FACULTAD DE CIENCIAS E INGENIERA

E.A.P. DE INGENIERA DE SISTEMAS E

INFORMTICA

AUDITORA DE TECNOLOGA DE
INFORMACIN
Entregable N1
MARCO METODOLGICO PARA REALIZAR AUDITORIAS
DE TI EN EL CONTEXTO DE LA LEY DE PROTECCION DE
DATOS PERSONALES EN EL PER
PRESENTADO POR
1.

Miguel Martn Correa Coronel.Cdigo N 08010099

2.

David Benique ManuttupaCdigo N 08201008

3.

Carlos Jaime Morales de la Cruz.Cdigo N 08010241

Los Olivos, marzo de 2016

NDICE

CAPTULO I: INTRODUCCIN......V
1.1

PLANTEAMIENTO Y JUSTIFICACION DEL TEMA....6

1.2

SITUACION .................7

1.3

FORMULACION DEL PROBLEMA.14

1.3.1 PROBLEMA GENERAL........14

1.3.2 PROBLEMAS ESPECFICOS......14
1.4

J USTIFICACIN DE LA INVESTIGACIN......15

1.5

DEFINICIN DE LOS OBJETIVOS DE LA INVESTIGACIN...17

1.5.1 OBJETIVO GENERAL.......17

1.5.2 OBJETIVOS ESPECFICOS.....17
1.6

METODOLOGA DE LA INVESTIGACIN...18

1.7

LIMITACIONES...20

1.8

ALCANCES DE LA INVESTIGACION.....20

II

CAPTULO I:
INTRODUCCIN

1.1

PLANTEAMIENTO Y JUSTIFICACION DEL TEMA

La ley de proteccin de datos personales (Ley N 29733), promulgada en
nuestro pas el 02 de julio de 2011, es un marco legal que busca regular
el tratamiento y la administracin de los datos personales almacenados
en los diferentes bancos de datos de las entidades pblicas y privadas
del pas. El artculo 1 de la ley en mencin seala lo siguiente: La
presente Ley tiene el objeto de garantizar el derecho fundamental a la
proteccin de los datos personales, previsto en el artculo 2 numeral 6 de
la Constitucin Poltica del Per, a travs de su adecuado tratamiento,
en un marco de respeto de los dems derechos fundamentales que en
ella se reconocen.
Queda claro entonces que el principal objetivo de la ley de proteccin de
datos personales (LPDP) es salvaguardar los correctos usos que pueden
generarse con la manipulacin de los datos de las personas registrados
en las base de datos de las organizaciones que brindar servicios en el
territorio nacional.
Por otro lado, segn la normativa peruana vigente, todas las empresas,
ya sean pblicas o privadas, deben contemplar a plenitud legal todo lo
establecido por la Ley 29733 a partir del 8 de mayo del 2015. En caso de
no aplicar a plenitud todo lo exigido por la ley y habiendo transcurrido la
fecha mencionada, las empresas quedan expuestas a ser sujetas de
sanciones administrativas, segn sea el caso de incumplimiento.
Por tanto existe la necesidad de estudiar la propuesta de un marco
metodolgico para realizar auditoras de tecnologas de informacin en
el contexto de la ley de proteccin de datos personales en el Per, que
4

sirva de literatura y gua para interpretar e implementar, en las diferentes

empresas del pas, una correcta metodologa que permita cumplir con lo
exigido por la ley, garantice la reduccin de las brechas existentes entre
la situacin de proteccin de datos de las empresas y la ley en cuestin,
de modo tal que se garantice que los bancos de datos de las
organizaciones salvaguarden a buen recaudo los datos personales
registrados en sus sistemas informticos.

1.2

SITUACION ACTUAL
En la actualidad la LPDP cuenta con un proyecto de reglamento del 22
de setiembre de 2012, el cual, en su artculo 1 manifiesta: El presente
reglamento tiene por objeto desarrollar la Ley N29733, (...) a fin de
garantizar el derecho fundamental a la proteccin de datos personales,
regulando un adecuado tratamiento, tanto por las entidades pblicas,
como por las instituciones pertenecientes al sector privado. Sus
disposiciones constituyen normas de orden pblico y de cumplimiento
obligatorio.
Por otro lado, existe la preocupacin internacional de los pases del
mundo de contar con un marco legal regulativo referente al uso y
proteccin de datos personales. Tal es el caso de la Unin Europea que
cuenta con la Directiva Proteccin Datos EU y Leyes de los Estados
Miembros; Corea de Sur con su respectivo Acto de Promocin del Uso
de Informacin y Redes de Comunicacin, y Proteccin de Datos;
Australia con la Enmienda Federal de Privacidad, email spam y
regulaciones de privacidad; Taiwn cuenta con Ley de Proteccin de

Datos Personales computarizados, entre otros pases (Deloitte, 2015,

p.7).
Como se observa es relevante para los pases del mundo
contar con una normativa reguladora de la proteccin de datos
personales que sirva de ente rector a la sociedad mundial que
hoy en da propone una cultura de datos informticos y no de
papeles tangibles.

Por otra parte, el Institute of Audit & IT Governance (2015), manifiesta:

La informacin es uno de los bienes ms importantes, tanto para una
empresa como para la Administracin Pblica (...). La capacidad que
dan los nuevos sistemas de informacin para capturar, almacenar,
analizar y procesar cantidades ingentes de datos, as como para
intercambiarla

con

el

entorno

(clientes,

proveedores,

socios,

ciudadanos...) ha hecho que las TIC hayan llegado a ser un componente

crtico de gran parte de los procesos productivos y de toma de
decisiones. Efectos residuales de la creciente utilizacin de las TIC son
los igualmente crecientes presupuestos de TIC, los crecientes xitos y
fracasos y la creciente mentalizacin de la necesidad de controlar
adecuadamente la utilizacin de estas tecnologas.
En la actualidad la seguridad de la informacin y asociada a ella, el
tratamiento de datos de carcter personal, es una de las principales
preocupaciones de las organizaciones y administraciones pblicas.
Consciente de los crecientes riesgos de las nuevas tecnologas, tanto a
nivel nacional como internacional existen nuevas normas sobre
privacidad y proteccin de datos, las cuales son capitales en la gestin y
gobierno de los sujetos obligados por las mismas, pblicos y privados.
6

En este sentido, es primordial conocer la regulacin de los diversos

mbitos de aplicacin y de participacin de las nuevas tecnologas, de la
gestin de la informacin, de los procesos de control y de la gestin de
riesgos en los diferentes mbitos, en particular por lo que se refiere a la
proteccin de datos personales.
Es imprescindible el conocimiento de las normas y su aplicacin a fin de
poder garantizar el respeto y cumplimiento y evitar la produccin de
resultados no deseados, as como para tomar consciencia de la
traduccin jurdica de los actos realizados u omitidos y de sus
consecuencias (...) (p.3).
En este artculo se seala principalmente la necesidad de
generar,

en

las

instituciones

acadmicas

superiores,

profesionales competitivos que estn orientados a solucionar

problemas empresariales de tecnologas de informacin
relacionados principalmente con la proteccin de datos
personales en el Per.

Finalmente podemos agregar que, dada la realidad actual de tecnologas

de informacin de las empresas peruanas y el marco legal vigente de la
LPDP, es notable apostar por la investigacin acadmica y llevar a cabo
una exhaustiva elaboracin de un marco metodolgico referencial que
tenga como objetivo central la realizacin de auditoras de tecnologas
de informacin en el contexto de la ley de proteccin de datos
personales.

Nuestro

pas

va

encomindose

hacia

ese

rumbo

tecnolgicamente hablando, las investigaciones locales de TI apuntan

hacia este norte, aunque aun el camino es estrecho para la aplicacin de
los estndares como ISO e ISACA, entre otros.

1.3

FORMULACION DEL PROBLEMA

1.3.1 PROBLEMA GENERAL

La elaboracin de un marco metodolgico para realizar auditoras de
tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, servir como propuesta acadmica para consolidar la
aplicacin plena de la ley en las empresas pblicas y privadas del Per?

1.3.2 PROBLEMAS ESPECFICO

PE1: La elaboracin de un marco metodolgico para realizar auditoras
de tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, permitir documentar estndares internacionales
sobre auditoria informtica bajo el enfoque de la ley proteccin de datos
personales?
PE2: La elaboracin de un marco metodolgico para realizar auditoras
de tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, permitir documentar procedimientos sobre auditoria
informtica bajo el enfoque de la ley proteccin de datos personales?
PE3: La elaboracin de un marco metodolgico para realizar auditoras
de tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, permitir documentar controles sobre auditoria
informtica bajo el enfoque de la ley proteccin de datos personales?

1.4

JUSTIFICACIN DE LA INVESTIGACIN
Tener un marco metodolgico para realizar auditoras de tecnologas de
informacin en el contexto de la ley de proteccin de datos personales
en

el

Per,

servir

de

referencia

acadmicas

para

futuras

investigaciones relacionadas al tema, dado que la proteccin de

nuestros datos personales, consignados voluntariamente en los bancos
de datos de las organizaciones pblicas o privadas, deben gozar de una
seguridad plena que garantice nuestra privacidad personal en medio de
una sociedad en donde la vulnerabilidad informtica est al acecho. En
ese sentido el Institute of Audit & IT Governance (2015), manifiesta lo
siguiente:
El Per, en desarrollo del cumplimiento del artculo 6 numeral 2 de la
Constitucin Poltica, que aboga por garantizar el derecho fundamental a
la proteccin de datos personales, ha promulgado la Ley N 29733, Ley
de Proteccin de Datos Personales (LPDP), y su Reglamento, aprobado
por Decreto Supremo N 003-2013-JUS, que obliga a todas las
organizaciones que almacenen y traten datos personales a dar un uso
apropiado y correcto de los mismos, no solo para evitar sanciones
derivadas de una equivocada o incompleta observancia de lo dispuesto
por la LPDP y su reglamento, sino tambin con el objetivo de generar
valor al interior de la organizacin debido al correcto y funcional uso de
la tecnologa de la informacin en lo que corresponde al tratamiento de
datos personales (p.4).

La ley de proteccin de datos personales es un marco legal

fundamental para mitigar y sancionar los delitos informticos
que pueden ocasionarse a raz del mal uso de los datos
personales registrados en la base datos de los sistemas
informticos corporativos. Del mismo modo, es un activo legal
para la estandarizacin empresarial de los procesos de
resguardo y eliminacin de datos personales.

10

1.5

DEFINICIN DE LOS OBJETIVOS DE LA INVESTIGACIN

1.5.1 OBJETIVO GENERAL

Elaborar un marco metodolgico para realizar auditoras de tecnologas
de informacin en el contexto de la ley de proteccin de datos
personales, que sirva como propuesta acadmica para consolidar la
aplicacin plena de la ley en las empresas pblicas y privadas del Per.

1.5.2 OBJETIVOS ESPECFICOS

OE1: Elaborar un marco metodolgico para realizar auditoras de
tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, que permita documentar estndares internacionales
sobre auditoria informtica bajo el enfoque de la ley proteccin de datos
personales.
OE2: Elaborar un marco metodolgico para realizar auditoras de
tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, que permita documentar procedimientos sobre
auditoria informtica bajo el enfoque de la ley proteccin de datos
personales.
OE3: Elaborar un marco metodolgico para realizar auditoras de
tecnologas de informacin en el contexto de la ley de proteccin de
datos personales, que permita documentar controles sobre auditoria
informtica bajo el enfoque de la ley proteccin de datos personales.

11

1.6

METODOLOGA DE LA INVESTIGACIN
En este trabajo se pretende coleccionar un conjunto de buenas
prcticas, principalmente ISO e ISACCA, que permitan desarrollar una
adecuada auditoria. Para ello se usar una metodologa del tipo
cualitativo subjetivo. Adicionalmente tomaremos en cuenta lo descrito
por el siguiente autor, dejando en claro que la metodologa que l
describe solo es referencial y se usar de ella, solo lo necesario.
Segn Ramrez G. (2009), afirma lo siguiente: He credo interesante
incluir esta metodologa de auditora informtica Computer Resource
Management Review (CRMR), ya que define una manera de realizar una
revisin de una manera simple y eficaz, no tiene en s misma el grado de
profundidad de una auditora informtica global, pero proporciona
soluciones rpidas a problemas concretos y notorios:
1. Sistemtica para la evaluacin y clculo del ciclo de seguridad
2. Perfiles profesionales de auditores informticos (p.8).
En otra parte, este autor aade tambin:
(...) CRMR o Evaluacin de la gestin de recursos informticos, (...)
permite la posibilidad de realizar una evaluacin de eficiencia de
utilizacin de los recursos por medio de la gestin (management). Esta
manera de realizar una revisin no tiene en s misma el grado de
profundidad de una auditora informtica global, pero proporciona
soluciones rpidas a problemas concretos y notorios (...).
En funcin de la definicin dada, la metodologa abreviada CRMR es
aplicable ms a deficiencias organizativas y gerenciales que a

12

problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de

Procesos de Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las
situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los

usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin

de los usuarios en el momento oportuno.

Se genera con alguna frecuencia informacin errnea por fallos de datos

o proceso.

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor
informtico encuentra con mayor frecuencia. Aunque pueden existir
factores tcnicos que causen las debilidades descritas, hay que convenir
en la mayor incidencia de fallos de gestin.
reas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado se corresponden
con las sujetas a las condiciones de aplicacin sealadas en el punto
anterior:

Gestin de Datos.

Control de Operaciones.

Control y utilizacin de recursos materiales y humanos.

Interfaces y relaciones con usuarios.

Planificacin.
13

Organizacin y administracin.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de
adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a
fondo los caminos crticos o las holguras de un proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o
ineficiencia de los procedimientos y mtodos de gestin que se observan
en un
Centro de Proceso de Datos. Las Recomendaciones que se emitan
como resultado de la aplicacin del CRMR, tendrn como finalidad
algunas de las que se relacionan:

Identificar y fijar responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.

Aumentar la productividad.

Disminuir costes

Mejorar los mtodos y procedimientos de Direccin.

Alcance:
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el
trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin con
potencialidad inmediata de obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y
recomendaciones, tal y como se hace en la auditora informtica
ordinaria.
14

3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de

implementacin de las recomendaciones, a la par que desarrolla las
conclusiones.
Informacin necesaria para la evaluacin del CRMR:
Se determinan en este punto los requisitos necesarios para que esta
simbiosis de auditora y consultora pueda llevarse a cabo con xito.
1. El trabajo de campo del CRMR ha de realizarse completamente
integrado en la estructura del Centro de Proceso de Datos del cliente, y
con los recursos de ste.
2. Se deber cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabar determinada informacin necesaria del
cliente.
Se tratan a continuacin los tres requisitos expuestos:
1. Integracin del auditor en el Centro de Procesos de Datos a revisar no
debe olvidarse que se estn evaluando actividades desde el punto de
vista gerencial: El contacto permanente del auditor con el trabajo
ordinario del Centro de Proceso de Datos permite a aqul determinar el
tipo de esquema organizativo que se sigue.
2. Programa de trabajo clasificado por tareas:
Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas
se someter a la siguiente sistemtica:

Identificacin de la tarea.

Descripcin de la tarea.

Descripcin de la funcin de direccin cuando la tarea se realiza

incorrectamente.

15

Descripcin de ventajas, sugerencias y beneficios que puede originar un

cambio o modificacin de tarea.

Test para la evaluacin de la prctica directiva en relacin con la tarea.

Posibilidades de agrupacin de tareas.

Ajustes en funcin de las peculiaridades de un departamento concreto.

Registro de resultados, conclusiones y Recomendaciones.

3. Informacin necesaria para la realizacin del CRMR:
El cliente es el que facilita la informacin que el auditor contrastar con
su trabajo de campo. Se muestra a continuacin una Checklist o lista de
comprobaciones completa de los datos necesarios para confeccionar el
CRMR:

Datos de mantenimiento preventivo de Hardware.

Informes de anomalas de los Sistemas.

Procedimientos estndar de actualizacin.

Procedimientos de emergencia.

Monitorizacin de los Sistemas.

Informes del rendimiento de los Sistemas.

Mantenimiento de las Libreras de Programas.

Gestin de Espacio en disco.

Documentacin de entrega de Aplicaciones a Explotacin.

Documentacin de alta de cadenas en Explotacin.

Utilizacin de CPU, canales y discos.

Datos de paginacin de los Sistemas.

Volumen total y libre de almacenamiento.

Ocupacin media de disco.

16

Manuales de Procedimientos de Explotacin.

Esta informacin cubre ampliamente el espectro del CRMR y permite
ejercer el seguimiento de las recomendaciones realizadas.
Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de
Seguridad>>
A continuacin, un caso de auditora de rea general para proporcionar
una
ms desarrollada y amplia de la funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar
tanto la seguridad fsica del Centro de Proceso de Datos en su sentido
ms amplio, como la seguridad lgica de datos, procesos y funciones
informticas ms importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las
cuotas de eficiencia de la misma en los rganos ms importantes de la
estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la seguridad.
El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizar en tres niveles.
Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.

17

Segmento 3: Seguridad de Software.

Segmento 4: Seguridad de Comunicaciones.

Segmento 5: Seguridad de Base de Datos.

Segmento 6: Seguridad de Proceso.

Segmento 7: Seguridad de Aplicaciones.

Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar
un tratamiento exhaustivo del Segmento 8, a nivel de seccin y sub
seccin.
Conceptualmente la auditora informtica en general y la de seguridad
en particular, ha de desarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Ponderacin de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Clculos y resultados del ciclo de seguridad.
Fase 5. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1. Comienzo del proyecto de Auditora Informtica.
2. Asignacin del equipo auditor.
3. Asignacin del equipo interlocutor del cliente.
4. Cumplimentacin de formularios globales y parciales por parte del
cliente.
5. Asignacin de pesos tcnicos por parte del equipo auditor.
6. Asignacin de pesos polticos por parte del cliente.
18

7. Asignacin de pesos finales a segmentos y secciones.

8. Preparacin y confirmacin de entrevistas.
9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.
10. Clculo y ponderacin de sub secciones, secciones y segmentos.
11. Identificacin de reas mejorables.
12. Eleccin de las reas de actuacin prioritaria.
13. Preparacin de recomendaciones y borrador de informe
14. Discusin de borrador con cliente.
15. Entrega del informe (...) (p.41-47).

1.7

LIMITACIONES
El proyecto se limita a elaborar una documentacin y no una
implementacin, sobre una metodologa de auditora informtica que
est acorde a lo estipulado por la LPDP.

1.8

ALCANCES DE LA INVESTIGACION
La investigacin realizada es del tipo exploratoria y documentaria. Se
busca documentar una metodologa de auditora informtica que permita
a las empresas del medio local, contar con una gua para alinear sus
bancos de datos a la normativa exigida por la LPDP.

19

REFERENCIAS:

Congreso de la Repblica del Per (2011).

proteccin

de

datos

personales.

Ley N 29733, ley de

Recuperado

de

http://www.claro.com.pe/portal/recursos/pe/pdf/Ley29733.pdf/ .Fecha de
acceso 15/03/16.

Deloitte (2015). Ley de Proteccin de Datos de Personales. Enterprise

Risk Services. Enfoque prctico de adecuacin. Recuperado de
https://www2.deloitte.com/content/dam/Deloitte/pe/Documents/risk/ley_n
29733_la_experiencia_implementacion.pdf .Fecha de acceso 14/03/16.

Institute of Audit & IT Governance (2015). Experto certificado en

proteccin

de

datos

IAITG.

Recuperado

de

http://www.iaitg.eu/mediapool/67/671026/data/ECPD_IAITG_Peru_Set2015.pdf . Fecha de acceso 14/03/16.

Ministerio de Justicia y derechos humanos (2012). Reglamento de la Ley

N 29733, ley de proteccin de datos personales. Recuperado de
http://www.minjus.gob.pe/wp-content/uploads/2012/09/PROYECTOREGLAMENTO-LEY-29733.pdf . Fecha de acceso 15/03/16.

Ramrez G. (2009). Sobre la auditora informtica y LOPD desde la

experiencia personal y profesional. Proyecto de fin de carrera,
Universidad Carlos III de Madrid Escuela Politcnica Superior, Espaa.
Recuperado de:
http://earchivo.uc3m.es/bitstream/handle/10016/6136/PFC_German_Ra
mirez_Rodriguez.pdf?sequence=1 . Fecha de acceso 14/03/16.

20