gestión de TI.
 Constituir un centro de formación e investigación especializada en diferentes
tecnologías y metodologías complementarias a la formación profesional de
nuestra Facultad.
 Constituir un Centro de Datos de nivel 2 acorde con las necesidades actuales y
futuras de la USMP.
6. Normativa aplicable a la entidad
 Normas del COBIT v.5.0 (Objetivos de Control para Tecnología de Información y
Tecnologías Relacionados – del IT Governance Institute)

7. Informe a emitir y fecha de entrega

La evaluación se dará inicio el 22 de Octubre del 2018, culminando con el informe
final el 13 de Noviembre del 2018.

8. Puntos de atención
Los puntos críticos en los cuales se centrará esta auditoria serán el cumplimiento
en:

 Software
 Comunicaciones
 Seguridad física
 Seguridad lógica
 Integridad de datos
 Consistencia de datos

9. Personal de Auditoria
El equipo de trabajo está conformado por:

Recurso Cargo
Diaz Cortegana, Gestor del proyecto
Victor

Garcia Bazalar, Consultor de TI

Antonella
Diaz Vilchez, Erick Consultor de TI
Fuentes Ramos, Consultor de TI
Diego
Tapia Barriga, Johan Consultor de TI

10. Funcionarios de la entidad a examinar

Nombres: Ing. César Porras Quinto

Correo: Jefe de Tecnología de Información

 11. Presupuesto de tiempo por categorías
Las actividades se desarrollarán según el cronograma de actividades y de
acuerdo al tiempo (horas/hombre) establecido:

ACTIVIDAD DIAS/UTILES HRS/HOMBRE HORAS

ESTIMADAS

Planeación 03 08 144

Evaluación AS-IS 10 08 480

Elaboración de 05 08 240
observaciones

Eval. Descargos 04 08 192

Elab. Informe 05 08 240

Elevac .Informe 05 08 240

Total 32 08 1536

12. Cronograma tentativo

13. Programa
En Anexo aparte se adjuntan los Programas de Auditoria que contienen los
Procedimientos Específicos.
 14. Formato tentativo del informe
El contenido del Informe resultante de la evaluación realizada, tendrá la siguiente
estructura:

I. MOTIVO DE LA REALIZACIÓN DEL INFORME

II. OBJETIVO Y ALCANCE DE LA EVALUACIÓN
III. PROCEDIMIENTOS Y TECNICAS DE AUDITORÍA
IV. BASE LEGAL Y NORMATIVA INTERNA
V. EVALUACIÓN DE LA SITUACIÓN DE LA ACTIVIDAD
VI. CONCLUSIONES
VII. MEDIDAS CORRECTIVAS RECOMENDADAS
VIII. PERSONAL ENCARGADO DEL EXAMEN
IX. FECHA DE INICIO Y TÉRMINO

LIMA, OCTUBRE 2018

_______________________ ____________________________

Ing. Jorge Martin Figueroa Revilla Ing. Victor Diaz Cortegana

Jefe de Curso Auditor Encargado
Anexo
Programa de auditoria

Procedimientos Hechos por Ref P/T H.H

Objetivo General
Evaluar los sistemas de información e
infraestructura y establecer los elementos de
referencia y procedimientos para efectuar la Equipo de 5
adecuada gestión de los activos de TI e trabajo
información en la FIA USMP basados en COBIT
5.0 para el gobierno de TI y la serie de ISO 27000
para la seguridad de la información.
Procedimiento General
1. Identificar los sistemas de información
y la infraestructura tecnología que
soporta a los mismos.
2. Identificar los procedimientos y
políticas de seguridad que mantienen
los sistemas tecnológicos que brindan
soporte.
Equipo de
3. Evaluar si las políticas de seguridad
trabajo
implantadas están aplicadas y
alineadas a los sistemas de
Información en la empresa y además
evaluar que estos sistemas estén
correctamente unificados con la
infraestructura que los soporta.
Procedimientos Específicos

Objetivo 1
Equipo de
Evaluar los sistemas de información e
trabajo
infraestructura del área de TI están correctamente
resguardados por un encargado integral de los
sistemas de información que maneja la facultad.
Procedimiento:
1. Solicitar entrevista personal con el
encargado del área de TI.
2. Solicitar la relación de trabajadores del
área de TI.
3. Evaluar las tareas asignadas a los
trabajadores del área de TI.
4. Evaluar si las asignaciones laborares están
correctamente definidas y delimitadas.
5. Concluir si se está cumpliendo con una
estructura orgánica que salvaguarde la
seguridad de la información en el área de
TI.
6. Concluir en qué medida los diferentes
usuarios del área de TI influyen en el
manejo de la misma.
7. Recomendar la optimización de los
recursos.
8. Recomendar el reordenamiento de la
estructura para poder salvaguardar la
seguridad de la información del área de TI.

Objetivo 2
Identificar y evaluar los procedimientos para la
seguridad de la información que la universidad
propone para sus operaciones.
.
Equipo de
Procedimiento: trabajo
1. Solicitar información sobre el personal
vinculado a las áreas de tecnologías de
información y el tipo de accesos
correspondientes por cada uno de ellos.
2. Solicitar información sobre los tipos de
controles que utilizan las TI para el acceso
controlado de los usuarios.
 3. Evaluar que tan sensible es la información
que se maneja en las diferentes áreas de
TI asociadas con la plataforma tecnológica.
4. Evaluar si se han implementado, las
medidas de seguridad física establecidas
por los estándares internacionales.
5. Concluir si se está aplicando o no los
controles adecuados para las áreas de
tecnologías de información.
6. Recomendar la definición de los procesos
correctos para la optimización y protección
de la plataforma tecnológica.
Objetivo 3
Valorar los controles de TI empleados actualmente
considerando su capacidad, consistencia y Equipo de
trabajo
mejoramiento continuo de los mismos.

Procedimiento:
1. Solicitar la información que está bajo el
cargo del área de TI
2. Solicitar información con respecto a los
controles que aplica el área de TI.
3. Solicitar listado de los responsables que
aplican los controles definidos por el área
de TI.
4. Evaluar la información que maneja el área
de TI para clasificación.
5. Evaluar la capacidad de los controles que
aplica el área de TI.
6. Concluir definiendo que información es
manejada por el área de TI y que
información debe ser excluida de su cargo.
7. Concluir estableciendo en qué estado se
encuentran los controles definidos por el
área de TI con respecto a la capacidad y
mejoramiento continuo.
8. Concluir estableciendo un proceso para
llevar a cabo los controles que maneja el
área de TI.
9. Recomendar si no se tiene definido una
clasificación de los controles que aplica el
área de TI para establecer prioridades.
10. Recomendar si es necesario optimizar el
proceso para llevar a cabo cada control
bajo el cargo del área de TI.