UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
(Universidad del Perú, DECANA DE AMÉRICA)
Facultad Ingeniería de Sistemas e informática
E.A.P. de Ingeniería de Sistemas
“Auditoría al Centro de Sistema de Información de la empresa CANVIA”
PROFESOR: Piedra Isusqui, José
CURSO: Auditoría y Control de Tecnología de Informática
CICLO: 9
SEMESTRE: 2020-0
INTEGRANTES:
● Dionisio Triveño Christian 15200118
● López Chuan, Sandy 14200142
● Sambrano Aranda, Carlos Alfredo 15200153
● Santisteban Condori, Susan Karina 15200179
● Urcuhuaranga Velásquez, Moisés Joaquín 15200041
● Villanueva Fernandez, Alejandro Antonio 15200043
2020
� TABLA DE CONTENIDO
PRESENTACIÓN 2
1.1. Objetivos 2
1.2. Alcance 2
1.3. Importancia 3
ANTECEDENTES 4
2.1. Organigrama 4
2.2. Funciones 4
RECURSOS INFORMÁTICOS 7
3.1. Software 7
3.2. Hardware 8
3.3. Personal 8
ENCUESTA 11
¿QUÉ ES COBIT? 11
LOS 5 PRINCIPIOS DE COBIT 11
PREGUNTAS DE LA ENCUESTA 12
REALIZACIÓN DE LA AUDITORÍA 22
CONCLUSIONES 28
1
�1. PRESENTACIÓN
La auditoría en informática se orienta a la verificación y aseguramiento de que las
políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología
de la información en la organización, se lleven a cabo de una manera oportuna y
eficiente. Siendo un proceso necesario que debe ser realizado por personal
especializado para garantizar que todos los recursos tecnológicos operen en un
ambiente de seguridad y control eficientes; de manera que la entidad tenga la
seguridad de que opera con información verídica, integral, exacta y confiable. Además,
la auditoría deberá contener observaciones y recomendaciones para el mejoramiento
continuo de la tecnología de la información en la institución.
En este presente documento se ha escogido a CANVIA para la realización de auditoría
en informática. CANVIA es parte de Advent Internacional, uno de los principales
inversionistas de capital privado a nivel global que busca compañías con alto potencial
de crecimiento. Es una de las 3 empresas líderes en outsourcing con 9 certificados de
calidad (CMMI 5, ISO 27001, ISO 9001, ISO 20 000, TIER III DISEÑO, TIER III
CONSTRUCCIÓN, SAP HOSTING PARTNER) y con más de 34 años de experiencia.
1.1. Objetivos
● El análisis de la eficiencia de los Sistemas Informáticos.
● La verificación del cumplimiento de la Normativa en este ámbito.
● La revisión de la eficaz gestión de los recursos informáticos.
1.2. Alcance
● Se realizará la auditoría informática en el área del Centro de Sistemas de
Información de CANVIA.
● La auditoría se centrará en el análisis de las tecnologías de la información,
aplicada actualmente en el área del Centro de Sistemas de Información de
CANVIA.
Debido a que CANVIA es una organización dedicada exclusivamente para impulsar y
soportar el proceso de transformación digital de sus clientes, innovando e
implementando proyectos de transformación digital de manera ágil, segura y con
resultados de negocio concretos. Para llegar a este nivel de servicio; cada área unas en
mayor proporción que otras deben asegurarse de dar lo mejor de sí, de aquí que se
2
�identifican aquellos que para mantenerse en operación constante dependen del servicio
que les brinda el Centro de Sistemas de Información.
1.3. Importancia
La tecnología informática, traducida en hardware, software, sistemas de Información,
investigación tecnológica, redes locales, base de datos, ingeniería de software,
telecomunicaciones, servicios y organización de informática, permiten detectar de forma
sistemática el uso de los recursos y los flujos de información dentro de una
organización y determinar qué información es crítica para el cumplimiento de su misión
y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes.
3
�2. ANTECEDENTES
2.1. Organigrama
2.2. Funciones
La empresa CANVIA se encarga de innovar e implementar proyectos de
transformación digital de manera ágil, segura, y con resultados de negocio
concretos, haciendo más fácil la vida de las personas incorporando desarrollo y
nuevas plataformas, por tal motivo el Centro de Sistemas de Información tienen
entre sus colaboradores a las personas capacitadas para que se brinde la mejor
experiencia, lo conforman las siguientes áreas:
Área de Desarrollo
Analista- Diseñador:
El analista se encarga de garantizar el óptimo funcionamiento de un sistema
informático, por lo que su trabajo se relaciona con el desarrollo de aplicación y
diseño de sistemas operativos, así como el soporte técnico y apoyo directo a los
usuarios de un sistema en particular.
En la parte de diseño, es el proceso de definición de arquitectura, módulos,
interfaces, y datos de un sistema para satisfacer los requisitos de los clientes.
4
�Programador:
Son los que codifican una secuencia de pasos para crear la lógica de un programa lo
que implica diseñarlos de tal forma que sean eficientes, rápidos y versátiles.
Se dedican mucho tiempo a probar el funcionamiento de estos, con lo cual también
pueden instalar, personalizar y dar soporte a los sistemas operativos donde trabajan.
Área de Mantenimiento
Tecnico en Redes:
Especializado en el diseño e implementación de redes WAN y LAN mediante el
manejo de dispositivos como (hubs, switches, routers, bridges) que trabajen de
manera eficiente para la organización. Prueban el sistema, realizando
mantenimiento y solucionando problemas de redes de área local y amplia a través
del internet .
Tecnico Mantenimiento HW:
Entre sus funciones se encuentran la de instalar, probar, mantener y actualizar los
equipos de sus clientes, ofreciendo asesoramiento en lo relacionado a la
configuración y uso de ordenadores, actualizaciones de nuevos componentes
informáticas y mantener los equipos , revisandolos periódicamente ante cualquier
fallo, sustituyendo piezas defectuosas que pueden dar algún problema.
Asistente Técnico de SW:
Realiza el mantenimiento de la estructura informática de la empresa, que incluye
actualización de software y programas, redacta informes y recomendaciones que
faciliten el trabajo de los empleados, y realiza una labor de formación para ayudar a
entender
y a la vez instruir en el funcionamiento de herramientas informáticas, así se obtienen
un rendimiento en manejo de plataformas y software óptimo.
Área de Infraestructura
5
�Administrador de Seguridad:
Se encarga de definir la política de seguridad de la empresa, encargándose también
de la seguridad del hardware, software, gestiona la seguridad de las comunicaciones
(Tics), a la vez define las medidas de prevención y la acciones a llevara cabo frente
ataques de virus o intrusos al sistema. Realiza el control de calidad de sw viendo
que las aplicaciones no fallen y los datos sean fiables.
DBA:
Asume la responsabilidad de velar por la gestión General de la base de Datos,
realiza el modelado de Datos y Diseño de Base de Datos , integración de
aplicaciones, restauró y recuperación de datos (Backups), emplea inteligencia de
negocios y almacenamiento de datos tanto en Storage drives como en la nube,
también procesos internos de auditoría.
6
�3. RECURSOS INFORMÁTICOS
3.1. Software
Sistemas Operativos
● MICROSOFT OPERATION MANAGEMENT: 1
● MICROSOFT SYSTEM MANAGEMENT SERVER 2007: 5
● MS WINDOWS XP: 746
● SUN SOLARIS: 2
● SYSTEMS CENTER OPERATIONS MGR: 11
● WINDOWS 7 ENTERPRISE: 802
● WINDOWS SERVER DATA CENTER: 12
● WINDOWS UPGRADE/SA: 110
Motores de Base de Datos
● DB ARTISAN: 2
● MYSQL NETWORK SILVER: 1
● ORACLE - REAL APLICATION CLUSTERS PROCESSOR PERPETUAL 9I:
6
● ORACLE DATABASE 10G ENTERPRISE EDITION 10G: 47
● ORACLE DATABASE ENTERPRISE EDITION - PROCESSOR PERPETUAL
9I: 8
● ORACLE PARTITIONING PROCESSOR PERPETUAL 10g: 8
● SQL SERVER STANDARD: 12
Herramientas de Desarrollo
ARC SDE: 1
ARCGIS 10 ARCSDE: 1
ARCGIS 10 DESTOP: 12
ARCGIS 10 SERVER ENTERPRISE: 1
ARCINFO: 2
ARCINFO 9.3: 2
ARCPAD: 1
ARCVIEW 9 SINGLE USW P/WINDOW: 6
ARCVIEW GIS: 2
ARCVIEWGIS 9.3 (UPG 9.2): 6
ASPEN INFOPLUS 2.1: 5000
ASPEN INFOPLUS 2.1 BACKUP: 5000
ASPEN PROCESS EXPLORER AND DESKTOP TOOLS V.2.5.1: 15
AUTOCAD MAP 3D 2011 P/DESKTOP: 1
AUTOCAD MAP 3D 2014 P/INST EN RED: 42
BUILDING INTEGRATION SYSTEM 2.: 1
CIMPLICITY: 4
7
� CQCO SPOTLIGHT ON UNIX: 2
EXTENSIÓN PARA ARCGIS: 3D ANALYST 9.3.1: 4
GEOEXPRESS: 1
GEOMATIC: 1
GLOBAL WATER: 1
GPS TRIMBLE, GEOEXPLORER CE/XT: 1
IBM MAXIMO ADAPTER FOR MICROSOFT PROJECT- D03X6LL: 7
IBM MAXIMO ASSET MANAGEMENT - D03T4LL :9
IBM MAXIMO ASSET MANAGEMENT - D03T6LL :15
IBM MAXIMO ASSET MANAGEMENT FOR SAP- D04QDLL: 1
3.2. Hardware
Servidores
● SERVIDORES: 58
● SERVIDORES DE ALMACENAMIENTO: 2
● SERVIDORES DE CONTINGENCIA: 2
Computadoras personales
● COMPUTADORES DE ESCRITORIO: 1722
● LAPTOP: 197
Impresoras
● IMPRESORAS: 772
● PLOTTER: 48
Scanner
● SCANNER: 234
Otros
● CENTRAL DE TELECOMUNICACIONES: 1
● LIBRERIA BACKUP: 1
● RED DE COMUNICACIONES: 2
● WORKSTATION: 284
3.3. Personal
DESTACADOS
8
� ● Tecnico Administrativo: 1
● Analista Principal de Sistemas: 1
● Coordinador Administrativo: 1
● Especialista de Sistemas: 1
● Tecnico de Informática: 1
GF ADMINISTRACION
● Tecnico de Informática: 1
● Especialista de Sistemas: 1
● Analista de tecnologias de la Información: 1
● Asistente de tecnologias de la Información: 1
● Tecnico Especialista de Sistemas: 1
GF DESARROLLO DE SISTEMAS
● Especialista en Sistemas: 2
● Desarrollador de Sistemas de Información: 2
● Analista principal Funcional: 1
● Tecnico de Informática: 2
● Tecnico Especialista en Sistemas: 1
● Analista de Sistemas: 5
● Analista de tecnologias de la Información: 1
● Analista Principal de Sistemas: 5
GF SOPORTE TECNICO
● Analista de Sistemas: 2
● Analista Principal de Sistemas: 3
● Tecnico de Informática: 1
SECRETARIA
● Secretaria: 1
SERVICIOS
● Analista Principal de Sistemas: 3
● Agente telefonico: 6
● Analista de Sistemas: 1
● Tecnico de telecomunicaciones: 1
● Operario Espec. en Tecnologías de Informatica: 1
TELECOMUNICACIONES
● Analista Principal de telecomunicaciones: 1
● Asistente de telecomunicaciones: 2
● Tecnico de telecomunicaciones: 3
9
� ● Especialista telecomunicaciones: 1
4. ENCUESTA
El personal de la empresa que participó del proceso de auditoría son principalmente
los administradores de base de datos, analistas de base de datos, desarrolladores
de los sistemas de información y el jefe del centro de sistemas de información.
Este trabajo de auditoría aplicará COBIT como metodología para la evaluación y
análisis de los diferentes procesos y controles que se aplican en el área de la
tecnología de la información.
¿QUÉ ES COBIT?
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos
y los niveles de riesgo asumidos. COBIT posibilita que TI sea gobernada y
gestionada en forma holística para toda la organización, tomando en consideración
el negocio y áreas funcionales de punta a punta, así como los interesados internos y
externos. COBIT se puede aplicar a organizaciones de todos los tamaños, tanto en
el sector privado, público o entidades sin fines de lucro.
LOS 5 PRINCIPIOS DE COBIT
Este marco de trabajo cuenta con cinco principios que una organización debe seguir
para adoptar la gestión de TI:
Satisfacción de las necesidades de los accionistas: se alinean las necesidades
de los accionistas con los objetivos empresariales específicos, objetivos de TI y
objetivos habilitadores. Se optimiza el uso de recursos cuando se obtienen
beneficios con un nivel aceptable de riesgo.
Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI son
asumidos desde una perspectiva global, de tal modo que se cubren todas las
necesidades corporativas de TI. Esto se aplica desde una perspectiva "de punta a
punta" basada en los 7 habilitadores de COBIT.
Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores
marcos de Information Systems Audit and Control Association (ISACA) como Val IT,
10
�que relaciona los procesos de COBIT con los de la gerencia requeridos para
conseguir un buen valor de las inversiones en TI. También se relaciona con Risk IT,
lanzado por ISACA para ayudar a organizaciones a equilibrar los riesgos con los
beneficios.
Posibilitar un enfoque holístico: los habilitadores de COBIT 5 están identificados
en siete categorías que abarcan la empresa de punta a punta. Individual y
colectivamente, estos factores influyen para que el gobierno de TI y la gestión de TI
operen en función de las necesidades del negocio.
Separar el gobierno de la gestión: COBIT 5 distingue con claridad los ámbitos del
gobierno de TI y la gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de las TI. El gobierno
busca asegurar el logro de los objetivos empresariales y también evalúa las
necesidades de los accionistas, así como las condiciones y las opciones existentes.
La dirección se concreta mediante la priorización y la toma efectiva de decisiones. Y
el monitoreo abarca el desempeño, el cumplimiento y el progreso en función con los
objetivos acordados.
La gestión está más relacionada con la planificación, la construcción, la ejecución y
el monitoreo de las actividades alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos empresariales.
COBIT es utilizado por:
● La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre
el rendimiento de las mismas, analizar el costo beneficio del control.
● Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y
el control de los productos que adquieren interna y externamente.
● Los Auditores: Para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organización y determinar el control mínimo
requerido.
● Los responsables de TI: Para identificar los controles que requieren en sus
áreas. También puede ser utilizado dentro de las empresas por el
responsable de un proceso de negocio en su responsabilidad de controlar los
aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
11
�PREGUNTAS DE LA ENCUESTA
Aspectos Relacionados Al Hardware
1. Si hay vigilante, ¿Revisa éste que los empleados no lleven artículos que no
son de su propiedad?
2. ¿En alguna ocasión le han quemado discos o guarda información en los
equipos de la entidad?
3. ¿Cada componente de su computadora y periféricos tiene la numeración
respectiva del inventario?
Aspectos Relacionados Al Software
4. ¿Se utilizan programas como el Office de Microsoft u otros programas para
los que la empresa haya comprado las licencias correspondientes?
5. ¿Los empleados pueden utilizar el equipo informático de la entidad para
elaborar documentos o diseños para uso personal?
6. ¿Para el resguardo de los diversos discos de programas, se tiene un
archivero adecuado?
7. ¿El software comprado por la entidad le facilita su trabajo?
8. ¿Los programas fueron creados bajo estrictas normas de seguridad para
evitar que puedan ser revendidos a otras empresas que se dediquen a la
misma actividad económica?
9. ¿Los diversos softwares se guardan en un lugar libre de humedad o con
calor excesivo?
10. ¿Las capacitaciones recibidas, a qué aspectos han sido enfocadas?
11. ¿Se ha capacitado en su momento a los usuarios de los sistemas
informáticos?
Aspectos Relacionados a la Seguridad
12. ¿Le han dado clave para ingresar al sistema?
13. ¿La clave que ha recibido le da acceso a documentos y archivos con base en
la autoridad que tiene dentro de la empresa?
14. ¿El acceso a Internet es para todos los empleados?
15. ¿Existe un plan estratégico informático?
16. ¿Se realiza un presupuesto y se lo asigna a la unidad informática?
17. ¿Con qué tipo de seguridades físicas y lógicas cuenta la información de la
empresa?
18. ¿Hay mantenimiento de software y hardware?
19. ¿Qué piensa del funcionamiento de los sistemas informáticos?
12
� 20. ¿Existe planes de contingencia para el área informática?
21. ¿La computadora que utiliza funciona?
22. ¿Para enviar sus documentos a los otros empleados de la empresa lo hace
mediante?
23. ¿Qué actividades tiene permitidas en su oficina?
24. ¿Cuántas veces ha recibido su computadora un mantenimiento preventivo?
25. ¿La red está siempre disponible?
26. ¿Existe soporte técnico en la empresa?
Aspectos Relacionados Al Hardware
Si hay vigilante, ¿Revisa éste que los empleados no lleven artículos que no son de su
propiedad?
¿En alguna ocasión le han quemado discos o guardada información en los equipos de la
entidad?
¿Cada componente de su computadora y periféricos tiene la numeración respectiva del
inventario?
13
�Aspectos Relacionados Al Software
¿Se utilizan programas como el Office de Microsoft u otros programas para los que la
empresa haya comprado las licencias correspondientes?
¿Los empleados pueden utilizar el equipo informático de la entidad para elaborar
documentos o diseños para uso personal?
¿Para el resguardo de los diversos discos de programas, se tiene un archivero adecuado?
14
�¿El software comprado por la entidad le facilita su trabajo?
¿Los programas fueron creados bajo estrictas normas de seguridad para evitar que puedan
ser revendidos a otras empresas que se dediquen a la misma actividad económica?
¿Los diversos softwares se guardan en un lugar libre de humedad o con calor excesivo?
¿Las capacitaciones recibidas, a qué aspectos han sido enfocadas?
15
�¿Se ha capacitado en su momento a los usuarios de los sistemas informáticos?
Aspectos Relacionados a la Seguridad
¿Le han dado clave para ingresar al sistema?
¿La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad
que tiene dentro de la empresa?
16
�¿El acceso a Internet es para todos los empleados?
¿Existe un plan estratégico informático?
¿Se realiza un presupuesto y se lo asigna a la unidad informática?
¿Con qué tipo de seguridades físicas y lógicas cuenta la información de la empresa?
17
�¿Hay mantenimiento de software y hardware?
¿Qué piensa del funcionamiento de los sistemas informáticos?
¿Existe planes de contingencia para el área informática?
¿La computadora que utiliza funciona?
18
�¿Para enviar sus documentos a los otros empleados de la empresa lo hace mediante?
¿Qué actividades tiene permitidas en su oficina?
19
�¿Cuántas veces ha recibido su computadora un mantenimiento preventivo?
¿La red está siempre disponible?
¿Existe soporte técnico en la empresa?
20
�5. REALIZACIÓN DE LA AUDITORÍA
La auditoría se realiza en los siguientes dominios con su respectivo proceso y
objetivos de control:
1. Dominio: Alinear, Planear y Organizar (APO)
Proceso: Gestionar el riesgo
Objetivos de control:
❖ Identificación de eventos
❖ Evaluación de riesgos de TI
❖ Respuesta a los riesgos
2. Dominio: Construcción, Adquisición e Implementación (BAI)
Proceso: Adquirir y mantener el software aplicativo
Objetivos de control:
❖ Seguridad y disponibilidad de las aplicaciones
❖ Configuración e implantación de software aplicativo adquirido
❖ Desarrollo de software aplicativo
❖ Mantenimiento de software aplicativo
3. Dominio: Entregar, dar Servicios y Soporte (DSS)
Proceso: Gestionar las peticiones y los incidentes del servicio
Objetivos de control:
❖ Sistema de administración de problemas
❖ Escalamiento de problemas
❖ Seguimiento de problemas y pistas de auditoría
21
�Desarrollando la matriz de evaluación de cada punto.
1. Matriz de Evaluación
Grado de madurez
El proceso “Gestionar el riesgo” se encuentra en un nivel 0 (No Existente).
Objetivos no cumplidos
El área de TI de CANVIA no toma en cuenta los riesgos, ni los evalúa o genera planes de
respuesta a los mismos.
22
�Recomendaciones
Este proceso debería tener algunos cambios para que pueda ascender a un nivel de
madurez de 1 (Inicial / Ad Hoc), para lo cual se deberían manejar estrategias a corto y largo
plazo de acuerdo con la metodología COBIT.
23
� 2. Matriz de Evaluación
Grado de madurez
El proceso “Adquirir y mantener el software aplicativo” se encuentra en un nivel 0 (No
Existente).
Objetivos no cumplidos
En CANVIAS no se ha establecido un plan de adquisición y mantenimiento de software
aplicativo, a pesar de que se reconozca la importancia de este.
24
�Recomendaciones
Este proceso debería tener algunos cambios para que pueda ascender a un nivel de
madurez de 1 (Inicial / Ad Hoc), para lo cual se deberían manejar estrategias a corto y largo
plazo de acuerdo con la metodología COBIT.
25
� 3. Matriz de Evaluación
Grado de madurez
El proceso “Gestionar las peticiones y los incidentes del servicio” se encuentra en un nivel 0
(No Existente).
Objetivos no cumplidos
En CANVIAS no se cuenta con una administración de problemas e incidentes, no se tiene
una mesa de atención a clientes, ni políticas o procedimientos para la administración de
problemas.
Recomendaciones
Este proceso debería tener algunos cambios para que pueda ascender a un nivel de
madurez de 1 (Inicial / Ad Hoc), para lo cual se deberían manejar estrategias a corto y largo
plazo de acuerdo con la metodología COBIT.
26
�6. CONCLUSIONES
● El presente trabajo de auditoría podrá ayudar a determinar los procesos que el
Centro de Sistemas de Información de CANVIA debe implementar, determinar la
criticidad de los mismos y así tomar medidas correctivas que permitan mejorar el
desempeño y lograr como objetivo el buen funcionamiento del Centro de Sistemas
de Información a través del aseguramiento de la continuidad de los servicios.
● La metodología COBIT nos proporcionó las herramientas necesarias para
determinar la situación actual de los procesos de la unidad de Centro de Sistemas
de Información y realizar recomendaciones a corto y largo plazo para tomar acciones
correctivas.
27
