UNIVERSIDAD NACIONAL DE INGENIERÍA

UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

PRESENTACIÓN:
“Auditoria a la Seguridad del Área de Servicios
de TI - Interbank”
CURSO: AUDITORIA DE SISTEMAS (ST275 V)
PROFESORA: Ing. ARTEAGA CORTEZ, Humberto
ALUMNOS:
APELLIDOS Y NOMBRES CÓDIGO
LOPEZ HERRERA, Carlos Claudio 20131451K
CHUNQUI VELA , José Lendel 20131032H
FLORES TAMBO, Diego Alonso 20132716H
CARDENAS MAGNO, Jessica Margarita 20111364E
VALENCIA PEREZ, Paul Javier 20130245H

CICLO: 2018-1

1
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Contenido
Contenido.....................................................................................................................................2
1. Introducción.........................................................................................................................3
2. Aspectos Generales.............................................................................................................5
2.1. Estructura organizacional.................................................................................................5
3. Informe Final........................................................................................................................10
3.1. Informe Relativo al Examen.............................................................................................10
3.2. Informe Relativo a la Entidad examinada........................................................................11
3.3 Observaciones Resumidas................................................................................................14
3.4 Conclusiones....................................................................................................................15
3.5 Recomendaciones............................................................................................................16
3.6 Observaciones detalladas (según anexo).........................................................................17

1. Introducción
La auditoría de sistemas es la evaluación permite identificar que las actividades se
realicen cumpliendo las disposiciones internas (normas, procedimientos,
directivas, etc) y la aplicación de las buenas prácticas técnicas. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar los procesos de gestión de riesgos, control
interno y gobierno corporativo.

2
 UNIVERSIDAD NACIONAL DE INGENIERÍA

La auditoría consiste en una evaluación de los componentes que componen ese

sistema, con examen y pruebas en las siguientes áreas:

 Revisión de arquitectura de sistemas de alto nivel

 Mapeo de procesos empresariales (por ejemplo, determinar la

dependencia de los sistemas de información con respecto a los procesos
empresariales del usuario)
 Gestión de identidad de usuario final (por ejemplo, mecanismos de
autenticación, estándares de contraseña, funciones que limitan o conceden
funcionalidad de sistemas)
 Configuraciones de sistemas operativos (por ejemplo, endurecimiento de
servicios)
 Controles de seguridad de aplicaciones

 Controles de acceso a la base de datos (por ejemplo, configuración de la

base de datos, acceso a la base de datos de la cuenta, funciones definidas
en la base de datos)
 Controles antivirus / antimalware

 Controles de red (por ejemplo, ejecución de configuraciones en switches y

enrutadores, uso de listas de control de acceso y reglas de firewall)
 Sistemas y procesos de registro y auditoría

 Control de acceso privilegiado de TI (por ejemplo, Administrador del

sistema o acceso root)
 Procesos de TI en apoyo del sistema (por ejemplo, revisiones de cuentas
de usuario, administración de cambios)
 Procedimientos de copia de seguridad / restauración

La mecánica general de la auditoría consiste en la configuración de muestreo y

archivos de registro, con entrevistas posteriores con personal clave.

Si bien gran parte de la evaluación realizada en una auditoría de sistemas de

información está fuertemente centrada en el entorno de control general de TI para
el sistema dado, se pueden realizar entrevistas con los principales usuarios
primarios o propietarios de información. Se realizaría una investigación sobre la
comunidad de usuarios para determinar la aceptación general del usuario del
sistema y determinar las expectativas de servicio con respecto al sistema.

3
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Bajo el contexto de la definición anterior, nosotros como grupo auditor tenemos

como objetivo general realizar una auditoria especializada a la seguridad de
información del de la central de consultas de INTERBANK en el cumplimiento de
sus propósitos de estabilidad, y cooperación técnica, mediante servicios de
aseguramiento y consulta bajo un enfoque constructivo y de prevención, para
evaluar la eficacia del control interno, la administración de riesgos y el
cumplimiento del marco normativo institucional.

Las revisiones, evaluaciones y estudios especiales que realiza nuestro grupo

auditor, de acuerdo con lineamientos internos aplicables, requieren ser
planificados de manera sistemática a través de planes anuales de auditorías, que
deben ser sometidos a la aprobación de la Junta Directiva del área de TI.

2. Aspectos Generales

2.1. Estructura organizacional

En Interbank, las actividades de tecnologías de información se desarrollan en la

vicepresidencia de operaciones, distribuidas en 4 divisiones: Servicios de TI,
Estrategia Tecnológica, Transformación de Canales, y Control de Gestión y PMO. La
división de Servicios de TI es la encargada de ejecutar las actividades necesarias para
que los aplicativos y operaciones del banco estén siempre activas, y potenciar las
actividades del banco con nuevas tecnologías; además, atienden los distintos
incidentes que puedan surgir en los sistemas del banco, a través de la subgerencia de
Centro de Servicios.

4
 UNIVERSIDAD NACIONAL DE INGENIERÍA

La división de Estrategia Tecnológica, Transformación Retail y Soporte es la

encargada de gestionar los distintos productos digitales y dar tratamiento de la
información de clientes disponible.

La división de Transformación de Canales, Banca Comercial y MDC es la encargada

de gestionar la tecnología detrás de los distintos canales de atención con los que
cuenta el banco.

La división de Control de Gestión y PMO es la encargada de brindar la información

necesaria a las demás divisiones para una mejor toma de decisiones en el ámbito de
TI. Entre sus actividades se encuentra el consolidar la información de los distintos
gastos por consumo de unidades de recursos de TI de las demás divisiones de
operaciones.

DATOS PRINCIPALES:

 NOMBRE: Banco Internacional del Perú

 RUC: 20100053455
 RAZÓN SOCIAL: Banco Internacional Del Perú-INTERBANK
 SECTOR ECONÓMICO DE DESEMPEÑO: Otros tipos de intermediación
monetaria.
 INICIO: 01/05/1897
 ESTADO: Activo
 TIPO: Sociedad Anónima Abierta
 CIIU: 6419
 DIRECCIÓN: Av. Carlos Villaran Nro. 140 Urb. Santa Catalina
 DEPARTAMENTO: Lima
 PROVINCIA: Lima
 DISTRITO: La Victoria
 PAÍS: Perú

MATRIZ DE RIESGOS

PORCENTAJE
PROCESO SUBPROCESO PORCENTAJE DEL
SUBPROCESO

5
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Gestión de backups de la
20%
información de los servidores
Gestión de las políticas de
20%
Seguridad Informática
Aseguramiento para los sistemas
Gestión de operativos en uso para los 20%
33%
Seguridad servidores
Gestión de los requerimientos de
accesos (altas, modificaciones y 20%
bajas de usuarios y perfiles)
Gestión las vulnerabilidades de
20%
los servidores
Plan de seguridad de la red
25%
interna del banco
Plan de actualización de los
sistemas de detección de 25%
intrusos
Gestión de
Plan de seguridad de los canales
redes /
digitales de atención (Banca 33% 25%
Comunicacione
telefónica, Banca por internet)
s
Plan de seguridad de los
servicios cloud del banco
(Correo electrónico, repositorios 25%
de documentos, bases de datos
cloud)
Mantenimiento de arquitectura
33%
de TI
Gestión de Soporte a incidentes de
33% 33%
soporte aplicativos del banco
Soporte a requerimientos y
33%
gestión del cambio

PROGRAMA DE AUDITORÍA

HORAS
OBJETIVO GENERAL OBJETIVO ESPECÍFICO RH
ESTIMADAS

6
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Verificar que la política de

seguridad de la información 0.5h
tenga correspondencia con la
entidad y sus características. FT
Gestión de las políticas de
Seguridad Informática Verificar que la política de
seguridad de la información
tenga correspondencia con la 1.0h
política, reglas, regulaciones y
leyes a la que la entidad está
sujeta FT
Verificación de la atención de
vulnerabilidades en los 0.5h
servidores. VP
Verificar el aseguramiento Verificar que se cuente con la
para los sistemas última versión o la versión más
0.5h
operativos en uso para los estable del software
servidores involucrado. VP
Verificar que se cuente con una
adecuada política de seguridad
1.0h
referente al rol, servicios y
configuración de firewall. VP
Verificar si el plan de
contingencia ha sido
0.5h
formalizado por escrito y
aprobado por la dirección LH
Verificar si la atención de
vulnerabilidades en los
Verificar el plan de servidores se realizó según lo 0.75h
contingencia para las que dicta su plan de
vulnerabilidades de los contingencia LH
servidores Verificar que la justificación de
la inversión garantiza la 2.0h
continuidad de servicios LH
Verificar que el orden de
priorización de actividad según
2.0h
la criticidad de estos sea el
correcto LH

HORAS
OBJETIVO GENERAL OBJETIVO ESPECÍFICO RH
ESTIMADAS
Plan de seguridad de la red Verificar la existencia de un plan
0.5h
interna del banco de seguridad de las redes de CV

7
 UNIVERSIDAD NACIONAL DE INGENIERÍA

internet del banco.

Verificar que la lista de accesos
a la red wincord del banco
3.0h
coincide con la lista de usuarios
de red activos del banco. CV
Verificar que la lista de puertos
activos de la red interna
2.5h
coincida con el plan de
seguridad CV
Verificar la existencia de un plan
de actualización de los sistemas 0.5h
de detección de intrusos. CV
Plan de actualización de
los sistemas de detección Verificar que se cumpla con las
de intrusos actualizaciones de firmas de
ISP en los servidores de red con 1.0h
la frecuencia descrita en el plan
de actualización. CV
Verificar la existencia de un plan
de seguridad de los canales
0.5h
digitales con los que cuenta el
banco. PV
Verificar que se cumplan con los
límites de las operaciones
realizadas por vía telefónica de 1.5h
Plan de seguridad de los
acuerdo al plan de seguridad de
canales digitales de
canales digitales. PV
atención (Banca telefónica,
Verificar que se cumpla con los
Banca por internet)
controles en los sistemas de 1.5h
grabación de llamada. PV
Verificar que se cumpla con las
actualizaciones de seguridad
programadas a la web de banca 0.5h
por internet descritas en el plan
de seguridad CM
Verificar la existencia de un plan
de seguridad para los servicios
0.75h
de la nube contratados por el
banco CM
Verificar que las altas y bajas de
accesos en el directorio activo
Plan de seguridad de los del banco se realicen conforme 1.5h
servicios cloud del banco al plan de seguridad de los
(Correo electrónico, servicios cloud. LH
repositorios de Verificar los accesos
documentos, bases de autorizados a los sitios de
datos cloud) compartición de documentos 1.0h
(Microsoft Sharepoint, One
Drive) LH
Verificar los accesos
autorizados a las base de datos
1.0h
cloud (servicios de Microsoft
Azure y de IBM Cloud)  

8
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Comprobar la ejecución
impecable(tiempo de resolución
y tiempo de respuesta) y 1.5h
segura de las operaciones
tecnológicas CM
Confirmar que los problemas
de procesamiento se identifican
y resuelven completamente y
3.0h
Revisar la adecuada con precisión para mantener la
entrega de Servicios de TI integridad de los datos
financieros CM
Verificar el uso de indicadores
de desempeño al proceso de 1.0h
atención de requerimientos. CM
Verificar la autenticación y
registro de equipos de
1.5h
comunicación a través de la
herramienta ACS. CM
Verificar que la transmisión de
credenciales pase a través de 0.5h
un canal de cifrado CV
Verificar el sistema de Verificar la existencia de un
autentificación sistema de recordatorio o 1.0h
restauración de contraseñas VP
Verificar los factores de
1.5h
autentificación CV
Verificar los accesos del
1.5h
usuario FT
Verificar si existe una
validación adecuada de las
1.0h
entradas procedentes del
Verificar la funcionalidad
cliente FT
del aplicativo
Verificar la lógica de los
2.5h
procedimientos del aplicativo CM
Verificar que la lógica del
aplicativo concuerde con la del 1.5h
negocio CM

3. Informe Final

3.1. Informe Relativo al Examen

3.1.1. Motivo del examen

9
 UNIVERSIDAD NACIONAL DE INGENIERÍA

La auditoría especializada a la Seguridad de la Información (SGSI), se realizara según

la programación anual de auditoria para el periodo correspondiente al año 2017 al
Banco Internacional del Peru S.A.A - Interbank. La revisión consiste en una evaluación
de los de todo los servicios tecnológicos que brinca la Jefatura de Servicios de TI que
está dentro de la Gerencia de Operaciones, a través de diversas técnicas de auditoría
y marcos de control internacionalmente aceptados.

3.1.2. Naturaleza y objetivos

 Naturaleza:

La presente auditoria está enfocada a la Gestión de la Seguridad de la

Información de los servicios que brinda la Gerencia de Operaciones.

 Objetivo General:

Asegurar el cumplimiento de las políticas y procedimientos establecidos por la

organización, en tema, de Seguridad de Información, tomando en
consideración las normas definidas en el ISO 27001.

 Objetivos Específicos:

 Identificar los controles implicados a esta actividad e identificar los riesgos

asociados a estos.
 Verificar que los controles hayan sido desarrollados siguiendo los
lineamientos definidos en las buenas prácticas (ISO 27001) y a los objetivos
de la organización.
 Verificar que los controles hayan sido correctamente implementados.
 Verificar la efectividad de los controles implementados.
 Validar el cumplimiento de las normas de la empresa y el marco legal
asociado a la gestión de la seguridad de la información.

3.1.3. Alcance
El presente trabajo abarca los procesos de planificación, implementación y operación
que comprende un Sistema de Gestión de Seguridad de Información en el área de
servicios de TI. Con la finalidad de verificar el estado en el cual se encuentra la
organización, en materia de seguridad de la información y arquitectura de TI.

3.1.4. Comunicación de observaciones

10
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Todas las observaciones que se identifiquen, durante la auditoria, se presentara a

NOMBRE DEL ENCARGADO (CARGO EN LA ORGANIZACIÓN) mediante un informe
final escrito, el cual proporcionara de manera detallada, las faltas que ha incurrido la
organización y las observaciones descritas por los encargados de la realización de la
auditoria, posterior a la verificación y el análisis de la información recabada
proveniente de la organización auditada.

3.2. Informe Relativo a la Entidad examinada.

3.2.1. Antecedentes y base legal
Banco Internacional del Perú S.A.A. (Interbank Perú) es un banco comercial fundado
en 1897 con oficina corporativa en Lima que ofrece servicios bancarios generales a
particulares, negocios y pymes; de propiedad del grupo peruano Intercorp Financial
Services Inc., un holding financiero con operaciones en seguros, retail, educación,
bienes raíces y finanzas. En 2012, Interbank Perú adquirió las acciones del Banco de
Crédito del Perú en la Compañía de Servicios Conexos Expressnet, tomando la
propiedad completa del único procesador de transacciones de American Express en
Perú. Interbank Perú posee más de 200 sucursales nacionales y filiales en Panamá y
Brasil. En 2017 se aprobó la fusión por absorción de Interbank y Corporación
Inmobiliaria de la Unión 600 S.A.

3.2.2. Relación de las personas comprendidas en las observaciones

Durante la auditoria se entrevistaron a las siguientes personas:
N ÁREA NOMBRE CARGO
° RESPONSABLE
1 Operaciones Cesar Andrade Vicepresidente
2 Operaciones TI Jorge Arce Encargado
3 Servicio de Nalthan Moldauer Encargado
Infraestructura
4 Centro de Servicios Dario Guevara Encargado
5 Servicio de Integración Sandro Reategui Encargado
6 Proyecto DevOps Rosa Ruano Encargado
7 Seguridad de Encargado
Información

11
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3.2.3. Identificación y objetivos del SGSI

La finalidad del SGSI es asegurar y preservar la confidencialidad, integridad y
disponibilidad de la información dentro de los procesos de almacenamiento,
transferencia y procesamiento del negocio. Los procedimientos para garantizar el
cumplimiento de este propósito involucran a todas las áreas de la organización, los
cuales, hacen uso de los sistemas y servicios basados en tecnología de información.

La seguridad de la información, según la ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en
su tratamiento, dentro de la organización. Así pues, estos tres términos constituyen la
base sobre la que se cimiento todo el edificio de la seguridad de la información:

 Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se

debe hacer uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.

3.2.4. Objetivos Específicos del SGSI

 Mitigar los riesgos que puedan causar un daño a la organización.
 Establecer una cultura en seguridad de la información.
 Gestionar los recursos en seguridad de la información de tal manera que se
realice un uso adecuado de los activos de información.
 Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
 Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos
de control identificados, incluyendo la asignación de recursos,
responsabilidades y prioridades.
 Implementar los controles que lleven a los objetivos de control.

12
 UNIVERSIDAD NACIONAL DE INGENIERÍA

 Definir un sistema de métricas que permita obtener resultados reproducibles y

comparables para medir la eficacia de los controles o grupos de controles.
 Procurar programas de formación y concienciación en relación a la seguridad
de la información a todo el personal.
 Gestionar las operaciones del SGSI.
 Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de
la seguridad de la información.
 Implantar procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad.

3.3 Observaciones Resumidas

En cuando al grupo Gestión de las políticas generales de Seguridad Informática,
pudimos corroborar que todas las actividades se realizan con normalidad.

Referente al grupo de Gestión de Respaldo de la Información (Backups), encontramos

deficiencias en la realización de backups para el sistema Oracle EBS, teniendo un 9%
de información que no puede ser leída (Ver Anexo 1, Observación 3).

Para el grupo de Gestión de vulnerabilidades de los servidores del centro de datos,

encontramos una deficiencia en la actividad de planeamiento de la contingencia de las
vulnerabilidades de los mismos, pues se encontró que se ha establecido un estándar
de aseguramiento para el sistema operativo de los servidores virtualizados (Ver Anexo
1, Observación 1).

Con respecto al grupo de Aseguramiento para los Sistemas Operativos de los

Servidores, encontramos una deficiencia en la actividad de análisis y atención de
vulnerabilidades en los servidores que soportan servicios críticos del banco dado que
se encontró que existían parches de seguridad desactualizados y que había servidores
fuera de soporte (Ver Anexo 1, Observación 2)

Con respecto al planeamiento de la seguridad de la red interna del banco,

encontramos una deficiencia en la actividad de registro de usuarios con accesos a la
intranet inalámbrica (llamada red wincord) y privilegios sobre la misma, encontrándose
usuarios con accesos revocados (bajas de usuarios) registrados en la lista de accesos
a la red wincord (Ver Anexo 1, Observación 6).

Con respecto al grupo de Entrega de servicios de TI, se encontró que usuarios con
perfiles con pocos permisos intentan hacer requerimientos que no les compete y luego

13
 UNIVERSIDAD NACIONAL DE INGENIERÍA

ingresaban con las cuentas de otros usuarios, tambien se puede observar que por
temas de procesamiento no se está mostrando la información de manera íntegra en
los reportes que muestra la aplicación. (Ver Anexo 1).

Para el grupo de Gestión de los sistemas de detección de intrusos, no encontramos

deficiencias en las actividades realizadas.

Para el grupo de Gestión de la seguridad de los canales digitales de atención (Banca

telefónica, Banca por internet), pudimos corroborar que todas las actividades se
realizan con normalidad, excepto en la actividad de Gestión de los sistemas de
llamadas telefónicas, en donde se encontró que no se llenaban algunos formatos
menores durante las consultas de información de estados de cuenta para los clientes
del banco.

Con respecto al grupo de Plan de seguridad de los servicios Cloud del banco (Correo
electrónico, repositorios de documentos, bases de datos Cloud), no encontramos
mayores deficiencias en las actividades realizadas.

En cuanto al sistema de autentificación de aplicativos, pudimos corroborar que

actualmente los aplicativos cumplen con los estándares de seguridad deseados.
En cuanto a la funcionalidad de los aplicativos, no se encontraron fallos mayores que
puedan afectar la experiencia por parte del usuario.

3.4 Conclusiones
Se ha observado, luego de la evaluación de la seguridad de la información presenta
un estado positivo en cuanto al reducido número de deficiencias encontradas. Sin
embargo, se ha encontrado 6 debilidades críticas que deben ser subsanadas, las
cuales se enlistan a continuación:

 No se ha establecido un estándar de aseguramiento para el sistema operativo

de los servidores virtualizados.
 El análisis y atención de vulnerabilidades en los servidores que soportan
servicios críticos del Banco, se realizó parcialmente.
 El proceso de generación de las copias de respaldo de la base de datos del
sistema Oracle EBS no asegura la disponibilidad de la información.
 Lentitud de la aplicación ACS al momento de cargar los reportes diarios.
 Aproximadamente el 12% de los equipos de comunicación no fueron
registrados a través de la herramienta AIS.

14
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3.5 Recomendaciones
 Se recomienda mantener el nivel de control que se viene teniendo en el grupo
de Gestión de las políticas generales de Seguridad Informática.
 Se recomienda corregir la deficiencia en la realización de backups para el
sistema Oracle EBS, encontrada en la Gestión de Respaldo de la información
(Backups).
 Se recomienda corregir la deficiencia en el procedimiento de altas y bajas de
usuarios autorizados para la intranet inalámbrica wincord, encontrada en el
grupo Gestión de vulnerabilidades de los servidores del centro de datos.
 Se recomienda corregir la deficiencia en la actualización de parches de
seguridad, encontrada en el grupo de Aseguramiento para los Sistemas
Operativos de los Servidores.
 Se recomienda mantener el nivel de control sobre los aplicativos informáticos a
través de las buenas prácticas y siguiendo los estándares definidos por la
organización.
 Se recomienda hacer una matriz de priorización de atención a los para que los
servicios de TI se den prioritariamente a las áreas con más riesgo y a usuarios
con ciertos perfiles, ello posteriormente podría ser logrado en la lógica de la
aplicación, ello porque se ha tenido casos en que los requerimientos han
pasado sin atención cerca de 23 días que es anormal ya que debería ser
atendido con un máximo de 2 días.

15
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3.6 Observaciones detalladas (según anexo)

Observación 1
Sumilla
No se ha establecido un estándar de aseguramiento para el sistema operativo de los
servidores virtualizados
Condición
El uso de sistema operativo no estándar y otras no conformidades son identificadas en
el área de servidores.
Criterio
En base a la resolución de la Contraloría General Nº320-2006-CG en el punto 3.10,
específicamente en el comentario 5 se detalla: "[…] Controles para el área de soporte
técnico, en el mantenimiento de máquinas (hardware), licencias (software), sistemas
operativos, utilitarios (antivirus) y bases de datos. […]”
Causa
El gerente del Área de Infraestructura y Operaciones de TI reporta que no se tiene un
manual oficial de seguridad acerca de la seguridad de los servidores del banco.
Efecto
Los servidores poseen diferentes versiones de sistemas operativos distintos que
necesitan requerimientos diferentes para su mantención.
Recomendación
Elaborar el manual oficial de seguridad donde se siga un solo lineamiento para el
tratamiento del aseguramiento de los sistemas operativos de los servidores.

Observación 2
Sumilla
El análisis y atención de vulnerabilidades en los servidores que soportan servicios
críticos del Banco, se realizó parcialmente.
Condición
De acuerdo a una muestra de 12 servidores que utilizan Sistema Operativo AIX, se
identificó que los parches de seguridad del 67% de servidores se encontraban
desactualizados, el 25% no se pudo contar con acceso y el 8% de servidores está
fuera de soporte.
Criterio
En base a la resolución de la Contraloría General Nº320-2006-CG en el punto 3.10,
específicamente en el comentario 5 se detalla:

16
 UNIVERSIDAD NACIONAL DE INGENIERÍA

"[…] Controles para el área de soporte técnico, en el mantenimiento de máquinas

(hardware), licencias (software), sistemas operativos, utilitarios (antivirus) y bases de
datos. […]”
Causa
El gerente del Área de Infraestructura y Operaciones de TI reporta que aún no se
completa el plan de actualización de parches.
Efecto
Los servidores en mención se encuentren expuestos a vulnerabilidades frente a
potenciales ataques informáticos.
Recomendación
Se deberá establecer un procedimiento de actualizaciones de seguridad de los
servidores en el cual se definan las responsabilidades, periodicidad de las actividades
y excepciones de ser necesarias.

Observación 3
Sumilla
El proceso de generación de las copias de respaldo de la base de datos del sistema
Oracle EBS no asegura la disponibilidad de la información.
Condición
Al momento de leer las copias de respaldo se verifico que el 9 % de la información no
pudo ser leuda.
Criterio
En base al manual de buenas prácticas Cobit 4.0 en el numeral AI3 Adquirir y
mantener estructura que a la letra dice las organizaciones deben contar con procesos
para adquirir, mantener y proteger la infraestructura de acuerdo a las estrategias
tecnológicas …..
Causa
El gerente del Área derEl 50 % Las copias de respaldo se compraron de manera
apresurada sin previas validaciones y el otro 50% las compro un tercero por lo cual se
desconoce la calidad de los mismos
Efecto
Se perdió la información de algunos clientes que generan activos para el banco y un
20% aproximadamente solicito la anulación de sus tarjetas de crédito
Recomendación
Se deberá establecer un procedimiento de compras de los dispositivos de respaldo
actualizaciones las cuales definan atributos más adecuados para que se pueda
recuperar el 100% de la información

17
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Observación 4
Sumilla
Lentitud de la aplicación ACS al momento de cargar los reportes diarios
Condición
El tiempo de resolución de las operaciones tecnológicas para este periodo sobrepasa
en 24 minutos en promedio respecto a la auditoria previa.

Al momento de realizar un muestreo del tiempo que demoraba el proceso de mostrar

el reporte diario del área de riesgos de banca empresas se puede observar que la
carga de la información se demora 24 minutos mas que en la auditoria del año pasado.
Criterio
En base a la circular Circular  Nº G-139-2009 Controles de seguridad de información en
el Artículo 5°.-“Como parte de su sistema de gestión de la seguridad de información,
las empresas deberán considerar, como mínimo, la implementación de los controles
generales que se indican en el presente artículo… en el punto 5.5. Administración de
las operaciones y comunicaciones que a la letra dice f) Administración de la capacidad
de procesamiento”.
Causa
La aplicación ACS se desplego en el servido GPCCLI1060 el año 2015, este servidor
está a cargo de un servicio tercero el cual es IBM y el servicio está bajo la
responsabilidad del Jefe de Servicios de TI. Además de ello el servidor aloja a otras
aplicaciones por lo que ha disminuido su capacidad de procesamiento debido a los
accesos
Efecto
El personal que trabaja con la aplicación ha señalado su incomodidad debido a que
retrasa el proceso de tomas de decisiones y está optando por usar otras aplicaciones
los cuales son desarrolladas por un nuevo personal los últimos 3 meses, estos
servicios ascendieron a un costo de Sl.15,000.000 aproximadamente.
Recomendación
Se recomienda a la gerencia de Operaciones que por intermedio de la Gerencia de
los Servicios de TI que se dé el cumplimiento a lo que señala la Circular Nº G-139-2009
en el Articulo 5 inciso 5.5 Administración de las operaciones y comunicaciones.

Observación 5
Sumilla
Aproximadamente el 12% de los equipos de comunicación no fueron registrados a
través de la herramienta AIS.
Condición

18
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Al realizar el arqueo de inventario el día 18-05-2017 se pudo comprobar que algunos

equipos de comunicación no se encontraban dentro de los registros de la base de
datos del sistema ACS.
Criterio
En base al manual de buenas prácticas del Banco en el numeral 3 Aplicaciones AIS
inciso c que a la letra dice todo equipo de comunicaciones debe ser registrado en la
aplicación AIS con el fin de mapear y asegurar la continuidad de los procesos que
usan estos equipos.
Causa
Luego de la entrevista que se tuvo con uno de los usuarios encargados de los
registros de los equipos en el sistema, se puedo entender que en ese momento la
aplicación no estaba activa debido a la caída de uno de los servidores que administra
el area
Efecto
Se reportaron casos de fallas de los equipos de comunicaciones y no se brindo la
solución adecuada porque los requerimientos por estas fallar no podían ser registrados
en el sistema debido a que no estaban registrados
Recomendación
Se recomienda a la gerencia de Operaciones que por intermedio del Jefe del
área de Servicios de TI, que se dé el cumplimiento a lo que se indica en el manual de
buenas practica del Banco

Observación 6

Sumilla
Se encontraron usuarios dados de baja en la red cableada del banco activos en la
intranet inalámbrica.
Condición
Al realizar la revisión de la lista de usuarios activos para la intranet inalámbrica del
banco, de fecha 18-05-2018, se hallaron 4 usuarios dados de baja en el directorio
activo del banco para la red cableada, con accesos a la intranet inalámbrica (red wifi),
pues figuraban como activos en la lista de accesos a la intranet inalámbrica.
Criterio
En base al manual de procedimiento de altas y bajas de usuarios genéricos, numeral
4, se lee “los usuarios dados de baja, deben tener accesos revocados en toda intranet
del banco”.
Causa
Luego de realizar las indagaciones con los custodios de las listas de accesos a la
intranet inalámbrica, se detectó que no siempre se da de baja de forma simultánea los
accesos a la red wifi interna para laptops conjuntamente con la revocatoria de accesos

19
 UNIVERSIDAD NACIONAL DE INGENIERÍA

en el directorio de colaboradores de la empresa, y que esta debe ser solicitud del área
encargada de dar de baja a los colaboradores de la entidad. Dicha solicitud se da por
separado a la solicitud de baja de los accesos a la red cableada del banco.
Efecto
Incremento en el riesgo de accesos no autorizados a información sensible del banco,
como base de datos de aplicativos, documentos de las distintas áreas, etc.
Recomendación
Se recomienda reformular los procedimientos de bajas de usuarios, haciendo única la
solicitud al área de servicios de TI de baja de accesos a las distintas redes del banco
(cableadas e inalámbricas).

20