UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

PRESENTACIÓN:
“Informe de Auditoría Seguridad TI - Rimac”
CURSO: AUDITORIA DE SISTEMAS (ST275 V)
PROFESORA: Ing. ARTEAGA CORTEZ, Humberto
ALUMNOS:
APELLIDOS Y NOMBRES CÓDIGO
ALEJANDRO GALVAN, Omar 20121230A
AMBROSIO CAMAYO, Ronal 20121017F
APARI BACILIO, Edson 20124058E
COLQUE ALARCON, Bruno 20121165E
NEYRA MERINO, Carlos 20112602G
POVIS RODRIGUEZ, Angel 20132015J
CICLO:
2017-I
Contenido

1. Introducción3
2. Aspectos Generales4
2.1. Estructura organizacional4
2.2. Matriz de Riesgos6
2.3. Programa de Auditoría10
3. Informe Final10
3.1. Informe Relativo al examen10
3.1.1. Motivo del Examen10
3.1.2. Naturaleza y Objetivos11
3.1.3. Alcance11
3.1.4. Comunicación de Observaciones11
3.2. Informe Relativo a la Entidad Examinada11
3.2.1. Antecedentes y Base Legal11
3.2.2. Relación de las Personas comprendidas en las Observaciones16
3.3. Resumen de observaciones16
3.4. Conclusiones0
3.5. Recomendaciones0
3.6. Observaciones detalladas (según anexo)0
1. Introducción
La auditoría de sistemas es la evaluación permite identificar que las actividades se
realicen cumpliendo las disposiciones internas (normas, procedimientos, directivas, etc)
y la aplicación de las buenas prácticas técnicas. Ayuda a una organización a cumplir sus
objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los
procesos de gestión de riesgos, control interno y gobierno corporativo.

La auditoría consiste en una evaluación de los componentes que componen ese sistema,
con examen y pruebas en las siguientes áreas:

 Revisión de arquitectura de sistemas de alto nivel

 Mapeo de procesos empresariales (por ejemplo, determinar la dependencia de los
sistemas de información con respecto a los procesos empresariales del usuario)
 Gestión de identidad de usuario final (por ejemplo, mecanismos de autenticación,
estándares de contraseña, funciones que limitan o conceden funcionalidad de
sistemas)
 Configuraciones de sistemas operativos (por ejemplo, endurecimiento de
servicios)
 Controles de seguridad de aplicaciones
 Controles de acceso a la base de datos (por ejemplo, configuración de la base de
datos, acceso a la base de datos de la cuenta, funciones definidas en la base de
datos)
 Controles antivirus / antimalware
 Controles de red (por ejemplo, ejecución de configuraciones en switches y
enrutadores, uso de listas de control de acceso y reglas de firewall)
 Sistemas y procesos de registro y auditoría
 Control de acceso privilegiado de TI (por ejemplo, Administrador del sistema o
acceso root)
 Procesos de TI en apoyo del sistema (por ejemplo, revisiones de cuentas de
usuario, administración de cambios)
 Procedimientos de copia de seguridad / restauración
 La mecánica general de la auditoría consiste en la configuración de muestreo y archivos
de registro, con entrevistas posteriores con personal clave.

Si bien gran parte de la evaluación realizada en una auditoría de sistemas de información

está fuertemente centrada en el entorno de control general de TI para el sistema dado, se
pueden realizar entrevistas con los principales usuarios primarios o propietarios de
información. Se realizaría una investigación sobre la comunidad de usuarios para
determinar la aceptación general del usuario del sistema y determinar las expectativas
de servicio con respecto al sistema.

Bajo el contexto de la definición anterior, nosotros como grupo auditor tenemos como
objetivo general realizar una auditoria especializada a la seguridad de información del
de la central de consultas de RIMAC SEGUROS en el cumplimiento de sus propósitos
de estabilidad, y cooperación técnica, mediante servicios de aseguramiento y consulta
bajo un enfoque constructivo y de prevención, para evaluar la eficacia del control
interno, la administración de riesgos y el cumplimiento del marco normativo
institucional.

Las revisiones, evaluaciones y estudios especiales que realiza nuestro grupo auditor, de
acuerdo con lineamientos internos aplicables, requieren ser planificados de manera
sistemática a través de planes anuales de auditorías, que deben ser sometidos a la
aprobación de la Junta Directiva del área de TI.

2. Aspectos Generales

2.1. Estructura organizacional

RIMAC Seguros es la empresa líder del mercado asegurador peruano. Forma parte de Breca,
conglomerado empresarial peruano con presencia internacional y con más de cien años de
existencia, fundado por la familia Brescia Cafferata.

Hoy, tiene más de 4 mil colaboradores al servicio de nuestros clientes.

La solidez y respaldo financiero es reconocido por dos de las más importantes clasificadoras
internacionales de riesgo: Moody's Investors Service y Fitch Ratings, que le otorgaron la Mejor
Calificación de Riesgo del Perú, siendo la única aseguradora en Perú que opera con dichas
calificaciones en los ramos de Riesgos Generales y Vida.

De igual manera, cuenta con la calificación A+ de las dos clasificadoras de riesgo más
importantes del Perú: Equilibrium y Apoyo & Asociados.

Tiene la más alta variedad de productos y servicios adecuados a las necesidades del cliente,
que van acompañados por una atención de calidad un gran respaldo financiero. Como
consecuencia de ello, tenemos la más alta participación del mercado asegurador en los últimos
años.

DATOS PRINCIPALES:

Razón Social: Rímac Seguros y Reaseguros

Ruc: 20100041953
Tipo de Empresa: Sociedad Anónima
Fecha de inicio de actividades: 26 de septiembre de 1986
Teléfono: 411-3000 / Fax: 421-0555
Dirección legal: Av. Paseo de la República Nro. 3505

Fuente: RIMAC SEGUROS

 2.2. Matriz de Riesgos
Dentro de los principales factores de riesgo que pueden afectar a Rimac Seguros podemos
mencionar los riesgos económicos, financieros y legislativos.

Riesgo Económico:
Los ciclos de la economía del país, hacen que los niveles de adquisición se comporten de
tal manera que si son favorables o no para el país, lo serán también para la empresa.
Esto puede derivar en un estancamiento en el crecimiento y las remuneraciones de los
trabajadores, por lo que sería muy perjudicial para Rimac Seguros.
El riesgo natural:
Existe un riesgo de ocurrencia de desastres naturales o provocados que, ante un aumento
significativo, se convertirá en un problema para la empresa, ya que esta tendría que pagar
los seguros abonados por los clientes.

Riesgo Legislativo:
En temas previsionales y de seguridad social, producto de ser una industria altamente
regulada y supervisada por el estado, por su eminente carácter social.
Así las áreas de riesgo identificadas en Rimac Seguros son:
DIRECTORIO
Aptitudes e idoneidad del Directorio
Definición y Seguimiento de la política global de gestión de riesgos
Funcionamiento del Directorio y de los comités de Directorio
Definición de la Estrategia
Gestión del Riesgo Reputacional
Política de Divulgación y Transparencia
ADMINISTRACIÓN
Composición y Estructura de la Administración
Proceso de Planificación y Administración y Divulgación y transparencia
Sistemas de Información de Gestión

GESTIÓN DE RIESGOS
Cultura de gestión de riesgos
Gestión del Riesgo de Cumplimiento
RIESGO OPERACIONAL
Riesgo en la relación con los afiliados
Riesgo de Gestión de Cuentas
Riesgo de Beneficios
Riesgo Tecnológico
Continuidad de negocio y recuperación de desastres
RIESGO FINANCIERO
Riesgo del proceso de inversiones
Riesgo de mercado
Riesgo de Crédito
Riesgo de Liquidez
Riesgo de solvencia de la entidad
 Niveles
Tipo de
Fuente Descripción Impacto Probabilidad de
Riesgo
Riesgo
Manipulación inadecuada de la información. Alto Media Alto Inherente
Acceso de personal no
Creación de errores en los procesos. Alto Media Alto Inherente
autorizado
Robo de activos de la empresa. Alto Poca Medio Inherente
Uso de programas diferentes Incompatibilidad en archivos. Bajo Poca Bajo Inherente
Instalación de programas maliciosos no
Alto Media Alto
permitidos. Control
Perfiles no autorizados
Instalación de herramientas como VNC sin
Alto Media Alto
control. Control
Puestos con acceso ilimitado al sistema
Segregación de funciones Alto Media Alto
informático o programas. Control
Sistema de alerta para evacuaciones es
Medio Poca Medio
ineficiente. Inherente
Infraestructura
No contar con un sitio alterno en caso de
Medio Poca Medio
emergencia. Inherente
Cambio en las políticas de gestión,
Gestión del cambio procedimientos y protocolos no es Alto Media Alto
consistente. Inherente
El Plan de Continuidad de Negocio (PCN) no
Continuidad del negocio Alto Media Alto
se despliegue correctamente. Inherente
Nuevas tecnologías no se desarrollan o se
Tecnologías emergentes Media Media Medio
utilizan de una manera no controlada. Inherente
Revisión de auditorías Ocurrencia de errores encontrados en las
Medio Media Medio
anteriores auditorias anteriores no corregidos. Detección
No detectar errores en el Errores, omisiones o irregularidades de
Alto Alta Alto
proceso de auditoria importancia no detectados por la auditoria. Detección
Falta de capacidad y Incapacidad del responsable de auditoría
Alto Poca Medio
conocimiento. para cumplir sus funciones. Detección
La información tomada en la auditoria no es
Veracidad de información Alto Media Alto
la correcta. Detección
Resistencia a brindar Los entrevistados son reacios a dar
Alto Media Alto
información información. Inherente
Dificultad de detección de En transacciones automáticas se dificulta la
Alto Media Alto
errores. detección de errores. Detección
Matriz de Riesgos
Proceso Subproceso %P %SubP
- Planes y Políticas de Gestión 33%
Gestión de los recursos - Planes de Seguridad 33%
16.7%
Tecnológicos
- Análisis de Infraestructura
33%
Tecnológica
- Acceso de personal no autorizado
33%
a áreas de TI
Gestión de las Operaciones
- Compatibilidad de los Programas 16.7% 33%
de TI

- Soporte 33%

- Integración de Aplicaciones 50%

Gestión de la Infraestructura
16.7%
Tecnológica
- Políticas de Aplicaciones en
50%
producción.

- Análisis de Riesgos 33%

- Gestión del Riesgo de
Gestión de Riesgos 16.7% 33%
Cumplimiento
- Gestión del Riesgo Fiduciario 33%
- Administración de Requerimientos
33%
de HW y SW
Administración de Proyectos - Gestión de Requerimientos 16.7% 33%

- Planificación de Proyectos 33%

- Licitaciones 33%
Administración de
- Administración de Contratos 16.7% 33%
Proveedores
- Evaluación de Proveedores 33%
 2.3. Programa de Auditoría

Objetivo
Objetivo Especifico Tiempo Responsable
General
1.1 Evaluar la estructura Organizacional
2 horas Angel Povis
1. Evaluar la de TI
Gestión de los 1.2 Evaluar las funciones y comparar con
3 horas Angel Povis
recursos los perfiles
Tecnológicos 1.3 Evaluar los planes y políticas de
1 hora Angel Povis
Gestión de TI
2. Evaluar la 2.1 Evaluar el plan de mantenimiento de
2 horas Omar Alejandro
Gestión de las la red
Operaciones 2.2 Evaluar los controles de red y
2 horas Omar Aejandro
de TI comunicaciones
6.1 Evaluar las Aplicaciones Informáticas 3 horas Ronal Ambrosio
3.Evaluar la
Gestión de la 6.2 Evaluar el plan de mantenimiento de
2 horas Ronal Ambrosio
Infraestructura las aplicaciones
Tecnológica 6.3 Evaluar las políticas de Seguridad
3 horas Ronal Ambrosio
Informática
3.1 Verificar el cumplimiento de lo
establecido en las normas de seguridad 2 horas Carlos Neyra
4. Evaluar la de acceso a áreas de TI
Gestión de 3.2 Verificar la existencia de controles de
Riesgos 4 horas Carlos Neyra
acceso
3.3 Evaluar el acceso de personal no
2 horas Carlos Neyra
autorizado a áreas de TI
4.1 Verificar la existencia de un comité
5. Evaluar la 2 horas Bruno Colque
tecno evaluador de proyector
administración
de Proyectos 4.2 Verificar la documentación durante
3 horas Bruno Colque
todas las etapas del proyecto.
5.1 Evaluar la Contratación de Servicios 1 hora Edson Apari
6. Evaluar la
5.2 Evaluar a los proveedores y los
Gestión de 2 horas Edson Apari
servicios contratados
Proveedores
5.3 Evaluar el proceso de licitación 2 horas Edson Apari

3. Informe Final
3.1. Informe Relativo al examen
3.1.1. Motivo del Examen
Determinar si los procesos y actividades dentro del área de seguridad de información
se realicen conforme a las políticas, normas y buenas prácticas que debe cumplir la
empresa Rimac Seguros y si implemente las correctas practicas según las gestiones
que realicen.

3.1.2. Naturaleza y Objetivos

- Naturaleza
La auditoria esta bajo un enfoque constructivo y de prevención, para evaluar la eficacia
del control interno, la administración de riesgos y el cumplimiento del marco normativo
institucional.

- Objetivo
Realizar una auditoria especializada a la seguridad de información de la central de
consultas de RIMAC SEGUROS en el cumplimiento de sus propósitos, revisando y
detectando errores en los controles y emitir una serie de recomendaciones.

3.1.3. Alcance
El alcance abarca toda la funcionalidad del área de seguridad de información, en
cuestión del correcto funcionamiento es decir que sea tal como se ha especificado en
los requerimientos, así como del entorno en el cual es ejecutado y utilizado por los
usuarios (gestión de accesos).

3.1.4. Comunicación de Observaciones

Los resúmenes de observaciones van dirigidos al área de TI del Rímac Seguros.

3.2. Informe Relativo a la Entidad Examinada

3.2.1. Antecedentes y Base Legal
 Antecedentes
Extraídos del documento público del Memoria Rímac Seguros (Año 2015)

o Auditorías Externas

Las auditorías externas están determinadas por la Contraloría de la República enfocadas

a dictaminar información financiera, éstas también pueden referirse a dictámenes o
informes especializados en los siguientes aspectos: peritajes contables, auditorías
operativas, auditorias de sistemas, evaluación de proyectos, evaluación o implantación
de sistemas de costos, auditoría tributaria, tasaciones para ajustes de activos, evaluación
de cartera, inventarios, u otros servicios especiales.

En RIMAC consideramos los principios de Buen Gobierno Corporativo una base crucial
de nuestros sistemas orientados a alcanzar nuestros objetivos estratégicos de largo plazo.
Es por ello que, desde hace ya varios años, los venimos integrando en nuestra estructura
orgánica y funcional. Tal es nuestro esfuerzo que, en el 2014, la Bolsa de Valores de
Lima nos reconoció como una de las empresas listadas en la bolsa que cuenta con las
mejores prácticas de Buen Gobierno Corporativo en el Perú y, adicionalmente, nos
premió como la empresa que alcanzó la Mayor Mejora Anual respecto a nuestras
prácticas del 2013.

Nuestro esfuerzo por mejorar nuestras prácticas de Buen Gobierno Corporativo nos
permite cumplir los requerimientos legales y regulatorios sobre la materia. Pero más allá
de este aspecto formal, que superamos con creces, n0os permite satisfacer las válidas
expectativas de nuestros accionistas, clientes, trabajadores, proveedores y demás grupos
de interés.

Nuestro compromiso con el respeto, cumplimiento y promoción de tales principios se

sustenta en nuestra firme creencia en la validez y vigencia de un precepto fundamental
de la organización: tan importante como los resultados que consigamos, son los medios
que usemos para lograrlos.

Es recomendable que estas asesorías sean realizadas por auditores distintos o, en caso
las realicen los mismos auditores, ello no afecte la independencia de su opinión. La
sociedad debe revelar todas las auditorías e informes especializados que realice el
auditor. Se debe informar respecto a todos los servicios que la sociedad auditora o auditor
presta a la sociedad especificándose el porcentaje que representa cada uno, y su
participación en los ingresos de la sociedad.

Durante el 2015, los servicios prestados por las sociedades de auditoría externa fueron:
LA PRIMERA EMPRESA LATINOAMERICANA EN AUDITAR SU GESTIÓN DE RESPONSABILIDAD
SOCIAL SEGÚN LA NORMA INTERNACIONAL ISO 26000:2010

Obtuvimos una calificación de 4 sobre 5 en nuestra auditoria de gestión de

Responsabilidad Social, lo que nos posiciona en el nivel “Avanzado” de la norma ISO
26000:2010. Esto ha sido el resultado de nuestras adecuadas políticas, las cuales cubren
todas las expectativas correspondientes a la materia y que incluyen evidencias que
prueban sus acciones y gestiones en el área de Responsabilidad Social.

o Auditorías Internas
Rimac Seguros cuenta con un área independiente encargada de auditoría interna.

El área de auditoría interna:

Depende de: Directamente de la Gerencia de Auditoria.

 Reporta a: Al Directorio a través del Comité de
Planeamiento de la Continuidad Operativa
A cargo de: Auditor General

Principales responsabilidades del encargado de auditoría interna y otras funciones ajenas

a la auditoría interna.

Entre las principales responsabilidades del encargado de auditoría interna, se encuentran

las siguientes:

- Planificar, ejecutar, supervisar, monitorear y mejorar continuamente la función de

auditoría. Para ello se programará un plan integrado considerando la asignación anual
de recursos aprobados.
- Elaborar el Plan Anual de Auditoría y someterlo a consideración del Comité de
Auditoría y de ser el caso al Directorio, para su aprobación en el Directorio.
- Evaluar la estructura de controles internos operativos, administrativos, financieros y
de sistemas de la organización, proponiendo las mejoras que se consideren
convenientes para minimizar los riesgos.
- Actuar diligentemente en los encargos específicos de la SBS, Directorio, Comité de
Auditoría; asimismo, colaborar con la Gerencia General.
- Evaluar la adecuada administración de los recursos humanos, financieros y materiales
de la organización.
- Supervisar y efectuar el seguimiento de la implementación de las recomendaciones
de Auditoría Interna, Auditoría externa y la SBS.
- Coordinar y atender requerimientos de SBS y de los Auditores Externos, relacionados
con informes de Auditoría Interna.
- Investigar cualquier hecho de importancia de la organización e informar los
resultados al Comité de Planeamiento de la Continuidad Operativa.
- Participar en los Comités de Gerencia, reuniones convocadas por la Gerencia General
y otros comités, que involucren temas estratégicos y de importancia para la
organización, en calidad de observador, e intervenir cuando las circunstancias lo
ameriten.
- Evaluar el cumplimiento de las leyes, normas, reglamentos, y disposiciones emitidas
por la SBS, dentro de su alcance de trabajo.
- Colaborar con la Administración en asuntos relacionados con mejoras en la gestión
de riesgos y controles.
- Mantenerse informado de la normatividad emitida por los organismos reguladores
y/o supervisores.
- Cumplir con el Estatuto de Auditoría Interna y actualizarlo periódicamente.
 Aspecto Legal

Rimac Seguros no registra procesos judiciales, administrativos o arbitrales iniciados o

que sea previsible se inicien en contra o a favor, que tengan un impacto significativo
sobre los resultados de operación y la posición financiera de la Empresa.

Manuales, Políticas y Código de ética de Rimac Seguros

DENOMINACION DEL DOCUMENTO ORGANO DE APROBACION
Política de Sistema de Gestión de Seguridad Directorio
de la Información
Manual de Normas Internas de Conducta Junta General de Accionistas
Cód de Ética de Personas Vinculadas al Proc Directorio
Inversión
Estatuto de Auditoría Interna Directorio
Resoluciones y decisiones Gerenciales Gerente General
Reglamento del Directorio Se encuentra elaborado como
documento de la empresa pero aún está
pendiente de aprobación
Política de Gestión Integral de Riesgos Directorio
Política de la Gestión Integral de Riesgos de Directorio
Inversión
Manual de Gestión Integral de Riesgos Directorio
Manual de Gestión de Riesgo Directorio
Organizacional
Manual de Organización y Funciones Directorio
 3.2.2. Relación de las Personas comprendidas en las Observaciones

PUESTOS CARGO DENTRO DEL COMITÉ DE

LA CONTINUIDAD OPERATIVA
Jefe de Gestión de Seguridad de Jefe
Información y Ciberseguridad
Jefe de Gobierno de Datos Jefe
Jefe de Seguridad de Información Jefe
10 miembros Miembro

3.3. Resumen de observaciones

Las observaciones encontradas fueron:

Item Detalle

1 Deficiencias en la solicitud del consentimiento para el uso de datos personales de

clientes en el canal Web, Telemarketing y corredores
2 Deficiencias en la entrega y actualización del formatos de solicitud de seguros en
las agencias

3 Ausencia parcial del proceso de enmascaramiento en las bases de datos del

ambiente de desarrollo y pruebas de los sistemas Acsele y SAS
4 Debilidades en la gestión de accesos a los aplicativos de dispositivos móviles
administrados por la herramienta Microsoft Intune
5 Debilidades en la gestión de accesos de algunas carpetas compartidas con
información personal de clientes
6 No se han implementado mecanismos de cifrado de datos para los backups, como
cintas y discos duros externos
7 Ausencia de Logs (registros de auditoría) en algunos sistemas de información que
procesan y almacenan datos personales
8 Falla parcial en la ejecución del procedimiento de oposición de datos personales
como parte de los derechos ARCO
9 Debilidades en la gestión del inventario de activos de información físicos y
electrónicos asociados con los bancos de datos
10 No se ha incluido en el MOF algunas responsabilidades en cuanto a la gestión de
los bancos de datos
 A continuación se detallan las observaciones encontradas y con sus posibles riesgos actuales:

Código Resumen Tipo Riesgos asociados

XXX- Existencia de datos desactualizados, incompletos o no autorizados
Deficiencias en la solicitud del consentimiento para el uso de datos
2016- Alto en los bancos de datos personales debido a la falta de una
personales de clientes en el canal Web, Telemarketing y corredores
001 adecuada gestión de registro y mantenimiento

XXX- Existencia de datos desactualizados, incompletos o no autorizados

Deficiencias en la entrega y actualización del formatos de solicitud de
2016- Alto en los bancos de datos personales debido a la falta de una
seguros en las agencias
002 adecuada gestión de registro y mantenimiento
XXX- Ausencia parcial del proceso de enmascaramiento en las bases de Divulgación de información personal debido a la carencia de
2016- datos del ambiente de desarrollo y pruebas de los sistemas Acsele y Alto controles de enmascaramiento de datos personales, en el proceso
003 SAS de desarrollo de sistemas
XXX- Perdida de datos personales debido a la falta de controles en el
Debilidades en la gestión de dispositivos móviles administrados por la
2016- Alto transporte de información o eliminación de datos almacenados en
herramienta Microsoft Intune
004 medios removibles
XXX- Perdida o uso inapropiado de información personal causada por
Debilidades en la gestión de accesos de algunas carpetas compartidas
2016- Alto accesos no autorizados a los bancos de datos personales físicos y
con información personal de clientes
005 lógicos
XXX-
No se han implementado mecanismos de cifrado de datos para los to Falta de disponibilidad y pérdida de información personal
2016- Alto
backups, como cintas y discos duros externos debido a la falta de controles de monitoreo y respaldo
006
XXX- Perdida o uso inapropiado de información personal causada por
Ausencia de Logs (registros de auditoría) en algunos sistemas de
2016- Alto accesos no autorizados a los bancos de datos personales físicos y
información que procesan y almacenan datos personales
007 lógicos
XXX- Existencia de datos desactualizados, incompletos o no autorizados
Falla parcial en la ejecución del procedimiento de oposición de datos
2016- Medio en los bancos de datos personales debido a la falta de una
personales como parte de los derechos ARCO
008 adecuada gestión de registro y mantenimiento
XXX-
Debilidades en la gestión del inventario de activos de información Falta de disponibilidad y pérdida de información personal debido a
2016- Medio
físicos y electrónicos asociados con los bancos de datos la falta de controles de monitoreo y respaldo
009
Inacción en la atención de incidentes relacionados con el uso de la
XXX-
No se ha incluido en el MOF algunas responsabilidades en cuanto a la información personal debido a carencia de responsables por el
2016- Medio
gestión de los bancos de datos manejo de información y de directrices que gestionen dicha
010
actividad
3.4. Conclusiones

3.5. Recomendaciones

3.6. Observaciones detalladas (según anexo)