Trabajo

Académico
Escuela Profesional Ciencias Contables y Financieras 2019-1B
AUDITORIADE SISTEMAS CONTABLES
0302-03E12
Nota:
Docente: MA. ING. ALEJANDRO DÍAZ AGUILAR

Ciclo: IX Sección: 01 Módulo II

Datos del alumno: Forma de envío:
Apellidos y nombres: Publicar su archivo(s) en la opción TRABAJO
CACERES GUILLEN MAGALI ACADÉMICO que figura en el menú contextual de su
curso
Código de matrícula:
Fecha de envío:
2012152787

Uded de matrícula:
Hasta el Domingo 16 de Junio 2019
CAÑETE Hasta las 23.59 PM
Recomendaciones:

1. Recuerde verificar la
correcta publicación de
su Trabajo Académico
en el Campus Virtual
antes de confirmar al
sistema el envío
definitivo al Docente.
Revisar la
previsualización de su
trabajo para asegurar
archivo correcto.

2. Las fechas de publicación de trabajos académicos a través del campus virtual DUED LEARN están definidas
en la plataforma educativa, de acuerdo al cronograma académico 2019-1B por lo que no se aceptarán
trabajos extemporáneos.

3. Las actividades de aprendizaje que se encuentran en los textos que recibe al matricularse, servirán para su
autoaprendizaje mas no para la calificación, por lo que no deberán ser consideradas como trabajos
académicos obligatorios.

Guía del Trabajo Académico:

4. Recuerde: NO DEBE COPIAR DEL INTERNET, el Internet es únicamente una fuente de
consulta. Los trabajos copias de internet serán verificados con el SISTEMA
ANTIPLAGIO UAP y serán calificados con “00” (cero).

5. Estimado alumno:
El presente trabajo académico tiene por finalidad medir los logros alcanzados en el desarrollo del curso.
Para el examen parcial Ud. debe haber logrado desarrollar hasta01 y para el examen final debe haber
desarrollado el trabajo completo.

1TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Criterios de evaluación del trabajo académico:
Este trabajo académico será calificado considerando criterios de evaluación según naturaleza del curso:

Presentación adecuada Considera la evaluación de la redacción, ortografía, y presentación del

1 del trabajo
Investigación
2 bibliográfica:
trabajo en este formato.
Considera la revisión de diferentes fuentes bibliográficas y electrónicas
confiables y pertinentes a los temas tratados, citando según la normativa
APA.
Se sugiere ingresar al siguiente enlace de video de orientación:

Situación problemática o Considera el análisis contextualizado de casos o la solución de

3 caso práctico: situaciones problematizadorasde acuerdo a la naturaleza del curso.

Considera la aplicación de juicios valorativos ante situaciones y

4 Otros contenidos
escenarios diversos, valorando el componente actitudinal y ético.

Preguntas:

INDICACIONES ADICIONALES:

A fin de garantizar una buena presentación; el presente trabajo deberá estar realizado en Ms-
Word, asignándole02 puntossiempre y cuando este realizado con una ortografía y
redacción correcta, no olvide que al finalizar el desarrollo del Trabajo Académico, deberá
indicar sus conclusiones y las fuentes de consulta bibliográfica, así mismo está demás decir
que se calificará con CERO aquel Trabajo Académico que cuente con las misma
secuencia o palabras, pues se considerará como plagio. Se le recuerda al estudianteque
la DUED - UAP cuenta con el Software SafeAssign, que detecta en forma automática, los
Trabajos Académicos copiados de otros Trabajos Académicos, así como de sitios de internet.

Estimado estudiante sea original al desarrollar los problemas planteados, recuerde que usted
está llevando el curso a distancia y por lo tanto la exigencia en la solución de la pregunta es
necesaria y obligatoria. Publique su Trabajo Académico en el campus virtual hasta la fecha
indicada. ¡Tome sus precauciones!

Siendo la elaboración del Trabajo Académico parte del proceso de enseñanza y de

aprendizaje, los alumnos de la asignatura de AUDITORIA DE SISTEMAS CONTABLES,cuentan con
el apoyo del profesor tutor para su orientación en lo que se refiere a la bibliografía adicional,
alcance del desarrollo del tema, etc.

2TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico

PREGUNTAS:

1. Analiza las 5 áreasespecíficas de Auditoría de TI, y determine cuál de ellas es la más

importante que se debe tomar en una empresa. Describa las razones por las cuales lo
considera la más importante. (3 ptos)

La más importante que considero es el de seguridad y mantenimiento:

Objetivo:
Adquirir conocimientos especializados de actualidad sobre la Gestión del mantenimiento,
planificación, organización, la ejecución y el control del Mantenimiento aplicados a distintos
tipos de industrias, que contribuyan a elevar la eficiencia, liderazgo, competitividad y
productividad de las empresas.

Sistema de conocimientos: la Gestión del mantenimiento. Auditoría de mantenimiento. Los

indicadores y el cuadro de mando integral para mantenimiento. El proceso de tercerización.

Habilidades

 Transferir procedimientos y métodos para la evaluación y el Control del Mantenimiento

en la empresa.
 Determinar fortalezas y debilidades de la gestión del mantenimiento y la tecnología en
la empresa, así como la evaluación de la gestión.
 Diseñar un programa de intervención de mantenimiento basado en los problemas
detectados en el diagnóstico realizado.
La gestión de mantenimiento es responsable de armonizar los activos fijos, minimizando los
tiempos de parada y los costos asociados a los mismos. Es por esto, que una adecuada
gestión de mantenimiento, en el marco de una filosofía del personal orientada hacia la
calidad, ayuda a incrementar la productividad, por lo que es de vital importancia el estudio de
los aspectos que pueden afectarla.
La Implementación de un sistema de gestión en mantenimiento, es un proceso al que
cualquier empresa en el rubro, se puede someter si quiere identificar oportunidades de mejora
en sus procesos. No solamente cubriendo el tema de Calidad, sino también el medio
ambiental y la seguridad y salud en el trabajo.

3TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
2. Investigue una empresa nacional o internacional, que haya utilizado el COBIT, e
indique los beneficios que ha obtenido dicha empresa al utilizar el COBIT. (5 ptos)

COBIT EN ECOPETROL S. A.

Es una Sociedad de Economía Mixta, de

carácter comercial, vinculada al Ministerio de
Minas y Energía, es la empresa más grande
del país y la principal compañía petrolera en
Colombia, pertenece al grupo de las 39
petroleras más grandes del mundo y es una
de las cinco principales de Latinoamérica.

Cuenta con campos de extracción de

hidrocarburos en el centro, el sur, el oriente y
el norte de Colombia, dos refinerías, puertos
para exportación e importación de combustibles y crudos en ambas costas y una red de
transporte de 8.500 kilómetros de oleoductos y poliductos a lo largo de toda la geografía
nacional.

IMPLEMENTACIÓN de COBIT – Ecopetrol S.A

En el año 2007, la empresa adopta el modelo COSO para la gestión de control interno, el cual
es un documento de contiene las principales directivas para la implantación, gestión y control
de un sistema de control (Cabello, N., 2011)

En el año 2008, la DTI (Dirección de Tecnología de Información) de la empresa, decide

adoptar COBIT, como marco para la implementación del sistema de gestión de tecnologías de
información, integrando los esfuerzos de iniciativas en curso, relacionadas con el Diseño e
implementación de Servicios (ITIL), la Gestión por Procesos, Control Interno y cumplimiento
de regulaciones tales como la Ley Sarbanes Oxley. (Léon, A., 2012).

DTI eligió COBIT como el marco de gobierno de TI adecuado para integrar un sistema de
gestión de TI, basado en las siguientes características de COBIT (ISACA, 2016):

 Permite el mapeo de los objetivos de TI a los objetivos de negocio.

 Es el resultado de una mejor alineación, basado en un enfoque de negocio.
4TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
 Proporciona una visión de lo que hace que sea comprensible para la gestión.
 Indica claramente la propiedad y las responsabilidades basadas en la orientación del proceso.
 En general se acepta por parte de terceros y reguladores.
 Proporciona un entendimiento compartido entre todas las partes interesadas, sobre la base de
un lenguaje común.
 Cumple con los requisitos de COSO y Sarbanes-Oxley para el entorno de control de TI.

¿QUÉ SE HIZO?

Inicialmente la DTI de Ecopetrol define los lineamientos, procesos y objetivos de control a

implementar, seguido de una identificación de recursos internos que apoyarían la
implementación del sistema y los recursos asignados a contratar a los consultores externos.

Una vez realizado esto, se establece un proyecto, donde se presta especial atención a
cuestiones como:

 Asignación de recursos y un equipo interdisciplinario con representantes de las áreas

involucradas dentro de ella
 Definición de puntos de relación con las unidades de negocio y otras unidades de apoyo
 Interacción con las áreas clave: finanzas, riesgos, estrategia, calidad y auditoría interna y
externa de manera continua
 Alineación con los proyectos empresariales tales como el fortalecimiento del sistema de control
interno (COSO) y (Ley Sarbanes – Oxley) cumplimiento.
 Presentaciones al nivel más alto de gestión, con reuniones semanales de seguimiento sobre el
proyecto
 Identificación de las aplicaciones anteriores y procesos críticos de negocio.

¿CÓMO SE HIZO?

De acuerdo a lo anterior, Ecopetrol decidió implementar 28 procesos COBIT, dando prioridad

a los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley (ISACA, 2016)
(Léon, A., 2012).

El equipo del proyecto desarrolla el diseño y documentación de los procesos y,

posteriormente, la aplicación y el seguimiento de la operación para la realización de los
ajustes necesarios. Como resultado de ello, en junio de 2009, la División había aplicado y
asegurado 14 procesos de COBIT de alta prioridad. A diciembre de 2009, ya se habían
aplicado los 28 procesos (ISACA, 2016).

5TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Como menciona (Valverde, F., 2014) a mediados del 2009 y al empezar el 2010, se llevaron
auditorias tanto de tipo interno como de tipo externo, se implementaron medidas de
corrección para las debilidades y el mejoramiento en los principales procesos y controles de
TI, la auditoria externa reporto que no había deficiencias significativas o debilidades
materiales en los controles de TI que requieran ser informadas por el CIO, el CFO, el CEO o
el auditor externo.

FACTORES DE ÉXITO EN EL PROYECTO

Los factores que contribuyeron al éxito del proyecto de implementación de COBIT fueron:

 Asignación de responsabilidades, sobre el diseño y operación de los procesos, en cabeza de

los líderes
 Respaldo pleno de la dirección
 Entrenamiento y replica de conocimientos del personal del proyecto
 Monitoreo frecuente
 Eficiente control de cambios
 Revisión de lecciones aprendidas periódicamente y aprendizaje de las mismas
 Interacción permanente con los procesos de auditoria y los resultados arrojados.
 Plan de comunicaciones enfocado en la trasformación de la cultura, asegurando que las
personas incorporaran las prácticas dentro de los procesos
 Apoyo de consultorías de alto nivel
 Definición clara de estrategias y acciones de sostenibilidad

CONCLUSIONES

El marco de trabajo de COBIT se ha convertido en un modelo a seguir para llevar un control

de los procesos de TI que pertenecen a la organización, sin embargo este debe ser tomado
en cuenta para la gobernabilidad de tecnología que por consiguiente será enfocado a la
gobernabilidad corporativa

Sin determinar el tamaño de la organización ni en el mercado que esta pueda desempeñar los
marcos de referencia para la gestión de TI agregan valor a las empresas, le dan al gerente
una visión sobre las mejores prácticas en el desempeño de TI orientado netamente al
negocio.

La implementación de los marcos de referencia para la gestión de TI se recomienda que se

estructuren como un proyecto, con un plan de trabajo detallado, hitos claramente definidos,
asignación del trabajo en equipo, gestión de riesgos y los entregables del proyecto.

6TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Los factores de éxito evidenciados en el caso de estudio muestran la importancia de contar
con una eficiente gestión de los cambios, la asignación de responsabilidades, el monitoreo
frecuente, un plan de comunicaciones bien definido, gestión de riesgos, apoyo permanente
de la lata dirección, entre muchos otros, que para este caso ayudaron a alcanzar con éxito el
proyecto.

Se resaltan las evaluaciones a nivel de madurez que se llevaron a cabo por un tercero
competente e independiente para la medición de madurez de los procesos, así como la
comunicación permanente con las auditorías realizadas y la socialización de las lecciones
aprendidas.

.La aplicación del COBIT en las empresas son una mejor forma de manejar las informaciones
que son muy importantes en el desarrollo de la empresa y para los estados de gobierno ya
que se evitara fraudes que van de la mano con los profesionales contadores brindando
auditorias confiables para todos los interesados.

3. Investigue una empresa nacional o internacional, que haya implementado el uso del
ITIL, e indique los beneficios que ha obtenido dicha empresa al utilizar el ITIL. (5 ptos)

OUTSOURCING S.A
Outsourcing S. A. es una empresa especializada en prestar servicios de TI a terceros.
Cuenta con los siguientes servicios:

 Mesa de ayuda.
 Mantenimiento de hardware.
 Administración de servidores.
 Entrenamiento en TI para usuarios.

ESTRATEGIA DEL SERVICIO

La empresa Outsourcing S.A desea implementar un nuevo servicio que brindara a todos sus
cliente y a las empresas que utilicen las tecnologías de la información un gran apoyo y
beneficio en su funcionamiento, además tendrán un gran respaldo ya que ellos emplearan
este nuevo servicio para su comunicación y el procesamiento de su información por eso la
empresa Outsourcing S.A ve un gran campo de acción en este servicio de infra estructura de
red.
7TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
El servicio de soporte de infra estructura de la red será un servicio que contara con una total
garantía de con fiabilidad y funcionabilidad, debido a que este es un servicio que tiene
grandes posibilidades de cambios y de variedad en posibles errores a lo largo de los procesos
que se dan en la red. La empresa Outsourcing S.A antes de implementar este nuevo servicio
debe conocer todos los aspectos que conciernen a este nuevo servicio, deberá tener en
cuenta que recursos posee la empresa y cuál es la capacidad de esta para administrarlos de
una manera óptima. El software de administración de infraestructura que utilizara la empresa
Outsourcing S.A no será creado por ellos por tal motivo se requiere de la contratación de un
tercero que le preste este servicio a la empresa, sin embargo el personal para administrar las
herramientas que le serán provistas, será seleccionado y capacitado por la propia empresa,
por lo tanto para suplir este servicio se requerirá de proveedores tanto externos como
internos. Outsourcing S.A deberá hacer una investigación de mercado de dicho servicio por
eso se deberá encontrar los servicios que ya estén implementados y que se consideren
similares al que se planea implementar, definiendo con esto cuales son las posibles ventajas
con las que se puede contar y que diferencias se pueden dar con respecto a servicio de la
competencia.

DISEÑO DEL SERVICIO

En el diseño del servicio podremos ver como se implementara de una forma correcta y
funcional este nuevo servicio, para eso la empresa deberá identificar y analizar cuáles son los
procesos que se deberán llevar a cabo. Hay que tener en cuenta que se realice y se edite
debidamente un Catálogo de Servicios que contenga información precisa y actualizada de
todos los servicios operacionales. Para la puesta en marcha de este servicio se deberán de
tener en cuenta informes referentes al mercado que posee el servicio y analizar los detalles
técnicos que se requieren y los recursos o las capacidades técnicas que se deben de
desarrollar con el fin de tener un servicio eficiente. Se debe tener seguridad que la capacidad
del servicio y que la infraestructura de TI sea capaz de cumplir con los objetivos que han sido
pactados de capacidad y desempeño de manera económicamente efectiva y puntual. Acá se
deben tener en cuenta todos los recursos necesarios para prever las necesidades de la
empresa a corto, medio y largo plazo. Se debe asegurar que la información que se maneje
tenga integridad, confiabilidad y disponibilidad.

TRANSICIÓN DEL SERVICIO

La fase de la Transición del Servicio es muy importante porque acá se va a dar la gran
posibilidad de ampliar y extender el nuevo servicios que ha sido implementado por la empresa
Outsourcing S.A y si es el caso poder hacerle algunas modificaciones que puedan llegar a

8TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
hacer necesarias para el mejor funcionamiento de dicho servicio. Al desarrollar e implementar
las modificaciones y ampliaciones, mediante este proceso también se asegura que los
cambios en los servicios y procesos de la gestión de servicios se lleven a cabo de manera
coordinada.

OPERACIÓN DEL SERVICIO

En la operación del servicio se llevaran a cabo todas las tareas operacionales que se van a ir
presentando en el continuo funcionamiento del servicio que se ha sabido implementar.
Mediante este proceso la empresa Outsourcing S.A se asegurara que el funcionamiento del
nuevo servicio que ha sido entregado al cliente final se lleve a cabo sin ningún contratiempo y
todo sea de acuerdo a lo que ha sido planeado para el funcionamiento correcto de este
servicio.

MEJORA CONTINUA DEL SERVICIO

La mejora continua del servicio se alcanzara con una continua medición y monitorización de
todos los procesos que involucran la buena prestación del nuevo servicio que ha sido
implementado, los informes que se vallan dando tras la obtención de resultados de la
monitorización se van a ver reflejados en planes que mejoraran la prestación del nuevo
servicio.

PRINCIPALES PROCESOS QUE SE LLEVAN A CABO EN LOS SERVICIOS DE LA

EMPRESA

Mesa de ayuda

 Recepción de solicitudes.
 Reportes.
 Identificación problema.
 Evaluación de soluciones.
 Solución de problema.
 Reporte solución y cierre.

Mantenimiento De Hardware

 Hardware de respaldo.
 Backups de la información.
 Soporte y reparación.
 Reporte de fallas.
 Informes.
 Desecho de equipamiento.
9TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico

Administración De Servidores

 Backups información.
 Verificación de Logs.
 Monitorizar las funciones.
 Protección contra amenazas.
 Comprobar la seguridad en los servidores.
 Capacitación.

Entrenamiento En TI Para Usuarios

 Establecer objetivos de formación.

 Creación de un programa de formación.
 Capacitación al personal de entrenamiento.
 Formación a los usuarios.
 Estrategia de verificación de objetivos.

Soporte A Infraestructura De Red

 Recepción de solicitudes.
 Recopilar información de diagnóstico.
 Evaluación de soluciones.
 Reporte de solución.
 Capacitación al personal de infraestructura.

ESQUEMA DE IMPLEMENTACIÓN DE ITIL PARA LA EMPRESAOUTSOURCING S.A

 Preparación del proyecto.

 Definición de la estructura de servicios.
 Identificar el servicio que se van a introducir y quienes están a cargo de ellos.
 Definir la estructura de los procesos a implementar en el servicio.
 Diseño de los procesos que se implementaran en detalle.
 Analizar los objetivos que se lograran con la implementación del servicio.
 Identificar los requisitos que necesitara el nuevo servicio para su buen funcionamiento.
 Seleccionar nuevos sistemas que apoyaran los procesos que han sido implementados.

QUÉ VENTAJAS OBTENDRÍA LA EMPRESA AL IMPLANTAR ITIL

Como ya sabemos ITIL es una metodología reconocida a nivel internacional la cual nos
ofrece una serie de recopilaciones sobre las mejores prácticas tanto del sector público
como del sector privado. Estas mejores prácticas se dan en base a toda la experiencia
adquirida con el tiempo en determinada actividad. ITIL como metodología para la correcta
10TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
prestación de servicios de TI nos propone el establecimiento de estándares que nos
ayudan en el control, operación y administración de los recursos (ya sea para beneficio
de nuestra empresa o para los clientes). Esta metodología nos plantea hacer una revisión
y reestructuración de los procesos existentes en caso de que estos lo necesiten (si el
nivel de eficiencia no es el esperado o que haya una forma más rápida y eficiente de
hacer las cosas), y esto es una muy buena alternativa ya que nos lleva a una mejora
continua en la realización de los procesos. Otra de las mejores prácticas que propone es
que para la realización de cada actividad que se realice se debe de hacer la
documentación pertinente, y es importante ya que esta puede ser de gran utilidad para
otros miembros del área, además de que quedan plasmados todos los movimientos
realizados, permitiendo así a que todo el personal esté al tanto de los cambios y no se
tome a nadie por sorpresa. Esto es realmente importante ya que muchos incidentes
suceden en empresas y/o entidades debido a la no correcta divulgación de la información
al personal que lo requiere. Toda esta serie de métodos, practicas ofrecen a la empresa
una mejor y mayor eficiencia en los procesos de prestación de los servicio, mejores
respuestas a incidentes, mejores respuestas a el mejoramiento de los servicios ofrecidos,
permitiendo así una mayor consolidación de la empresa y llevándola así a ser más fuerte
competitivamente.

ENTRE LOS BENEFICIOS QUE ENCONTRAREMOS AL IMPLEMENTAR ITIL EN

NUESTRO NUEVO SERVICIO TENEMOS:

 Asimilar los cambios más rápidamente.

 Optimización de los recursos.
 Cumplir con éxito los acuerdos de prestación de servicios a los clientes.
 Asegurar la disponibilidad de los servicios prestados.
 Minimizar riesgos.
 Asegurar una respuesta oportuna de las áreas de soporte técnico a los clientes.

11TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
4. Investigue una empresa nacional o internacional, que haya implementadola Norma
ISO 27002, e indique los beneficios que ha obtenido dicha empresa al utilizar dicha
Norma. (5 ptos)

Actualmente las organizaciones dependen mucho de la información y los datos que esta
mantenga como resultado de sus procesos internos y externos. Una gran cantidad de
empresas, en su mayoría MYPEs, establecen sus propias reglas o normas para otorgarle
seguridad a toda la información almacenada, así como también a la manera en que se
manejan todos los dispositivos informáticos.

La norma ISO/IEC 27002:2013 es un estándar para la seguridad de la información publicada

por la Organización Internacional de Normalización y la Comisión Electrónica Internacional.
Esta norma brinda recomendaciones para las mejores prácticas en la gestión de la seguridad
de la información a todas las personas o empresas interesadas en desarrollar, implementar o
mantener sistemas de gestión de la seguridad de la información.

Este trabajo se centra en la explicación de los capítulos cinco y seis de la norma que hablan
de las ‘Políticas de la Seguridad de la Información y de la Organización de Seguridad de la
Información’, respectivamente. Estos capítulos son explicados concretamente con las
recomendaciones de la norma y utilizando como casos prácticos, tesis desarrolladas que se
basan en este estándar para buscar la solución o mejora de la seguridad de información en
diferentes empresas del Perú.

“Diseño de una red de datos para el Policlínico Señor de los Milagros, usando metodología
Top Down Network Design y aplicando estándares ISO/IEC 27002”.

Actualmente el Policlínico Señor de Los Milagros no cuenta con una red de computadores en
la que no se comparten recursos de hardware (impresoras) y software, esto genera demora
en la impresión de documentos debido a que todo el laboratorio solo cuenta con una sola
impresora.

Dado el siguiente problema se plantea hacer una red de datos con la metodología Diseñar
una red de datos usando metodología Top Down Network Desing y aplicando estándares
ISO/IEC 27002. Para dar seguridad de información a la empresa se requiere implementar un
Estándar de seguridad mediante la Norma ISO 27002.
A continuación, se especificarán los detalles de la implementación de la política de seguridad
de la información, para definir las políticas necesita de otros controles de información, como
por ejemplo; el gestión de activos y control de acceso.

12TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Estableciendo políticas de seguridad aplicando norma ISO 27002

Teniendo en cuenta que el Policlínico no cuenta con estándares de seguridad se está

considerando el objetivo cuatro de la presente tesis es establecer políticas de seguridad
ISO/IEC 27002.
Se ha considerado implementar los controles que aseguren la reducción de los riesgos a un
nivel aceptable. Hay muchas formas de gestionar los riesgos y este documento proporcionará
ejemplos de enfoques habituales. Sin embargo, hay que reconocer que ciertos controles no
son aplicables para todos los sistemas o entornos de información y pueden no ser de
aplicación en todas las organizaciones.
Los controles que se consideran esenciales para esta empresa desde un punto de vista
legislativo comprenden:
 La protección de los datos de carácter personal y la intimidad de las personas.
 La salvaguarda de los registros de la organización
 Los derechos de la propiedad intelectual.

Los controles que se consideran comunes para la mejor práctica habitual para conseguir la
seguridad de la información comprenden:

 La documentación de la política de seguridad de la información.

 La asignación de responsabilidades de seguridad, estas las dará la gerencia.
 La información y capacitación para la seguridad de la información del personal
que se encargara de supervisar la red.
 El riesgo de las incidencias de seguridad.
 La gestión de la continuidad del negocio.
Estos controles pueden aplicarse a la mayoría de las organizaciones y los entornos.
Para poder establecer las políticas de seguridad se tienen en la responsabilidad sobre los
activos y la clasificación de la información, así como, políticas de control de acceso, que
son las siguientes:

Responsabilidad sobre los activos y clasificación de información

 Todos los activos de información del policlínico tienen un propietario (médico).
 Cada propietario clasificará la información dentro de uno de los niveles
sensitivos que dependen de obligaciones legales, costos, políticas
institucionales y necesidades de la empresa.
 El propietario es responsable por la protección de esta información.
 La seguridad de los mismos tiene que estar de acuerdo al nivel de sensibilidad.
13TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Para mantener la seguridad de la información del Policlínico se ha considerado clasificar
la información considerando cuatro niveles.
El más bajo (Pública) es el menos sensitivo y el más alto (Secreta) es para los procesos o
datos más importantes. Cada nivel es un súper conjunto del nivel previo.

Política de control de acceso

 Todos los trabajadores deben ser autenticados.
 Se permite el acceso al sistema como administrador privilegiado solo vía consola
o desde las estaciones que se defina.
 Se debe de controlar el acceso de los usuarios a todos los objetos en el sistema
(archivos, impresoras, dispositivos, base de datos, comandos, aplicaciones,
etc.).
 Identificar la información de acuerdo con la clasificación de sensibilidad
previamente definida.
 El sistema debe proveer un control de acceso obligatorio.
 Sólo el administrador debe tener la capacidad de conectarse a los recursos del
sistema en modo privilegiado para realizar tareas administrativas.

 Las cuentas de usuarios deben existir sólo para el personal autorizado.

 Los usuarios y grupos deben ser administrados por el administrador de la base o
su delegado, pero no por los usuarios en sí.
 Los usuarios deberán ser informados de acciones que violan la seguridad.

Resultados

Al aplicar el dominio 7 de la Norma ISO 27002 nos ha dado como resultado apoyar en
políticas de responsabilidad para un mejor manejo de los Activos del Policlínico.

La certificación ISO se aplicó una guía de levantamiento de información de riesgo el cual nos
dio como resultado una mejora del 16% en el diseño e implementación de la Red ante una
crisis encontrada en 21%.

14TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
GRÁFICO: ESTADÍSTICA DEL RIESGO EN LA EMPRESA

Discusión de los resultados

Se presenta la discusión de los resultados obtenidos en la investigación.

 Al aplicar los dominios de control 5 y 11 de la ISO 27002, se ha recopilado la

información de los Activos y funciones de la empresa dando como resultado el
apoyo a definir políticas de seguridad, con la descripción de las acciones que se
deben realiza para salvaguardar la integridad de los trabajadores y clientes en el
policlínico.
 Mediante una encuesta tomada de la ISO 27002, nos ha permitido poyar en la
gestión de proteger datos de los pacientes del Policlínico, teniendo como
resultado, el cumplimiento de la Ley Nro. Nº 29733, Ley de Protección de Datos
Personales DECRETO SUPREMO Nº 003-2013-JUS artículo 2 numeral 6 de la
Constitución Política del Perú.
 Por medio de una encuesta se pudo ver que la norma ISO, nos ha permitido
unificar los trabajos de los doctores con otras áreas del policlínico, lo que se
establece una sistemática de trabajo y se deja de lado la improvisación, lo cual
se espera reducir el 86% lo cual se toma al buscar la información de los
pacientes.

15TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico

IMPLEMENTACIÓN ISO 27001 – EMPRESA S.A

El objetivo de este trabajo final de máster es la de implantar un plan director de seguridad en

una empresa. El Plan Director de Seguridad es uno de los elementos clave con que debe
trabajar el Responsable de Seguridad de una organización. Este plan constituye la hoja de
ruta que debe seguir la empresa para gestionar de una forma adecuada la seguridad,
permitiendo no sólo conocer el estado de la misma, sino en qué líneas se debe actuar para
mejorarla.

Este trabajo se dividirá en varias partes las cuales serán: Introducción al proyecto sobre el
que se va a trabajar, enfoque y selección de la empresa con la que se va a trabajar y por
último la definición de los objetivos del plan de seguridad y el análisis diferencial de la
empresa, y siempre de acuerdo con las normas ISO27001 y ISO 27002.

La compañía sobre la que vamos a trabajar se sitúa en Asturias y tiene alrededor de unos
1000 empleados.
Es una compañía estadounidense que da soporte a multiples clientes tanto nacionales
como internacionales.
Es una compañía que ya ha tenido sus primeros contactos con la ISO 27001 puesto que
parte de ella ya tiene una certificación.
Los principales servicios que esta compañía proporciona son: servicios de aplicaciones,
servicios en la nube, consultoría, seguridad, banca, seguros, sector público global.
El alcance sobre el que trabajaremos serán:
Todos los recursos humanos que se vean implicados directa o indirectamente con el
negocio de Asturias.
Todos los servidores (producción, testeo, desarrollo), aplicaciones que se manejen o
controlen desde nuestro emplazamiento.
Todos los activos de información durante toda su vida útil hasta su eliminación.
Toda la información generada durante la vida del negocio para los proyectos.
La información de empleados, clientes, proveedores de servicios, etc.

CONOCIENDO LA ISO 27001:

Como todos bien sabemos ISO es una norma internacional emitida por la organización
internacional de normalización y describe cómo gestionar la seguridad de la información en
una empresa. La revisión más reciente de la norma fue la de 2013. El eje central de ISO
27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una
empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar
la información y luego definiendo lo que es necesario hacer para evitar que estos problemas
se produzcan.

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16
pasos:
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
16TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas

Dentro de ISO/IEC 27002 se extiende la información de los renovados anexos de ISO/IEC

27001-2013, donde básicamente se describen los dominios de control y los mecanismos de
control, que pueden ser implementados dentro de una organización, siguiendo las directrices
de ISO 27001.

OBJETIVOS DEL PLAN DIRECTOR

Mediante la definición de un plan director de seguridad se pretende conseguir el alineamiento

necesario para mantener un buen nivel de seguridad tanto en el edificio principal como en el
edificio secundario, consiguiendo de esta manera que para el cliente sea transparente el
emplazamiento desde el que se proporciona el servicio.

ANALISIS DIFERENCIAL:
Para una estimación inicial se han evaluado algunos de los puntos obligatorios de las normas,
así como algunos de los controles de la norma ISO27002. La estimación se ha realizado a
alto nivel.
El estado de los controles obligatorios de la norma superan en su mayoría el 80%
exceptuando algunos como:
El punto número 9 – control de accesos.
El punto número 10 - Mejora
El estado de los controles según la ISO 27002 también superan en su mayoría el 80 %
exceptuando algunos como:

ANALISIS DE RIESGOS

Las fases que se llevaran a cabo en este punto serán:

Identificación-valoración de activos:
Se realizará una identificación, valoración de los activos, que serán los elementos a proteger.
Se ha realizado una tabla con todos los activos y su valoración, como se podrá ver en una
imagen en la siguiente diapositiva.

Identificación de amenazas:
Identificar y valorar las amenazas a las que se encuentran expuestos estos activos.
Se ha realizado una tabla bastante extensa con todas las valoraciones teniendo en cuenta las
siguientes amenazas: desastres naturales, de origen industrial, errores o fallos no
intencionados y ataques intencionados. En la siguiente diapositiva se podrá ver una captura.
Calculo de impacto:

17TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
AUDITORIA DE CUMPLIMIENTO

 Llegamos al ultimo punto del proyecto.

 Ya conocemos los activos de la empresa y hemos evaluado las amenazas. Es
momento de evaluar hasta qué punto la empresa cumple con las buenas prácticas en
materia de seguridad.
 Para el desarrollo de esta fase se usará el modelo de madurez de la capacidad (CMM)
como metodología para el análisis del grado de madurez en la implementación del
SGSI.
 El objetivo de esta fase del proyecto es evaluar la madurez de la seguridad en lo que
respecta a los diferentes dominios de control y los 114 controles planeados por la
ISO/IEC 27001:2013. Esta auditoría se lleva a cabo partiendo de que todos los
proyectos del punto anterior se han ejecutado con éxito. Se realizará la comparación
de la fase uncial con la fase final como se podrá ver en la captura de la siguiente
diapositiva.

18TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio