AUDITORÍA ESPECIALIZADA A LA SEGURIDAD

DE LA INFORMACIÓN EN LA EMPRESA
MOVILCRAFT S.A.C.

CURSO : Auditoría de Sistemas

PROFESOR : Ing. Arteaga Cortez, Humberto

INTEGRANTES :

➢ Carrasco Hilario, Annie Daisy

➢ Huamaní Salazar, Anita Melania

➢ Severino Vicharra, Jorge Luis

2019 - B
 ÍNDICE

1. INTRODUCCIÓN ........................................................................................................ 2
2. ASPECTOS GENERALES ......................................................................................... 3
2.1. ESTRUCTURA ORGANIZACIONAL................................................................... 4
2.2. MATRIZ DE RIESGOS ........................................................................................ 6
2.3. PROGRAMA DE AUDITORIA ............................................................................. 8

pág. 1
 1. INTRODUCCIÓN

La empresa MOVILCRAFT S.A.C desarrolla, diseña e implementa soluciones

tecnológicas con la finalidad de automatizar los procesos ya sea de producción,
administrativos, logísticos y financieros de pequeñas, medianas y grandes
empresas.

La empresa cuenta con profesionales experimentados en la investigación,

desarrollo e implementación de soluciones comerciales, y a la vez comprometidos
en ofrecer servicios de primera calidad que cumplan con los requerimientos de
nuestros clientes. La tecnología utilizada en sus productos es de última generación,
lo cual hace que su personal este constantemente capacitado en los últimos
avances tecnológicos.

La presente investigación, abarca el desarrollo de una auditoria especializada en

seguridad de la información en la empresa MOVILCRAFT SAC., con el propósito
de encontrar las debilidades del negocio y también establecer los distintos controles
de seguridad, de tal manera que permita hacerse los correctivos necesarios para
contribuir a lograr los objetivos de la Institución.

El principal objetivo de realizar una auditoría a la seguridad de la información es dar

a conocer cómo se organiza la empresa, verificar que cuente con estándares de
calidad y de esta manera colaborar con la empresa en el buen manejo de su
información.

Finalmente, la importancia de realizar la auditoria es asegurar una adecuada

gestión de TI, la integridad de los controles de seguridad aplicados a los sistemas
de información y la utilización de buenas prácticas en el manejo y uso adecuado de
las tecnologías de información de la empresa MOVILCRAFT S.A.C, se lleven a
cabo en forma oportuna y eficiente tanto para el beneficio de la empresa como para
los clientes que adquieren dichos productos y servicios.

pág. 2
 2. ASPECTOS GENERALES

Los aspectos relativos para el control de la Seguridad de la Información se clasifican

en tres niveles básicos en la auditoria de sistemas de información:

a) Aspectos generales relativos a la seguridad:

En este grupo de aspectos se consideran los siguientes temas: la seguridad
operativa de los programas, seguridad en suministros y funciones auxiliares,
seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles
sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.

b) Aspectos relativos a la confidencialidad y seguridad de la información:

Estos aspectos no solo se refieren a la protección del material, soporte lógico de un
sistema informático, los soportes de la información, sino también al control de
acceso a la propia información.

c) Aspectos jurídicos y económicos relativos a la seguridad de la

información:
En este grupo de aspectos se basa en analizar la apropiada aplicación de sistemas
de información en la empresa en cuanto al derecho a la privacidad e intimidad como
el derecho a la información, y también controlar los delitos informáticos más
frecuentes que se cometen en la empresa. La propia dinamicidad de las tecnologías
de la información y su cada vez más amplia aplicación en la empresa, ha generado
la aparición de estos delitos informáticos. En general, estos delitos pueden
clasificarse en dos grandes grupos: delitos contra el sistema informático y delitos
cometidos por medio del sistema informático.
En el primer grupo se engloba figuras delictivas tipificadas en cualquier código
penal, como hurto, robo, revelación de secretos, etc., sin embargo en el segundo
grupo se insertan los llamados hurtos de tiempo, destrucción de logiciales y datos,
delitos contra la propiedad.

pág. 3
2.1. ESTRUCTURA ORGANIZACIONAL

Figure 1: Estructura general de la empresa MOVILCRAFT S.A.C.

2.1.1. FUNCIONES

• GERENCIA GENERAL: Gerente General, que es el socio mayoritario,

encargado de representar a la empresa y liderar la organización.

• GERENCIA COMERCIAL: Gerente Comercial, que es el encargado de

realizar las labores Administrativas y de gestionar dichos procesos:

➢ Área Administrativa:

- Contabilidad: Contador externo, quien lleva la Contabilidad del

negocio, con la información que le facilita el Gerente.
- Asesoría Legal: Asesor Legal quien provee la asesoría jurídica a
la organización cuando existen eventuales problemas legales.

➢ Área de Ventas: Encargado de Ventas cuyas funciones son:

- Cotizar los productos y servicios ofertados a

diferentes clientes.
- Cotizar los productos de los proveedores.
- Realizar cobranzas a los clientes.
- Efectuar depósitos de dinero en bancos.

pág. 4
• GERENCIA DE SISTEMAS: Encargado de Dirigir y Administrar las
Implementaciones realizadas dentro de su jurisdicción, asimismo tiende a ser
una unidad independiente, se clasifica de la siguiente manera:

➢ Área de Desarrollo: Encargada de desarrollar soluciones integradas

a medida para los sistemas de información con el uso de tecnologías
de punta y asimismo a realizar seguimiento a los Clientes.

➢ Implementación de Sistemas: Encargada del Diagnóstico,

consultoría de procesos y de la correcta implementación de su propio
Sistema de Gestión Empresarial.
El cual esta ramificado en:
- Jefe de Sistemas: Supervisa y revisa la elaboración de proyectos
de organización, métodos y procedimientos, organigramas
estructurales, funcionales y de niveles jerárquicos.
- Analista de Sistemas: Tiene como cometido analizar un
problema y describirlo con el propósito de ser solucionado
mediante un sistema de información, esta persona maneja
herramientas de motor de Base de Datos así como las
herramientas de Inteligencia de Negocios(BI).
- Desarrollador de Sistemas: Encargado de realizar la Interfaz de
Aplicación de acuerdo a los requerimientos planificados
previamente con algún modelador de Sistema y también acorde
con las exigencias del Mercado.

• GERENCIA DE OPERACIONES: Encargada de administrar las unidades de

negocios, planifica los tiempos y diseña los planes de contingencia que sean
necesarios respetando las buenas prácticas.

➢ Área de Soporte Técnico: Encargado de brindar servicios que

proporcionan asistencia con el hardware o software de los servidores,
o algún otro dispositivo electrónico o mecánico de TI. Esta Área de
Soporte Técnico está conformado por 3 personas que son las
encargadas de llevar a cabo las tareas que se plantean.

Del cual está dividido en:

- Jefe de Área (Ingeniero de Sistemas): Se encarga de dirigir y

controlar los trabajos que ingresen, además de realizar

pág. 5
 reparaciones en oficina y, en un caso necesario, visitar a los
clientes.
- Asistente de cómputo: Realizan las funciones de
mantenimiento preventivo y correctivo a los equipos de cómputo,
comunicaciones y electrónica en general.
- Asistente de Sistemas: Realiza las funciones de mantenimiento
preventivo y correctivo de software, instalación del sistema
operativo, protección de virus, particiones, backup de datos,
recuperación de información, o de los servicios que la empresa
está brindando a los usuarios; así como ver el correcto
funcionamiento de aplicativos que desarrolla la empresa.

➢ Área de Proyectos: Se encargan de planificar y diseñar procesos de

Gestión de Proyectos, de acuerdo a los tipos de Requerimientos que
se tengan, pueden ir desde proyectos a corto plazo como licitaciones
de un mayor periodo de Tiempo. En esta división organizacional
participan en conjunto con la parte comercial, operacional y de
sistemas, definiendo las etapas y calificando al personal idóneo para
el cumplimiento de las mismas.

2.2. MATRIZ DE RIESGOS

Este instrumento permite actualizar, complementar o identificar los diversos

riesgos que, de materializarse, podrían impactar significativamente y en forma
desfavorable la capacidad de la empresa para cumplir sus metas y objetivos con
eficiencia y efectividad.

Adicionalmente, esta herramienta proporciona a la empresa información relevante

para orientar e identificar procesos y áreas con debilidades de control interno y
mayor exposición a riesgos con alta probabilidad de ocurrencia y grado de impacto,
así programar sus actividades de auditoría y revisiones de control basada en
riesgos con una perspectiva de generar información suficiente para asistir,
asesorar y acompañar a la empresa en el diseño e instrumentación de un proceso
para controlar los riesgos identificados.

Existen tres motivos por los que se utiliza la evaluación de riesgos, estos son:

✓ Permitir que la gerencia asigne recursos necesarios para la auditoría.

✓ Garantizar que se ha obtenido la información pertinente de todos los niveles
gerenciales, y garantiza que las actividades de la función de auditoría se
dirigen correctamente a las áreas de alto riesgo y constituyen un valor
agregado para la gerencia.
✓ Constituir la base para la organización de la auditoría a fin de administrar
eficazmente el departamento.

pág. 6
N° PROCESO %PROC SUBPROCESO %SUBPROC CONTROL
Definición y
puesta en Seguimiento a la
marcha 50% ejecución de la
1 PLANEACIÓN Y 16.67% de la estrategia estrategia de
DIRECCIONAMIE
del negocio. negocio.
NTO
Generación de Fortalecimiento
Redes de 50% de alianzas
apoyo. estratégicas.
Administración Mantener la
de 25% trazabilidad de
Requerimientos requerimientos.
Medición y
análisis Seguimiento a
(indicadores y 25% datos y
DESARROLLO su resultados.
DE comportamiento)
2 SOLUCIONES 16.67% Aseguramiento Aseguramiento
TECNOLÓGICAS de la calidad del 25% de la resolución
producto y de no
proceso conformidades.
Control de
registros de
Administración 25% gestión de
de la configuración y
configuración establecimiento
auditorias.
Acciones
Soporte de preventivas y
servicio 25% correctivas del
servicio de
soporte.
Seguimiento
a las
GESTIÓN DE Prestación actividades
3 SERVICIOS 16.67% de 25% de post-
servicio al ventas,
cliente garantía y
reclamos.
Evaluar las
Entrega del 25% estrategias del
servicio servicio.
Seguimiento y
Seguridad de la 25% evaluación de la
información seguridad de la
información.
Monitoreo
y control
4 GESTIÓN DE Gestión de la de acuerdo con
PROYECTOS 16.67% Integración. 100% los indicadores

pág. 7
 establecidos en
la estrategia de
gestión de
proyectos.
Equipo de
Gestión de 25%
Incidentes Monitoreo y
5 GESTIÓN DE 16.67% Documentación 25% control de la
INCIDENTES
Comunicación 25% gestión de
Procedimientos incidencia.
operacionales 25%
- Procesos
críticos
- Determinar Monitoreo de la
6 GESTIÓN DE 16.67% recursos 100% gestión de
CONTINUIDAD
para continuidad.
DEL NEGOCIO
c/proceso en
c/instalación

2.3. PROGRAMA DE AUDITORIA

Es un conjunto de una o más auditorías planificadas para un periodo de tiempo

determinado y dirigidas hacia un propósito específico. A continuación mostramos
nuestro programa de auditoría.

OBJETIVOS GENERALES OBJETIVOS ESPECÍFICOS

N°
Revisar y Evaluar el
1 planeamiento y
direccionamiento de la
empresa.
Revisar y Evaluar los
2 controles de la gestión de
incidentes.
Evaluar controles y procesos
TIEMPO
• Evaluar los criterios de la
estrategia del negocio. 3h
• Verificar la existencia de planes
estratégicos de desarrollo. 3h
• Verificar y evaluar la condición
del área de planeamiento y 4h
direccionamiento.
• Evaluar los niveles de
priorización de incidentes. 3h
• Evaluar que el perfil del
equipo de gestión de
incidentes cumpla con los 3h
requisitos de la
organización pide.
• Evaluar el procedimiento de
evaluación de riesgos. 4h
• Evaluar los procesos de
comunicación. 4h
• Evaluar los procedimientos
operacionales. 3h
• Evaluar el procedimiento de 3h
evaluación de riesgos.

pág. 8
3 de la gestión de continuidad
del negocio.
4 Evaluar la gestión del
servicio.
5 Evaluar el desarrollo de
soluciones tecnológicos.
TOTAL
• Verificar que el plan de 3h
continuidad del negocio realice
buenas prácticas.
• Revisar los contratos y las
cláusulas en caso de
incumplimiento, para evitar 4h
servicios que sean parciales.
• Verificar el control que
constate el cumplimiento del 3h
servicio.
• Verificar las garantías en caso 3h
de incidencias.
• Evaluación de normas y
estándares de la calidad del 4h
producto y proceso.
• Evaluar la metodología para la
administración de 4h
requerimientos.
• Evaluar los controles para la
medición y análisis de 4h
requerimientos.
51h
pág. 9