Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTACIÓN:
“Informe de Auditoría Seguridad TI - Rimac”
CURSO: AUDITORIA DE SISTEMAS (ST275 V)
PROFESORA: Ing. ARTEAGA CORTEZ, Humberto
ALUMNOS:
APELLIDOS Y NOMBRES CÓDIGO
ALEJANDRO GALVAN, Omar 20121230A
AMBROSIO CAMAYO, Ronal 20121017F
APARI BACILIO, Edson 20124058E
COLQUE ALARCON, Bruno 20121165E
NEYRA MERINO, Carlos 20112602G
POVIS RODRIGUEZ, Angel 20132015J
CICLO:
2017-I
Contenido
1. Introducción3
2. Aspectos Generales4
2.1. Estructura organizacional4
2.2. Matriz de Riesgos6
2.3. Programa de Auditoría10
3. Informe Final10
3.1. Informe Relativo al examen10
3.1.1. Motivo del Examen10
3.1.2. Naturaleza y Objetivos11
3.1.3. Alcance11
3.1.4. Comunicación de Observaciones11
3.2. Informe Relativo a la Entidad Examinada11
3.2.1. Antecedentes y Base Legal11
3.2.2. Relación de las Personas comprendidas en las Observaciones16
3.3. Resumen de observaciones16
3.4. Conclusiones0
3.5. Recomendaciones0
3.6. Observaciones detalladas (según anexo)0
1. Introducción
La auditoría de sistemas es la evaluación permite identificar que las actividades se
realicen cumpliendo las disposiciones internas (normas, procedimientos, directivas, etc)
y la aplicación de las buenas prácticas técnicas. Ayuda a una organización a cumplir sus
objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar los
procesos de gestión de riesgos, control interno y gobierno corporativo.
La auditoría consiste en una evaluación de los componentes que componen ese sistema,
con examen y pruebas en las siguientes áreas:
Bajo el contexto de la definición anterior, nosotros como grupo auditor tenemos como
objetivo general realizar una auditoria especializada a la seguridad de información del
de la central de consultas de RIMAC SEGUROS en el cumplimiento de sus propósitos
de estabilidad, y cooperación técnica, mediante servicios de aseguramiento y consulta
bajo un enfoque constructivo y de prevención, para evaluar la eficacia del control
interno, la administración de riesgos y el cumplimiento del marco normativo
institucional.
Las revisiones, evaluaciones y estudios especiales que realiza nuestro grupo auditor, de
acuerdo con lineamientos internos aplicables, requieren ser planificados de manera
sistemática a través de planes anuales de auditorías, que deben ser sometidos a la
aprobación de la Junta Directiva del área de TI.
2. Aspectos Generales
La solidez y respaldo financiero es reconocido por dos de las más importantes clasificadoras
internacionales de riesgo: Moody's Investors Service y Fitch Ratings, que le otorgaron la Mejor
Calificación de Riesgo del Perú, siendo la única aseguradora en Perú que opera con dichas
calificaciones en los ramos de Riesgos Generales y Vida.
De igual manera, cuenta con la calificación A+ de las dos clasificadoras de riesgo más
importantes del Perú: Equilibrium y Apoyo & Asociados.
Tiene la más alta variedad de productos y servicios adecuados a las necesidades del cliente,
que van acompañados por una atención de calidad un gran respaldo financiero. Como
consecuencia de ello, tenemos la más alta participación del mercado asegurador en los últimos
años.
DATOS PRINCIPALES:
Riesgo Económico:
Los ciclos de la economía del país, hacen que los niveles de adquisición se comporten de
tal manera que si son favorables o no para el país, lo serán también para la empresa.
Esto puede derivar en un estancamiento en el crecimiento y las remuneraciones de los
trabajadores, por lo que sería muy perjudicial para Rimac Seguros.
El riesgo natural:
Existe un riesgo de ocurrencia de desastres naturales o provocados que, ante un aumento
significativo, se convertirá en un problema para la empresa, ya que esta tendría que pagar
los seguros abonados por los clientes.
Riesgo Legislativo:
En temas previsionales y de seguridad social, producto de ser una industria altamente
regulada y supervisada por el estado, por su eminente carácter social.
Así las áreas de riesgo identificadas en Rimac Seguros son:
DIRECTORIO
Aptitudes e idoneidad del Directorio
Definición y Seguimiento de la política global de gestión de riesgos
Funcionamiento del Directorio y de los comités de Directorio
Definición de la Estrategia
Gestión del Riesgo Reputacional
Política de Divulgación y Transparencia
ADMINISTRACIÓN
Composición y Estructura de la Administración
Proceso de Planificación y Administración y Divulgación y transparencia
Sistemas de Información de Gestión
GESTIÓN DE RIESGOS
Cultura de gestión de riesgos
Gestión del Riesgo de Cumplimiento
RIESGO OPERACIONAL
Riesgo en la relación con los afiliados
Riesgo de Gestión de Cuentas
Riesgo de Beneficios
Riesgo Tecnológico
Continuidad de negocio y recuperación de desastres
RIESGO FINANCIERO
Riesgo del proceso de inversiones
Riesgo de mercado
Riesgo de Crédito
Riesgo de Liquidez
Riesgo de solvencia de la entidad
Niveles
Tipo de
Fuente Descripción Impacto Probabilidad de
Riesgo
Riesgo
Manipulación inadecuada de la información. Alto Media Alto Inherente
Acceso de personal no
Creación de errores en los procesos. Alto Media Alto Inherente
autorizado
Robo de activos de la empresa. Alto Poca Medio Inherente
Uso de programas diferentes Incompatibilidad en archivos. Bajo Poca Bajo Inherente
Instalación de programas maliciosos no
Alto Media Alto
permitidos. Control
Perfiles no autorizados
Instalación de herramientas como VNC sin
Alto Media Alto
control. Control
Puestos con acceso ilimitado al sistema
Segregación de funciones Alto Media Alto
informático o programas. Control
Sistema de alerta para evacuaciones es
Medio Poca Medio
ineficiente. Inherente
Infraestructura
No contar con un sitio alterno en caso de
Medio Poca Medio
emergencia. Inherente
Cambio en las políticas de gestión,
Gestión del cambio procedimientos y protocolos no es Alto Media Alto
consistente. Inherente
El Plan de Continuidad de Negocio (PCN) no
Continuidad del negocio Alto Media Alto
se despliegue correctamente. Inherente
Nuevas tecnologías no se desarrollan o se
Tecnologías emergentes Media Media Medio
utilizan de una manera no controlada. Inherente
Revisión de auditorías Ocurrencia de errores encontrados en las
Medio Media Medio
anteriores auditorias anteriores no corregidos. Detección
No detectar errores en el Errores, omisiones o irregularidades de
Alto Alta Alto
proceso de auditoria importancia no detectados por la auditoria. Detección
Falta de capacidad y Incapacidad del responsable de auditoría
Alto Poca Medio
conocimiento. para cumplir sus funciones. Detección
La información tomada en la auditoria no es
Veracidad de información Alto Media Alto
la correcta. Detección
Resistencia a brindar Los entrevistados son reacios a dar
Alto Media Alto
información información. Inherente
Dificultad de detección de En transacciones automáticas se dificulta la
Alto Media Alto
errores. detección de errores. Detección
Matriz de Riesgos
Proceso Subproceso %P %SubP
- Planes y Políticas de Gestión 33%
Gestión de los recursos - Planes de Seguridad 33%
16.7%
Tecnológicos
- Análisis de Infraestructura
33%
Tecnológica
- Acceso de personal no autorizado
33%
a áreas de TI
Gestión de las Operaciones
- Compatibilidad de los Programas 16.7% 33%
de TI
- Soporte 33%
- Licitaciones 33%
Administración de
- Administración de Contratos 16.7% 33%
Proveedores
- Evaluación de Proveedores 33%
2.3. Programa de Auditoría
Objetivo
Objetivo Especifico Tiempo Responsable
General
1.1 Evaluar la estructura Organizacional
2 horas Angel Povis
1. Evaluar la de TI
Gestión de los 1.2 Evaluar las funciones y comparar con
3 horas Angel Povis
recursos los perfiles
Tecnológicos 1.3 Evaluar los planes y políticas de
1 hora Angel Povis
Gestión de TI
2. Evaluar la 2.1 Evaluar el plan de mantenimiento de
2 horas Omar Alejandro
Gestión de las la red
Operaciones 2.2 Evaluar los controles de red y
2 horas Omar Aejandro
de TI comunicaciones
6.1 Evaluar las Aplicaciones Informáticas 3 horas Ronal Ambrosio
3.Evaluar la
Gestión de la 6.2 Evaluar el plan de mantenimiento de
2 horas Ronal Ambrosio
Infraestructura las aplicaciones
Tecnológica 6.3 Evaluar las políticas de Seguridad
3 horas Ronal Ambrosio
Informática
3.1 Verificar el cumplimiento de lo
establecido en las normas de seguridad 2 horas Carlos Neyra
4. Evaluar la de acceso a áreas de TI
Gestión de 3.2 Verificar la existencia de controles de
Riesgos 4 horas Carlos Neyra
acceso
3.3 Evaluar el acceso de personal no
2 horas Carlos Neyra
autorizado a áreas de TI
4.1 Verificar la existencia de un comité
5. Evaluar la 2 horas Bruno Colque
tecno evaluador de proyector
administración
de Proyectos 4.2 Verificar la documentación durante
3 horas Bruno Colque
todas las etapas del proyecto.
5.1 Evaluar la Contratación de Servicios 1 hora Edson Apari
6. Evaluar la
5.2 Evaluar a los proveedores y los
Gestión de 2 horas Edson Apari
servicios contratados
Proveedores
5.3 Evaluar el proceso de licitación 2 horas Edson Apari
3. Informe Final
3.1. Informe Relativo al examen
3.1.1. Motivo del Examen
Determinar si los procesos y actividades dentro del área de seguridad de información
se realicen conforme a las políticas, normas y buenas prácticas que debe cumplir la
empresa Rimac Seguros y si implemente las correctas practicas según las gestiones
que realicen.
- Objetivo
Realizar una auditoria especializada a la seguridad de información de la central de
consultas de RIMAC SEGUROS en el cumplimiento de sus propósitos, revisando y
detectando errores en los controles y emitir una serie de recomendaciones.
3.1.3. Alcance
El alcance abarca toda la funcionalidad del área de seguridad de información, en
cuestión del correcto funcionamiento es decir que sea tal como se ha especificado en
los requerimientos, así como del entorno en el cual es ejecutado y utilizado por los
usuarios (gestión de accesos).
o Auditorías Externas
En RIMAC consideramos los principios de Buen Gobierno Corporativo una base crucial
de nuestros sistemas orientados a alcanzar nuestros objetivos estratégicos de largo plazo.
Es por ello que, desde hace ya varios años, los venimos integrando en nuestra estructura
orgánica y funcional. Tal es nuestro esfuerzo que, en el 2014, la Bolsa de Valores de
Lima nos reconoció como una de las empresas listadas en la bolsa que cuenta con las
mejores prácticas de Buen Gobierno Corporativo en el Perú y, adicionalmente, nos
premió como la empresa que alcanzó la Mayor Mejora Anual respecto a nuestras
prácticas del 2013.
Nuestro esfuerzo por mejorar nuestras prácticas de Buen Gobierno Corporativo nos
permite cumplir los requerimientos legales y regulatorios sobre la materia. Pero más allá
de este aspecto formal, que superamos con creces, n0os permite satisfacer las válidas
expectativas de nuestros accionistas, clientes, trabajadores, proveedores y demás grupos
de interés.
Es recomendable que estas asesorías sean realizadas por auditores distintos o, en caso
las realicen los mismos auditores, ello no afecte la independencia de su opinión. La
sociedad debe revelar todas las auditorías e informes especializados que realice el
auditor. Se debe informar respecto a todos los servicios que la sociedad auditora o auditor
presta a la sociedad especificándose el porcentaje que representa cada uno, y su
participación en los ingresos de la sociedad.
Durante el 2015, los servicios prestados por las sociedades de auditoría externa fueron:
LA PRIMERA EMPRESA LATINOAMERICANA EN AUDITAR SU GESTIÓN DE RESPONSABILIDAD
SOCIAL SEGÚN LA NORMA INTERNACIONAL ISO 26000:2010
o Auditorías Internas
Rimac Seguros cuenta con un área independiente encargada de auditoría interna.
Item Detalle
3.5. Recomendaciones