2.

EL USO DEL SERVICIO HOSTING WEB COMPARTIDA EN LA OFICINA

GENERAL DE TECNOLOGÍAS DE INFORMACIÓN, SISTEMAS Y
ESTADÍSTICA; ORIGINA FRECUENTES CAIDAS EN EL SERVICIO DE
PROCESO, ALMACENAMIENTO Y SEGURIDAD DE DATOS DE LAS
DEPENDENCIAS ACADÉMICAS Y ADMINISTRATIVAS CON LAS QUE
CUENTA LA UNASAM.

Según la verificación efectuada el 05 de julio de 2018, al uso del Servicio

Hosting Web Compartida en la Oficina General de Tecnologías de Información,
Sistemas y Estadística de la UNASAM se ha evidenciado lo
siguiente:
 El uso del Servicio Hosting Web Compartida en la Oficina General de
Tecnologías de Información, Sistemas y Estadística de la UNASAM,
usualmente presenta continuamente caídas en el servicio de
procesamiento de datos en las dependencias académicas,
especialmente en las fechas de inicio de cada semestre con las
conjetura de usuarios ingresando al mismo sitio web, según el informe
presentado por el experto de la comisión auditora, ing. ALEGRE RIMAC,
Adan Eder donde detalla la velocidad y tiempo de respuesta de
servidor, como se observa:

Log (últimos 6 eventos donde se produjeron problemas)

Se constatar que usualmente presenta problemas de lentitud o
intermitencia por tener capacidad de proceso y almacenamiento muy
pequeña, además es importante mencionar que en el mismo servidor
está instalado también gran parte de los recursos de cada sitio Web de
las dependencias académicas y administrativas con las que cuenta la
UNASAM, ello conforme obra en el acta de constatación realizada en la
referida fecha (RPA: 1/5), y se puede visualizar en la IMAGEN 01 (RPA:
1/6)
IMG 1
Se pudo constatar que el Servicio Hosting Web Compartida opera sobre
un único servidor físico o virtualizado, esto genera que si se requieren
recursos adicionales de memoria o procesamiento será necesario
intervenir el servidor físicamente causando tiempos fuera del aire. Si el
servidor llega al límite de su capacidad, se hace necesario realizar
migraciones a otros servidores, con los riesgos que esto implica,
especialmente en el tema de integridad de la información, ello conforme
obra en el acta de constatación realizada en la referida fecha (RPA: 1/5),
y se puede visualizar en la IMAGEN 02 (RPA: 2/6).

IMG 2

Se pudo constatar que el Servicio Hosting Web Compartida, puede ser

el más grave, es el tema de la seguridad por un lado por encontrarse
con un software en versiones sin ningún tipo de soporte y la velocidad
de actualización, provocaría que gran parte de los sitios alojados sean
vulnerados a algún tipo de ataque y por el otro lado es importante
mencionar el acceso al dominio solo se realiza por el usuario
informático, Junior Condor Luna, mas no por el jefe de la Oficina
General de Informática y Estadística de la UNASAM, por lo que podría
ser manipulado la base de datos con otros fines particulares, ello
conforme obra en el acta de constatación realizada en la referida fecha
y se puede visualizar en la IMAGEN 03 y 04 (RPA: 3/5 y 4/6)
 IMG 3

IMG 4

Se pudo constatar que la conexión entre Pagina Web UNASAM y el

Hosting Web Compartida donde está alojada no está cifrada, no está
instalado un certificado de seguridad SSL, lo que genera que cualquiera
con conocimientos básicos de la base de datos puede ingresar y
modificar al ser un servidor público la página web UNASAM, ello
conforme obra en el acta de constatación realizada en la referida fecha
y se puede visualizar en la IMAGEN 05 (RPA: 5/6)
IMG 5

Se pudo constatar que Servicio Hosting Web Compartida, es un hosting

gratuito de España por lo que no se puede exigir garantía, Copias de
Seguridad y soporte técnico, y a todo ello se estaría poniendo en riesgo
la base de datos de todos las dependencias académicas y
administrativas de la UNASAM que se encuentran alojados, ello
conforme obra en el acta de constatación realizada en la referida fecha
y se puede visualizar en la IMAGEN 06 (RPA: 6/6) y en la Acta de
Constatación en la referida fecha , suscrita entre la supervisora de la
Comisión Auditora y el Jefe de la Oficina General de Tecnologías de
Información, Sistemas y Estadística con la intervención del Ingeniero de
Sistemas ALEGRE RIMAC, Adan Eder.
IMG 6
Con relación a los hechos antes descritos, se ha encontrado que se ha omitido
las siguientes normas:
NTP-ISO/IEC 17799:2007 Y NTP-ISO/IEC 27001:2008 – 4. SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.
“Artículo 1º.- Aprobar el uso obligatorio de la Norma Técnica Peruana “NTP-
ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas
prácticas para la gestión de la seguridad de la información. 2ª Edición”, en
todas las Entidades integrantes del Sistema Nacional de Informática,
documento que será publicado en el portal de la Presidencia del Consejo de
Ministros (www.pcm.gob.pe) (...)
La información es un activo que, como otros activos importantes del negocio,
tiene valor para la organización y requiere en consecuencia una protección
adecuada. Esto es muy importante en el creciente ambiente interconectado de
negocios. Como resultado de esta creciente interconectividad, la información
está expuesta a un mayor rango de amenazas y vulnerabilidades (...)
La seguridad de la información se consigue implantando un conjunto adecuado
de controles, que pueden ser políticas, prácticas, procedimientos, estructuras
organizativas y funciones de software y hardware. Estos controles necesitan
ser establecidos, implementados, monitoreados, revisados y mejorados donde
sea necesario, para asegurar que se cumplan los objetivos específicos de
seguridad y negocios de la organización (...)
“4.1 Requisitos generales
La organización desarrollara, implementará, operara, monitoreara, revisara,
mantendrá y continuara la mejora de un ISMS documentado dentro del
contexto de las actividades y riesgos totales de la organización. Para los fines
de esta NTP, el proceso sado se basad en el modelo PDCA (...)”
NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de
buenas prácticas para la Gestión de la Seguridad de la Información
“6. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
6.1.1 Comité de gestión de seguridad de la información
Control
La gerencia debe apoyar activamente en la seguridad dentro de la
organización a través de direcciones claras demostrando compromiso,
asignaciones explicitas y reconocimiento de las responsabilidades de la
seguridad de información.
6.1.2 Coordinación de la seguridad de la información
Control
La información de las actividades de seguridad debe ser coordinadas por
representantes de diferentes partes de la organización con roles relevantes y
funciones de trabajo.
6.1.3 Asignación de responsabilidades sobre seguridad de la información
Control
Deberían definirse claramente las responsabilidades.
6.1.4 Proceso de autorización de recursos para el tratamiento de la
información
Control
Debería establecerse un proceso de autorización para la gestión de cada
nuevo recurso de tratamiento de la información.
6.1.5 Acuerdos de confidencialidad
Control
Requerimientos de confidencialidad o acuerdos de no divulgación que reflejen
las necesidades de la organización para la protección de información deben
ser identificadas y revisadas regularmente.
Por tanto, de lo mencionado en los párrafos precedentes, ha conllevado que al
estar sobrecargado de datos el Hosting Web Compartido de las dependencias
académicas y administrativas de la UNASAM, está provocando caídas
frecuentes y largas en el proceso y almacenamiento de datos, y si esto sigue
frecuentando dará lugar a perdida de información.
Lo antes descrito se ha originado debido a que hasta el periodo 2015 la Oficina
General de Tecnología de Información, Sistemas y Estadística de la UNASAM
contaba con un Servidor HP obsoleto lo cual manifestaba deficiencias como
sonidos fuertes y recalentamientos, por lo que conllevo a usar el servicio de
almacenamiento en la nube, para ser más específico la OGTISE empezó hacer
uso del servicio de Hosting Web Compartido Gratis sin tomar en cuenta los
efectos que podría surgir, y como sabemos la Oficina General de Tecnología
de Información, Sistemas y Estadística cuenta con un jefe y un técnico
informático.
Así mismo se verifico la falta de requerimiento de asignación de presupuesto
para la compra de un hosting original, a la oficina de Planificación y
Presupuesto para ser considerado en su programación multianual 2019 – 2021
presenta el día 13 de julio del 2018.
EVALUACIÓN DE COMENTARIOS Y ACLARACIONES:
La presente observación fue comunicada, durante la acción de control al Jefe
de la Oficina General de tecnologías de información, sistemas y estadística,
otorgándole la oportunidad de presentar su descargo correspondiente
debidamente sustentado, lo que se muestra continuación:
Mediante OFICIO N ° 010 – 2018- OGTISE/ UNASAM de la fecha 13 de julio
del 2018, el Jefe de la Oficina General de tecnologías de información, sistemas
y estadística Ing. ING. HERRERA CHICCHIS, Yanina. con DNI N° 72852907
hace llegar a esta comisión sus aclaraciones en relación a los hechos
observados, manifestando lo siguiente:
Expongo que la responsabilidad de la que se me carga, fue debido a que
durante ese periodo no teníamos un especialista en el ámbito, el personal a
cargo dentro de la Oficina no estaba debidamente capacitado por lo cual se
procedió al retiro del personal encargado en el proceso de almacenamiento y
seguridad de datos de las dependencias académicas y administrativas con las
que cuenta la UNASAM, agregando a ello que el equipamiento con la que
contaba la UNASAM no tenían suficiente capacidad lo cual, ha conllevado que
al estar sobrecargado de datos el Hosting Web Compartido de las
dependencias académicas y administrativas haya provocado caídas frecuentes
y largas en el proceso y almacenamiento de datos de la UNASAM. Ocasionan
de esa manera el incumplimiento en el equipamiento y actualizaciones en el
software.
OPINIÓN DEL AUDITOR:
Efectuada la evaluación de los comentarios, se concluye que los mismos
afirman los hechos observados, considerando la participación de la persona
comprendida en el mismo, conforme se describe a continuación:
HERRERA CHICCHIS, Yanina con DNI N°72852907, Jefe de la oficina General
De Tecnologías De Información, Sistemas Y Estadística, Periodo 2017; que se
sigue haciendo uso del Hosting Web Compartido gratis, originando
inconvenientes en el proceso, almacenamiento y seguridad de datos de las
dependencias académicas y administrativas con las que cuenta la UNASAM.
Además, se revela el incumplimiento de sus funciones, de acuerdo al
Reglamento de Organización y Funciones.

SEÑALAMIENTO DE RESPONSABILIDAD:
Por lo expuesto, le asiste responsabilidad administrativa funcional a la Ing.
HERRERA CHICCHIS, Yanina, Jefa de la Oficina General de tecnologías de
información, sistemas y estadística, por haber incumplido con lo dispuesto en el
ROF de la UNASAM. Y en la NTP-ISO/IEC 17799:2007 Y NTP-ISO/IEC
27001:2008. Dando mérito al inicio del procedimiento sancionador a cargo de la
instancia competente de la entidad.

IV. CONCLUSIONES

Como resultado de la auditoría de cumplimiento practicada Oficina General De

Tecnologías De Información, Sistemas Y Estadística de la Universidad
Nacional Santiago Antúnez de Mayolo, se formulan las conclusiones siguientes:

2. Hemos verificado que Servicio Hosting Web Compartida en la Oficina

General de Tecnologías de Información, Sistemas y Estadística de la
UNASAM; origina inconvenientes en el proceso, almacenamiento y seguridad
de datos de las dependencias académicas y administrativas con las que cuenta
la UNASAM, contraviniendo el Reglamento de Organización y Funciones de la
UNASAM, articulo N° 28 relacionada con la Oficina General de Informática y
Estadística, literales y Manual de Organización y Funciones, sección Funciones
Específicas de la Oficina de Informática, Y NTP-ISO/IEC 17799:2007 Y NTP-
ISO/IEC 27001:2008 – 4. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN.
(Observación N° 02)

V. RECOMENDACIONES

Como resultado de la auditoría de cumplimiento practicada a la Universidad

Nacional Santiago Antúnez de Mayolo, en uso de las atribuciones y
competencias conferidas en el literal b) del artículo 15°, literal d) de artículo 22°
y artículo 45° de la Ley n.° 27785 – Ley Orgánica del Sistema Nacional de
Control y de la Contraloría General de la República, modificados por la Ley
n.° 29622, con el propósito de coadyuvar a la mejora de la capacidad y
eficiencia de la entidad en la toma de decisiones y en el manejo de sus
recursos, se formulan las recomendaciones siguientes:

1. Poner en conocimiento a los involucrados hallados en las observaciones,

para aplicar una medida correctiva o implementar medidas de control
respectivas conforme corregir los hechos y llegar a cumplir con los
objetivos de la entidad. (Conclusión General)

2. Disponer al jefe de Oficina General de Tecnologías de Información,

Sistemas y Estadística tomar las medidas adecuadas para la obtención
de un hosting web con licencia autoriza y así contar con un centro de
datos propios y resguardar la seguridad de la base de datos de cada
dependencia administrativa y academia de la UNASAM. (Observación 2)