Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Este problemas genera que no haya un debido seguimiento a la supervisión con los asuntos
relacionados con las operaciones de los recurso del área de TI, se encuentren poco
procedimientos de documentación de evaluaciones de TI y la carencia de un plan de
contingencia ante posibles riesgos que enfrentaría los sistemas de información. En este contexto
el equipo de consultoría
De lo mencionado anteriormente se puede corregir que existe un riesgo bastante alto de que los
servicios de CAJA SULLANA puedan presentar interrupciones en la prestación de sus servicios,
debido a que no se cuenta con una documentación que le permita desarrollar e implementar
procedimientos actualizados para el manejo de los recursos informáticos de la organización.
Recomendación:
Según lo señalado en la ISO 27001 se debe establecer una política de control de acceso con un
mínimo de 14 controles implementados para poder mantener la información protegida de
usuarios no pertenecientes a la organización, estos controles pueden ser ubicados en la norma
ISO 27002 la cual detalla a profundidad cada uno de los controles posibles a ser implementados,
tanto así como dando la libertad de que estos sean adaptados y/o modificados con el fin de
poderse adecuar al completo al objetivo dentro del mismo.
Debido a lo anteriormente expuesto, es necesario señalar que estos controles al ser mal
implementados pueden ocasionar brechas en la seguridad no solo de un programa/ software,
sino una brecha en la seguridad de la información de toda una organización como lo es la CAJA
SULLANA, la cual cuenta no solo con información base de usuarios pertenecientes a esta
organización, tanto así como datos sensibles acerca de estos; y, debido a la importancia que
significa la confidencialidad de estos datos, el equipo de consultoría ejecutó un análisis
exhaustivo llegando a encontrarse y reconocerse las siguientes situaciones:
● En el transcurso de nuestra evaluación se encontró que los usuarios dentro del SGSI se
encontraban todos con permisos altamente escalables, representando esto una falla
crítica en la seguridad de la información debido a la facilidad que pudiese en el
supuesto un usuario con el grado de invitado, escalar permisos hasta poder ser
administrador, al igual que la verificación de acceso físico, no se cuenta actualmente
con un sistema funcional de validación digital de tarjetas de acceso, el cual se encontró
que estaba en estado de “mantenimiento” durante el transcurso de la auditoría,
haciendo que los “usuarios” ingresen a las instalaciones mediante verificación
netamente visual de las credenciales
○ Se encontró que los usuarios comunes que pudiesen tener algún conocimiento
regular acerca de programación podrían escalar permisos, de manera horizontal,
ya que las funciones dentro del SGSI no estaban reguladas correctamente, siendo
el mismo caso con la escalada vertical de permisos de usuario.
Por el momento, el SGSI y los software con identificación de usuarios, se han llegado a detectar
pequeños fallos debido a la clase de operaciones ejecutadas dentro de la sucursal que no siendo
muchas, no llegan a ocasionar una caída del sistema, y la validación se hace presente para
evitar que el tiempo de sesión se termine antes de una operación, debido también al lapso entre
operaciones, aunque no han llegado a experimentar, la escalabilidad de los permisos de ninguna
manera, esto, incluyendo la web de la CAJA SULLANA, siendo lo anteriormente mencionado
pruebas de lo que podría ocurrir.
La gestión proactiva de los problemas le serviría a CAJA SULLANA para mejorar sus indicadores
de atención y disponibilidad, además de reducir los riesgos que atenten contra la continuidad del
negocio al identificar tendencias o problemas significativos.
Recomendación:
● Instalación de un identificador biométrico para la identificación del personal, creando así una
validación de doble factor físico, credencial y biometría.
Identificar y proponer las soluciones permanentes identificando la causa raíz, y gestionar solicitudes
de cambio a través de los procesos de gestión de cambios establecidos.
- Ampliar los escenarios de pruebas para garantizar mejor los pases a producción; se ha
identificado que las pruebas son realizadas en un nivel de pruebas unitarias, además de las
pruebas funcionales, sin embargo, para fortalecer el esquema de pruebas debería realizarse
pruebas integrales, pruebas de regresión etc. con la finalidad de fortalecer el proceso de
pruebas y reducir el riesgo a la hora de liberar un cambio en producción.
- En los diferentes formatos que se utilizan para el ciclo de vida se aprecia que el equipo de
análisis cuenta con un análisis de riesgos establecido en su formato, sin embargo, en el
proceso tanto de Desarrollo, pruebas, y liberación a producción debe tener establecidos un
análisis de dicho cambio pues son distintas a considerar en cada proceso.
- Se pudo identificar que existen cambios de urgencia o de emergencia que no han pasado
formalmente por el proceso formal que se efectúa para el ciclo de vida de los cambios o
mejoras, dicha situación se puede detectar cuando se liberó la producción y se solicita la
actualización de los formatos correspondientes, pero requiere su formalización.
De las oportunidades de mejoras, podemos decir que no se alinea con la Norma Técnica
Peruana NTP-ISO/IEC 12207:2016 Ingeniera de Software y sistemas. Procesos del ciclo de vida
del Software 3era Edición, aprobada mediante Resolución Ministerial Nº 013-2016-INACAL/DN,
el 27 febrero 2017”, en el punto 6. Procesos de Apoyo del Ciclo de Vida, apartado 6.3. “Proceso
de Aseguramiento de la Calidad” menciona que: ‘El proceso de aseguramiento de la calidad es
un proceso para proporcionar la seguridad apropiada de que los productos y procesos software
del ciclo de vida del proyecto son conformes con sus requerimientos especificados y se adhieren
a los planes establecidos. Para ser imparcial, el aseguramiento de la calidad necesita libertad
organizativa y autoridad respecto a las personas directamente responsables del desarrollo del
producto software o, que ejecutan el proceso del proyecto.’
Donde sea factible, se deberían integrar los procedimientos de control de cambios de aplicación
y operacionales. Los procedimientos de control de cambios deberían incluir, pero sin limitarse a:
1
CVDS Ciclo de Vida del Software
c. Revisar los procedimientos de control e integridad para garantizar que no se verán
comprometidos por los cambios;
d. Identificación de todo el software, la información, las entidades de la base de datos y el
hardware que requiere modificaciones;
e. Identificación y verificación del código crítico de seguridad para minimizar la
probabilidad de debilidad de seguridad conocidas; obtención de una aprobación formal
para las propuestas detalladas antes de que comience el trabajo;
f. Asegurarse de que los usuarios autorizados acepten los cambios antes de la
implementación;
Así mismo, dicha oportunidad de mejora no se alinea con la Norma de Control Interno, aprobada
mediante Resolución de Contraloría General N° 320-2006-CG de 206.10.30, en el numeral
II.5.1.1. Prevención y Monitoreo de las Normas Básicas para las actividades de Prevención y
Monitoreo que forma parte de las Normas Generales de Control Interno, señala lo siguiente: “El
monitoreo de los procesos y operaciones de la entidad debe permitir conocer oportunamente si
éstos se realizan de forma adecuada para el logro de sus objetivos y si en el desempeño de las
funciones asignadas se adoptan las acciones de prevención, cumplimiento y corrección
necesarias para garantizar la idoneidad y calidad de los mismos”.
Del mismo modo, como práctica generalmente aplicable y aceptada de control y administración
en Tecnologías de Información, la dirección correspondiente deberá definir e implementar
estándares de sistemas de información y adoptar una metodología del ciclo de vida de desarrollo
de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de
sistemas de información computarizados y tecnología afín. La metodología del ciclo de vida de
desarrollo de sistemas elegida deberá ser la apropiada para los sistemas a ser desarrollados,
adquiridos, implementados y mantenidos. Asimismo, se deberá definir procedimientos
destinados a evaluar el aseguramiento de la calidad sobre el cumplimiento de Estándares de
Desarrollo.
Recomendación