UNIVERSIDAD NACIONAL DE INGENIERIA

Facultad de Ingeniería Industrial y de Sistemas

ÁREA DE SISTEMAS Y TELEMÁTICA

AUDITORÍA DE SISTEMAS

1ER EXAMEN DE AUDITORÍA

GESTIÓN DE TI DE LA INTRANET DE LA EMPRESA ETNA

Alumnos:
CASTRO ALVIS, Luigi
VERAMENDI LLAULLE, Johan
MOLINA VEGA, Eduardo
RODRÍGUEZ TASAYCO,César
MOLLEDA HUAMAN, Gina

2018-I
 2 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

Contenido
1. INTRODUCCIÓN ........................................................................................................................ 3
2. DESCRIPCIÓN DE LA EMPRESA ................................................................................................. 4
3. EVALUACIÓN DE RIESGOS ........................................................................................................ 6
4. OBJETIVOS ................................................................................................................................ 6
4.1. OBJETIVO GENERAL .......................................................................................................... 6
4.2. OBJETIVOS ESPECIFICOS ................................................................................................... 7
4.2.1. OBJETIVO ESPECIFICO 1............................................................................................ 7
4.2.2. OBJETIVO ESPECIFICO 2............................................................................................ 7
5. METODOLOGÍA COBIT .............................................................................................................. 7
6. PLAN DE TRABAJO .................................................................................................................... 8
7. HALLAZGOS .............................................................................................................................. 9
7.1 HALLAZGO 1 ........................................................................................................................... 9
7.2. HALLAZGO 2 ........................................................................................................................ 10

AUDITORÍA DE SISTEMAS | UNI - FIIS

 3 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

1. INTRODUCCIÓN

El presente informe de auditoría tiene como objetivo identificar y analizar la gestión

de los recursos y procesos en TI de la empresa ETNA de acuerdo a los lineamientos
del Plan Estratégico de la misma, tomando como marco de referencia a las normas
que propone COBIT.
Se realizó una Matriz de Evaluación de Riesgos, la cual nos permitió hallar el principal
riesgo en el manejo de la Gestión de la Información el cual fue la intranet de ETNA.

Los temas más importantes para el correcto funcionamiento de la empresa y para el

aseguramiento de su continuidad en el mercado son la evaluación de los recursos y
procesos necesarios en TI, por lo que una organización tiene la urgente necesidad de
implementar un modelo de gestión que aseguren que los procesos y recursos TI
contribuyan al logro de los objetivos de la empresa en un mercado cada vez más
exigente, complejo y diversificado.

Con la utilización del COBIT 5.0 se propone un modelo para auditar la gestión y control
de los sistemas de TI, orientado a todos los sectores de una organización, es decir,
administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso
que tiene como objetivo reducir los índices de incertidumbre sobre vulnerabilidades y
riesgos de los recursos TI y consecuentemente, sobre la posibilidad de evaluar el
logro de los objetivos del negocio apalancado en procesos tecnológicos.

Al final del informe se presentan los resultados y los hallazgos descubiertos producto
de la auditoría realizada a la empresa ETNA.

AUDITORÍA DE SISTEMAS | UNI - FIIS

 4 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

2. DESCRIPCIÓN DE LA EMPRESA

Fábrica Nacional de Acumuladores Etna SA fue fundada por los señores Alfonso Peyón
García, Ernesto Peyón García y Armando Peyón García, en el año 1,933 con el nombre
de Peyon Hnos.Ya en el año 1945, los hermanos Peyón efectúan la transformación de la
empresa en Sociedad Anónima, modificándose la razón social a Fábrica Nacional de
Acumuladores ETNA SA.

Con esta nueva razón social, las operaciones se inician el 01.07.1945 y con ello logran
ser pioneros de las fábricas de baterías en el Perú, siendo también una de las más
antiguas en América del Sur. Inicialmente sus actividades se desarrollaron en un local
ubicado en la avenida Wilson, luego debido al crecimiento del negocio, la empresa se
trasladó al distrito de Jesús María. Posteriormente por el crecimiento de sus actividades
productivas, administrativas y de comercialización, en el año 1,982, la empresa se
trasladó a su fábrica construida en un terreno adquirido en 1,975 de una extensión de
más de 10,000 m2, en el actual distrito de Independencia. Actualmente existe un proyecto
de construcción de la nueva planta en el local adquirido en el distrito de Lurín, la que
permitirá contar con todas las comodidades y sobre todo unificar la cadena de producción
en un solo lugar.

Los datos de la empresa a auditar son los siguientes:

Nombre o Razón Social: FABRICA NACIONAL DE ACUMULADORES ETNA S.A.

Dirección Planta Pacífico: Av. Pacífico 15311, Independencia

Dirección Planta Neón: Jr. El Neón 5558, Comas

Dirección Planta Ventanilla: Av. De la Revolución 1046, Ventanilla

R.U.C: 20100165687

Teléfono: (01) 4851260

Actividad Comercial: Fabrica de Acumuladores y Baterías

Gerente General: Ghio Agüero, Atilio Alejandro

AUDITORÍA DE SISTEMAS | UNI - FIIS

 5 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

Visión:

Ser una empresa industrial de clase mundial en soluciones de energía líder donde
compite

Misión:

“Generar el más alto nivel de satisfacción en nuestros clientes con marcas, productos y
servicios innovadores, altamente competitivos y rentables; desarrollados por un talentoso
equipo de profesionales comprometidos con el cuidado y la preservación del medio
ambiente.”

Valores:

 Siempre hacemos lo correcto, sin importar quién nos esté mirando INTEGRIDAD
 Retamos el status quo y buscamos nuevas formas de hacer las cosas
INNOVACIÓN
 Juntos lo hacemos mejor y en menos tiempo TRABAJO EN EQUIPO.
 Somos responsables de nuestras acciones y de los resultados que estas generan
COMPROMISO

Organigrama:

AUDITORÍA DE SISTEMAS | UNI - FIIS

 6 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

3. EVALUACIÓN DE RIESGOS
Dentro de los riesgos identificados, producto de entrevistas con los trabajadores
pertenecientes a la Gerencia de TI de ETNA, se encontraron los siguientes:

 Estructura y seguridad en la intranet de ETNA.

 Gestión de accesos a la base de datos.
 Gestión de requerimientos de infraestructura tecnológica.
 Gestión del mantenimiento y soporte de la infraestructura tecnológica.

A continuación, se presenta la matriz de evaluación de riesgos, la cual analiza el impacto

y la probabilidad de ocurrencia de cada uno de los riesgos identificados anteriormente.

Probabilida Impact Ponderació

Id_riesgo Descripción de Riesgo d o n
1 Uso de la Información desactualizada 20% 2 0.4
2 Accidentes cercanos al Data Center 5% 5 0.25
Pérdida de información por la mala
3 gestión de Backup’s 10% 4 0.4
Soporte ineficiente de la infraestructura
4 tecnológica 20% 3 0.6
Retrasos en la entrega de requerimientos
5 del área de TI 15% 3 0.45
Caída de la intranet por saturación del
6 servidor 30% 4 1.2
7 Accesos no autorizados a la intranet 40% 4 1.6

Analizando la matriz de riesgos, podemos observar que los riesgos de mayor impacto y
de mayor probabilidad son los relacionados con el uso del servidor, y por ende con la
gestión de la intranet.

Una correcta gestión de los riesgos permitirá asegurar la continuidad del proceso. Es
por ello que será necesario enfocar los esfuerzos en prever las situaciones que
comprometan la información contenida en la intranet, así como la gestión adecuada de
accesos y flujo de información.

Es importante además considerar la infraestructura tecnológica que soporta los

procesos del negocio y la intranet.

4. OBJETIVOS
4.1. OBJETIVO GENERAL
Evaluar la gestión de TI de la intranet de la empresa ETNA, utilizando como
marco de referencia el COBIT 5.0.

AUDITORÍA DE SISTEMAS | UNI - FIIS

 7 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

4.2. OBJETIVOS ESPECIFICOS

4.2.1. OBJETIVO ESPECIFICO 1
Evaluar y analizar la arquitectura de la información de la Intranet de ETNA.

4.2.2. OBJETIVO ESPECIFICO 2

Evaluar y analizar el flujo de la información de la Intranet de ETNA

5. METODOLOGÍA COBIT
Siguiendo el marco de trabajo COBIT 5. Hemos definido los siguientes
procesos que nos ayudarán a elaborar el plan de auditoría:

Dominio Proceso Practica clave de Gobierno

Gestionar el Marco de Gestión de TI del sistema.
Gestionar la Estrategia
Gestionar Recursos Humanos
Alinear, Planificar y
Organizar
Gestionar la Calidad
Gestionar el Riesgo
Gestionar la Seguridad
Construir, Adquirir e Gestionar la disponibilidad y la
Implementar capacidad
Establecer roles y responsabilidades.
Definir la propiedad de la información (datos) y
Mantener el cumplimiento con las políticas y
procedimientos.
Evaluar el entorno, capacidades y rendimiento
actuales.
Definir el objetivo de las capacidades de TI.
Comunicar la estrategia y la dirección de TI
Mantener la dotación de personal suficiente y
adecuado.
Identificar personal clave de TI
Planificar y realizar un seguimiento del uso de
recursos humanos de TI y del negocio.
Supervisar y hacer controles y revisiones de
calidad.
Integrar la gestión de la calidad en la
implementación de soluciones y la entrega de
servicios.
Analizar el riesgo.
Expresar el riesgo.
Responder al riesgo.
Establecer y mantener un SGSI.
Definir y gestionar un plan de tratamiento del
riesgo de la seguridad de la información.
Supervisar y revisar el SGSI.
Evaluar la disponibilidad, rendimiento y capacidad
actual y crear una línea de referencia.
Supervisar y revisar la disponibilidad y la
capacidad.
Investigar y abordar cuestiones de disponibilidad,
rendimiento y capacidad.

AUDITORÍA DE SISTEMAS | UNI - FIIS

 8 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

Gestionar cambios de emergencia.

Hacer seguimiento e informar de cambios de

Gestionar cambios de emergencia.
estado.

Cerrar y documentar los cambios.

Identificar y registrar activos actuales.

Gestionar los Activos
Gestionar las Operaciones
Gestionar los servicios de seguridad lógico.
Entregar, dar Servicio
y Soporte
Gestionar los Controles de los
Procesos del Negocio
Gestionar activos críticos
Gestionar el ciclo de vida de los activos.
Administrar licencias.
Ejecutar procedimientos operativos
Supervisar la infraestructura de TI
Proteger contra software malicioso (malware).
Gestionar la seguridad de la red y las conexiones.
Gestionar la seguridad de los puestos de usuario
final.
Gestionar la identidad del usuario y el acceso
Gestionar el acceso físico a los activos de TI.
Gestionar documentos sensibles y dispositivos de
salida.
Supervisar la infraestructura para detectar
eventos relacionados con la seguridad.
Controlar el procesamiento de la información
Gestionar roles, responsabilidades, privilegios de
acceso y niveles de autorización.
Asegurar la trazabilidad de los eventos y
responsabilidades de información.
Asegurar los activos de información.

6. PLAN DE TRABAJO

Objetivos Tiempo
Actividades Tipo de Actividad
Específicos (días)

AUDITORÍA DE SISTEMAS | UNI - FIIS

 9 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

Solicitar documentación sobre la arquitectura de la Levantamiento de

1
información almacenada en la Intranet Información

Evaluar y analizar la
arquitectura de la
información de la Revisar la arquitectura de la información obtenida. Revisión 2
Intranet de ETNA.

Análisis y comparación con las buenas practica del Análisis y

1
COBIT 5.0. comparación

Solicitar documentación de procedimientos sobre las

Levantamiento de
medidas de acceso y control de usuarios de la intranet 1
Información
de ETNA.

Evaluar el control
Revisar la documentación y evidenciar el
de información en
cumplimiento de las medidas de acceso y control de Verificación 3
la Intranet de
usuarios a la Intranet.
ETNA.

Anticipar al responsable del área los resultados Comunicar 1

obtenidos de la auditoría.

TOTAL 9

7. HALLAZGOS
7.1 HALLAZGO 1
Sumilla

Se evidenció que las cuentas de usuarios de personas que ya no laboran no han sido
deshabilitadas e incluso han estado en actividad.

AUDITORÍA DE SISTEMAS | UNI - FIIS

 10 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

Condición

Se identificaron cuentas de usuario habilitadas de personal que dejó de laborar, y además dichas
cuentas habían estado en actividad. Las cuentas mencionadas permiten el acceso a las
aplicaciones de la intranet y acceso al módulo de SAP para inventarios.

Criterio

Según COBIT 5.0, el proceso APO07 Administrar los recursos humanos de TI, establece en su
objetivo de control APO07.1 Cambios y terminación de trabajo, que se debe realizar la
transferencia de conocimiento, reasignar responsabilidades y eliminar los privilegios de acceso.

Causa

La causa principal de este hallazgo es la falta de coordinación entre el departamento de Recursos

Humanos y el de TI. Ya que muchas veces no se le comunica a tiempo a las áreas de TI sobre el
cese de personal.

Efecto

Como consecuencia de seguir con cuentas activas, pueden realizarse acciones malintencionadas
por parte de personal que aún tiene acceso y que no puede ser monitoreada. Puede además
existir fuga de información que comprometa a la empresa.

Recomendación

Recomendamos al área de Recursos Humanos, y al de TI que realicen el esfuerzo por sincronizar

información ante el cese de un trabajador. Además, se puede hacer un monitoreo periódico del
registro de actividad de cada usuario para detectar posibles comportamientos sospechosos.

7.2. HALLAZGO 2
Sumilla

Se comprobó la existencia de etiquetas desactualizadas en la información contenida en la

intranet, las cuales contienen las especificaciones técnicas de las baterías.

Condición

AUDITORÍA DE SISTEMAS | UNI - FIIS

 11 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

Se identificaron miles de etiquetas desactualizadas de las baterías en el sistema de registros de

las baterías en la Intranet, así mismo, las etiquetas físicas de las baterías almacenadas en el
almacén también se encontraban desactualizadas.

Criterio

Según COBIT 5.0, el proceso APO11 Gestionar la Calidad, establece como práctica clave de
gobierno, APO11.04 Supervisar y hacer controles y revisiones de calidad, el cual indica que se
debe supervisar la calidad de los procesos y servicios de forma permanente como se defina en el
SGC. La información recogida debería ser utilizada por los propietarios de los procesos para
mejorar la calidad.

Causa

La causa principal de este hallazgo es la falta de un proceso de control los cuales permitan
supervisar la creación de nuevas etiquetas y actualización de las etiquetas existentes.

Efecto

Genera un reproceso de etiquetado en la línea de productos terminados, lo cual disminuye la

disponibilidad de la línea de las baterías y disminución de la productividad.

Recomendación

Recomendamos un mejor control del proceso de actualización y generación de etiquetas técnicas,

en el cual participará el área de Calidad conjuntamente con el área de TI.

8. CONCLUSIONES
 FABRICA NACIONAL DE ACUMULADORES “ETNA” S.A. podría ser vulnerable en
cuanto al acceso desautorizado a su intranet, por trabajadores que ya no pertenecen
a la empresa, lo cual representa un alto riesgo de fuga de información como ejecución
de operaciones no autorizadas.
 La empresa presenta inconsistencia en la data que muestra en la intranet,
especialmente con el etiquetado de los productos debido a la falta de comunicación
entre las áreas de calidad, producción y TI.

AUDITORÍA DE SISTEMAS | UNI - FIIS

 12 Auditoría de Sistemas – Intranet – Baterías ETNA
FIIS - UNI

 El marco de referencia COBIT 5.0. permitió reconocer las falencias y proponer

controles que permitan mejorar los procesos relacionados a la gestión de la
información presente en la intranet de la empresa ETNA.

AUDITORÍA DE SISTEMAS | UNI - FIIS