Trabajo

Académico
Escuela Profesional Ciencias Contables y Financieras 2019-1B
AUDITORIADE SISTEMAS CONTABLES
0302-03E12
Nota:
Docente: MA. ING. ALEJANDRO DÍAZ AGUILAR

Ciclo: IX Sección: 01 Módulo II

Datos del alumno: Forma de envío:
Apellidos y nombres: Publicar su archivo(s) en la opción TRABAJO
CACERES GUILLEN MAGALI ACADÉMICO que figura en el menú contextual de su
curso
Código de matrícula:
Fecha de envío:
2012152787

Uded de matrícula:
Hasta el Domingo 16 de Junio 2019
CAÑETE Hasta las 23.59 PM
Recomendaciones:

1. Recuerde verificar la
correcta publicación de
su Trabajo Académico
en el Campus Virtual
antes de confirmar al
sistema el envío
definitivo al Docente.
Revisar la
previsualización de su
trabajo para asegurar
archivo correcto.

2. Las fechas de publicación de trabajos académicos a través del campus virtual DUED LEARN están definidas
en la plataforma educativa, de acuerdo al cronograma académico 2019-1B por lo que no se aceptarán
trabajos extemporáneos.

3. Las actividades de aprendizaje que se encuentran en los textos que recibe al matricularse, servirán para su
autoaprendizaje mas no para la calificación, por lo que no deberán ser consideradas como trabajos
académicos obligatorios.

Guía del Trabajo Académico:

4. Recuerde: NO DEBE COPIAR DEL INTERNET, el Internet es únicamente una fuente de
consulta. Los trabajos copias de internet serán verificados con el SISTEMA
ANTIPLAGIO UAP y serán calificados con “00” (cero).

5. Estimado alumno:
El presente trabajo académico tiene por finalidad medir los logros alcanzados en el desarrollo del curso.
Para el examen parcial Ud. debe haber logrado desarrollar hasta01 y para el examen final debe haber
desarrollado el trabajo completo.

1TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Criterios de evaluación del trabajo académico:
Este trabajo académico será calificado considerando criterios de evaluación según naturaleza del curso:

Presentación adecuada Considera la evaluación de la redacción, ortografía, y presentación del

1 del trabajo
Investigación
2 bibliográfica:
trabajo en este formato.
Considera la revisión de diferentes fuentes bibliográficas y electrónicas
confiables y pertinentes a los temas tratados, citando según la normativa
APA.
Se sugiere ingresar al siguiente enlace de video de orientación:

Situación problemática o Considera el análisis contextualizado de casos o la solución de situaciones

3 caso práctico: problematizadorasde acuerdo a la naturaleza del curso.

Considera la aplicación de juicios valorativos ante situaciones y escenarios

4 Otros contenidos
diversos, valorando el componente actitudinal y ético.

Preguntas:

INDICACIONES ADICIONALES:

A fin de garantizar una buena presentación; el presente trabajo deberá estar realizado en Ms-
Word, asignándole02 puntossiempre y cuando este realizado con una ortografía y
redacción correcta, no olvide que al finalizar el desarrollo del Trabajo Académico, deberá
indicar sus conclusiones y las fuentes de consulta bibliográfica, así mismo está demás decir
que se calificará con CERO aquel Trabajo Académico que cuente con las misma
secuencia o palabras, pues se considerará como plagio. Se le recuerda al estudianteque la
DUED - UAP cuenta con el Software SafeAssign, que detecta en forma automática, los
Trabajos Académicos copiados de otros Trabajos Académicos, así como de sitios de internet.

Estimado estudiante sea original al desarrollar los problemas planteados, recuerde que usted
está llevando el curso a distancia y por lo tanto la exigencia en la solución de la pregunta es
necesaria y obligatoria. Publique su Trabajo Académico en el campus virtual hasta la fecha
indicada. ¡Tome sus precauciones!

Siendo la elaboración del Trabajo Académico parte del proceso de enseñanza y de aprendizaje,
los alumnos de la asignatura de AUDITORIA DE SISTEMAS CONTABLES,cuentan con el apoyo del
profesor tutor para su orientación en lo que se refiere a la bibliografía adicional, alcance del
desarrollo del tema, etc.

2TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico

PREGUNTAS:

1. Analiza las 5 áreas específicas de Auditoría de TI, y determine cuál de ellas es la más
importante que se debe tomar en una empresa. Describa las razones por las cuales lo
considera la más importante. (3 ptos)

La más importante que considero es el de seguridad y mantenimiento:

La Implementación de un sistema de gestión en mantenimiento, es un proceso al que

cualquier empresa en el rubro, se puede someter si quiere identificar oportunidades de mejora
en sus procesos. No solamente cubriendo el tema de Calidad, sino también el medio
ambiental y la seguridad y salud en el trabajo.

Objetivo:
Adquirir conocimientos especializados de actualidad sobre la Gestión del mantenimiento,
planificación, organización, la ejecución y el control del Mantenimiento aplicados a distintos
tipos de industrias, que contribuyan a elevar la eficiencia, liderazgo, competitividad y
productividad de las empresas.

Habilidades

 Transferir procedimientos y métodos para la evaluación y el Control del Mantenimiento

en la empresa.
 Determinar fortalezas y debilidades de la gestión del mantenimiento y la tecnología en
la empresa, así como la evaluación de la gestión.
 Diseñar un programa de intervención de mantenimiento basado en los problemas
detectados en el diagnóstico realizado.
La gestión de mantenimiento es responsable de armonizar los activos fijos, minimizando los
tiempos de parada y los costos asociados a los mismos. Es por esto, que una adecuada gestión
de mantenimiento, en el marco de una filosofía del personal orientada hacia la calidad, ayuda
a incrementar la productividad, por lo que es de vital importancia el estudio de los aspectos que
pueden afectarla.

2. Investigue una empresa nacional o internacional, que haya utilizado el COBIT, e indique
los beneficios que ha obtenido dicha empresa al utilizar el COBIT. (5 ptos)

3TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
COBIT EN ECOPETROL S. A.

Es una Sociedad de Economía Mixta, de

carácter comercial, vinculada al Ministerio de
Minas y Energía, es la empresa más grande
del país y la principal compañía petrolera en
Colombia, pertenece al grupo de las 39
petroleras más grandes del mundo y es una
de las cinco principales de Latinoamérica.

Cuenta con campos de extracción de

hidrocarburos en el centro, el sur, el oriente y
el norte de Colombia, dos refinerías, puertos
para exportación e importación de combustibles y crudos en ambas costas y una red de
transporte de 8.500 kilómetros de oleoductos y poliductos a lo largo de toda la geografía
nacional.

IMPLEMENTACIÓN de COBIT – Ecopetrol S.A

En el año 2007, la empresa adopta el modelo COSO para la gestión de control interno, el cual
es un documento de contiene las principales directivas para la implantación, gestión y control
de un sistema de control (Cabello, N., 2011)

En el año 2008, la DTI (Dirección de Tecnología de Información) de la empresa, decide adoptar

COBIT, como marco para la implementación del sistema de gestión de tecnologías de
información, integrando los esfuerzos de iniciativas en curso, relacionadas con el Diseño e
implementación de Servicios (ITIL), la Gestión por Procesos, Control Interno y cumplimiento de
regulaciones tales como la Ley Sarbanes Oxley. (Léon, A., 2012).

DTI eligió COBIT como el marco de gobierno de TI adecuado para integrar un sistema de
gestión de TI, basado en las siguientes características de COBIT (ISACA, 2016):

 Permite el mapeo de los objetivos de TI a los objetivos de negocio.

 Es el resultado de una mejor alineación, basado en un enfoque de negocio.
 Proporciona una visión de lo que hace que sea comprensible para la gestión.

4TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
 Indica claramente la propiedad y las responsabilidades basadas en la orientación del proceso.
 En general se acepta por parte de terceros y reguladores.
 Proporciona un entendimiento compartido entre todas las partes interesadas, sobre la base de
un lenguaje común.
 Cumple con los requisitos de COSO y Sarbanes-Oxley para el entorno de control de TI.

¿QUÉ SE HIZO?

Inicialmente la DTI de Ecopetrol define los lineamientos, procesos y objetivos de control a

implementar, seguido de una identificación de recursos internos que apoyarían la
implementación del sistema y los recursos asignados a contratar a los consultores externos.

Una vez realizado esto, se establece un proyecto, donde se presta especial atención a
cuestiones como:

 Asignación de recursos y un equipo interdisciplinario con representantes de las áreas

involucradas dentro de ella
 Definición de puntos de relación con las unidades de negocio y otras unidades de apoyo
 Interacción con las áreas clave: finanzas, riesgos, estrategia, calidad y auditoría interna y externa
de manera continua
 Alineación con los proyectos empresariales tales como el fortalecimiento del sistema de control
interno (COSO) y (Ley Sarbanes – Oxley) cumplimiento.
 Presentaciones al nivel más alto de gestión, con reuniones semanales de seguimiento sobre el
proyecto
 Identificación de las aplicaciones anteriores y procesos críticos de negocio.

¿CÓMO SE HIZO?

De acuerdo a lo anterior, Ecopetrol decidió implementar 28 procesos COBIT, dando prioridad a

los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley (ISACA, 2016) (Léon,
A., 2012).

El equipo del proyecto desarrolla el diseño y documentación de los procesos y, posteriormente,

la aplicación y el seguimiento de la operación para la realización de los ajustes necesarios.
Como resultado de ello, en junio de 2009, la División había aplicado y asegurado 14 procesos
de COBIT de alta prioridad. A diciembre de 2009, ya se habían aplicado los 28 procesos
(ISACA, 2016).

Como menciona (Valverde, F., 2014) a mediados del 2009 y al empezar el 2010, se llevaron
auditorias tanto de tipo interno como de tipo externo, se implementaron medidas de corrección

5TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
para las debilidades y el mejoramiento en los principales procesos y controles de TI, la auditoria
externa reporto que no había deficiencias significativas o debilidades materiales en los controles
de TI que requieran ser informadas por el CIO, el CFO, el CEO o el auditor externo.

FACTORES DE ÉXITO EN EL PROYECTO

Los factores que contribuyeron al éxito del proyecto de implementación de COBIT fueron:

 Asignación de responsabilidades, sobre el diseño y operación de los procesos, en cabeza de los

líderes
 Respaldo pleno de la dirección
 Entrenamiento y replica de conocimientos del personal del proyecto
 Monitoreo frecuente
 Eficiente control de cambios
 Revisión de lecciones aprendidas periódicamente y aprendizaje de las mismas
 Interacción permanente con los procesos de auditoria y los resultados arrojados.
 Plan de comunicaciones enfocado en la trasformación de la cultura, asegurando que las
personas incorporaran las prácticas dentro de los procesos
 Apoyo de consultorías de alto nivel
 Definición clara de estrategias y acciones de sostenibilidad

CONCLUSIONES

El marco de trabajo de COBIT se ha convertido en un modelo a seguir para llevar un control de

los procesos de TI que pertenecen a la organización, sin embargo este debe ser tomado en
cuenta para la gobernabilidad de tecnología que por consiguiente será enfocado a la
gobernabilidad corporativa

Sin determinar el tamaño de la organización ni en el mercado que esta pueda desempeñar los
marcos de referencia para la gestión de TI agregan valor a las empresas, le dan al gerente una
visión sobre las mejores prácticas en el desempeño de TI orientado netamente al negocio.

La implementación de los marcos de referencia para la gestión de TI se recomienda que se

estructuren como un proyecto, con un plan de trabajo detallado, hitos claramente definidos,
asignación del trabajo en equipo, gestión de riesgos y los entregables del proyecto.

Los factores de éxito evidenciados en el caso de estudio muestran la importancia de contar con
una eficiente gestión de los cambios, la asignación de responsabilidades, el monitoreo
frecuente, un plan de comunicaciones bien definido, gestión de riesgos, apoyo permanente de

6TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
la lata dirección, entre muchos otros, que para este caso ayudaron a alcanzar con éxito el
proyecto.

Se resaltan las evaluaciones a nivel de madurez que se llevaron a cabo por un tercero
competente e independiente para la medición de madurez de los procesos, así como la
comunicación permanente con las auditorías realizadas y la socialización de las lecciones
aprendidas.

.La aplicación del COBIT en las empresas son una mejor forma de manejar las informaciones
que son muy importantes en el desarrollo de la empresa y para los estados de gobierno ya que
se evitara fraudes que van de la mano con los profesionales contadores brindando auditorias
confiables para todos los interesados.

3. Investigue una empresa nacional o internacional, que haya implementado el uso del
ITIL, e indique los beneficios que ha obtenido dicha empresa al utilizar el ITIL. (5 ptos)

OUTSOURCING S.A
Outsourcing S. A. es una empresa especializada en prestar servicios de TI a terceros.
Cuenta con los siguientes servicios:

 Mesa de ayuda.
 Mantenimiento de hardware.
 Administración de servidores.
 Entrenamiento en TI para usuarios.

ESTRATEGIA DEL SERVICIO

La empresa Outsourcing S.A desea implementar un nuevo servicio que brindara a todos sus
cliente y a las empresas que utilicen las tecnologías de la información un gran apoyo y beneficio
en su funcionamiento, además tendrán un gran respaldo ya que ellos emplearan este nuevo
servicio para su comunicación y el procesamiento de su información por eso la empresa
Outsourcing S.A ve un gran campo de acción en este servicio de infra estructura de red.

El servicio de soporte de infra estructura de la red será un servicio que contara con una total
garantía de con fiabilidad y funcionabilidad, debido a que este es un servicio que tiene grandes
posibilidades de cambios y de variedad en posibles errores a lo largo de los procesos que se

7TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
dan en la red. La empresa Outsourcing S.A antes de implementar este nuevo servicio debe
conocer todos los aspectos que conciernen a este nuevo servicio, deberá tener en cuenta que
recursos posee la empresa y cuál es la capacidad de esta para administrarlos de una manera
óptima. El software de administración de infraestructura que utilizara la empresa Outsourcing
S.A no será creado por ellos por tal motivo se requiere de la contratación de un tercero que le
preste este servicio a la empresa, sin embargo el personal para administrar las herramientas
que le serán provistas, será seleccionado y capacitado por la propia empresa, por lo tanto para
suplir este servicio se requerirá de proveedores tanto externos como internos. Outsourcing S.A
deberá hacer una investigación de mercado de dicho servicio por eso se deberá encontrar los
servicios que ya estén implementados y que se consideren similares al que se planea
implementar, definiendo con esto cuales son las posibles ventajas con las que se puede contar
y que diferencias se pueden dar con respecto a servicio de la competencia.

DISEÑO DEL SERVICIO

En el diseño del servicio podremos ver como se implementara de una forma correcta y funcional
este nuevo servicio, para eso la empresa deberá identificar y analizar cuáles son los procesos
que se deberán llevar a cabo. Hay que tener en cuenta que se realice y se edite debidamente
un Catálogo de Servicios que contenga información precisa y actualizada de todos los servicios
operacionales. Para la puesta en marcha de este servicio se deberán de tener en cuenta
informes referentes al mercado que posee el servicio y analizar los detalles técnicos que se
requieren y los recursos o las capacidades técnicas que se deben de desarrollar con el fin de
tener un servicio eficiente. Se debe tener seguridad que la capacidad del servicio y que la
infraestructura de TI sea capaz de cumplir con los objetivos que han sido pactados de capacidad
y desempeño de manera económicamente efectiva y puntual. Acá se deben tener en cuenta
todos los recursos necesarios para prever las necesidades de la empresa a corto, medio y largo
plazo. Se debe asegurar que la información que se maneje tenga integridad, confiabilidad y
disponibilidad.

TRANSICIÓN DEL SERVICIO

La fase de la Transición del Servicio es muy importante porque acá se va a dar la gran
posibilidad de ampliar y extender el nuevo servicios que ha sido implementado por la empresa
Outsourcing S.A y si es el caso poder hacerle algunas modificaciones que puedan llegar a hacer
necesarias para el mejor funcionamiento de dicho servicio. Al desarrollar e implementar las
modificaciones y ampliaciones, mediante este proceso también se asegura que los cambios en
los servicios y procesos de la gestión de servicios se lleven a cabo de manera coordinada.

OPERACIÓN DEL SERVICIO

8TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
En la operación del servicio se llevaran a cabo todas las tareas operacionales que se van a ir
presentando en el continuo funcionamiento del servicio que se ha sabido implementar.
Mediante este proceso la empresa Outsourcing S.A se asegurara que el funcionamiento del
nuevo servicio que ha sido entregado al cliente final se lleve a cabo sin ningún contratiempo y
todo sea de acuerdo a lo que ha sido planeado para el funcionamiento correcto de este servicio.

MEJORA CONTINUA DEL SERVICIO

La mejora continua del servicio se alcanzara con una continua medición y monitorización de
todos los procesos que involucran la buena prestación del nuevo servicio que ha sido
implementado, los informes que se vallan dando tras la obtención de resultados de la
monitorización se van a ver reflejados en planes que mejoraran la prestación del nuevo servicio.

PRINCIPALES PROCESOS QUE SE LLEVAN A CABO EN LOS SERVICIOS DE LA

EMPRESA

Mesa de ayuda

 Recepción de solicitudes.
 Reportes.
 Identificación problema.
 Evaluación de soluciones.
 Solución de problema.
 Reporte solución y cierre.

Mantenimiento De Hardware

 Hardware de respaldo.
 Backups de la información.
 Soporte y reparación.
 Reporte de fallas.
 Informes.
 Desecho de equipamiento.

Administración De Servidores

 Backups información.
 Verificación de Logs.
 Monitorizar las funciones.
 Protección contra amenazas.
 Comprobar la seguridad en los servidores.
 Capacitación.

9TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Entrenamiento En TI Para Usuarios

 Establecer objetivos de formación.

 Creación de un programa de formación.
 Capacitación al personal de entrenamiento.
 Formación a los usuarios.
 Estrategia de verificación de objetivos.

Soporte A Infraestructura De Red

 Recepción de solicitudes.
 Recopilar información de diagnóstico.
 Evaluación de soluciones.
 Reporte de solución.
 Capacitación al personal de infraestructura.

ESQUEMA DE IMPLEMENTACIÓN DE ITIL PARA LA EMPRESAOUTSOURCING S.A

 Preparación del proyecto.

 Definición de la estructura de servicios.
 Identificar el servicio que se van a introducir y quienes están a cargo de ellos.
 Definir la estructura de los procesos a implementar en el servicio.
 Diseño de los procesos que se implementaran en detalle.
 Analizar los objetivos que se lograran con la implementación del servicio.
 Identificar los requisitos que necesitara el nuevo servicio para su buen funcionamiento.
 Seleccionar nuevos sistemas que apoyaran los procesos que han sido implementados.

QUÉ VENTAJAS OBTENDRÍA LA EMPRESA AL IMPLANTAR ITIL

Como ya sabemos ITIL es una metodología reconocida a nivel internacional la cual nos
ofrece una serie de recopilaciones sobre las mejores prácticas tanto del sector público
como del sector privado. Estas mejores prácticas se dan en base a toda la experiencia
adquirida con el tiempo en determinada actividad. ITIL como metodología para la correcta
prestación de servicios de TI nos propone el establecimiento de estándares que nos
ayudan en el control, operación y administración de los recursos (ya sea para beneficio de
nuestra empresa o para los clientes). Esta metodología nos plantea hacer una revisión y
reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel
de eficiencia no es el esperado o que haya una forma más rápida y eficiente de hacer las
cosas), y esto es una muy buena alternativa ya que nos lleva a una mejora continua en la
realización de los procesos. Otra de las mejores prácticas que propone es que para la

10TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
realización de cada actividad que se realice se debe de hacer la documentación pertinente,
y es importante ya que esta puede ser de gran utilidad para otros miembros del área,
además de que quedan plasmados todos los movimientos realizados, permitiendo así a
que todo el personal esté al tanto de los cambios y no se tome a nadie por sorpresa. Esto
es realmente importante ya que muchos incidentes suceden en empresas y/o entidades
debido a la no correcta divulgación de la información al personal que lo requiere. Toda esta
serie de métodos, practicas ofrecen a la empresa una mejor y mayor eficiencia en los
procesos de prestación de los servicio, mejores respuestas a incidentes, mejores
respuestas a el mejoramiento de los servicios ofrecidos, permitiendo así una mayor
consolidación de la empresa y llevándola así a ser más fuerte competitivamente.

ENTRE LOS BENEFICIOS QUE ENCONTRAREMOS AL IMPLEMENTAR ITIL EN

NUESTRO NUEVO SERVICIO TENEMOS:

 Asimilar los cambios más rápidamente.

 Optimización de los recursos.
 Cumplir con éxito los acuerdos de prestación de servicios a los clientes.
 Asegurar la disponibilidad de los servicios prestados.
 Minimizar riesgos.
 Asegurar una respuesta oportuna de las áreas de soporte técnico a los clientes.

IMPLEMENTACIÓN DE UN MODELO DE GESTIÓN DE SERVICIOS DE

TECNOLOGÍA DE INFORMACIÓN, BASADO EN LAS BUENAS
PRÁCTICAS, PARA LA ATENCIÓN DE REQUERIMIENTOS DE LOS
USUARIOS EN UNA EMPRESA PRIVADA DE SALUD

Reseña de la empresa

Grupo Salud del Perú S.A.C, pertenece al rubro salud, cuenta con empresas de prestigio como
Oncosalud, Clínica bellavista, Servimedicos en Chiclayo, Clínica Miraflores y Centro médico
monteverde en Piura; además de contar con grandes proyectos a nivel nacional.

Brinda soluciones integrales para personas y empresas, abarcando servicios generales,

atenciones médicas especializadas, chequeos de salud ocupacional y exámenes preventivos

11TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
en todas las especialidades. Así mismo, ofrece programas oncológicos con el respaldo y
experiencia de 25 años de Oncosalud.

Misión: Transformar la experiencia en salud.

Visión: Ser la opción en salud.

Es un proyecto que consiste en la implementación de un modelo de gestión de servicios para

el mejoramiento del proceso de atención de solicitudes de los usuarios, así como para mejorar
la productividad del personal de TI dentro de una empresa privada de salud en Lima
Metropolitana.

Un aspecto clave en el desarrollo de la investigación fue la metodología aplicada, denominada

PI-10 basada en las buenas prácticas de ITIL, lo que permitió contar con un marco de referencia
estándar, y de calidad que brindó su aporte más significativo en el diseño y control de los
procesos para la toma de decisiones.

El resultado obtenido fue la implementación de la gestión de peticiones y de incidencias que

permitió atender las solicitudes de las distintas sedes que forma parte de la empresa privada
de salud.

Por lo tanto, se concluye que el proyecto presentado permitió la implementación de un modelo

personalizado para la empresa privada de Salud, orientado a la gestión de servicios de TI,
mejorando el proceso de atención de solicitudes de usuarios, así como, mejorando la
productividad del área de TI.

 Problema principal
Ineficiente organización para la gestión de los servicios de TI, lo cual genera retraso en la
atención de los requerimientos de los usuarios, así como, degradación en la productividad
del personal de TI.

 Objetivos.
Objetivo principal

Implementar un modelo de gestión de los servicios de TI basado en las buenas prácticas

de ITIL para el mejoramiento en el proceso de atención de requerimientos de los usuarios,
así como, mejorar la productividad del área de TI dentro de una empresa privada de Salud
en Lima Metropolitana.

Objetivos específicos

12TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
a) Implementar procesos alineados a las buenas prácticas de ITIL.

b) Reducir el tiempo del proceso de atención de las solicitudes de los usuarios.

c) Mejorar la productividad del área de Tecnología de Información.

d) Mejorar la satisfacción de los usuarios involucrados en el proceso.

 Justificación
La empresa Grupo Salud del Perú S.A.C. busca la calidad y la estandarización de sus
procesos. Actualmente posee la certificación NANDA, certificación otorgada por la
estandarización de los procesos de diagnóstico clínico, con el fin de brindar un mejor
servicio. El presente proyecto tiene como objetivo implementar el estándar ITIL en el
proceso de atención de requerimientos que brinde soporte a los procesos de la empresa
orientados al cumplimiento de los requisitos exigidos por sus estándares de negocio y
apoyando el fin de la mejora en la calidad del servicio al usuario final.

CASO SOFTSIERRA
La empresa SoftSierra S.A. por naturaleza es una empresa de venta de servicios, y con la
finalidad de incrementar la calidad de los mismos para que sus clientes retornen, aplicó ITIL
2011 como una alternativa para mejorar la calidad de Soporte que recibían los usuarios, de tal
forma que los clientes al recibir un servicio, sientan que han obtenido una solución que satisface
su expectativa de calidad y por ende aumente el índice de satisfacción del mismo.

El área de Service Desk de la empresa SoftSierra no aplica buenas prácticas para gestionar el
servicio entregado a sus clientes. Con esto en muchas ocasiones provoca insatisfacción en los
clientes y algunas veces este resultado, interpretado por el Área Administrativa de SofSsierra
S.A., como una baja productividad y mal servicio de parte del personal de soporte.

La metodología utilizada para implementar ITIL se describe como en un principio, identificar el

estado actual y los objetivos que se desean alcanzar del Área de Soporte. Con toda esta
información se concluye que la implementación cubrirá cuatro de las cinco fases de ITIL, y se
avanzará siguiendo diez pasos, recomendados de IT Process Maps, se utiliza como alternativa
de implementación de propuesta, debido a que hace referencia a la información de ITIL
Fundación, pero en idioma español, además de ello muestra gráficos de ejemplo y tablas
referenciales de ayuda de acuerdo a la información proporcionada por la Organización ITIL.
Pinto, C (2014) afirma que a través de los diez pasos siguientes, se cubre todas las fases de

13TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
ITIL, acordados al tipo de servicio que el Área de Service Desk de SoftSierra brinda, los pasos
son:

Paso 1: Preparación del proyecto de ITIL.

Paso 2: Definición de la estructura de servicios de TI.

Paso 3: Selección de Roles ITIL y propietarios de roles.

Paso 4: Análisis procesos existentes (Evaluación de ITIL).

Paso 5: Definición de la Estructura de Procesos.

Paso 6: Definición de las entradas y salidas de los procesos ITIL.

Paso 7: Establecimiento de controles de proceso

4. Investigue una empresa nacional o internacional, que haya implementado la Norma ISO
27002, e indique los beneficios que ha obtenido dicha empresa al utilizar dicha Norma.
(5 ptos)

Actualmente las organizaciones dependen mucho de la información y los datos que esta
mantenga como resultado de sus procesos internos y externos. Una gran cantidad de
empresas, en su mayoría MYPEs, establecen sus propias reglas o normas para otorgarle
seguridad a toda la información almacenada, así como también a la manera en que se manejan
todos los dispositivos informáticos.

La norma ISO/IEC 27002:2013 es un estándar para la seguridad de la información publicada

por la Organización Internacional de Normalización y la Comisión Electrónica Internacional.
Esta norma brinda recomendaciones para las mejores prácticas en la gestión de la seguridad
de la información a todas las personas o empresas interesadas en desarrollar, implementar o
mantener sistemas de gestión de la seguridad de la información.

Este trabajo se centra en la explicación de los capítulos cinco y seis de la norma que hablan de
las ‘Políticas de la Seguridad de la Información y de la Organización de Seguridad de la
Información’, respectivamente. Estos capítulos son explicados concretamente con las
recomendaciones de la norma y utilizando como casos prácticos, tesis desarrolladas que se
basan en este estándar para buscar la solución o mejora de la seguridad de información en
diferentes empresas del Perú.

14TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
“DISEÑO DE UNA RED DE DATOS PARA EL POLICLÍNICO SEÑOR DE LOS MILAGROS,
USANDO METODOLOGÍA TOP DOWN NETWORK DESIGN Y APLICANDO ESTÁNDARES
ISO/IEC 27002”.

Actualmente el Policlínico Señor de Los Milagros no cuenta con una red de computadores en
la que no se comparten recursos de hardware (impresoras) y software, esto genera demora en
la impresión de documentos debido a que todo el laboratorio solo cuenta con una sola
impresora.

Dado el siguiente problema se plantea hacer una red de datos con la metodología Diseñar una
red de datos usando metodología Top Down Network Desing y aplicando estándares ISO/IEC
27002. Para dar seguridad de información a la empresa se requiere implementar un Estándar
de seguridad mediante la Norma ISO 27002.
A continuación, se especificarán los detalles de la implementación de la política de seguridad
de la información, para definir las políticas necesita de otros controles de información, como por
ejemplo; la gestión de activos y control de acceso.

Estableciendo políticas de seguridad aplicando norma ISO 27002

Teniendo en cuenta que el Policlínico no cuenta con estándares de seguridad se está

considerando el objetivo cuatro, es establecer políticas de seguridad ISO/IEC 27002.
Se ha considerado implementar los controles que aseguren la reducción de los riesgos a un
nivel aceptable. Hay muchas formas de gestionar los riesgos y este documento proporcionará
ejemplos de enfoques habituales. Sin embargo, hay que reconocer que ciertos controles no son
aplicables para todos los sistemas o entornos de información y pueden no ser de aplicación en
todas las organizaciones.

Los controles que se consideran esenciales para esta empresa desde un punto de vista
legislativo comprenden:
 La protección de los datos de carácter personal y la intimidad de las personas.
 La salvaguarda de los registros de la organización
 Los derechos de la propiedad intelectual.

Los controles que se consideran comunes para la mejor práctica habitual para conseguir la
seguridad de la información comprenden:

 La documentación de la política de seguridad de la información.

 La asignación de responsabilidades de seguridad, estas las dará la gerencia.
15TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
 La información y capacitación para la seguridad de la información del personal que
se encargara de supervisar la red.
 El riesgo de las incidencias de seguridad.
 La gestión de la continuidad del negocio.

Estos controles pueden aplicarse a la mayoría de las organizaciones y los entornos.

Para poder establecer las políticas de seguridad se tienen en la responsabilidad sobre los
activos y la clasificación de la información, así como, políticas de control de acceso, que
son las siguientes:

Responsabilidad sobre los activos y clasificación de información

 Todos los activos de información del policlínico tienen un propietario (médico).
 Cada propietario clasificará la información dentro de uno de los niveles sensitivos
que dependen de obligaciones legales, costos, políticas institucionales y
necesidades de la empresa.
 El propietario es responsable por la protección de esta información.
 La seguridad de los mismos tiene que estar de acuerdo al nivel de sensibilidad.

Para mantener la seguridad de la información del Policlínico se ha considerado clasificar la

información considerando cuatro niveles.
El más bajo (Pública) es el menos sensitivo y el más alto (Secreta) es para los procesos o
datos más importantes. Cada nivel es un súper conjunto del nivel previo.

Política de control de acceso

 Todos los trabajadores deben ser autenticados.
 Se permite el acceso al sistema como administrador privilegiado solo vía consola
o desde las estaciones que se defina.
 Se debe de controlar el acceso de los usuarios a todos los objetos en el sistema
(archivos, impresoras, dispositivos, base de datos, comandos, aplicaciones, etc.).
 Identificar la información de acuerdo con la clasificación de sensibilidad
previamente definida.
 El sistema debe proveer un control de acceso obligatorio.
 Sólo el administrador debe tener la capacidad de conectarse a los recursos del
sistema en modo privilegiado para realizar tareas administrativas.

 Las cuentas de usuarios deben existir sólo para el personal autorizado.

 Los usuarios y grupos deben ser administrados por el administrador de la base o
su delegado, pero no por los usuarios en sí.
16TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
 Los usuarios deberán ser informados de acciones que violan la seguridad.

RESULTADOS

Al aplicar el dominio 7 de la Norma ISO 27002 nos ha dado como resultado apoyar en políticas
de responsabilidad para un mejor manejo de los Activos del Policlínico.

La certificación ISO se aplicó una guía de levantamiento de información de riesgo el cual nos
dio como resultado una mejora del 16% en el diseño e implementación de la Red ante una crisis
encontrada en 21%.

GRÁFICO: ESTADÍSTICA DEL RIESGO EN LA EMPRESA

Beneficios de empresa:

Se presenta la discusión de los resultados obtenidos en la investigación.

 Al aplicar los dominios de control 5 y 11 de la ISO 27002, se ha recopilado la

información de los Activos y funciones de la empresa dando como resultado el
apoyo a definir políticas de seguridad, con la descripción de las acciones que se
deben realiza para salvaguardar la integridad de los trabajadores y clientes en el
policlínico.
 Mediante una encuesta tomada de la ISO 27002, nos ha permitido poyar en la
gestión de proteger datos de los pacientes del Policlínico, teniendo como
17TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
resultado, el cumplimiento de la Ley Nro. Nº 29733, Ley de Protección de Datos
Personales DECRETO SUPREMO Nº 003-2013-JUS artículo 2 numeral 6 de la
Constitución Política del Perú.
 Por medio de una encuesta se pudo ver que la norma ISO, nos ha permitido
unificar los trabajos de los doctores con otras áreas del policlínico, lo que se
establece una sistemática de trabajo y se deja de lado la improvisación, lo cual se
espera reducir el 86% lo cual se toma al buscar la información de los pacientes.

IMPLEMENTACIÓN ISO 27001 –

EMPRESA S.A

El objetivo de este trabajo final de máster es la de implantar un plan director de seguridad en

una empresa. El Plan Director de Seguridad es uno de los elementos clave con que debe
trabajar el Responsable de Seguridad de una organización. Este plan constituye la hoja de ruta
que debe seguir la empresa para gestionar de una forma adecuada la seguridad, permitiendo
no sólo conocer el estado de la misma, sino en qué líneas se debe actuar para mejorarla.

Este trabajo se dividirá en varias partes las cuales serán: Introducción al proyecto sobre el que
se va a trabajar, enfoque y selección de la empresa con la que se va a trabajar y por último la
definición de los objetivos del plan de seguridad y el análisis diferencial de la empresa, y
siempre de acuerdo con las normas ISO27001 y ISO 27002.

La compañía sobre la que vamos a trabajar se sitúa en Asturias y tiene alrededor de unos
1000 empleados.
Es una compañía estadounidense que da soporte a múltiples clientes tanto nacionales como
internacionales.
Es una compañía que ya ha tenido sus primeros contactos con la ISO 27001 puesto que
parte de ella ya tiene una certificación.
Los principales servicios que esta compañía proporciona son: servicios de aplicaciones,
servicios en la nube, consultoría, seguridad, banca, seguros, sector público global.
El alcance sobre el que trabajaremos serán:
Todos los recursos humanos que se vean implicados directa o indirectamente con el negocio
de Asturias.
Todos los servidores (producción, testeo, desarrollo), aplicaciones que se manejen o
controlen desde nuestro emplazamiento.
Todos los activos de información durante toda su vida útil hasta su eliminación.
Toda la información generada durante la vida del negocio para los proyectos.
La información de empleados, clientes, proveedores de servicios, etc.

18TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
CONOCIENDO LA ISO 27001:

Como todos bien sabemos ISO es una norma internacional emitida por la organización
internacional de normalización y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de la norma fue la de 2013. El eje central de ISO 27001 es
proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto
lo hace investigando cuáles son los potenciales problemas que podrían afectar la información
y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan.

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:

 Obtener el apoyo de la dirección

 Utilizar una metodología para gestión de proyectos
 Definir el alcance del SGSI
 Redactar una política de alto nivel sobre seguridad de la información
 Definir la metodología de evaluación de riesgos
 Realizar la evaluación y el tratamiento de riesgos
 Redactar la Declaración de aplicabilidad
 Redactar el Plan de tratamiento de riesgos
 Definir la forma de medir la efectividad de sus controles y de su SGSI
 Implementar todos los controles y procedimientos necesarios
 Implementar programas de capacitación y concienciación
 Realizar todas las operaciones diarias establecidas en la documentación de su
SGSI

Dentro de ISO/IEC 27002 se extiende la información de los renovados anexos de ISO/IEC

27001-2013, donde básicamente se describen los dominios de control y los mecanismos de
control, que pueden ser implementados dentro de una organización, siguiendo las directrices
de ISO 27001.

OBJETIVOS DEL PLAN DIRECTOR

Mediante la definición de un plan director de seguridad se pretende conseguir el alineamiento

necesario para mantener un buen nivel de seguridad tanto en el edificio principal como en el
edificio secundario, consiguiendo de esta manera que para el cliente sea transparente el
emplazamiento desde el que se proporciona el servicio.

ANALISIS DIFERENCIAL:
Para una estimación inicial se han evaluado algunos de los puntos obligatorios de las normas,
así como algunos de los controles de la norma ISO27002. La estimación se ha realizado a alto
nivel.
El estado de los controles obligatorios de la norma superan en su mayoría el 80% exceptuando
algunos como:
El punto número 9 – control de accesos.
El punto número 10 - Mejora
El estado de los controles según la ISO 27002 también superan en su mayoría el 80 %
exceptuando algunos como:

ANALISIS DE RIESGOS
19TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
 Trabajo
Académico
Las fases que se llevaran a cabo en este punto serán:
Identificación-valoración de activos:
Se realizará una identificación, valoración de los activos, que serán los elementos a proteger.
Se ha realizado una tabla con todos los activos y su valoración, como se podrá ver en una
imagen en la siguiente diapositiva.

Identificación de amenazas:
Identificar y valorar las amenazas a las que se encuentran expuestos estos activos.
Se ha realizado una tabla bastante extensa con todas las valoraciones teniendo en cuenta las
siguientes amenazas: desastres naturales, de origen industrial, errores o fallos no
intencionados y ataques intencionados. En la siguiente diapositiva se podrá ver una captura.
Calculo de impacto:

AUDITORIA DE CUMPLIMIENTO Y BEBEFICIOS DE LA EMPRESA S.A

 Llegamos al último punto del proyecto.

 Ya conocemos los activos de la empresa y hemos evaluado las amenazas. Es momento
de evaluar hasta qué punto la empresa cumple con las buenas prácticas en materia de
seguridad.
 Para el desarrollo de esta fase se usará el modelo de madurez de la capacidad (CMM)
como metodología para el análisis del grado de madurez en la implementación del SGSI.
 El objetivo de esta fase del proyecto es evaluar la madurez de la seguridad en lo que
respecta a los diferentes dominios de control y los 114 controles planeados por la
ISO/IEC 27001:2013. Esta auditoría se lleva a cabo partiendo de que todos los
proyectos del punto anterior se han ejecutado con éxito. Se realizará la comparación
de la fase uncial con la fase final como se podrá ver en la captura de la siguiente
diapositiva.

20TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio