Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTACIÓN:
“Auditoria a la Seguridad del Área de Servicios
de TI - Interbank”
CURSO: AUDITORIA DE SISTEMAS (ST275 V)
PROFESORA: Ing. ARTEAGA CORTEZ, Humberto
ALUMNOS:
APELLIDOS Y NOMBRES CÓDIGO
LOPEZ HERRERA, Carlos Claudio 20131451K
CHUNQUI VELA , José Lendel 20131032H
FLORES TAMBO, Diego Alonso 20132716H
CARDENAS MAGNO, Jessica Margarita 20111364E
VALENCIA PEREZ, Paul Javier 20130245H
CICLO: 2018-1
1
UNIVERSIDAD NACIONAL DE INGENIERÍA
Contenido
Contenido.....................................................................................................................................2
1. Introducción.........................................................................................................................3
2. Aspectos Generales.............................................................................................................5
2.1. Estructura organizacional.................................................................................................5
3. Informe Final........................................................................................................................10
3.1. Informe Relativo al Examen.............................................................................................10
3.2. Informe Relativo a la Entidad examinada........................................................................11
3.3 Observaciones Resumidas................................................................................................14
3.4 Conclusiones....................................................................................................................15
3.5 Recomendaciones............................................................................................................16
3.6 Observaciones detalladas (según anexo).........................................................................17
1. Introducción
La auditoría de sistemas es la evaluación permite identificar que las actividades se
realicen cumpliendo las disposiciones internas (normas, procedimientos,
directivas, etc) y la aplicación de las buenas prácticas técnicas. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control
interno y gobierno corporativo.
2
UNIVERSIDAD NACIONAL DE INGENIERÍA
3
UNIVERSIDAD NACIONAL DE INGENIERÍA
2. Aspectos Generales
4
UNIVERSIDAD NACIONAL DE INGENIERÍA
DATOS PRINCIPALES:
MATRIZ DE RIESGOS
PORCENTAJE
PROCESO SUBPROCESO PORCENTAJE DEL
SUBPROCESO
5
UNIVERSIDAD NACIONAL DE INGENIERÍA
Gestión de backups de la
20%
información de los servidores
Gestión de las políticas de
20%
Seguridad Informática
Aseguramiento para los sistemas
Gestión de operativos en uso para los 20%
33%
Seguridad servidores
Gestión de los requerimientos de
accesos (altas, modificaciones y 20%
bajas de usuarios y perfiles)
Gestión las vulnerabilidades de
20%
los servidores
Plan de seguridad de la red
25%
interna del banco
Plan de actualización de los
sistemas de detección de 25%
intrusos
Gestión de
Plan de seguridad de los canales
redes /
digitales de atención (Banca 33% 25%
Comunicacione
telefónica, Banca por internet)
s
Plan de seguridad de los
servicios cloud del banco
(Correo electrónico, repositorios 25%
de documentos, bases de datos
cloud)
Mantenimiento de arquitectura
33%
de TI
Gestión de Soporte a incidentes de
33% 33%
soporte aplicativos del banco
Soporte a requerimientos y
33%
gestión del cambio
PROGRAMA DE AUDITORÍA
HORAS
OBJETIVO GENERAL OBJETIVO ESPECÍFICO RH
ESTIMADAS
6
UNIVERSIDAD NACIONAL DE INGENIERÍA
HORAS
OBJETIVO GENERAL OBJETIVO ESPECÍFICO RH
ESTIMADAS
Plan de seguridad de la red Verificar la existencia de un plan
0.5h
interna del banco de seguridad de las redes de CV
7
UNIVERSIDAD NACIONAL DE INGENIERÍA
8
UNIVERSIDAD NACIONAL DE INGENIERÍA
Comprobar la ejecución
impecable(tiempo de resolución
y tiempo de respuesta) y 1.5h
segura de las operaciones
tecnológicas CM
Confirmar que los problemas
de procesamiento se identifican
y resuelven completamente y
3.0h
Revisar la adecuada con precisión para mantener la
entrega de Servicios de TI integridad de los datos
financieros CM
Verificar el uso de indicadores
de desempeño al proceso de 1.0h
atención de requerimientos. CM
Verificar la autenticación y
registro de equipos de
1.5h
comunicación a través de la
herramienta ACS. CM
Verificar que la transmisión de
credenciales pase a través de 0.5h
un canal de cifrado CV
Verificar el sistema de Verificar la existencia de un
autentificación sistema de recordatorio o 1.0h
restauración de contraseñas VP
Verificar los factores de
1.5h
autentificación CV
Verificar los accesos del
1.5h
usuario FT
Verificar si existe una
validación adecuada de las
1.0h
entradas procedentes del
Verificar la funcionalidad
cliente FT
del aplicativo
Verificar la lógica de los
2.5h
procedimientos del aplicativo CM
Verificar que la lógica del
aplicativo concuerde con la del 1.5h
negocio CM
3. Informe Final
9
UNIVERSIDAD NACIONAL DE INGENIERÍA
Naturaleza:
Objetivo General:
Objetivos Específicos:
3.1.3. Alcance
El presente trabajo abarca los procesos de planificación, implementación y operación
que comprende un Sistema de Gestión de Seguridad de Información en el área de
servicios de TI. Con la finalidad de verificar el estado en el cual se encuentra la
organización, en materia de seguridad de la información y arquitectura de TI.
10
UNIVERSIDAD NACIONAL DE INGENIERÍA
11
UNIVERSIDAD NACIONAL DE INGENIERÍA
12
UNIVERSIDAD NACIONAL DE INGENIERÍA
Con respecto al grupo de Entrega de servicios de TI, se encontró que usuarios con
perfiles con pocos permisos intentan hacer requerimientos que no les compete y luego
13
UNIVERSIDAD NACIONAL DE INGENIERÍA
ingresaban con las cuentas de otros usuarios, tambien se puede observar que por
temas de procesamiento no se está mostrando la información de manera íntegra en
los reportes que muestra la aplicación. (Ver Anexo 1).
Con respecto al grupo de Plan de seguridad de los servicios Cloud del banco (Correo
electrónico, repositorios de documentos, bases de datos Cloud), no encontramos
mayores deficiencias en las actividades realizadas.
3.4 Conclusiones
Se ha observado, luego de la evaluación de la seguridad de la información presenta
un estado positivo en cuanto al reducido número de deficiencias encontradas. Sin
embargo, se ha encontrado 6 debilidades críticas que deben ser subsanadas, las
cuales se enlistan a continuación:
14
UNIVERSIDAD NACIONAL DE INGENIERÍA
3.5 Recomendaciones
Se recomienda mantener el nivel de control que se viene teniendo en el grupo
de Gestión de las políticas generales de Seguridad Informática.
Se recomienda corregir la deficiencia en la realización de backups para el
sistema Oracle EBS, encontrada en la Gestión de Respaldo de la información
(Backups).
Se recomienda corregir la deficiencia en el procedimiento de altas y bajas de
usuarios autorizados para la intranet inalámbrica wincord, encontrada en el
grupo Gestión de vulnerabilidades de los servidores del centro de datos.
Se recomienda corregir la deficiencia en la actualización de parches de
seguridad, encontrada en el grupo de Aseguramiento para los Sistemas
Operativos de los Servidores.
Se recomienda mantener el nivel de control sobre los aplicativos informáticos a
través de las buenas prácticas y siguiendo los estándares definidos por la
organización.
Se recomienda hacer una matriz de priorización de atención a los para que los
servicios de TI se den prioritariamente a las áreas con más riesgo y a usuarios
con ciertos perfiles, ello posteriormente podría ser logrado en la lógica de la
aplicación, ello porque se ha tenido casos en que los requerimientos han
pasado sin atención cerca de 23 días que es anormal ya que debería ser
atendido con un máximo de 2 días.
15
UNIVERSIDAD NACIONAL DE INGENIERÍA
Observación 1
Sumilla
No se ha establecido un estándar de aseguramiento para el sistema operativo de los
servidores virtualizados
Condición
El uso de sistema operativo no estándar y otras no conformidades son identificadas en
el área de servidores.
Criterio
En base a la resolución de la Contraloría General Nº320-2006-CG en el punto 3.10,
específicamente en el comentario 5 se detalla: "[…] Controles para el área de soporte
técnico, en el mantenimiento de máquinas (hardware), licencias (software), sistemas
operativos, utilitarios (antivirus) y bases de datos. […]”
Causa
El gerente del Área de Infraestructura y Operaciones de TI reporta que no se tiene un
manual oficial de seguridad acerca de la seguridad de los servidores del banco.
Efecto
Los servidores poseen diferentes versiones de sistemas operativos distintos que
necesitan requerimientos diferentes para su mantención.
Recomendación
Elaborar el manual oficial de seguridad donde se siga un solo lineamiento para el
tratamiento del aseguramiento de los sistemas operativos de los servidores.
Observación 2
Sumilla
El análisis y atención de vulnerabilidades en los servidores que soportan servicios
críticos del Banco, se realizó parcialmente.
Condición
De acuerdo a una muestra de 12 servidores que utilizan Sistema Operativo AIX, se
identificó que los parches de seguridad del 67% de servidores se encontraban
desactualizados, el 25% no se pudo contar con acceso y el 8% de servidores está
fuera de soporte.
Criterio
En base a la resolución de la Contraloría General Nº320-2006-CG en el punto 3.10,
específicamente en el comentario 5 se detalla:
16
UNIVERSIDAD NACIONAL DE INGENIERÍA
Observación 3
Sumilla
El proceso de generación de las copias de respaldo de la base de datos del sistema
Oracle EBS no asegura la disponibilidad de la información.
Condición
Al momento de leer las copias de respaldo se verifico que el 9 % de la información no
pudo ser leuda.
Criterio
En base al manual de buenas prácticas Cobit 4.0 en el numeral AI3 Adquirir y
mantener estructura que a la letra dice las organizaciones deben contar con procesos
para adquirir, mantener y proteger la infraestructura de acuerdo a las estrategias
tecnológicas …..
Causa
El gerente del Área derEl 50 % Las copias de respaldo se compraron de manera
apresurada sin previas validaciones y el otro 50% las compro un tercero por lo cual se
desconoce la calidad de los mismos
Efecto
Se perdió la información de algunos clientes que generan activos para el banco y un
20% aproximadamente solicito la anulación de sus tarjetas de crédito
Recomendación
Se deberá establecer un procedimiento de compras de los dispositivos de respaldo
actualizaciones las cuales definan atributos más adecuados para que se pueda
recuperar el 100% de la información
17
UNIVERSIDAD NACIONAL DE INGENIERÍA
Observación 4
Sumilla
Lentitud de la aplicación ACS al momento de cargar los reportes diarios
Condición
El tiempo de resolución de las operaciones tecnológicas para este periodo sobrepasa
en 24 minutos en promedio respecto a la auditoria previa.
Observación 5
Sumilla
Aproximadamente el 12% de los equipos de comunicación no fueron registrados a
través de la herramienta AIS.
Condición
18
UNIVERSIDAD NACIONAL DE INGENIERÍA
Observación 6
Sumilla
Se encontraron usuarios dados de baja en la red cableada del banco activos en la
intranet inalámbrica.
Condición
Al realizar la revisión de la lista de usuarios activos para la intranet inalámbrica del
banco, de fecha 18-05-2018, se hallaron 4 usuarios dados de baja en el directorio
activo del banco para la red cableada, con accesos a la intranet inalámbrica (red wifi),
pues figuraban como activos en la lista de accesos a la intranet inalámbrica.
Criterio
En base al manual de procedimiento de altas y bajas de usuarios genéricos, numeral
4, se lee “los usuarios dados de baja, deben tener accesos revocados en toda intranet
del banco”.
Causa
Luego de realizar las indagaciones con los custodios de las listas de accesos a la
intranet inalámbrica, se detectó que no siempre se da de baja de forma simultánea los
accesos a la red wifi interna para laptops conjuntamente con la revocatoria de accesos
19
UNIVERSIDAD NACIONAL DE INGENIERÍA
en el directorio de colaboradores de la empresa, y que esta debe ser solicitud del área
encargada de dar de baja a los colaboradores de la entidad. Dicha solicitud se da por
separado a la solicitud de baja de los accesos a la red cableada del banco.
Efecto
Incremento en el riesgo de accesos no autorizados a información sensible del banco,
como base de datos de aplicativos, documentos de las distintas áreas, etc.
Recomendación
Se recomienda reformular los procedimientos de bajas de usuarios, haciendo única la
solicitud al área de servicios de TI de baja de accesos a las distintas redes del banco
(cableadas e inalámbricas).
20