Вы находитесь на странице: 1из 54

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

DISEO DE PROCEDIMIENTOS DE AUDITORA DE CUMPLIMIENTO DE


LA NORMA NTP-ISO/IEC 17799:2007 COMO PARTE DEL PROCESO DE
IMPLANTACIN DE LA NORMA TCNICA NTP-ISO/IEC 27001:2008 EN
INSTITUCIONES DEL ESTADO PERUANO

Tesis para optar el Ttulo de Ingeniero Informtico, que presenta el bachiller:

Fernando Miguel Huamn Monzn

ASESOR: Dr. Manuel Francisco Tupia Anticona

Lima, julio de 2014


RESUMEN DEL PROYECTO DE TESIS

El presente proyecto de fin de carrera responde a la necesidad creada a causa de


las normativas publicadas por la Oficina Nacional de Gobierno Electrnico e
Informtica (ONGEI) que declaran de uso obligatorio las Normas Tcnicas
Peruanas NTP-ISO/IEC 27001:2008 y NTP-ISO/IEC 17799:2007 (con fechas de
publicacin mayo 2012 y julio 2011 respectivamente) a una lista de empresas del
estado peruano que pertenezcan y/o estn involucradas en la Administracin
Pblica con la finalidad de establecer un modelo integral para el desarrollo de los
planes de seguridad de la informacin de la misma.

Esta necesidad, a causa del carcter obligatorio de las normas mencionadas, es


reconocida como la atencin a la falta de procedimientos que permitan realizar
auditoras que verifiquen el cumplimiento de la NTP-ISO/IEC 17799 como parte del
proceso de cumplimiento integral de la NTP-ISO/IEC 27001 en las empresas del
estado peruano.

La elaboracin de estos procedimientos estarn basados en COBIT 5.0, publicado


en mayo de 2012, nuevo estndar de facto para Tecnologas de Informacin
reconocido internacionalmente.

Estos procedimientos estarn acompaados de la declaracin de aplicabilidad para


la norma NTP-ISO/IEC 17799 para poder definir los controles que sern
establecidos e implementados por la institucin, un Inventario de activos de
informacin comnmente relacionados con los controles presentes en la NTP-
ISO/IEC 17799 y un Mapeo del marco COBIT 5.0 frente a la norma NTP 17799
identificando la correspondencia de los dominios de COBIT hacia los controles de la
NTP.

2
INDICE
INDICE....................................................................................................................................2
RESUMEN DEL PROYECTO DE TESIS...........................Error!Marcadornodefinido.
CAPTULO 1..........................................................................................................................5
1. INTRODUCCIN......................................................................................................5
2. DEFINICIN DE LA PROBLEMTICA.................................................................5
3. OBJETIVO GENERAL..............................................................................................6
4. OBJETIVOS ESPECFICOS...................................................................................6
5. RESULTADOS ESPERADOS.................................................................................7
6. ALCANCE Y LIMITACIONES..................................................................................7
7. HERRAMIENTAS Y MTODOS.............................................................................8
7.1. Mtodos y metodologas..................................................................................8
7.2. Herramientas....................................................................................................10
8. JUSTIFICACIN Y VIABILIDAD...........................................................................11
CAPTULO 2........................................................................................................................13
1. INTRODUCCIN........................................................................................................13
2. MARCO CONCEPTUAL............................................................................................13
2.1. Conceptos de auditora......................................................................................13
2.2. Conceptos de Seguridad....................................................................................19
2.3. Conceptos de Riesgos........................................................................................21
3. REVISIN DEL ESTADO DEL ARTE.....................................................................26
3.1. COBIT....................................................................................................................26
3.3. ISO 27001 y 27002.............................................................................................31
3.2. NTP 27001............................................................................................................33
3.4. NTP 17799............................................................................................................35
4. DISCUSIN SOBRE LOS RESULTADOS DE LA REVISIN DEL ESTADO
DEL ARTE........................................................................................................................38
CAPTULO 3:.......................................................................................................................39
PROCEDIMIENTOS GENERALES DE AUDITORA....................................................39
1. INTRODUCCIN....................................................................................................39
2. PROCEDIMIENTOS PARA DETERMINAR EL ALCANCE DE LA
AUDITORA......................................................................................................................40
3. PROCEDIMIENTOS PARA DETERMINAR EL OBJETIVO DE LA
AUDITORA......................................................................................................................41
4. PROCEDIMIENTOS PARA ESTABLECER LOS CRITERIOS DE LA
AUDITORA......................................................................................................................41
5. PROCEDIMIENTOS PARA EL LEVANTAMIENTO DE EVIDENCIAS...........42
6. PROCEDIMIENTOS DE DOCUMENTACIN DE HALLAZGOS....................44
7. PROCEDIMIENTOS PARA LA DOCUMENTACIN DE LAS
CONCLUSIONES Y RECOMENDACIONES..............................................................45
CAPTULO 4:.......................................................................................................................46
PRUEBAS DE LOS PROCEDIMIENTOS.......................................................................46
1. INTRODUCCIN....................................................................................................46
2. ALCANCE DE LAS PRUEBAS.............................................................................46
3. OBJETIVO DE LAS PRUEBAS............................................................................47
4. EJECUCIN DE LAS PRUEBAS.........................................................................47
5. CONCLUSIONES Y RECOMENDACIONES DE LAS PRUEBAS..................49
CAPTULO 5:.......................................................................................................................51
CONCLUSIONES Y RECOMENDACIONES.................................................................51
REFERENCIAS...................................................................................................................52

3
NDICE DE FIGURAS Y TABLAS
FIGURAS
Figura 1: Metodologa PDCA o Ciclo de Deming ................................................................... 9
Figura 2: Beneficios ms destacados de un Gobierno de TI ................................................ 14
Figura 3: Estructura de relaciones en el Gobierno de TI ...................................................... 15
Figura 4: Buenas prcticas en Gobierno de Tecnologas de Informacin ............................ 16
Figura 5: Criterios de Auditoria ............................................................................................ 18
Figura 6: Concepto de Hallazgos de Auditoria ..................................................................... 19
Figura 7: Tipos de amenazas .............................................................................................. 20
Figura 8: Tipos de Riesgos (ISACA 2011) ........................................................................... 21
Figura 9: Caractersticas generales de los controles. .......................................................... 22
Figura 10: Matriz de riesgo basado en un anlisis cualitativo .............................................. 23
Figura 11: Anlisis de impacto ............................................................................................. 24
Figura 12: La gestin de riesgo como una herramienta de balance ..................................... 24
Figura 13: Esquema Amenaza-Vulnerabilidad-Riesgo-Impacto (Tupia 2010) ...................... 25
Figura 14: Fases de la Gestin de Riesgos ......................................................................... 25
Figura 15: Principios de Cobit 5.0 (ISACA 2012) ................................................................. 26
Figura 16: Facilitadores de COBIT 5.0 (ISACA 2012) .......................................................... 27
Figura 17: Modelo de Referencia de Procesos de COBIT 5.0 (ISACA 2012) ...................... 29
Figura 18: Ciclo de vida de implementacin de COBIT 5.0 (ISACA 2012) ........................... 31
Figura 19: Plan-Do-Check-Act para ISO 27001 ................................................................... 34

TABLAS
Tabla 1 - tems para establecer Alcance de la Auditora ...................................................... 40

4
CAPTULO 1

1. INTRODUCCIN

En este captulo se presentar lo concerniente al proyecto de fin de carrera. Se


describe el entorno en el cual se encuentra el problema identificado con la finalidad
de dar un primer paso en el proyecto. Se proceder luego a definir el objetivo
general, acompaado por los objetivos especficos mapeados cada uno con sus
resultados esperados. Para la consecucin de lo mencionado se identificar las
metodologas a utilizar.

Tambin se justificar el proyecto presentando adems su viabilidad. Se desplegar


finalmente la lista de actividades a realizar para la obtencin del producto final del
presente proyecto.

2. DEFINICIN DE LA PROBLEMTICA

La Presidencia del Consejo de Ministros (PCM) del Per autoriz en el ao 2010 la


ejecucin de la Encuesta de Seguridad de la Informacin en la Administracin
Pblica (ONGEI 2010a) a las instituciones de la Administracin Pblica que
pertenecen al Sistema Nacional de Informtica con la finalidad de actualizar la
informacin tcnica de dichas entidades en relacin con la seguridad de la
informacin. De las 271 entidades encuestadas solo se pudo recepcionar la
respuesta de 150 (56% del total) indicando que un 30% no haban si quiera
realizado una Poltica de Seguridad de la Informacin (ONGEI 2010b). Este
escenario se produjo estando publicada la Norma Tcnica Peruana NTP-ISO/IEC
17799:2007 desde agosto de 2007.

5
Los sistemas de informacin de las organizaciones se enfrentan da a da con
riesgos e inseguridades que se enfocan en explotar vulnerabilidades de sus activos
de informacin poniendo en riesgo su continuidad de negocio. Los procesos que
manejan datos, los sistemas y las redes son activos importantes de la organizacin
por lo que es importante definir, realizar, mantener y mejorar la seguridad de la
informacin, para que puedan alcanzar sus objetivos de negocio. As como se ha
convertido en una actividad importante dentro de las organizaciones, la seguridad
de la informacin tambin ha suscitado muchos dolores de cabeza a los
responsables en poner en accin una eficiente gestin de esta actividad.

La reciente publicacin en mayo de 2012 aprobando el uso obligatorio de la NTP-


ISO/IEC 27001:2008 en las entidades del estado demuestra la intencin del
gobierno peruano en establecer un modelo integral para el desarrollo de los planes
de seguridad de la informacin en la Administracin Pblica donde la NTP-ISO/IEC
17799:2007 se suma tambin a este accionar.

Es necesario brindar procedimientos concretos o guas para poder realizar


procesos de auditora que tengan como objetivo corroborar la implantacin de la
NTP 27001 en las empresas del estado peruano (entidades listadas en la misma
publicacin de la norma) teniendo como base lo propuesto por la NTP 17799.

Teniendo como motivo lo mencionado anteriormente y con el objetivo en brindar


apoyo en la actividad de gestionar un aspecto tan importante como es la Seguridad
de Informacin, es que se desarrollar en este proyecto los procedimientos de
auditora para evaluar la implementacin de la NTP-ISO/IEC 17799:2007, en
respuesta a la motivacin de poner en prctica los conocimientos obtenidos en sta
rea de la informtica, en beneficio de la sociedad peruana.

3. OBJETIVO GENERAL

Establecer un procedimiento de auditora de cumplimiento para la Norma Tcnica


Peruana NTP-ISO/IEC 17799:2007 en las instituciones del Estado Peruano basado
en el marco COBIT 5.0, como parte del proceso de implantacin de la Norma
Tcnica Peruana NTP-ISO/IEC 27001:2008 con la finalidad de mejorar la gestin de
la seguridad de la informacin.

4. OBJETIVOS ESPECFICOS

Los objetivos especficos del presente proyecto son los siguientes:

Determinar el procedimiento de elaboracin de la declaracin de


aplicabilidad de la norma NTP 17799 con la finalidad de justificar la eleccin
o exclusin de los controles sugeridos por sta.

6
Identificar los activos de informacin involucrados en cada control de la
norma NTP 17799.

Elaborar el mapeo del marco COBIT 5.0 frente a la NTP 17799


Elaborar la gua metodolgica para la ejecucin de la auditora de cada
control contemplado en la norma NTP 17799.

5. RESULTADOS ESPERADOS

Presentamos ahora los resultados esperados asociados con cada objetivo


especfico presentados en el punto anterior:

[Relacionado con Objetivo Especfico 1] - Procedimiento y estructura


(plantilla) de la declaracin de aplicabilidad para la norma NTP ISO/IEC
17799 para poder definir los controles que sern establecidos e
implementados por la institucin.

[Relacionado con Objetivo Especfico 2] - Inventario de activos de


informacin comnmente relacionados con los controles presentes en la
NTP ISO/IEC 17799.

[Relacionado con Objetivo Especfico 3] - Mapeo del marco COBIT 5.0


frente a la norma NTP 17799 identificando la correspondencia de los
dominios de COBIT hacia los controles de la NTP.

[Relacionado con Objetivo Especfico 4] - Gua de procedimientos de


auditora de la norma NTP 17799.

6. ALCANCE Y LIMITACIONES

El proyecto de fin de carrera pertenece al rea de Tecnologas de Informacin de


Ingeniera Informtica (reas segn ACM), especificada en el tpico de Auditora.

Plantear unos procedimientos para realizar auditora a las empresas del estado
peruano en relacin a la Gestin de Seguridad de la informacin.

Se lograr un mecanismo para verificar el cumplimiento de la Norma Tcnica


Peruana NTP-ISO/IEC 17799:2007 puesto que no existe registro alguno en
instituciones oficiales del estado peruano como el Instituto Nacional de Defensa de
la Competencia y de la Proteccin de la Propiedad Intelectual (INDECOPI), Oficina
Nacional de Gobierno Electrnico e Informtica (ONGEI), Contralora General de la
Repblica (CGR). Asimismo para verificar el cumplimiento de la recientemente
NTP-ISO/IEC 27001:2008 aprobada el 25 de mayo de 2012 por la Presidencia de
Consejos de Ministros a travs de la ONGEI.

7
Se ejecutar la aplicacin del marco COBIT 5.0 como nuevo estndar de facto para
Tecnologas de Informacin, debido a su gran integracin con Val IT y Risk IT, ITIL
y BIMS, marcos de la Information Systems Audit and Control Association (ISACA),
todos reconocidos a nivel internacional.

Este proyecto no tiene como fin implementar alguna otra norma o marco en relacin
a la Gestin de Seguridad de Informacin ni para las empresas pblicas del estado
peruano ni mucho menos para empresas privadas.

La implementacin de control y/o un Sistema de Gestin de Seguridad de la


Informacin segn lo estipulado en la NTP-ISO/IEC 27001:2008 no son puntos que
se pretenden alcanzar con el presente proyecto de fin de carrera.

7. HERRAMIENTAS Y MTODOS

A continuacin se detallar las herramientas y mtodos a utilizarse tanto para el


proyecto como para el producto, especificando adems los procedimientos para
cada uno respectivamente.

RESULTADO ESPERADO HERRAMIENTA


Procedimiento y estructura (plantilla) de la
declaracin de aplicabilidad para la norma NTP- NTP-ISO/IEC 17799:2007
ISO/IEC 17799:2007 para poder definir los PDCA
controles que sern establecidos e implementados MS Word
por la institucin
Inventario de activos de informacin comnmente NTP-ISO/IEC 17799:2007
relacionados con los controles presentes en la PDCA
NTP-ISO/IEC 17799:2007. MS Word

Mapeo del marco COBIT 5.0 frente a la norma COBIT 5


NTP-ISO/IEC 17799:2007 identificando la NTP-ISO/IEC 17799:2007
correspondencia de los dominios de COBIT hacia MS Excel
los controles de la NTP.
Gua de procedimientos de auditora de la norma COBIT 5
NTP-ISO/IEC 17799:2007. MS Word

7.1. Mtodos y metodologas

7.1.1. PDCA

La metodologa Plan-Do-Check-Act o tambin conocida como Ciclo de Deming. Se


ha optado por esta metodologa puesto que desde hace ms de 50 aos es la ms
utilizada en lo concerniente a auditoras y tambin en proyectos que optan por
realizar mejoras continuas y de calidad.

8
El ciclo de Deming realiza cuatro pasos, que, al llegar al ltimo de estos vuelve a
iniciarse para poder de esta manera dar lugar a escenarios de mejoras. Los cuatro
pasos son los siguientes:

Plan
(Planificar)

Act
Do(Hacer)
(Actuar)

Check
(Verificar)

Figura 1: Metodologa PDCA o Ciclo de Deming

A. Plan (Planificar): Implica la identificacin del problema, la recopilacin de


datos y el anlisis del mismo que nos permitir elaborar un plan de trabajo
que busque su solucin.

Para el proyecto presentado se planificarn las actividades para:

a. Determinar el acta de aplicabilidad SOA de la ISO 27002 en una


empresa del estado regulada por las NTP 17799 y NTP 27001

b. Realizar los inventarios de activos y controles sugeridos segn la


ISO 27002.

c. Verificar cada uno de los controles que el auditor deber revisar en


una auditora de controles.

B. Do (Hacer): Se realiza el desarrollo del plan generado en la etapa anterior.

En funcin del presente proyecto se realizar:

a. Reconocimiento, compilacin y documentacin de los activos


relacionados con los controles de la norma NTP-ISO/IEC 17799

b. Disear la relacin entre COBIT 5.0 y el cdigo de buenas prcticas


ISO 27002.
i. Documentacin del mapeo realizado.

c. Bosquejo de la elaboracin de procedimientos de auditora para


todas los controles de la NTP-ISO/IEC 17799:2007.

9
d. Detalle de resoluciones en ONGEI acerca de Seguridad de
Informacin.

C. Check (Verificar): Se revisan y analizan los resultados de manera que se


pueda obtener una medida de la efectividad de la solucin y una
retroalimentacin de lo que se podra mejorar.

Se revisarn los documentos generados con el asesor del proyecto, adems


de revisar nuevas leyes nombradas por la ONGEI para el estado peruano.
Se documentar estas revisiones para su posterior uso en la siguiente
etapa.

D. Act (Actuar): Efectuar las correcciones que se adquirieron en la etapa


anterior.

Se realizarn las correcciones necesarias en los documentos generados en


las etapas anteriores. De ser necesario, a causa de una nueva normativa en
relacin a Seguridad de Informacin, se proceder a la respectiva
adecuacin de los documentos.

7.2. Herramientas

7.2.1. COBIT

COBIT es un marco de gobierno de las tecnologas de informacin que proporciona


una serie de herramientas para que se pueda conectar los requerimientos de
control con los aspectos tcnicos y los riesgos del negocio. Tambin permite el
desarrollo de las polticas y buenas prcticas para el control de las tecnologas en
toda la organizacin. Adems brinda ayuda a las organizaciones a incrementar su
valor a travs de las tecnologas, y permite su alineamiento con los objetivos del
negocio. En su reciente versin (publicada el 10 de abril por ISACA) COBIT 5.0
integra varios marcos de ISACA (Val IT y Risk IT, ITIL y BIMS).

Se utilizar COBIT 5.0 pues ayuda a crear un valor ptimo de TI por mantener un
equilibrio entre la obtencin de beneficios y la optimizacin de los niveles de riesgo
y el uso de los recursos. Permite tambin que la informacin y la tecnologa
relacionada sean gobernadas y gestionadas de manera integral para toda la
empresa, abrazando de principio a fin el negocio y reas funcionales, teniendo en
cuenta los intereses de las partes interesadas internas y externas.

COBIT 5.0 presenta 5 principios:

A. Marco Integrador: Capacidades para facilitar el direccionamiento de los


usuarios con prcticas y referencias de terceras partes.

B. Conductores de valor para los interesados: Las necesidades de los


interesados deben traducirse a una estrategia de accin de la empresa.

10
C. Enfoque al Negocio y su contexto para toda la organizacin: Se refiere al
Gobierno y Gestin de TI empresarial y las tecnologas relacionadas
cubriendo todas las funciones y procesos dentro de la empresa.

D. Estructurado de manera separada para el Gobierno y la Gestin: Los


procesos de Dirigir, Evaluar y Supervisar estn a cargo del Gobierno. La
Gestin se encargar de Planear, Construir, Ejecutar y Supervisar

E. Fundamentado en facilitadores: Provee una forma comn, simple y


estructurada para el tratamiento de los facilitadores y dar comodidad para
gestionar sus completas interacciones.

Al llevar a cabo estas actividades, nos garantizamos la generacin de


procedimientos eficientes para la auditoria en relacin a Gestin de Seguridad de la
Informacin.

Ms detalle de este marco de negocio para Tecnologas de Informacin se puede


ver en el punto 3.1. COBIT del CAPITULO 2 del presente documento.

8. JUSTIFICACIN Y VIABILIDAD

Al publicarse el 25 de mayo de 2012 la normativa por parte de la Presidencia del


Consejo de Ministros (mediante la ONGEI) que establece el uso obligatorio de la
Norma Tcnica Peruana NTP-ISO/IEC 27001:2008 y teniendo como antecedente
que el ao anterior (julio de 2011) se promulg como fecha lmite el 31 de diciembre
de 2012 para que las empresas del gobierno peruano implementen el plan de
seguridad de la informacin basado en lo dispuesto por la NTP-ISO/IEC
17799:2007; se encontr conveniente atender el vaco que estas dos normativas
han generado en pos del establecimiento de un modelo integral para el desarrollo
de los planes de seguridad de la informacin en la Administracin Pblica. Este
vaco mencionado se identific como la falta de procedimientos que permitan
realizar auditoras que verifiquen el cumplimiento de la NTP-ISO/IEC 17799 como
parte del proceso de cumplimiento integral de la NTP-ISO/IEC 27001.

El auditor para sustentar su labor profesional en relacin a la evaluacin de un


Sistema de Gestin de Seguridad de la Informacin, requiere examinar las
evidencias, a travs de distintos mtodos y/o tcnicas de aplicacin de forma
paralela.

La propuesta de este proyecto de fin de carrera no solo es el desarrollo de guas de


auditora en base a las Normas Tcnicas Peruanas antes mencionadas, sino
tambin basarse e incluir normas y marcos de control internacionalmente
reconocidos como estndares de facto para auditora de sistemas y tecnologas de
informacin tales como ISO 27001, ISO 27002 y COBIT 5.0 garantizando la calidad
y eficacia de la ejecucin de las actividades del proceso evaluativo. Adicionalmente

11
se pretende establecer una base comn en la emisin de opinin sobre la
correctitud de los Sistemas de Gestin de Seguridad de la Informacin.

La viabilidad de los procedimientos contenidos en las guas que sern desarrolladas


en el presente proyecto de tesis abarcar a las empresas del estado peruano que
estn en la lista de instituciones obligadas a cumplir las normas regulatorias
emitidas por la ONGEI: NTP-ISO/IEC 17799:2007 y NTP-ISO/IEC 27001:2008.

Considerando otros aspectos sobre viabilidad del proyecto tenemos:

Tcnica: Estos procedimientos podrn ser viables en una actividad de


auditora de control de seguridad de la informacin siempre y cuando el
profesional que la ejecute tenga los conocimientos del marco de control
COBIT 5.0 as como su terminologa relacionada.

Temporal: Se debe tener en cuenta que este proyecto podr ser utilizado
mientras estn en vigencia de las normas tcnicas NTP-ISO/IEC
27001:2008 y NTP-ISO/IEC 17799:2007 y la declaracin de su
obligatoriedad.

Econmica: Depender mucho de los controles que apliquen las


instituciones del estado peruano para saber cunto le costara
implementarlos. Adems se considerar un gasto adicional si la empresa
estatal peruana decide certificarse en la norma ISO 27001 (este punto es
opcional dado que la NTP-ISO/IEC no indica que sea obligatorio dicha
certificacin).

Se debe tener en cuenta, adems, que las empresas a las que se realizar la
auditora de control debern tener documentados sus procesos para poder,
consecuentemente aplicando la norma, reconocer los activos que tienen que
someterse a proteccin.

12
CAPTULO 2

1. INTRODUCCIN

El presente captulo tiene por objetivo destacar tres tems importantes para el
desarrollo del proyecto de fin de carrera como son: el marco conceptual en el cual
se desenvuelve, la revisin del estado del arte y la discusin de la misma. Para
finalizar, se exhibe la bibliografa consultada en la elaboracin de este captulo.

2. MARCO CONCEPTUAL

Se presentar a continuacin, tres grupos de conceptos relacionados al proyecto de


fin de carrera que se considera necesario para su correcto entendimiento y que
marca la postura conceptual que se ha tomado para su desarrollo. Estos tres
grupos son: De Auditora, De Seguridad y De Riesgos.

2.1. Conceptos de auditora

En esta seccin del documento se darn los conceptos de auditora que se


manejaran para el desarrollo del proyecto de fin de carrera.

13
2.1.1. Tecnologas de Informacin

La Tecnologa de Informacin es un dispositivo para transmitir, manipular, analizar


o explotar informacin, en el cual una computadora digital procesa informacin
integral a comunicaciones de usuarios y tareas de decisin (Huber 1990).

La IT Governance Institute define un servicio de tecnologa de informacin es una


provisin diaria de aplicaciones de tecnologa de informacin y soporte para su uso,
incluyendo help desk, provisin y movimiento de equipos, y autorizaciones de
seguridad. Adems define una aplicacin de tecnologa de informacin como una
funcionalidad electrnica que congrega partes de procesos de negocio con soporte
de tecnologa de informacin (ITGI 2008).

Morton defini TI como un ente que comprende 5 componentes bsicos:


computadoras, tecnologa de comunicaciones, estaciones de trabajo, robtica y
circuitos de computadoras (Morton 1988).

Al realizar un compilado en los conceptos mencionados, podemos definir a una


tecnologa de informacin como un servicio relacionado que se usa en la
organizacin para el logro de sus objetivos de negocio, tanto dentro de de ella como
en sus actividades de interrelaciones con otras organizaciones.

Tambin podemos decir que son los sistemas de informacin (sistemas que
soportan procesos relacionados al manejo de la informacin en las organizaciones),
el hardware de computadoras, redes y comunicaciones, as como el software de
base (sistemas operativos, servidores proxy, manejadores de bases de datos,
servidores web, etc.)

2.1.2. Gobierno de Tecnologas de Informacin

Responsabilidad del comit de direccin y de los ejecutivos. Es una parte integral


del gobierno de la organizacin y consiste en el liderazgo y las estructuras y
procesos organizativos que aseguran que las Tecnologas de Informacin de la
organizacin sostienen y extienden la estrategia y los objetivos de la organizacin
(ITGI 2003).

Sensibilidadalas Aseguramientode
Confianzadela
necesidadesdel losretornosdelas
AltaDireccin
negocio inversionesenTI

Mayor
Prestacinde
transparenciaenel
serviciosmas
manejordela
confiables
gerenciadeTI
Figura 2: Beneficios ms destacados de un Gobierno de TI
(ISACA 2010)

14
La gestin de las Tecnologas de la Informacin est ms orientada al
abastecimiento interno de TI y con una ubicacin temporal en el presente, el
Gobierno de las Tecnologas de Informacin es ms amplio ya que adems
pretende atender las demandas externas (de los clientes) y en un espacio temporal
futuro. As, la gestin se concentrara en administrar e implementar las estrategias
en el da a da, mientras que el gobierno se encargara de establecer dichas
estrategias junto con la poltica y la cultura de la organizacin.

Cabe resaltar, aadiendo a lo expuesto anteriormente, que Allen define Gobierno


de Tecnologas de Informacin como la accin de fijar expectativas claras para la
conducta (comportamiento y acciones) de la entidad que est siendo gobernada, y
dirigir, controlar e influenciar fuertemente dicha entidad para cumplir estas
expectativas (Allen 2005).

El Gobierno de Tecnologas de Informacin tiene como objetivo principal llevar a


cabo proyectos de implementacin y uso de Tecnologas de Informacin y/o
Comunicaciones como soporte a las actividades crticas y que de algn modo le
brinde a la Alta Direccin la garanta de que la infraestructura tecnolgica que tiene
la organizacin va a permitir lograr los objetivos de negocio.

Es una estructura de relaciones y procesos que brinda direccin a la empresa para


lograr los objetivos de negocios con una adecuada implementacin de los procesos
de TI en su interior, haciendo que las inversiones en TI retornen valor, logrando
gestionar adecuadamente los riesgos de TI, entre otras metas.

Entregade
valordeTI

Alineamiento Gerenciade
estratgico riesgos

Medicindel
desempeo

Figura 3: Estructura de relaciones en el Gobierno de TI

Definiendo cada uno de estos aspectos de esta manera (Tupia 2011):

Alineacin estratgica: alinear la tecnologa a los objetivos organizacionales,


para que respondan como reales soportes.

15
Gestin de riesgos: el uso de TICs trae consigo una serie de riesgos a los
procesos en donde estn brindando soporte. La gestin de riesgos permitir
identificarlos, manejarlos y reducir el impacto que presentaran sobre los
procesos mismos y los activos de informacin involucrados.

Entrega de valor: optimizar las inversiones de TI.

Medicin del desempeo: monitorear los proyectos, procesos y la funcin


misma de TI, evaluando su idoneidad en relacin con los objetivos de
negocio con mtricas pertinentes

Con lo desarrollado anteriormente, podemos concluir que el Gobierno de


Tecnologas de Informacin institucionaliza las buenas prcticas para asegurar que
la TI respalda los objetivos del negocio. Con los mismos fines existen muchas
buenas prcticas internacionales que ayudarn a la organizacin a dirigir aspectos
especficos sobre estrategia, entrega de valor, prestacin de servicios, gestin de
riesgos y seguridad de informacin. Estos son:

COBIT 5.0: estndar de facto para alinear el Gobierno de TI al gobierno


corporativo. Tambin es herramienta clave para la auditora de TI.

ISO/IEC 27001: orienta a las empresas en la aplicacin y mantenimiento de


programas de seguridad de informacin, vindose stos reflejados en el
establecimiento de los sistemas de gestin de seguridad de informacin.

ITIL: principios bsicos de la estrategia, diseo, gestin y mejora continua del


proceso de prestacin de servicios de tecnologa.

ValIT: orienta las inversiones de TI de tal manera que se capitalicen en mayor


grado.

RiskIT: marco para la identificacin, anlisis y tratamiento de riesgos de


Sistemas de Informacin y de Tecnologas de Informacin.

ISO/IEC 38500: facilita las bases para la evaluacin objetiva del Gobierno de
Tecnologas de Informacin.

ITIL ValIT

ISO/IEC
RiskIT
27001

COBIT Gobierno ISO/IEC


5.0 deTI 38500

Figura 4: Buenas prcticas en Gobierno de Tecnologas de Informacin

16
2.1.3. Auditoria

La auditora es la actividad que consiste en emitir una opinin profesional objetiva


por parte de un especialista, sobre si el sujeto sometido a anlisis (sea ste un
sistema, proceso, producto, estructura organizacional, entre otros) cumple las
condiciones que le han sido prescritas y presenta la realidad que pretende reflejar
(Piattini y del Peso 2001: 4).

Paulk y otros indicaron que Auditora es una evaluacin independiente de un


resultado o conjunto de resultados, con la finalidad de determinar la conformidad
con las especificaciones, estndares, acuerdos contractuales (1993).

As mismo, la ISO 19011:2002 indica que es un proceso sistemtico, independiente


y documentado para obtener evidencias de la auditora y evaluarlas de manera
objetiva con el fin de determinar la extensin en que se cumplen los criterios de
auditora (ISO 2002).

Cabe resaltar que la Auditora es una actividad que se desenvuelve, dentro de la


empresa o para el sujeto que va a sufrir la auditora, de manera independiente; que
implica una opinin, profesional y especializada, sobre el estado del sujeto de
auditora; y que procura la introduccin de mejoras dentro de la organizacin.

En el Per, el Instituto Nacional de Defensa de la Competencia y de la Proteccin


de la Propiedad Intelectual define la Auditora, en la NTP-ISO/IEC 12207:2006
(INDECOPI 2006), como el proceso para determinar el cumplimiento con los
requerimientos, planes y contrato, segn aplique. Adems se indica que este
proceso puede ser empleado por cualquiera de las dos partes, donde una de ellas
(la auditora) audita los productos software o actividades de la otra parte (la
auditada).

2.1.4. Criterio

Son procedimientos, buenas prcticas o polticas que son utilizadas por el


profesional a cargo de la actividad de auditora para comparar la informacin
recopilada en la misma. Son requerimiento contra los que se hace esta
comparacin y que pueden ser estndares internacionales, normas, requerimientos
organizacionales especficos, y requerimientos legales o regulatorios.

17
Normas,
marcosde
control,
Req
quisitos cdigosde
Leggalesy buenas
Regu
ulatorios prcticas

Polticas,
objeetivos,
meetas,
estnndares

CRITEERIO
Figu
ura 5: Criterio
os de Auditorria

2.1.5. Evid
dencia

En auditorra, se refie
ere a los reg
gistros, decclaraciones de hechos,, cdigo, prruebas o
cualquier otra informacin que sons pertinentes para los criterios de auditora y que
son verificcables.

La evidencia de la au ede ser cualitativa o cua


uditora pue antitativa.

Es cualquuier informa
acin usada
a por el au
uditor para establecerr si el obje
eto o los
datos quee estn sieendo audita
ados, cumpplen con los criterios establecido
os y as
puede sustentar lass conclusiones a las que llega y las reco omendacion nes que
brindar ms
m adelantte.

2.1.6. Hallazgo

Un hallazgo de auditora es ell resultado de la evalluacin de la evidenccia de la


auditora recopilada
r f
frente a los criterios de
e auditora.

Los hallazzgos puede en indicar la


a conformidad o no co onformidad con los critterios de
auditora y reportar oportunidade
o es de mejorra para la organizacin
o n.

18
8
Criterios Evidencias Hallazgos

Figura 6: Concepto de Hallazgos de Auditoria

2.2. Conceptos de Seguridad

A continuacin se presentar los conceptos relacionados a Seguridad como son:


activo, seguridad de la informacin, amenaza y vulnerabilidad.

2.2.1. Activo

Elemento impreso o digital que contenga informacin, as como todo sistema -


conformado por software, hardware y su documentacin pertinente - que cree,
maneje y procese informacin para una organizacin; tambin se puede incluir a la
infraestructura tecnolgica donde se desenvuelven dichos sistemas. Se considera
activo est o no registrado contablemente (Tupia 2010: 21)

2.2.2. Seguridad de la Informacin

La ISO/IEC 27000:2009 define la Seguridad de Informacin como la preservacin


de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras
propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser
tambin consideradas. (ISO 2009). Tambin amplia el concepto aadiendo que es
la proteccin de la informacin de un rango amplio de amenazas para poder
asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el
retorno de las inversiones y las oportunidades comerciales.

Es necesario entender tambin a la Seguridad de Informacin como el conjunto de


procesos y actividades que permiten mantener libre de peligros y daos por
accidente o ataque a los activos de informacin que forman parte de una
organizacin (BOSWORTH, KABAY y WHYNE 2002)

Muy importante es diferenciar seguridad de tecnologas de informacin y la


seguridad de informacin: la seguridad de TI se encarga en particular, de la
proteccin tecnolgica y es administrada desde un nivel operativo por las reas de
sistemas de la mayora de empresas.

La seguridad de informacin va ms all ocupndose de riesgos, beneficios, buen


uso, procesos y actividades involucradas con la informacin y los activos
relacionados a ella, impulsados por la Alta Direccin empresarial (Tupia 2010: 21)

19
2.2.3. Amenaza

Una causaa potencial de un incid


dente no-de
eseado, el cual
c puede resultar en
n dao a
un sistema
a u organizacin (ISO 2004).

Son todass las actividades, eventos o circun


nstancias qu
ue pueden afectar el buen
b uso
de un activo de informmacin da o permitiendo que brin
ndolo y no nde soportee a algn
proceso, perjudicand do directam
mente la coonsecucin de los obbjetivos de negocio
(Tupia 201
10).

Naturaleso Ocasion nadosporfennmenosdelanaturaleza


ambie
entales Esdifcilprotegersedeellosporssuperiodicidaadyduracin
n.

Accidentales Sinprem
meditacinallguna.

Fallasfsicaspremed
ditadas
Tcnicas
ntangiblespreemeditadas.
Fallasin

Personaaldescontentto(internoy//oexterno).
Produccidospor
Ingnorantesaccidentales:pordesconocimienttodelmanejo
o
elho
ombre
deactivvosdeinformacinseconvviertenenammenazas.
Fig
gura 7: Tipos de amenazas
s

2.2.4. Vulnerabilidad
d

La debilidad de un activo
a o gru
upo de activos que pu
uede ser ex
xplotada po
or una o
ms amen nazas. (ISO
O 2004)

Es una caracterstic
c ca inherentte al activo de inforrmacin, siendo el grado de
susceptibiilidad a ve
erse afecta
ado por unau amenaaza. Los activos
a deb
ben ser
sometidoss a pruebass para com
mprobar la presencia
p d vulnerab
de bilidades en
n ellos y
medir su gravedad.
g

Existen herramientass (software


e) que perm miten diagn
nosticar y observar
o de forma
detallada los activoss para as detectar las vulnera
abilidades. Esta activvidad es
conocida por
p ser heccha por perittos en mate
eria de segu
uridad.

Se puede imputar a la ausencia de controlees o a su de


eficiente esttablecimien
nto como
las princip
pales causa
as de vulne
erabilidadess sobre los activos de informacin n (Tupia
2010).

20
0
2.3. Conc
ceptos de Riesgos
R

Se requieere conoce er ciertos conceptos


c ssobre el rea
de Rie esgos, porr lo que
describiremos los sig
guientes con
nceptos parra el proyeccto de fin de
e carrera.

2.3.1. Riesgo

Potencial de que un na amenaza a (externa o interna) explote


e una
a vulnerabilidad de
uno o varrios activoss ocasionan
ndo dao a la organiizacin. Suu naturaleza
a puede
depender de asp pectos ope erativos, financieros, regulato orios (lega
ales) y
administra
ativos (ISO 2008).

Riesggo
inhereente

Riesgode Riesgode
negocio control

Riesggos

Otross
Riesggode
riesgo
os
deteccin
generales

Figura 8:: Tipos de Rie


esgos (ISACA
A 2011)

Un estnddar australia
ano seala que es cua alquier impe
edimento, obstculo,
o a
amenaza
o problem
ma que pued da impedirlle a la emppresa que alcance
a un objetivo. Se puede
ver tambi
n como la posibilidad de sufrir un
n dao o prdida. Se mide
m en trm
minos de
impacto y probabilidaad de ocurrrencia. Pueede tener unn impacto positivo
p o negativo.
n
(SA 2004))

Es la probabilidad de que una ame enaza se materialice e explotando una


vulnerabiliidad sobre un activo, provocando
p un impacto o negativo sobre
s l. El proceso
e riesgos y el de clasificacin de activos permite
de identificacin y evvaluacin de
determinaar que tan expuestos
e s encuentrran los activos de info
se ormacin a ataques
por la pre esencia dee vulnerabillidades pro
opias o inh herentes a la activida ad de la
organizacin.

2.3.2. Con
ntrol

El control es un pro
oceso por el cual la administrac
cin verifica
a si lo que
e ocurre
concuerdaa con lo qu
ue supuesttamente deebe ocurrir. Permite que
q se reallicen los

21
1
ajustes o correccionees necesarrias en caso
o se detectten eventoss que escap
pan a la
naturaleza
a del processo.

Es una etapa primo ordial en la administraacin, puess, por ms que una empresa
e
cuente co on magnficcos planess, una estrructura organizacionall adecuada a y una
direccin eficiente, no
n se podr verificar la
a situacin real de la organizaci
n si no
existe un mecanismo o que verifiq
que e informme si los he
echos van de
d acuerdo o con los
objetivos. (ISO 2005)).

Definidossporla
AltaGerrencia

Deebe Debenfoormar
determminarse partede
euna
susobjjetivos culturra
demaanera organizaccional
clarayp
precisa. delconttrol.

Figura 9: Carac
ctersticas ge
enerales de lo
os controles.

Son las polticas,


p procedimienttos, prcticcas y estru
ucturas organizacionalles para
reducir rie
esgos y que
e adems prroveen ciertto grado dee certeza de
e que se alccanzarn
los objetiv
vos de nego
ocio.

2.3.3. Imp
pacto

Medida dee las prdid


das que se podran exxperimentar al explotarr una vulnerrabilidad
de uno o varios
v activo
os en nuesttra organiza
acin.

Su clculoo es importtante en la a Gestin de


d Riesgos (conjunto de d actividaddes que
permite id
dentificar, cu
uantificar, tratar
t y mon
nitorear el riesgo
r en la
as organiza
aciones).
Conocer exactamen nte el impa acto favoreece las iniciativas de e seguridadd en la
organizacin pues se er el motivvo por el cu
ual se pued da incitar a la Alta Ge
erencia a
ejecutar el proyecto de
d segurida ad que se esst elaborando.

Ayuda de sobremanera en la atencin


a dee los riesgo
os, dndonoos pautas de
d cmo
distribuir los recursoss que tenem
mos en la organizaci
o enemos una buena
n ya que te
medida de das que se podran exxperimentarr y por ende estar pre
e las prdid eparados
desde todas las reas de la orga anizacin.

Lo dicho en
e el prraffo anterior es el causa ante de haccernos com
mprender qu ue hacer
una cuantificacin financiera es
e obligatorrio. Se debbe realizar esta cuanttificacin
tanto a co
orto como a largo plazzo e incluir adems as es como prdida de
spectos tale
imagen dee la empressa en el me ercado, prrdida de din
nero, disminnucin del valor de

22
2
las acciones de la empresa, responsabilidad penal o civil, sanciones por violaciones
a las regulaciones y ms.

Debemos tambin establecer rangos, para la cuantificacin del impacto, para tener
una mayor visin del mismo. Esta cuantificacin puede basarse en el costo o
valoracin del activo de informacin as como la prdida sufrida de integridad,
disponibilidad y confidencialidad de la informacin manejada/creada/custodiada por
dicho activo.

Algunas escalas comunes de impacto son cualitativas: catastrfico, muy grave,


medio, moderado o bajo a las que muchas veces se les agrega un valor numrico.
La mayora de autores coinciden en que las escalas ms adecuadas se encuadran
dentro de matrices 5x5 (o mapa de calor de riesgos) como se puede apreciar en la
siguiente figura (Tupia 2010):

Catastrfico 5
Material 4
Mayor 3
Menor 2
Insignificante 1
1 2 3 4 5
Raro Poco Moderado Probable Frecuente
probable
Figura 10: Matriz de riesgo basado en un anlisis cualitativo

A partir de experiencias pasadas, de prcticas internacionalmente aceptadas, de


investigaciones de mercado, de modelos financieros y mas se realizan tanto el
clculo del impacto como el clculo de la probabilidad, que cabe resaltar, son
predominantemente matemticos.

Es necesario indicar que en el marco de desarrollo de estos clculos se introducir


una dosis de subjetividad que va a depender del tipo de organizacin y de los
activos de informacin que se tengan para clasificar los riesgos y calcular los
impactos.

23
Im
mpactoporp
prdidadeIn
ntegridad

C
Cuandoelsisstemadeinfformacinyllosdatosmaanejadosson
n
s
susceptibles demodificaccionesnoau
utorizadasnicontroladassapartirde
a
actosmalicio
ososoaccideentales.

Im
mpactoporp
prdidadedisponibilidad
d

CCuandoelsisstemadeinfformacinyllosdatosmaanejadosnosse
e
encuentrand disponiblesp
parasuusoyyexplotacinn.
SSemideenu
unidadesdettiempoydinnero.

Im
mpactoporp
prdidadeco
onfidencialid
dad

C
Cuandolainfformacindelaorganizaacindecarctersensiblees
d
divulgadade maneranoautorizada

Figu
ura 11: Anlis
sis de impactto

2.3.4. Ges
stin de Riesgos

Proceso que
q busca establecer
e u equilibrio
un o entre lo que
q la emprresa quiere e ganar
frente a lo que est disp puesta a sufrir: ga anancias enfrentadas
e a las
vulnerabiliidades y prdidas que pueda teener por effecto de lass amenaza as a sus
recursos ms
m crticoss. En este caso
c especffico, los rec
cursos de in
nformacin.

Es una he erramienta base de la Seguridad d de Informaacin ya qu ue nos mueestra las


amenazass a la integrridad, dispo
onibilidad y confidencia
alidad de la
a informaci
n crtica
de la orga
anizacin; y tambin nos
n permite la gestin y monitore eo del cumpplimiento
de los requisitos reggulatorios a los que est someti el nego ocio y que afectan
directamente a su continuidad d (que es gran medida, el objetivo de cualquier
c
estrategia de segurid
dad de informacin).

Conjunto de activida ades que permite iden ntificar, cua


antificar, tratar y monittorear el
riesgo en las organizzaciones fun ngiendo de balanza en ntre lo que ses est prottegiendo
(por medio
o de un con ntrol) y lo qu
ue se estara perdiendoo:

Control

Riesgo

Figura 12
2: La gestin de riesgo co
omo una herrramienta de balance
b

Para lograar el xito de la GR, es vital te


ener en cueenta tanto la cultura como la
estructura
a de la orgaanizacin, la vos de negocio que se hayan
l misin y los objetiv

24
4
trazado, la definicin de los procesos organizacionales y el conocimiento de marcos
de buenas prcticas generalmente aceptados.

En el escenario que una amenaza se materialice, la Gestin de Riesgos garantizar


que el impacto que se tendr internamente (en la organizacin) ser manejable, es
decir, que estar enmarcado dentro de los lmites de costos aceptables sin
perturbar la continuidad del negocio.

Sabemos que en toda actividad empresarial hay riesgo (cuando hacemos algo o
cuando dejamos de hacer algo), la Gestin de Riesgos debe brindar garanta de
seguridad en cualquier actividad que emprenda la institucin apoyndose en la
estrategia de seguridad que sta est llevando a cabo.

ACTIVO DE IMPACT
O EN EL
AMENAZAS INFORMACIN RIESGO NEGOCI
O

Figura 13: Esquema Amenaza-Vulnerabilidad-Riesgo-Impacto (Tupia 2010)

La Gestin de Riesgos es tambin tener un autoconocimiento considerable, esto es,


la necesidad de conocer las amenazas y vulnerabilidades propias. En consecuencia
la Gestin implicar conocer la naturaleza de los riesgos para cuantificar el impacto
en el negocio. De esta manera se podr administrar los riesgos de manera
eficiente. Este es un paso crucial y previo para la determinacin de la estrategia y
de los planes de seguridad.

Debemos tener muy presente que la Gestin de Riesgos debe llevar, de manera
adjunta a s misma, un mensaje que transmita el equilibrio entre el costo que
llevara la implementacin de los controles y contramedidas, y las exposiciones al
riesgo que tiene la organizacin.

Determinar Monitoreary Comunicaralos


contextode revisarlos actores
aplicacin riesgos involucrados.

Identificarlos Aceptarriesgos
riesgos residuales

Analizary Tratarlosriesgos
clasificarlos (implementar
riesgos controles)

Figura 14: Fases de la Gestin de Riesgos

25
La importancia de la GR radica en convertir a la seguridad de informacin en un
facilitador del negocio, en un ente que aporta valor al mismo. Permite dirigir las
acciones que prevengan, de manera razonable, las amenazas a la seguridad a las
que se ve expuesta la empresa; o sea, en cierta medida dirige los planes de
seguridad.

3. REVISIN DEL ESTADO DEL ARTE

3.1. COBIT

Es un marco integral de Gobierno de las Tecnologas de la Informacin que


permite, a la Alta Direccin de una organizacin, alcanzar sus objetivos para el
gobierno y la gestin de las TI de las empresas. Ayuda a las organizaciones a
obtener un retorno de valor de sus TI y les permite conectar los requerimientos de
negocio y de control con los aspectos tcnicos, controlando los riesgos y
optimizando los recursos.

COBIT 5.0 usa varios estndares y normas internacionales convenientemente para


poder convertirse en un marco integrador. Entre ellas se encuentran: ValIT, RiskIT,
ITIL, Familia ISO 27000, Normas NIST, COSO, CMMI, PMBOK.

Se basa en los siguientes principios:

Figura 15: Principios de Cobit 5.0 (ISACA 2012)

1. Identificar las necesidades de los Stakeholders (Interesados)


Crear valor manteniendo el equilibrio entre realizacin de beneficios y la
optimizacin del uso de recursos y gestin del riesgo.

26
2. Cubrir y conocer el negocio de la organizacin
Conocimiento profundo del negocio de la organizacin para conseguir una
integracin entre el Gobierno de la empresa y el Gobierno de las TI.

3. Aplicar un nico marco de trabajo integrado


COBIT cubre todas las necesidades y se integra con otros marcos y buenas
prcticas, de forma que puede ser utilizado como marco general.

4. Aplicar un enfoque holstico


Para obtener con eficacia y eficiencia una Gestin y Gobierno de TI.

5. Separar Gestin de Gobierno.


Es necesario hacer la diferencia entre ambas disciplinas, resaltando su
importancia y complementariedad.

Tambin se presenta el concepto de facilitadores que son factores que individual o


colectivamente influyen para que algo funcione. En COBIT 5.0 son descritas 7
categoras:

Figura 16: Facilitadores de COBIT 5.0 (ISACA 2012)

1. Principios, Polticas y Marcos de Trabajo


Son el medio para ocasionar el comportamiento deseado para la gestin
diaria mediante guas prcticas.

2. Procesos
Especifican un grupo organizado de actividades y prcticas para cumplir con
objetivos determinados y producir un conjunto de salidas para alcanzar los
objetivos generales relacionados con TI que estn alineados con los
objetivos del negocio.

3. Estructura Organizacional

27
Entidades importantes y claves en la toma de decisiones de la empresa u
organizacin.

4. Cultura, tica y Comportamiento


De la empresa y de los individuos que tienen que ser considerados un factor
significativo para el xito en las actividades de gobierno y gestin de TI.

5. Informacin
Requerida para mantener la empresa en ejecucin y bien gobernada. En el
nivel operacional, la informacin es un producto clave de la empresa.

6. Servicios, Infraestructura y Aplicaciones


Incluye la infraestructura, la tecnologa y las aplicaciones para proveer a la
empresa los servicios y procesamiento de TI.

7. Personas, Habilidades y Competencias


Requeridas para completar con xito las actividades y para tomar las
decisiones correctas y acciones correctivas (mediante el monitoreo).

COBIT 5.0 es complementado por sus procesos facilitadores que son prcticas
relacionadas de TI las cuales son subdivididas en dos reas principales:

A. Gobierno: donde se definen siguientes actividades: (EDM, por sus siglas en


Ingls)
a. Evaluar
b. Dirigir
c. Monitorear

B. Gestin: donde se entregan a 4 dominios que son: (PBRM, por sus siglas en
Ingls)
a. Planear
b. Construir
c. Ejecutar
d. Monitorear.

28
Figura 17: Modelo de Referencia de Procesos de COBIT 5.0 (ISACA 2012)

A. EMD - Evaluar, Dirigir, Supervisar

a. EDM01 Definir y Mantener el Marco de Gobierno


b. EDM02 Asegurar Entrega de Beneficios
c. EDM03 Asegurar Optimizacin de Riesgo
d. EDM04 Asegurar Optimizacin de Recursos
e. EDM05 Asegurar Transparencia para los Interesados

B. APO - Alinear, Planear, Organizar

a. APO01 Gestionar el Marco de Gestin de TI


b. APO08 Gestionar Relaciones
c. APO02 Gestionar la Estrategia
d. APO09 Gestionar Acuerdos de Servicio
e. APO03 Gestionar la Arquitectura Empresarial
f. APO10 Gestionar Proveedores
g. APO04 Gestionar Innovacin
h. APO11 Gestionar Calidad
i. APO05 Gestionar Cartera
j. APO12 Gestionar Riesgo
k. APO06 Gestionar Presupuesto y Costos

29
l. APO13 Gestionar Seguridad
m. APO07 Gestionar Recursos Humanos

C. BAI - Construir, Adquirir, Implantar

a. BAI01 Gestionar Programas y Proyectos


b. BAI08 Gestionar Conocimiento
c. BAI02 Gestionar Definicin de Requerimientos
d. BAI09 Gestionar Activos
e. BAI03 Gestionar Identificacin de Soluciones y Construir
f. BAI10 Gestionar Configuracin
g. BAI04 Gestionar Disponibilidad y Capacidad
h. BAI05 Gestionar Facilitacin del Cambio Organizacional
i. BAI06 Gestionar Cambios
j. BAI07 Gestionar Aceptacin del Cambio y Transicin

D. DSS - Entrega, Servicio, Soporte

a. DSS01 Gestionar Operaciones


b. DSS02 Gestionar Requerimientos de Servicio e Incidentes
c. DSS03 Gestionar Problemas
d. DSS04 Gestionar Continuidad
e. DSS05 Gestionar Servicios de Seguridad
f. DSS06 Gestionar Control de Procesos de Negocio

E. MEA - Supervisar, Evaluar, Valorar

a. MEA01 Desempeo y Conformidad


b. MEA02 Sistema de Control Interno
c. MEA03 Cumplimiento Requerimientos Externos

ISACA propone la ejecucin del diagrama presentado en la Figura 18, donde se


resalta la composicin de 3 crculos concntricos, los cuales pueden ser indicados
de la siguiente manera: Planificacin, Cambios, Mejora Continua.

30
Figura 18: Ciclo de vida de implementacin de COBIT 5.0 (ISACA 2012)

La implementacin cubre:
Posicionamiento del Gobierno de TI empresarial dentro de la organizacin
Tomar los primeros pasos hacia la mejora del Gobierno de TI
Desafos de la implementacin y factores de xito.
Facilitar los cambios organizacionales y el comportamiento de los mismos.
Implantado la Mejora Continua que incluye posibilitacin del cambio y
gestin del programa.
La utilizacin del marco integral COBIT y sus componentes.

3.3. ISO 27001 y 27002

Se refiere a las normas internacionales del International Organization for


Standardization (ISO). Pertenecen a la familia de normas ISO 27001.
Recientemente han sido actualizadas a una nueva versin: ISO/IEC 27001:2013 e
ISO/IEC 27002:2013.

El objetivo de la ISO 27001 es que la empresa sea capaz de priorizar y seleccionar


controles en base a sus posibilidades y a sus necesidades/riesgos de seguridad. Es
que los riesgos se analicen y se gestionen, que la seguridad se planifique, se
implemente y, sobre todo, se revise y se corrija y mejore.

La ISO 27001 se ha modificado para adaptarse a la nueva estructura de alto nivel


utilizado en todas las normas de Sistemas de Gestin, lo que simplifica su
integracin con otros sistemas de gestin.

31
La ISO 27002 es una gua para, en distintos mbitos, conocer qu se puede hacer
para mejorar la seguridad de la informacin. Expone, en distintos campos, una serie
de apartados a tratar en relacin a la seguridad, los objetivos de seguridad a
perseguir, una serie de consideraciones (controles) a tener en cuenta para cada
objetivo y un conjunto de "sugerencias" para cada uno de esos controles. Sin
embargo, la propia norma ya indica que no existe ningn tipo de priorizacin entre
controles, y que las "sugerencias" que realiza no tienen por qu ser ni siquiera
convenientes, en funcin del caso en cuestin.

La ISO 27002 es en esencia una gua que describe los objetivos de control y los
controles recomendables en cuanto a seguridad de la informacin en las
organizaciones.

32
Organizzacin de
Polticas de
d Seguridad Segurida
ad de los
Seguriddad de la Gestin de
e Activos
de la Infformacin Recursos Humanos
Inform
macin

Seguridad fsica y Seguridad


d de las
Control de
d Accesos Cripto
ografa
medioammbiental operac
ciones

Gestin de los
Adquisicin de los
Segurid
dad de las Relacione
es con los incidenttes de
sistemas, desarrollo
d y
comuniicaciones provee
edores seguridaad de la
mantennimiento
informaacin

Aspec ctos de
seguriddad de la
informac cin de la Cumplimiento
gestin de continuidad
egocio
del ne

3.2. NTP 27001


2

Norma T cnica Peruuana NTP-ISO/IEC 27 7001:2008 que especcifica los re equisitos


para el esstablecimien
nto, implanta
acin, la pu ncionamientto, control, revisin,
uesta en fun
mantenimiento y me ejoramientoo de un Siistema de Gestin de e Segurida ad de la
Informacin de una organizacin
o n.

Adopta la aplicacin de un sisteema de proocesos denttro de una organizacin, junto


con la identificacin
n y la interraccin de estos proccesos, as como su gestin,
adoptando o el modelo
o Plan-Do-C plica para estructurar to
Check-Act, que se ap odos los
procesos del Sistem ma de Gestin de Seg guridad de la Informaccin. Este proceso
requiere:

33
3
Estableecerel Implem
mentar
SGSI yoperarel
SGSI

P
Plan Do

Act Checkk
Manteenery Monitorizar
Mejoraarel yrevisarel
SGSI SGSI

Figura 19: Plan-Do-Chec


P ck-Act para NTP
N 27001

Estabblecer el SGGSI: Crear poltica, objjetivos, pro


ocesos y proocedimiento os SGSI
releva
antes para manejar
m el riesgo y me ejorar la segguridad de la informaccin para
entreggar resultad
dos en corrrespondenccia con las polticas
p y objetivos
o geenerales
de la organizacin.

Implementar y operar
o el SG
GSI: Implem
mentar y manejar
m la poltica,
p con
ntroles y
proce
edimientos SGSI.
S

Monittorear y re
evisar el SGSI: Evalu
uar y, dondde sea aplicable, callcular el
desemmpeo del proceso en comp paracin con
c la poltica, obje
etivos y
experriencias pr GSI y reportar los resultados a la gerenccia para
cticas SG
revisi
n.

Manteener y mejorar SGSI: Tomarr acciones s correctivaas y prevventivas,


establecidas en los resulttados de la a auditora
a interna SGSI
S y la revisin
geren
ncial u otra informacin
n relevante, para lograr el mejoram
miento conttinuo del
SGSI.
La norma se encuenttra estructurada en loss siguientes tems:

A. Pre
efacio e intrroduccin.

B. Alccance del modelo.


m

C. Re
eferencias normativas.
n

D. T
rminos y de
efiniciones.

E. El sistema de gestin de la segurida


ad de inform
macin en s.
s

F. Re
esponsabilid
dad de la ge
erencia.

34
4
G. Auditoras internas al Sistema de Gestin de Seguridad de la Informacin.

H. Revisin gerencial del Sistema de Gestin de Seguridad de la Informacin.

I. Mejoramiento continuo del Sistema de Gestin de Seguridad de la


Informacin.

J. Anexo A: Objetivos y controles.

K. Anexo B: Gua de los principios OECD para administracin de riesgos y su


correspondencia con el ciclo de Deming PDCA.

L. Anexo C: Correspondencia de esta norma como los estndares ISO


9001:2000 e ISO 14001:2004

3.4. NTP 17799

Norma Tcnica Peruana elaborada por el comit Tcnico de Normalizacin de


codificacin e Intercambio Electrnico de Datos (EDI) en el ao 2006, siendo
oficializada al ao siguiente. Es una adopcin de la Norma ISO/IEC 17799:2007.

La NTP 17799:2007 tiene como finalidad proporcionar una base comn en el


desarrollo de normas de seguridad en las organizaciones y ser una buena prctica
de la gestin de la seguridad.

Comprende de 11 tems de control de seguridad que envuelven un total de 39


categoras principales, que (con sus respectivos objetivos) son:

A. Poltica de seguridad

a. Poltica de seguridad de la informacin: para la gestin de Seguridad de la


Informacin segn los requerimientos del negocio, las leyes y
regulaciones.

B. Aspectos organizativos para la seguridad

a. Organizacin interna: gestionar internamente la seguridad de la


informacin.
b. Seguridad en los accesos de terceras partes: para mantener la seguridad
de los activos de informacin y los recursos que manejen informacin por
parte de terceros.

C. Clasificacin y control de activos

a. Responsabilidad sobre los activos: para la proteccin adecuada de los


activos de la organizacin.

35
b. Clasificacin de la informacin: para establecer un nivel de proteccin a los
activos de informacin.

D. Seguridad en Recursos Humanos

a. Seguridad antes del empleo: asegurando que los empleados, contratistas y


terceros sean los adecuados y que conozcan sus responsabilidades,
reduciendo as el riesgo de fraude, hurto o mal uso de las instalaciones.
b. Durante el empleo: que los empleados, contratistas y terceros sean
consientes de las polticas de seguridad de informacin de la organizacin.
c. Finalizacin o cambio del empleo: que los empleados, contratistas y
terceros terminen su relacin laboral con la organizacin de manera
ordenada.

E. Seguridad fsica y del entorno

a. reas seguras: Prescindir los accesos no autorizados, daos e


interferencias contra los locales y la informacin de la organizacin.
b. Seguridad de los equipos: para los activos de informacin y la interrupcin
de las actividades de la organizacin.

F. Gestin de comunicaciones y operaciones

a. Procedimientos y responsabilidades de operacin: manejo correcto y


seguro de los recursos que utilicen informacin de la organizacin.
b. Gestin de servicios externos: para mantener un nivel de seguridad
apropiado y de entrega de servicio en lnea con los acuerdos con terceros.
c. Planificacin y aceptacin del sistema: atenuar los riesgos de fallos del
sistema.
d. Proteccin contra software malicioso: dar proteccin a la integridad del
software y de la informacin
e. Gestin de respaldo y recuperacin: que los servicios que manejan la
informacin y comunicacin se mantengan en fluidez continua.
f. Gestin de seguridad en redes: asegurar la informacin en las redes as
como de su infraestructura.
g. Utilizacin de los medios de informacin: que las actividades de
informacin no se interrumpan y que los activos no sufran modificaciones,
daos y accesos no autorizados.
h. Intercambio de informacin: evitar la prdida, modificacin o mal uso de
informacin que se intercambia entre organizaciones.
i. Servicios de correo electrnico: dar seguridad al uso y servicios de
comercio electrnico.
j. Monitoreo: para detectar las actividades no autorizadas que quieran
manejar la informacin de la organizacin.

G. Control de accesos

36
a. Requisitos de negocio para el control de accesos: controlar los accesos a
la informacin.
b. Gestin de acceso de usuarios: asegurar el acceso de usuario autorizados
y minimizar los no autorizados.
c. Responsabilidades de los usuarios: evitar los accesos no autorizados y el
compromiso o robo de la informacin.
d. Control de acceso a la red: impedir el acceso no autorizado a los servicios
de red.
e. Control de acceso al sistema operativo: evitar los accesos no autorizados a
las computadoras.
f. Control de acceso a las aplicaciones y la informacin: para dificultar el
acceso no autorizado a la informacin que est en los sistemas.
g. Informtica mvil y teletrabajo: acreditar la seguridad de la informacin
mediante dispositivos mviles y de teletrabajo.

H. Adquisicin, desarrollo y mantenimiento de sistemas

a. Requisitos de seguridad de los sistemas: que los sistemas de informacin


sean seguros desde su concepcin.
b. Seguridad de las aplicaciones del sistema: que los datos de usuarios no
experimenten mal uso, prdida o modificaciones en las aplicaciones.
c. Controles criptogrficos: para proteger la informacin referente a su
confidencialidad, integridad y autenticidad.
d. Seguridad de los archivos del sistema: preservar la seguridad de los
archivos del sistema.
e. Seguridad en los procesos de desarrollo y soporte:
f. Gestin de la vulnerabilidad tcnica

I. Gestin de incidentes en la Seguridad de Informacin

a. Reportando eventos y debilidades de la seguridad de informacin


b. Gestin de las mejoras e incidentes en la seguridad de informacin

J. Gestin de continuidad del negocio

a. Aspectos de la gestin de continuidad del negocio

K. Cumplimiento

a. Cumplimiento con los requisitos legales


b. Revisiones de la poltica de seguridad y de la conformidad tcnica
c. Consideraciones sobre la auditoria de sistemas

La Presidencia del Consejo de Ministros, decret que de uso obligatorio esta norma
con la finalidad de poder generar un plan de seguridad de la informacin en la
Administracin Pblica. Esta medida muestra que el estado peruano tiene como

37
consigna el introducir cada vez ms la cultura de seguridad en sus empresas
estatales para brindar mejor servicio a los ciudadanos peruanos.

4. DISCUSIN SOBRE LOS RESULTADOS DE LA REVISIN DEL ESTADO DEL


ARTE

Al realizarse la revisin del estado del arte para nuestro proyecto de fin de carrera y
despus de consultarse en instituciones oficiales del estado peruano como el
Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad
Intelectual (INDECOPI), Oficina Nacional de Gobierno Electrnico e Informtica
(ONGEI), Contralora General de la Repblica (CGR) se pudo constatar que no
existen registro alguno de guas o procedimientos para poder realizar auditoras de
cumplimiento de la NTP-ISO/IEC 17799.

El marco internacional COBIT se ha actualizado y en su nueva versin 5.0 presenta


una mejora que es valorada por los profesionales, ya que al ser el estndar de facto
en Tecnologas de Informacin brinda una combinacin de otros estndares de
ISACA.

Cabe resaltar que la reciente normativa NTP-ISO/IEC 27001:2008 obliga a una lista
de empresas del estado peruano a implantarla, pero no estipula que necesiten ser
certificadas en ISO 27001:2005. Cualquiera sea el caso, se debe tener en cuenta
los gastos que implicara bien la implantacin de la norma tcnica peruana o la
consecucin de la certificacin en su relacionada norma internacional.

La NTP-ISO/IEC 17799, que es el descenso de la norma ISO 27002:2005 en el


escenario peruano, es ideal para tomarse como base para el desarrollo de los
procedimientos que se proponen en este proyecto de fin de carrera que sern
utilizados como parte de los controles del proceso de implantacin de la NTP-
ISO/IEC 27001.

Es importante indicar que las normas ISO 27001 e ISO 27002 han sido actualizadas
recientemente a las versiones ISO 27001:2013 e ISO 27002:2013. Estas normas
son internacionales y en el marco peruano an estn siendo introducidas por los
profesionales de seguridad de la informacin en las distintas empresas. Las NTP
(normativa vigente) an mantienen su versin anterior (ISO 27001:2005 e ISO
27002:2005) con sus respectivas equivalencias. Mientras no se actualice al
equivalente a las nuevas versiones ISO, las empresas del estado peruano pueden
seguir trabajando bajo la versin anterior.

38
CAPTULO 3:
PROCEDIMIENTOS GENERALES DE AUDITORA

1. INTRODUCCIN

Para poder dar inicio a una Auditora de Control de Seguridad de la


Informacin basada en la NTP-ISO/IEC 17799:2007 para empresas pblicas
del Estado Peruano, es fundamental identificar las entidades que tienen las
facultades de ejecutar sta actividad.

En el contexto peruano, se reconocen las siguientes entidades de las cuales


puede preceder esta motivacin:

Control Interno, de la empresa pblica (si es que existiese dicha


rea)
Gerencia General, como ente superior de la empresa pblica.
Contralora General de la Repblica, como Entidad Fiscalizadora
Superior (EFS) en el Per

Se necesita recabar la informacin necesaria mediante la solicitud de los


documentos oficiales, registrados y difundidos de la empresa, as como
tambin, mediante entrevistas personales con la(s) personas(s) a cargo en
las reas relacionadas al objeto de auditora.

39
2. PROCEDIMIENTOS PARA DETERMINAR EL ALCANCE DE LA
AUDITORA

Como primer punto a atender es determinar el alcance que tendr la


Auditora. Para ello se revisar la documentacin de la empresa que se
hayan compuesto al implementar los controles sugeridos por la NTP-
ISO/IEC 17799:2007.

Al ser, la auditora de control de Seguridad de la Informacin basada en la


NTP-ISO/IEC 17799:2007, parte del proceso de implementacin de la
Norma Tcnica Peruana NTP-ISO/IEC 27001:2008, se hace obligatoria
tambin la revisin de la documentacin generada al establecer el Sistema
de Gestin de Seguridad de la Informacin.

Adems se realizarn entrevistas personales al grupo de personas


profesionales de la entidad de la cual viene el pedido de ejecutar el proceso
de Auditora.

A continuacin se lista los tems que ayudarn a poder establecer de


manera detallada el Alcance de la Auditora:

tem Descripcin
Polticas, principios, normas y requisitos de
Documento de Poltica de Seguridad y
conformidad para la empresa en Seguridad de la
objetivos
Informacin.
Determinar el alcance de la seguridad de la
Documento de Alcance del Sistema informacin, su importancia en la empresa.
de Gestin de Seguridad de la Establecimiento de los objetivos de la Gerencia
Informacin como soporte de los objetivos de la Seguridad de la
Informacin.
Descripcin especfica de las responsabilidades en
Documento de Establecimiento de
relacin a gestin de la Seguridad de la Informacin
Roles y Responsabilidades para la
en la empresa. Incluye tambin la comunicacin de
Seguridad de la Informacin
las incidencias.
Identifica, cuantifica y prioriza los riesgos contra el
Documento de Evaluacin de Riesgos criterio para la aceptacin del riesgo y los objetivos
relevantes para la organizacin.
Documento de Declaracin de Describe los controles a implementarse y sus
Aplicabilidad objetivos descendidos a la realidad de la empresa.
Presentaciones de recomendaciones y
Informes de Auditoras previas y/o de
constataciones resultantes de auditoras pasadas
terceros.
y/o actos de incumplimiento regulatorio.
Determinar de manera exacta y detallada el alcance
Entrevistas Personales
que se pretende tener para la Auditora.
Tabla 1 - tems para establecer Alcance de la Auditora

40
Como aporte, el Auditor, en base a su juicio profesional, puede ampliar y/o
disminuir el alcance de la Auditora. Esto puede darse siempre y cuando se
informe por escrito a los interesados.

Al terminar de detallar el Alcance que tendr la Auditora, se debe comunicar


y recibir la aceptacin del mismo por la empresa auditada.

3. PROCEDIMIENTOS PARA DETERMINAR EL OBJETIVO DE LA


AUDITORA

Las auditoras a las que va dirigido el presente proyecto de fin de carrera,


son eminentemente de cumplimiento regulatorio. Esto debido
fundamentalmente a que el universo de empresas del Estado (que podran
hacer uso de los procedimientos planteados en este proyecto) estn
obligadas a cumplir las normas tcnicas NTP ISO/IEC 27001:2008 y NTP
ISO/IEC 17799:2007.

En la medida que se hayan hecho avances progresivos de la


implementacin de ambas normas y que a su vez, se hayan hecho
auditorias de cumplimiento parcial de las mismas, los objetivos pueden
variar (reducirse paulatinamente, hasta que se verifique el cumplimiento total
de cualquiera de las normas en cuestin)

Los criterios de la auditora como se vern ms adelante sern los


aspectos especficos de cualquiera de las normas (en especial la NTP-
ISO/IEC 17799:2007) que formaran parte del alcance y se debern detallar
en sendas declaraciones de aplicabilidad.

Adicionalmente, la definicin del objetivo general depender de varios


factores. Entre los ms importantes y ms recurridos se encuentran:

El mandato y el cometido de una de las tres entidades mencionadas


anteriormente (Control Interno, Gerencia General o Contralora
General de la Repblica) que sea especfico para la auditora a
realizar y que pueda escapar del cumplimiento de cualquiera de las
normas anteriormente mencionadas.
Leyes y regulacin interna pertinentes a la empresa auditada y que
guardan relacin con las normas auditadas (los denominados
cuestionarios de control interno)

Estos factores podran modificar (ampliar) el objetivo de la auditora de


cumplimiento.

4. PROCEDIMIENTOS PARA ESTABLECER LOS CRITERIOS DE LA


AUDITORA

41
De
ependiendo del documento de De eclaracin de
d aplicabiliidad de la empresa
e
del estado, se
e establecern los crite erios para la auditoria.. Se detalla
an en los
anexos el univverso de criiterios que abarca
a la NTP-ISO/IEC
N C 17799:20 007.

5. PR
ROCEDIMIIENTOS PARA EL LEVANTAM
L MIENTO DE
D EVIDEN
NCIAS

Enn esta etapa a de la audiitora es necesario rec


conocer las vas por las cuales
se podr realizar el leva antamiento de evidencias. Para este prop sito, se
revvisan los sig
guientes aspectos:

See inicia por la revisin de


d la Declarracin de Aplicabilidad
A d, la cual da
ar luces
y ayudar
a a entender
e lo que implant la empre esa en relaccin a la ge
estin de
segguridad de la informa acin. De todos
t los controles
c d la NTP-ISO/IEC
de
17799:2007, el e SOA esta ablece los ccontroles qu ue aplican para
p la emppresa del
esttado en cue estin. Paraa tal efecto, se solicita los
l docume entos referid
dos a:

ntificacin de riesgos,
la iden
la defin
nicin de lo
os controles,
ntificacin de requisitoss legales, re
la iden egulatorios, de contrato
os, etc.,
las neccesidades propias
p de lla empresa.
otros relacionado
r s.

Teniendo el acceso a esta info ormacin se podr realizar lu uego la


cla
asificacin de
d los conttroles de accuerdo a la a declaracin de aplicabilidad.
Paara esta classificacin se
e define la siguiente
s tip
pificacin de
e controles::

No existe
entes

Son nec cesarios aplicarlos pero


o al realizarr el
anlisis no fueron identificados
s.

Existente
e Adecuado
o

Estn en ejecucin n y al realiza


arles pruebaas
se deterrmina que son
s ptimos s, controland
do
los riesg
gos relacion
nados.

Existente
e Inadecua
ado

Estn en ejecucin
n, pero no cubren de
manera completa su
s funcin innicial.

Existente
e Mejorable
e

Estn en ejecucin n, cumplen su


s funcin
pero se identifica la
a capacidad
d de poder
ar a una esc
optimiza cala mayor a la actual su
rendimie
ento.

Es necesario poder desa arrollar una


a tabla con todos los controles
c in
ndicados
por el SOA ind
dicando el tipo
t segn lo
l especifica
ado lneas arriba.
a

42
2
Ca
abe resalta ar que los controles se podra an agruparr en dos grandes
con
njuntos: No o existentes y Existenntes. En ele caso de los Existen ntes, se
sub
bdivide en otros tres, con la fina
alidad de poder mane ejarlos y analizarlos
n las salidas de un sisttema de gestin de inccidentes y problemas.
con p

Esta gestin se adaptar como herramienta


h fundamen ntal en estaa etapa,
pues al ser un u manejo de los eve entos que se
s dan en el da a da de la
emmpresa, es ele activo m s cercano y constante e en la emp
presa que nos
n dar
infoormacin certera
c y directa
d de cmo reac cciona todaa la infraesstructura
infoormtica anntes los inciidentes o prroblemas que pudierann ocasionarrse en el
flujjo normal de actividadees a la que est expueesta la emprresa.

Los controles existentes sern evaluados med diante su co


omportamie
ento con
la gestin de e incidente emas, teniiendo como idea general la
es y proble
sig
guiente ilusttracin:

Gestin
G de Incidentes y Problema
as

Controles
Adecuado Inadecuadoo Mejo
orable

De
e cada contrrol existente
e, se analizarn los sig
guientes tem
ms:

Plan de
e
Trmminos de Proyecto
o Docu
umentos
refe
erencias de
(TDR) confo
ormidad

Info
ormes
tccnicos Prov
veedores
preevios

Plan de
e Controle
es
...
implementaacin Existente
es

Fin
nalmente, lo
os reportes de auditoras pasadass en relacin a segurid
dad de la
info
ormacin que
q tuviera la empresa, sern ta ambin vita
ales en estaa etapa.
Noos permitir
n identifica
ar los punto
os ms crticos en los cuales adooleca la
emmpresa.

Addems existten una gra


an gama dee diversos documentos
d s que puedan estar
relacionados a los con ntroles exisstentes y no existen
ntes que se
s har

43
3
necesario po oder analizar y deterrminar con ello de manera
m nttegra la
evaaluacin de
e cmo se encuentra
e la c respectto a la seguridad de
a empresa con
la informacin
i n

6. PR
ROCEDIMIIENTOS DE
D DOCUM
MENTACI
N DE HALLAZGOS
S

La presentaccin de ha allazgos coontempla mostrar


m los resultadoss de la
eva aluacin dee la recopila
acin de la
as evidencia
as de la au
uditora fren
nte a los
critterios de au
uditoria.

El tipo de audditoria al cua


al aplica el presente prroyecto de fin
f de carreera exige
la verificacin
n del cump plimiento reeal de la norma
n tcn
nica peruan na NTP-
ISO
O/IEC 1779 99:2007. Es sto obliga a buscar evvidencias objetivas, lass cuales
deben ser evaluadas
e siguiendo los criterio os de aud ditora prevviamente
deffinidos, para obtener loos hallazgos.

Criterrios
dee
Auditooria

Ha
allazgos de
Auditoria
A

Eviden
ncias
de
e
Audito
oria

Como ressultado de lal evaluaci n de las evidencias,


e se podra encontrar diversos
escenarios, entre los cuales desstacan:

No se tiene evidencias
e

Se tiene evidencias

Cumple
C el criterio
c
Cumple
C parrcialmente el criterio
No
N cumple el criterio

Noo se tiene evidencia:: Escenarioo donde el auditor no pudo obteener una


maanera de relacionar
r u criterio de la Norrma Tcnicca Peruana
un a con la
resspectiva evvidencia a pesar de haberse aplicado
a lo
os mecanissmos de
lev
vantamientoo y/o anllisis. Cabee resaltar que no se e pueden realizar

44
4
asunciones si
s no se tieene forma de poder corroborarr lo que se
e quiera
pre
esentar com
mo hallazgo
o.

Si tiene evid dencia: Si el


e auditor cuenta
c con la evidencia(s) necesa
aria(s) y
jus
stificables para relacion
narlo con un
n criterio.

Los criterios de la NTP


N (que estn
e listados en la Declaracin
D de Aplicab bilidad
SOA) que hayan pod dido ser enfrentados coon al menoss una evide
encia, proseeguirn a
agruparsee de la siguiente maneera, siguindose de ma cta (por tratarse de
anera estric
una audito
oria de cummplimiento):

Noo se cumple el criterrio: Donde las evidencias obtenidas revelen n que el


critterio evalua
ado no se est insertad
do en su tottalidad en la
a empresa.

S se cumple e el criterio
o: De la evaaluacin se
e obtiene qu
ue el criterio, en su
tottalidad, es atendido por
p controle es y/o proccesos los cuales
c pueeden ser
corroborados por las evid dencias resspectivas.

Se
e cumple ele criterio parcialmen
p nte: Cuando o las evidenncias nos permiten
p
determinar qu
ue el criterio
o est sienddo asistido no en su tootalidad, sin
no en un
porcentaje qu
ue ser disppuesto a critterio profesional del au
uditor.

7. PR
ROCEDIMIIENTOS PARA LA
L DOCUUMENTAC
CIN DE
E LAS
CO
ONCLUSIO
ONES Y RECOMEND
DACIONES

El informee final de auditora consiste


c en la presentacin de las conclussiones y
recomend daciones de acuerdo a los hallazgos encontra
ados.

Partiendo de la basse del Documento de d aplicabilidad - SOOA se inse


ertan las
nes una a una.
conclusion u Esta se
er presenta
ada de man
nera detalla
ada.

Luego se pasar a generar lass conclusio ones genera ales de todda la audito
oria que
mo punto de
tendr com e inicio el objetivo
o general de la auditora.
a Nu
uevamente se hace
uso del Documento
D d aplicabilidad SOA para cuantificar el nivvel de cump
de plimiento
que se ha detectado a causa de e la auditoria
a.

Con
nclusiones

Hallazgo1
Conclusio
onesy Halllazgo2 Segnel
recomenndaciones
Connclusionesy ... objeetivode
reco
omendaciones HallazggoN laau
uditoria
Conclussionesy
recomendaciones
Recom
mendaciones

45
5
CAPTULO 4:
PRUEBAS DE LOS PROCEDIMIENTOS

1. INTRODUCCIN

A continuacin se har presente la documentacin que sustenta las pruebas


realizadas a los procedimientos de auditora antes detallados en el presente
proyecto de fin de carrera. Esto es con la finalidad de verificar la utilidad de dichos
procedimientos en procesos de auditora a empresas del estado.

2. ALCANCE DE LAS PRUEBAS

Las pruebas realizadas se ejecutaron en el marco de una empresa del estado


peruano que est normada en cumplir con lo estipulado en las NTP-ISO/IEC
17799:2007 y NTP-ISO/IEC 27001:2008.

En este caso especfico se referir al Dominio 5 y al Dominio 7 de la NTP-ISO/IEC


17799:2007 concerniente a las Polticas de Seguridad que maneja una empresa del
estado peruano.

46
3. OBJETIVO DE LAS PRUEBAS

El objetivo de las pruebas realizadas es el cumplimiento por parte de una empresa


del estado peruano en la implementacin de las Normas tcnicas peruanas NTP-
ISO/IEC 17799:2007 y NTP-ISO/IEC 27001:2008.

4. EJECUCIN DE LAS PRUEBAS

Los criterios que se van a utilizar son todos los relacionados al Dominio 5 de la
NTP-ISO/IEC 17799:2007 (refirase 5.1.1 y 5.1.2) y al Dominio 7 (refirase 7.1.1,
7.1.2, 7.1.3, 7.2.1 y 7.2.2). Como evidencias se ha manejado el documento de
Poltica Corporativa de Seguridad de Informacin de una empresa pblica del
estado peruano el cual reemplaza a los documentos antes manejados por la
empresa estatal: Documento de Poltica General de Seguridad de Informacin y el
Documento de Seguridad de Informacin.

El documento cuenta con un ndice que se divide en 4 secciones:

1. Consideraciones Generales
2. Lineamientos
2.1. Declaracin de Seguridad de la Junta de Directores.
2.2. Cumplimiento.
2.3. Definiciones y responsabilidades.
3. Organizacin de Seguridad
3.1. Generalidades.
3.2. Objetivo.
3.3. Responsabilidad.
3.4. Comit de Seguridad de Informacin.
3.5. Jefe de Seguridad de Informacin.
4. Control de Versiones

Adems para las pruebas se tuvo acceso a los Inventarios de Activos y el


Documento de Polticas del Inventario de Activos.

El Inventario de Activos es un conjunto de hojas de clculo bajo la herramienta MS


Excel de Windows, que tiene como estructura lo siguiente:

1. Nmero
2. Activo
3. Proceso Relacionado
4. Tipo de Activo
5. Activo de TI
6. Dueo del Activo
7. Responsable del activo
8. Confidencialidad
9. Integridad
10. Disponibilidad
11. Evaluacin del activo
12. Criticidad del activo.

47
La Poltica del Inventario de Activos cuenta con un ndice que se divide en ##
secciones:

1. Consideraciones Generales
2. Lineamientos
2.1. Clasificacin del Activo de Informacin.
2.2. Evaluacin del Activo de Informacin.
2.3. Criticidad del Activo de Informacin.
3. Definiciones.
3.1. Campos del Inventario de Activos de Informacin.
4. Control de Versiones

A continuacin se hace el resumen de hallazgos (siguiendo los procedimientos


descritos en el captulo anterior) y despus de una exhaustiva lectura del
documento antes mencionado:

Dominio 5. POLTICA DE SEGURIDAD


Categora 5.1. Poltica de seguridad de la informacin
CUMPLIMIENTO
Documento de poltica de seguridad de la
Control 5.1.1.
informacin.
Aprobar, publicar y comunicar, por parte de gerencia a todos los

Objetivo empleados, en la forma adecuada, un documento de poltica de
seguridad de la informacin (83,33%)

P1 Definicin, objetivos globales, alcance e importancia


P2 Apoyo de gerencia
Proced. P3 Objetivos de control y mandos.
Especficos P4 Polticas, principios, normas y requisitos
P5 Responsabilidades y comunicacin de incidencias X
P6 Referencias de documentacin
Tabla 2 - Hallazgos 1 de las Pruebas de los Procedimientos

Dominio 5. POLTICA DE SEGURIDAD


Categora 5.1. Poltica de seguridad de la informacin CUMPLIMIENTO
Control 5.1.2. Revisin y evaluacin
Revisar la poltica de seguridad en intervalos planificados o si

Objetivo cambios significantes ocurren con el fin de asegurar su uso
continuo. (100%)
Proced. P1 Propietario de la poltica
Especficos P2 Revisin de la poltica
Tabla 3 - Hallazgos 2 de las Pruebas de los Procedimientos

Dominio 7. CLASIFICACIN Y CONTROL DE ACTIVOS


Categora 7.1. Responsabilidad sobre los activos CUMPLIMIENTO
Control 7.1.1. Inventario de activos
Identificar todos los activos elaborando y manteniendo un
Objetivo
inventario de todos los activos importantes. (100%)
Proced. P1 Identificacin de activos
Especficos P2 Clasificacin de activos
Tabla 4 - Hallazgos 3 de las Pruebas de los Procedimientos

Dominio 7. CLASIFICACIN Y CONTROL DE ACTIVOS


CUMPLIMIENTO
Categora 7.1. Responsabilidad sobre los activos

48
Control 7.1.2. Propiedad de los activos
Toda la informacin y los activos asociados con el proceso de

Objetivo informacin deben ser posedos por una parte designada de la
organizacin. (100%)
Proced. P1 Responsabilidad de propietarios de activos
Especficos P2 Asignacin de propiedad
Tabla 5 - Hallazgos 4 de las Pruebas de los Procedimientos

Dominio 7. CLASIFICACIN Y CONTROL DE ACTIVOS


Categora 7.1. Responsabilidad sobre los activos CUMPLIMIENTO
Control 7.1.3. Uso adecuado de los activos
Identificar, documentar e implementar las reglas para un uso

Objetivo aceptable de la informacin y de los activos asociados con las
(100%)
instalaciones del procesamiento de la informacin.
Proced. P1 Reglas para empleados, contratistas y terceras partes
Especficos P2 Provisin de reglas especficas
Tabla 6 - Hallazgos 5 de las Pruebas de los Procedimientos

Dominio 7. CLASIFICACIN Y CONTROL DE ACTIVOS


Categora 7.2. Clasificacin de la informacin CUMPLIMIENTO
Control 7.2.1. Guas de clasificacin
Clasificar la informacin en funcin de su valor, requisitos
Objetivo
legales, sensibilidad y criticidad para la organizacin (66,66%)
P1 Impacto de compartir o restringir informacin
Proced.
P2 Reclasificacin a travs del tiempo X
Especficos
P3 Responsabilidad del propietario del activo
Tabla 7 - Hallazgos 6 de las Pruebas de los Procedimientos

Dominio 7. CLASIFICACIN Y CONTROL DE ACTIVOS


Categora 7.2. Clasificacin de la informacin CUMPLIMIENTO
Control 7.2.2. Marcado y tratamiento de la informacin
Definir un conjunto adecuado de procedimientos para marcar y

Objetivo tratar la informacin de acuerdo con el esquema de clasificacin
adoptado por la organizacin (50%)
Alcance de los procedimientos de marcado de la
P1
informacin
Proced. P2 Marcado en la salida de sistemas de informacin X
Especficos
P3 Definicin de procedimientos
P4 Acuerdos con otras organizaciones X
Tabla 8 - Hallazgos 7 de las Pruebas de los Procedimientos

5. CONCLUSIONES Y RECOMENDACIONES DE LAS PRUEBAS.

Luego del levantamiento de evidencias y la presentacin de los hallazgos se


concluye el cumplimiento por parte de la empresa del estado peruano en un 91,66%
del Dominio 5 y un 83.33% del Dominio 7 de la NTP-ISO/IEC 17799:2007 como
parte del proceso de implementacin de la NTP-ISO/IEC 27001:2008 (Sistema de
Gestin de Seguridad de Informacin).

Se pudo evidencias que la empresa del estado en revisin, tiene un nivel intermedio
de seguridad de la informacin que se ve reflejada en los diversos documentos e

49
implementacin que ha realizado y que se ha podido constatar en la revisin. Es
importante poder cubrir dichos falencias detectadas para que se pueda resguardar
la confidencialidad, disponibilidad e integridad de la informacin que se administra.

Se recomienda la implementacin de establecimiento de las Responsabilidades y la


Comunicacin de incidencias. Para ello se podran tomar como referencias marcos
internacionales como COBIT 5.0 (desarrollado en este proyecto de fin de carrera,
refirase a los Sub-dominios DSS02-Gestinar requerimientos de Servicio e
Incidentes y DSS03-Gestionar Problemas) as como tambin ITIL v3 (refirase al
libro de Operacin de Servicio, seccin de Gestin de Incidencias).

Adems se sugiere poder desarrollar y aprobar por parte de la Alta Gerencias los
siguientes documentos:
Poltica de Uso de Informacin obtenida de los sistemas: donde se indique
cmo debera de utilizarse y las medidas de seguridad a considerar en la
administracin de la informacin que se ha obtenido desde los sistemas de
informacin de la empresa estatal.
Acuerdos de informacin compartida: Acuerdos de confidencialidad en el
que el colaborador de la empresa estatal se comprometa a tener un celo
riguroso en la divulgacin y administracin de la informacin que requiere y
utiliza en la ejecucin de sus funciones.

50
CAPTULO 5:
CONCLUSIONES Y RECOMENDACIONES
Por la efectividad de las pruebas realizadas el presente proyecto de fin de carrera
se presenta como una herramienta muy til en el proceso de evaluacin en el
cumplimiento de las Normas Tcnicas Peruanas NTP-ISO/IEC 17799 y NTP-
ISO/IEC 27001 que se quiera realizar a las empresas del estado que estn regidas
por la regulacin pertinente que las obliga a tenerlas implementadas.

La presentacin de estos procedimientos de auditora de cumplimiento son


resultado de la motivacin generada por las capacidades obtenidas al llevar los
cursos del rea de Tecnologas de Informacin del plan de estudios de la
especialidad Ingeniera Informtica de la Pontificia Universidad Catlica del Per.
Esto es una llamada a poder tener ms atencin en esta rea ya que se necesitan
cubrir estos vacos que se presentan en el escenario informtico nacional, pues se
declara la obligatoriedad de las NTP tener los mecanismos de poder verificar su
cumplimiento. [ONGEI 2010b]

Es vital reconocer que estos procedimientos estn enfocados nicamente para


escenarios de empresas del estado, por lo que se recomienda poder trasladarlo a
empresas del sector privado, para ocasionar una mejor calidad en Seguridad de
Informacin en ambos grupos (pblico y privado) dnde el mayor beneficiario sern
los ciudadanos y por consiguiente las empresas y/u organizaciones.

La actualizacin de las normas ISO 27001 e ISO 27002 en su versin del ao 2013
no afectan a la aplicabilidad de los procedimientos presentados en este proyecto ya
que stos se basan en las NTP que son equivalentes a las normas ISO 27001 e
ISO 27002 en su versin del ao 2005.

51
REFERENCIAS

52
BIBLIOGRAFA

ALLEN, Julia
2005 Governing for Enterprise Security. Technical Note. CMU/SEI-2005-
TN-023. Estados Unidos: Software Engineering Institute

BOSWORTH, Seymour, M.E. KABAY y Eric WHYNE


2002 Computer security handbook. 5 edicin. Estados Unidos: John Wiley
& Sons.

HUBER, George
1990 A theory of effects of advanced information technologies on
organizational design, intelligence and decision making.

INDECOPI - Instituto Nacional de Defensa de la Competencia y de la Proteccin de


la Propiedad Intelectual
2006 TECNOLOGA DE LA INFORMACIN Procesos del Ciclo de Vida del
Software (2nd ed.). Lima: Comit de Reglamentos Tcnicos y
Comerciales de INDECOPI.

ISACA - Information Systems Audit and Control Association


2011 Manual de preparacin para el examen de certificacin CISA
(Certification Information System Auditor) USA: ISACA Publishing
2012 COBIT 5.0 for Information Security USA: ISACA Publishing

ISO - International Organization for Standardization


2002 ISO 19011:2002 Directrices para la auditora de los sistemas de
gestin de calidad y/o ambiental. Suiza: ISO.
2004 ISO/IEC 13335-1:2004 Information technology - Security techniques -
Management of information and communications technology security
- Part 1: Concepts and models for information and communications
technology security management. Suiza: ISO.
2005 ISO/IEC 27002:2008 Information technology - Security techniques
Information security risk management. Suiza: ISO.
2008 ISO/IEC 27005:2008 Information technology - Security techniques
Information security risk management. Suiza: ISO.
2009 Information technology - Security techniques - Information security
management systems - Overview and vocabulary. Suiza: ISO.

ITGI Informatic Technology Governance Institute


2003 IT Governance Executive Summary.

ITGI - IT Governance Institute


2008 The Val IT Framework 2.0 Extract. USA: IT Governance Institute.

MORTON, Michael
1988 Information Technology and Corporate Strategy.

53
ONGEI Oficina Nacional de Gobierno Electrnico e Informtica
2010a Encuesta de Seguridad 2010. Consulta: 27 de mayo 2012.
<http://www.pcm.gob.pe/Transparencia/Resol_ministeriales/2010/RM
-187-2010-PCM.pdf>
2010b Resumen de los Resultados de la Encuesta de Seguridad 2010, pp.
44-57. Consulta: 27 de mayo de 2012.
<http://www.ongei.gob.pe/eventos/Programas_docu/57/Programa_41
7.pdf>

PAULK, Mark y otros


1993 Key Practices of the Capability Maturity Model Version 1.1Software
Engineering Institute. Paper 171. Consulta: 13 de abril de 2012
<http://repository.cmu.edu/sei/171/>

PIATTINI, Mario y Emilio DEL PESO


2001 Auditora Informtica: un enfoque prctico. 2 edicin. Espaa:
Alfaomega.

TUPIA, Manuel
2010 Administracin de la seguridad de informacin. Tupia Consultores y
Auditores S.A.C. Per: Graficar
2011 Gobierno de las tecnologas de informacin bajo la ptica de COBIT
4.1. Tupia Consultores y Auditores S.A.C. Per.

SA - Standards Australia
2004 AS/NZS 4360:2004 Administracin de riesgos. Australia: SA.

54