HALLAZGOS CON COBIT

1. Se deben implementar procedimientos actualizados y sistemáticos para la gestión y un plan de

contingencia ante posibles riesgos de los Sistemas de Información

La documentación de los procesos, es una acción muy necesaria para el correcto

funcionamiento del área de TI y por ende de la organización misma, al no existir una
documentación se corre riesgo de perder procesos y que varias áreas de la organización se
queden sin seguimiento. La CAJA SULLANA, tiene documentación manual lo cual se ha venido
guardando en folios, lo que en un principio no está mal, pero podría ser mejorado.

Este problemas genera que no haya un debido seguimiento a la supervisión con los asuntos
relacionados con las operaciones de los recurso del área de TI, se encuentren poco
procedimientos de documentación de evaluaciones de TI y la carencia de un plan de
contingencia ante posibles riesgos que enfrentaría los sistemas de información. En este contexto
el equipo de consultoría

● La supervisión de todos los asuntos relacionados con las operaciones y recursos de TI

(Gestión de TI) solicitados por la Gerencia al Área de Desarrollo de TI son realizadas a
través de un procedimiento manual o con software precarios, que en ocasiones no permite
realizar el seguimiento oportuno de los asuntos.

● Durante el proceso de revisión se descubrió la ausencia de documentación formal, que

describa apropiadamente el plan de evaluaciones de proyectos, especificando más en los
puntos de planeación, seguimiento y control que podrían afectar la puesta en producción de
dichos proyectos.

● Durante nuestra revisión se apreció la ausencia de un plan de contingencia ante posibles

riesgos de los Sistemas de Información, su implementación es necesaria, pues de no
hacerse, los riesgos se convertirían en problemas. Se observó que algunos sistemas se
encuentran en riesgo de colapsar y que podrían generar un fallo en el funcionamiento y la
pérdida de dinero y tiempo para la organización.

De lo mencionado anteriormente se puede corregir que existe un riesgo bastante alto de que los
servicios de CAJA SULLANA puedan presentar interrupciones en la prestación de sus servicios,
debido a que no se cuenta con una documentación que le permita desarrollar e implementar
procedimientos actualizados para el manejo de los recursos informáticos de la organización.

Recomendación:

Se recomienda a la CAJA SULLANA, realizar las siguientes acciones:

● Los pasos para la realización de los procedimientos de la supervisión de las

operaciones y recursos de ti no deben hacerse de forma manual, se debe buscar las
mejoras continuas, estos procesos deben hacerse de forma presencial y luego recién
documentarse para poder así corroborar que todo el funcionamiento de las operaciones
y recursos estén marchando en perfecto estado.
● Las documentaciones en la realización de los proyectos de ti forman una parte muy
importante en su construcción, debido a que en ellos podemos ver el orden que se
realizó para esta construcción de ti.
● Se deben buscar capacitaciones constantes y actualizadas sobre temas de gestión de
proyectos y elaboración de ti, para mantener siempre un perfecto conocimiento en estos
temas y no volver a fallar en la elaboración de los documentos de proyectos de ti.
2. Revaluación del diseño existente de la base de datos y procedimientos de seguridad del SGSI.

Según lo señalado en la ISO 27001 se debe establecer una política de control de acceso con un
mínimo de 14 controles implementados para poder mantener la información protegida de
usuarios no pertenecientes a la organización, estos controles pueden ser ubicados en la norma
ISO 27002 la cual detalla a profundidad cada uno de los controles posibles a ser implementados,
tanto así como dando la libertad de que estos sean adaptados y/o modificados con el fin de
poderse adecuar al completo al objetivo dentro del mismo.

Debido a lo anteriormente expuesto, es necesario señalar que estos controles al ser mal
implementados pueden ocasionar brechas en la seguridad no solo de un programa/ software,
sino una brecha en la seguridad de la información de toda una organización como lo es la CAJA
SULLANA, la cual cuenta no solo con información base de usuarios pertenecientes a esta
organización, tanto así como datos sensibles acerca de estos; y, debido a la importancia que
significa la confidencialidad de estos datos, el equipo de consultoría ejecutó un análisis
exhaustivo llegando a encontrarse y reconocerse las siguientes situaciones:

● Realizando las evaluaciones de las operaciones de TI, se descubrió una falta de

seguridad en el registro y validación de usuarios a la base de datos, ocasionando
como principal punto, vulnerabilidades y por su ineficiente validación, conflictos en el
funcionamiento del sistema y posibles pérdidas de información:

○ El tiempo de respuesta promedio de validación de usuario se acerca y llega a ser

el límite del tiempo de respuesta predeterminado.
○ El tiempo de la sesión es muy corta, ocasionando múltiples interrupciones en la
ejecución de los procedimientos predeterminados del sistema para cada usuario

● En el transcurso de nuestra evaluación se encontró que los usuarios dentro del SGSI se
encontraban todos con permisos altamente escalables, representando esto una falla
crítica en la seguridad de la información debido a la facilidad que pudiese en el
supuesto un usuario con el grado de invitado, escalar permisos hasta poder ser
administrador, al igual que la verificación de acceso físico, no se cuenta actualmente
con un sistema funcional de validación digital de tarjetas de acceso, el cual se encontró
que estaba en estado de “mantenimiento” durante el transcurso de la auditoría,
haciendo que los “usuarios” ingresen a las instalaciones mediante verificación
netamente visual de las credenciales

○ Se encontró que los usuarios comunes que pudiesen tener algún conocimiento
regular acerca de programación podrían escalar permisos, de manera horizontal,
ya que las funciones dentro del SGSI no estaban reguladas correctamente, siendo
el mismo caso con la escalada vertical de permisos de usuario.

Por el momento, el SGSI y los software con identificación de usuarios, se han llegado a detectar
pequeños fallos debido a la clase de operaciones ejecutadas dentro de la sucursal que no siendo
muchas, no llegan a ocasionar una caída del sistema, y la validación se hace presente para
evitar que el tiempo de sesión se termine antes de una operación, debido también al lapso entre
operaciones, aunque no han llegado a experimentar, la escalabilidad de los permisos de ninguna
 manera, esto, incluyendo la web de la CAJA SULLANA, siendo lo anteriormente mencionado
pruebas de lo que podría ocurrir.

La gestión proactiva de los problemas le serviría a CAJA SULLANA para mejorar sus indicadores
de atención y disponibilidad, además de reducir los riesgos que atenten contra la continuidad del
negocio al identificar tendencias o problemas significativos.

Recomendación:

Se recomienda a la CAJA SULLANA evaluar la adopción de las siguientes prácticas:

● Utilización de middlewares para la verificación previa de los usuarios antes de la ejecución

de una función .

● Reestructuración de la base de datos para una mejor performance en la validación de los

usuarios.

● Instalación de un identificador biométrico para la identificación del personal, creando así una
validación de doble factor físico, credencial y biometría.

Identificar y proponer las soluciones permanentes identificando la causa raíz, y gestionar solicitudes
de cambio a través de los procesos de gestión de cambios establecidos.

3. Fortalecer el sistema de la calidad que comprende el Análisis, Diseño y Desarrollo de Software

de la Caja Sullana

El alcance del Sistema de Gestión de la Calidad comprende el “Análisis, Diseño y Desarrollo de

Software de la Caja Sullana para la realización de los trámites electrónicos de los administrados
y su evaluación por las entidades de control de la Caja Sullana”.

Servicio de Diseño, desarrollo e Implementación de procedimientos de entidades o sus

modificaciones a la plataforma tecnológica

La DVUCEPT planifica la realización del producto mediante la identificación y desarrollo de los

macroprocesos necesarios para su realización (Dirección, Gestión de la Calidad, Análisis, Diseño
y Desarrollo de Software, Gestión de Operaciones, Gestión Administrativa), identificando su
interacción de procesos de la CAJA SULLANA y su documentación descrita en el “Manual de
Procesos y Procedimientos” de CAJA SULLANA.

Por lo expuesto anteriormente, se ha identificado unas oportunidades de mejoras que se detallan

a continuación:

- Ampliar los escenarios de pruebas para garantizar mejor los pases a producción; se ha
identificado que las pruebas son realizadas en un nivel de pruebas unitarias, además de las
pruebas funcionales, sin embargo, para fortalecer el esquema de pruebas debería realizarse
pruebas integrales, pruebas de regresión etc. con la finalidad de fortalecer el proceso de
pruebas y reducir el riesgo a la hora de liberar un cambio en producción.

- Se ha identificado que se cuenta con Excel de Prioridades que lo mantiene el equipo de

análisis, La idea del Excel de “Prioridades” es tener la visión general y el orden de trabajo de
todos los procesos no solo lo debe utilizar el equipo de análisis, debería ser para todos y así
 tener una solo visión y un mismo horizonte, y a su vez también transparentar todos los
requerimientos que están atendiendo como DVUCEPT. En ese mismo orden de ideas la
toma de requerimientos y todos los procesos del CVDS1 deben seguir las “Prioridades”, pero
se aprecia que en algunos procesos no se comunican los cambios que tienen en
prioridades, y/o no comunican la labor que están realizando. Este Excel solo lo mantiene el
equipo de análisis y en ocasiones cuando desarrollo tiene una nueva tarea que prioriza no
se aprecia que exista la comunicación y por ende el equipo de análisis no conoce de esos
cambios y se entera cuando ya pasó a producción y salieron tickets.

- En los diferentes formatos que se utilizan para el ciclo de vida se aprecia que el equipo de
análisis cuenta con un análisis de riesgos establecido en su formato, sin embargo, en el
proceso tanto de Desarrollo, pruebas, y liberación a producción debe tener establecidos un
análisis de dicho cambio pues son distintas a considerar en cada proceso.

- Se pudo identificar que existen cambios de urgencia o de emergencia que no han pasado
formalmente por el proceso formal que se efectúa para el ciclo de vida de los cambios o
mejoras, dicha situación se puede detectar cuando se liberó la producción y se solicita la
actualización de los formatos correspondientes, pero requiere su formalización.

De las oportunidades de mejoras, podemos decir que no se alinea con la Norma Técnica
Peruana NTP-ISO/IEC 12207:2016 Ingeniera de Software y sistemas. Procesos del ciclo de vida
del Software 3era Edición, aprobada mediante Resolución Ministerial Nº 013-2016-INACAL/DN,
el 27 febrero 2017”, en el punto 6. Procesos de Apoyo del Ciclo de Vida, apartado 6.3. “Proceso
de Aseguramiento de la Calidad” menciona que: ‘El proceso de aseguramiento de la calidad es
un proceso para proporcionar la seguridad apropiada de que los productos y procesos software
del ciclo de vida del proyecto son conformes con sus requerimientos especificados y se adhieren
a los planes establecidos. Para ser imparcial, el aseguramiento de la calidad necesita libertad
organizativa y autoridad respecto a las personas directamente responsables del desarrollo del
producto software o, que ejecutan el proceso del proyecto.’

Del mismo modo, lo expresado anteriormente no se alinea al El Código de Buenas Prácticas

para la Gestión de la Seguridad de la Información, ISO 27002:2013, En el Capítulo
“Procedimientos de control de cambios del sistema”, dice “Los cambios a los sistemas dentro
del ciclo de vida de desarrollo se deberían controlar mediante el uso de procedimientos de
control de cambios formales”, además Los procedimientos de control de cambios formales se
deberían documentar para garantizar la integridad del sistema, las aplicaciones y productos,
desde las primeras etapas del diseño a través de todos los esfuerzos de mantenimiento
posteriores. La introducción de nuevos sistemas y cambios importantes a los sistemas existentes
debería seguir un proceso formal de documentación, especificación, pruebas, control de calidad
e implementación administrada. El proceso debería incluir una evaluación de riesgos, un análisis
de los impactos de los cambios y la especificación de los controles de seguridad necesarios.
Este proceso además de garantizar que no se vean comprometidos los procedimientos de
seguridad y control, que los programadores de soporte cuenten con acceso solo para las partes
del sistema necesarias para su trabajo y que se obtenga el acuerdo y la aprobación formal para
cualquier cambio.

Donde sea factible, se deberían integrar los procedimientos de control de cambios de aplicación
y operacionales. Los procedimientos de control de cambios deberían incluir, pero sin limitarse a:

a. Mantenimiento de un registro de niveles de autorización acordados;

b. Garantizar que los cambios los emiten los usuarios autorizados;

1
CVDS Ciclo de Vida del Software
 c. Revisar los procedimientos de control e integridad para garantizar que no se verán
comprometidos por los cambios;
d. Identificación de todo el software, la información, las entidades de la base de datos y el
hardware que requiere modificaciones;
e. Identificación y verificación del código crítico de seguridad para minimizar la
probabilidad de debilidad de seguridad conocidas; obtención de una aprobación formal
para las propuestas detalladas antes de que comience el trabajo;
f. Asegurarse de que los usuarios autorizados acepten los cambios antes de la
implementación;

Así mismo, dicha oportunidad de mejora no se alinea con la Norma de Control Interno, aprobada
mediante Resolución de Contraloría General N° 320-2006-CG de 206.10.30, en el numeral
II.5.1.1. Prevención y Monitoreo de las Normas Básicas para las actividades de Prevención y
Monitoreo que forma parte de las Normas Generales de Control Interno, señala lo siguiente: “El
monitoreo de los procesos y operaciones de la entidad debe permitir conocer oportunamente si
éstos se realizan de forma adecuada para el logro de sus objetivos y si en el desempeño de las
funciones asignadas se adoptan las acciones de prevención, cumplimiento y corrección
necesarias para garantizar la idoneidad y calidad de los mismos”.

Del mismo modo, como práctica generalmente aplicable y aceptada de control y administración
en Tecnologías de Información, la dirección correspondiente deberá definir e implementar
estándares de sistemas de información y adoptar una metodología del ciclo de vida de desarrollo
de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de
sistemas de información computarizados y tecnología afín. La metodología del ciclo de vida de
desarrollo de sistemas elegida deberá ser la apropiada para los sistemas a ser desarrollados,
adquiridos, implementados y mantenidos. Asimismo, se deberá definir procedimientos
destinados a evaluar el aseguramiento de la calidad sobre el cumplimiento de Estándares de
Desarrollo.

De las oportunidades de mejoras identificadas en el proceso del ciclo de vida desarrollo de

sistemas, podemos apreciar que es un riesgo potencial ya que se podría ingresar a producción
cambios y/o mejoras sin las fortalezas necesarias, como las pruebas integrales, documentación
de requeridos que garanticen su correcto funcionamiento en producción.

Recomendación

Se recomienda a la Dirección de la Ventana Única de Comercio Exterior y Plataformas

Tecnológicas que realice las siguientes acciones:

● Acceso de Usuarios capacitados y evaluados que tengan privilegios a la infraestructura

●
● Disponer que en los diferentes procesos del ciclo de vida definan sus riesgos como medida
de garantizar y fortalecer la liberación de los cambios en producción.
● Disponer la creación de un procedimiento, cambios de urgencia o de emergencia que no
han pasado formalmente por el proceso formal para ello en el ANEXO 1 se propone un
ejemplo para su evaluación y adopción.