INFORMATICA

Cooperativa de Ahorro y Crédito

Cámara de Comercio de Ambato Cía.
Ltda.

Evaluación de Controles Generales

en Tecnologías de Información

AGOSTO 2019

Quito, 19 de Agosto 2019

Doctora

Alexandra Córdova, Auditoría Interna

Cooperativa de Ahorro y Crédito Cámara de Comercio de Ambato Cía. Ltda.

Ambato, Ecuador

Estimada Doctora Alexandra Córdova:

 Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
De acuerdo a su requerimiento se ha procedido a realizar la evaluación de controles generales
de tecnologías de información implementados en el departamento de sistemas de la institución,
adicionalmente se ha realizado el seguimiento a las observaciones y recomendaciones del
informe de Auditoría realizado por la SEPS como de la Auditoría Externa en lo relacionado a las
Tecnologías de Información. Nuestra revisión no necesariamente reveló todos los aspectos que
podrían calificarse como debilidades importantes relacionadas con los sistemas informáticos. Sin
embargo, no observamos deficiencias significativas en el diseño u operaciones del área de
sistemas, las cuales puedan llegar a paralizar las actividades normales de la institución.

Adicionalmente, hemos incluido nuestros comentarios en relación con ciertos asuntos

operativos y administrativos del área de Tecnologías de Información, con sus respectivas
recomendaciones. Dichas recomendaciones surgen de las observaciones realizadas en el proceso
de nuestra evaluación y de nuestro entendimiento de los objetivos estratégicos de la institución.

Atentamente,

Informático, CISA

INDICE
l. OBJETIVOS Y ALCANCE DEL TRABAJO

ll. SEGUIMIENTO A LAS OBSERVACIONES Y RECOMENDACIONES DEL INFORME DE

AUDITORíA DE LA SEPS Y AUDITORíA EXTERNA EN LO RELACIONADO A LAS
TECNOLOGíAS DE INFORMACIÓN

INFORME SEPS
1. Procedimientos del área de Tecnología de la Información
 Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
2. Respaldo de base de datos
3. Procedimiento de traslado de respaldos de información sitio seguro
4. Comité de Tl
5. Seguridades físicas del Data Center
10
6.Manual de contingencias y continuidad del negocio
11
7.Sitio alterno de respaldo
12

INFORME AUDITORIA EXTERNA

8.Manual de Seguridad de Información
14
9.Oficial de Seguridad de Información (OSI)
15

III. OBSERVACIONES Y RECOMENDACIONES A ENERO 2019 15

1. Licencias de software
15
2. Mantenimiento preventivo y correctivo equipos de computación
16
3. Procedimiento de respaldos y restauración de información
17
4.Análisis de vulnerabilidades infraestructura tecnológica

18
l. OBJETIVOS Y ALCANCE DEL TRABAJO
Realizar el seguimiento de las observaciones y recomendaciones emitidas en el
Informe de Auditoria de la SEPS y de Auditoría Externa en lo relacionado a las
Tecnologías de Información, con la finalidad de determinar el nivel o grado de
cumplimiento de las recomendaciones presentadas.
El propósito del trabajo, consistirá en realizar el diagnóstico y evaluación del
departamento de Tecnología de Información, en lo relacionado a su organización,
planificación y administración del área, el grado o nivel de aplicación de las políticas,
procedimientos y controles establecidos en el área de Tecnologías de Información,
la
razonabilidad en las seguridades tanto físicas como lógicas implementadas, la
administración y mantenimiento tanto de los recursos informáticos como de las
distintas aplicaciones automatizadas que se encuentran en funcionamiento en la
institución.
 Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
Evaluar la arquitectura tecnológica, organización del área de sistemas, nivel de
planificación, gestión de la mesa de servicios, gestión de cambios y soporte a
usuarios que el departamento de sistemas ofrece tanto a la institución como a las
áreas usuarias.
Identificar posibles debilidades y riesgos existentes en cuanto a la seguridad y
mantenimiento de la información.

Alcance

Las tareas a realizar dentro del marco de este proyecto incluyeron:

Realizamos un diagnóstico inicial mediante cuestionarios dirigidos al responsable de

Sistemas.

Nos entrevistamos con el personal responsable de la administración de los sistemas o

aplicaciones que se encuentran operando en la empresa.

Revisamos la documentación de las políticas, procedimientos y sistemas presentados

por los funcionarios de la empresa.

Revisamos y validamos la información entregada por el personal de Sistemas, en

aspectos tales como administración de cuentas de usuario, gestión de cambios,
soporte y asistencia técnica a usuarios, políticas y procedimientos de las actividades
efectuadas por el departamento de Tecnología.

Realizamos una inspección física del centro de cómputo tanto de la oficina Matriz
como del sitio alterno e identificamos las medidas de seguridad existentes.

4
ll. SEGUIMIENTO A LAS OBSERVACIONES Y RECOMENDACIONES DEL INFORME DE
AUDITORÍA DE LA SEPS Y AUDITORÍA EXTERNA EN LO RELACIONADO A LAS
TECNOLOGíAS DE INFORMACIÓN

Estado de
Cumplimiento
Cumplido La recomendación ha sido totalmente implementada
En Proceso Las actividades o procedimientos necesarios para la
implementación de la recomendación se encuentran en
 Cooperativa de Ahorro y
Crédito Cámara de Comercio de
Ambato Cía. Ltda.
ejecución según los plazos establecidos.
Parcial La implementación de la recomendación se encuentra
realizada en forma parcial.
Pendiente Las actividades o procedimientos necesarios para la
implementación de la recomendación se encuentran
pendientes de ejecución, o no se han realizado a la fecha
de la revisión.
De acuerdo a la revisión realizada con el propósito de determinar el grado de
cumplimiento de las observaciones y recomendaciones presentadas en los últimos
informes de Auditoría de la SEPS y de Auditoría Externa en lo relacionado a las
Tecnologías de Información, lo cual ha sido realizado considerando los siguientes
criterios:

5
툴 $흘 2 旨
은 `S 경 8
 Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
OBSERVACIONES Y RECOMENDACIONES A ENERO 2019

De acuerdo con la revisión realizada en cuanto a los controles de tecnología de

información hemos identificado las siguientes observaciones las cuales detallamos a
continuación, en las cuales hemos incluido las recomendaciones correspondientes con la
finalidad de que sean consideradas y que mediante la aplicación de las mismas se
complemente o mejore las actividades propias del área de tecnologías de información.

1. Licencias de software

Riesgo: Alto Esfuerzo de implementación: Medio

De acuerdo a la revisión realizada en relación con el licenciamiento del software instalado

en la institución, en base al inventario de equipos proporcionado los de equipos existentes
en la cooperativa, se resumen en el siguiente cuadro:
Resumen de Inventario de Equipos
Tipo de Equipo
ALL ONE PCCLON LAPTO Total
BAÑOS 5 1 6

CENTRO FINANCIERO 65 8 5 78
GUARANDA 3 3

GUAYAQUIL 5 1 6

LATACUNGA 4 4

MATRIZ 34 3 37

PELILEO 6 1 7

PILLARO 5 5

PUYO 4 4

QUITO NORTE 4 4

SAN RAFAEL 4 4

otal Equipos 5 158

Según se nos ha indicado las trece licencias de software adquiridas de Microsoft Office se
tiene instalado en áreas como Contabilidad, Auditoría y ciertas Direcciones y Jefaturas de
área y agencias, que por sus funciones lo requieren para poder trabajar adecuadamente. El
resto de equipos se tiene instalado Libre Office.

Efecto
 Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
La situación antes descrita podría ocasionar que la institución incurra en gastos, debido a la
imposición del pago de fuertes multas por parte de los entes reguladores por no contar con
el software totalmente licenciado.

Recomendación

Con la finalidad de evitar la situación antes descrita, recomendamos agilitar y priorizar la

adquisición de las licencias de Microsoft Office faltantes, para lo cual, sugerimos realizar la
actualización del inventario de software instalado, con el propósito de determinar lo
siguiente:

Número de licencias requeridas para cada tipo de software, considerar tanto estaciones
de trabajo como servidores instalados.

15
Requerimientos específicos de software para las áreas usuarias de acuerdo a sus
necesidades de trabajo para la adquisición de software correspondiente.

Estas medidas en primera instancia permitirán actualizar y estandarizar el software que

posee la cooperativa y se evitará el pago de sanciones económicas innecesarias por no contar
con el software totalmente licenciado.

2. Mantenimiento preventivo y correctivo equipos de computación

Riesgo: Medio Esfuerzo de implementación: Medio

De acuerdo a la revisión realizada se cuenta con el procedimiento para el mantenimiento

preventivo de equipos de computación, según se nos ha proporcionado la información
sobre los mantenimientos preventivos realizados se resumen en el siguiente cuadro:
Mantenimiento Empresa

MegaCore
Servidores 17 de Enero del 2019
Soluciones Inbgrales

UPS 28 de Marzo del 2017 SisbmTronic

Sistema de Exfnción de Incendios Adquirido en el año 2018

Aire Acondicionado Adquirido en el año 2018
Equipos Cómputo Año 2017 Inbrno
Por lo que podemos observar tanto el mantenimiento de los UPS como de los equipos de
computación corresponde al año 2017, en consecuencia durante el año 2018 no se han
realizado.

Efecto

La falta tanto de una planificación del mantenimiento preventivo y/o correctivo, no permite
llevar un adecuado control y administración de su aplicación, de los resultados obtenidos
 Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
producto del mantenimiento realizado de tal manera que permita garantizar o asegurar la
disponibilidad y operación óptima de la infraestructura tecnológica implementada en la
empresa.

Recomendación

Tomando en cuenta la situación descrita recomendamos planificar la realización del

mantenimiento preventivo tanto de los equipos de computación como de los eauioos de
protección de energía UPS para lo cual sugerimos considerar los siguientes puntos de
enfoque ya sea que el mantenimiento se lo realiza por personal interno como externo:

• Determinar el tipo de mantenimiento que se debe efectuar.

Determinar la periodicidad del mantenimiento.

• Realizar una solicitud de servicio, convenio o contrato según el monto del trabajo a
realizar por parte del proveedor.
• Seleccionar el proveedor adecuado de acuerdo a tipo de mantenimiento, experiencia,
historial de servicio y precio por el trabajo realizado.

16
Calificar al proveedor o verificar en su defecto que se encuentre calificado.

• Realizar un cronograma o la planificación del trabajo a realizarse de manera coordinada

con las oficinas operativas y proveedor.
Identificar y mantener un registro de los equipos efecto del mantenimiento, con el detalle
de las actividades o trabajo realizado.

Una vez se haya culminado con el trabajo realizar un informe a la Gerencia General del
trabajo o servicio, antecedentes, objetivo y cumplimiento.

3. Procedimiento de respaldos y restauración de información

Riesgo: Medio Esfuerzo de implementación: Medio

Según la información proporcionada, en relación con los procedimientos de los respaldos de

información consideramos que los relacionados con las bases de datos del sistema
financiero FIT COOP son realizados adecuadamente, Sin embargo, en las siguientes áreas de
información hemos observado que:

No se realizan respaldos de la información relacionada con los correos electrónicos de las

cuentas de los usuarios.
El servidor de almacenamiento Storage NAS Synology en el cual se mantiene los
respaldos de información de las áreas usuarias, según los informes técnicos de los
proveedores está presentando problemas críticos en su configuración física de los
volúmenes, lo cual conlleva el riesgo de perder la información almacenada en los
mismos.
Según se nos ha indicado se realiza los respaldos de la configuración de los servidores
más críticos sin embargo no se mantiene una bitácora de control de los mismos.
 Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
Efecto

La falta de obtención de los respaldos de información de los correos electrónicos podría

ocasionar, que ante la eventualidad de presentarse algún tipo de siniestro a nivel de
servidores de correos o de mayor magnitud, no se cuente con dicha información la cual
actualmente es de vital importancia para la institución, de igual manera en lo relacionado
con la información de las áreas usuarias.

Recomendación

Según la información proporcionada en cuanto a los procedimientos de respaldos de

información actualmente se cuenta con el Procedimiento de generación y restauración de
respaldo de servidores como con el Procedimiento de generación y restauración de respaldo
de servidor de correo electrónico, por lo cual se recomienda planificar en forma regular la
aplicación de los mismos y mantener las bitácoras de control de su ejecución.

En cuanto a los respaldos de la información de las áreas usuarias, y considerando los

problemas que está presentando el equipo actual de almacenamiento, tanto la garantía
como la vida útil del mismo ya se ha cumplido tanto del equipo como de los discos que lo
conforman, se recomienda adquirir un nuevo equipo de almacenamiento NAS Storage de
mayor capacidad y rendimiento (tomar en cuenta la capacidad de almacenamiento
proyectada a unos 5 años como mínimo), y configurarlo para que desde su
implementación en producción se proceda a almacenar la información de las áreas
usuarias en base a la depuración indicada en el punto anterior.

1
4. Análisis de vulnerabilidades infraestructura tecnológica
Riesgo: Medio Esfuerzo de implementación: Medio

Según se nos informó con fecha 21 de diciembre del año 2018 se ha presentado el informe
sobre el análisis de vulnerabilidades realizado sobre la plataforma de infraestructura
tecnológica implementada en la cooperativa, este tipo de evaluaciones tienen como
objetivo identificar las debilidades de los activos críticos de la información, determinar los
mecanismos que se debieran aplicar para mitigar los riesgos a los que se encuentran
expuestos dichos activos. De acuerdo a lo informado por la Jefatura de Sistemas se han
aplicado las medidas correctivas sugeridas en el informe en la media de lo posible a las
vulnerabilidades identificadas como críticas, cuyo estado es el siguiente:
ACTIVO VULNERABILIDAD CRITICIDAD
VULNERABILIDADES EXTERNAS

186.3.60.165 Sitio vulnerable a Inyección SQL CRÍTICA Corresponde al servidor de MFILE, es imposible
aplicar cambios a este programa que es adquirido
del mercado internacional

VULNERABILIDADES INTERNAS

192.168.10.143 Sistema Operativo desactualizado CRÍTICA Actualización de los servidores de Base de datos
192.168.10.145 Múltiples vulnerabilidades en la Base de CRÍTICA principal y alterno a la versión de Linux Centos
6.10 realizada en bril de 2019.
Datos
 Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato Cía.
Ltda.
Evaluación de Control Interno de Tecnologías de Información — Agosto
2019
192.168.10.102 Los servidores de aplicación Fit Coop, Dashboards
192.168.10.145 Versión de Java desactualizada CRÍTICA Fitcoop se actualizarán en la migración a la versión
192.168.10.143 Fit Coop 3, al igual que la versión de Java en la que
192.168.10.143 SSH - Shell vulnerable a inyección remota de CRÍTICA está desarrollado Fitcoop.
código
Efecto

El no aplicar los controles que permitan mitigar los riesgos a los cuales estaría expuesta la
infraestructura tanto a nivel interno como externo, no permite garantizar la seguridad sobre
la infraestructura tecnológica, lo cual prácticamente equivale a no haberlo realizado.

Recomendaciones

Tomando en cuenta la importancia que tiene el precautelar la información de la cooperativa

frente a accesos no autorizados y mal intencionados a la plataforma tecnológica, sugerimos
planificar la ejecución de las medidas correctivas sugeridas en el informe de Análisis de
Vulnerabilidades considerando para ello su nivel o grado de criticidad (determinadas
como graves y medias), así como también su aplicabilidad dentro de la infraestructura de
la institución.

18
Cooperativa de Ahorro y Crédito Cámara de Comercio Ambato
Cía. Ltda.
Evaluación de Control Interno de Tecnologías de Información —
Agosto 2019