UNIVERSIDAD POLITECNICA SALESIANA

SEGURIDAD DE LA INFORMACION
DIRECCIONAMIENTO AUDITORIA PARA PETROECUADOR
Integrantes:

• Víctor Caicedo.
• Héctor Ubillus.
• David Vargas.

1. Antecedentes.
Estructura Organizativa:
EP PETROECUADOR, la empresa estatal ecuatoriana de petróleo, presenta
una estructura organizativa bien definida. En la cúspide se encuentra el
Directorio de Empresa, que es la entidad superior en la jerarquía y juega un
papel crucial en la toma de decisiones estratégicas. La Auditoría Interna
(CGAI) opera de manera independiente del Gerente General y se enfoca en
la supervisión interna y control. El Gerente General, posicionado bajo el
Directorio, ejerce el liderazgo principal y supervisa las gerencias clave.

Las Gerencias Principales incluyen áreas críticas como Exploración y

Producción, Transporte, Refinación, Comercio Nacional e Internacional.
Además, la Gerencia de Transformación Empresarial, una unidad temporal,
se centra en la innovación y mejora continua. Las Subgerencias brindan
funciones de apoyo esenciales en áreas como Talento Humano y Finanzas.

Giro del Negocio:

El giro del negocio de EP PETROECUADOR abarca diversas áreas clave. En
Exploración y Producción, la empresa se dedica a la identificación y
extracción de recursos naturales. La Refinación transforma el crudo en
derivados de hidrocarburos. El Transporte y Almacenamiento se encargan
del manejo eficiente de productos a través de oleoductos y poliductos.
Finalmente, la Comercialización Interna y Externa gestiona la venta de
derivados tanto a nivel nacional como internacional.

Activos de TI:
Los activos de TI de EP PETROECUADOR incluyen Sistemas de Gestión
Empresarial (ERP) y Sistemas de Información Geográfica (GIS) para la
automatización y gestión de datos. La Seguridad de la Información y la
Infraestructura de TI aseguran la protección de datos y operaciones críticas.
Las Plataformas Digitales y Sensores IoT optimizan los procesos y permiten
el monitoreo en tiempo real. Además, la empresa utiliza Cloud Computing y
Robótica para lograr una mayor flexibilidad operativa y automatización
 avanzada. Los Programas Específicos se enfocan en la producción,
transporte y comercialización de hidrocarburos.

Sucursales y Estaciones de Servicio:

EP PETROECUADOR cuenta con sucursales importantes en Quito, ubicadas
en Alpallana E8-86 y 6 de Diciembre, y en la Avenida Napo. Además, la
empresa opera 268 Estaciones de Servicios distribuidas en varias regiones
del país. Algunas de estas ubicaciones incluyen Pichincha (Amazonas,
Ponceano), Esmeraldas (Esmeraldas, San Lorenzo, El Pailón), Carchi
(Tulcan, Mira, San Pedro, El Angel, Montufar, Espejo, Carchi, Centinela del
Norte, San Gabriel), Imbabura (Lita), Sucumbíos (Sucumbíos, Putumayo,
Lumbaqui, Nueva Loja, Lago Agrio), Guayas (Guayaquil), Galapagos (Puerto
Ayora, Isabela), El Oro (Huaquillas, 6 de Octubre, Arenillas, Santa Rosa, 11
de Noviembre, Puerto Jely, El Oro, La Avanzada), Loja (Macara) y Zamora
Chinchipe (Yantzaza).

Nivel de Madurez:
De acuerdo con el análisis de madurez realizado bajo el marco de referencia
COBIT, EP PETROECUADOR ha alcanzado un nivel de madurez alto. Esta
evaluación se basa en el reconocimiento de que la empresa se encuentra en
un proceso constante de mejora continua, enfocándose en la optimización
de sus procesos tanto tecnológicos como de gestión. COBIT, como marco
de referencia, establece que una empresa puede alcanzar un nivel
optimizado cuando todos sus procesos están bien definidos y la tecnología
se integra de manera efectiva en toda la estructura organizativa.

2. Justificación.
Esta auditoria se justifica debido a preocupaciones identificadas en la eficacia
operativa y seguridad de la gestión de sus activos tecnológicos. Estas
preocupaciones se detallan a continuación:
Desafíos en la Gestión Estratégica de Activos de TI:
Se ha observado una falta de alineación entre la estrategia de TI y los objetivos
empresariales de Petroecuador. Esto se refleja en inversiones de TI que no están
claramente vinculadas con los resultados estratégicos de la empresa, lo que podría
llevar a una asignación ineficiente de recursos y a un retorno de inversión
subóptimo.
Inconsistencias en el Mantenimiento y Actualización de Activos de TI:
Existen indicios de que el proceso de mantenimiento y actualización de los
sistemas de TI no sigue un enfoque sistemático o planificado. Esta situación
aumenta el riesgo de fallos del sistema, obsolescencia tecnológica y
vulnerabilidades de seguridad.
Fallas en el Control y Seguimiento de Activos de TI:
Se ha detectado una gestión deficiente en el control y seguimiento de los activos de
TI. Esto incluye desde la adquisición hasta la disposición de equipos y software, lo
que podría resultar en una pérdida de activos, uso no autorizado o incluso brechas
de seguridad.
Inadecuada Gestión de Riesgos de TI:
La evaluación y mitigación de riesgos asociados a los activos de TI parecen no estar
completamente desarrolladas. Esto puede llevar a una exposición innecesaria a
riesgos operativos, financieros y de seguridad, impactando negativamente en las
operaciones generales de la empresa.

3. Objetivos.

Objetivo General:

Evaluar y mejorar la eficacia operativa y la seguridad en la gestión de activos

de TI de Petroecuador, asegurando una alineación estratégica con los
objetivos empresariales y mitigando riesgos asociados.

Objetivos Específicos:

• Examinar cómo la gestión de activos de TI se alinea con los objetivos

empresariales de Petroecuador, con el fin de identificar y corregir
desconexiones que resulten en una asignación ineficiente de
recursos y un retorno de inversión subóptimo.

• Analizar el enfoque actual de Petroecuador hacia el mantenimiento y

actualización de sistemas de TI, identificando inconsistencias y
áreas de mejora para reducir el riesgo de fallos del sistema,
obsolescencia tecnológica y vulnerabilidades de seguridad.

• Evaluar los procesos de control y seguimiento de los activos de TI,

desde su adquisición hasta su disposición, con el objetivo de mejorar
la gestión, prevenir la pérdida de activos, evitar el uso no autorizado y
minimizar las brechas de seguridad.

• Analizar la eficacia de las estrategias actuales de evaluación y

mitigación de riesgos de TI en Petroecuador, proponiendo medidas
para una gestión de riesgos más robusta y efectiva, reduciendo así los
riesgos operativos, financieros y de seguridad.
4. Alcance.
La auditoría en Petroecuador se centra en la gestión y el gobierno de los
activos de TI, enfocándose en las áreas críticas identificadas anteriormente.
Se establecen dos niveles de profundidad en la evaluación: uno medio para
la gestión general y uno profundo para aspectos directamente relacionados
con los activos de TI. El marco de referencia COBIT guiará la auditoría,
enfatizando en la alineación con prácticas internacionales.

Enfoque de la Auditoría:

Evaluación de la Gestión de TI: Determinar la congruencia entre la gestión

de activos de TI y los objetivos empresariales de Petroecuador, incluyendo
mantenimiento, actualización, control y seguimiento.

Nivel de Profundidad:

Gestión (Nivel Medio): Análisis de la alineación estratégica y la gestión de

riesgos de TI, enfocándose en políticas y prácticas generales.
Activos de TI (Nivel Profundo): Investigación detallada de los procesos de
mantenimiento, actualización, control y seguimiento de los activos de TI.
Delimitaciones de la Auditoría:

• Temporal: Revisión centrada en el último año fiscal para reflejar las

prácticas actuales de gestión de activos de TI.
• Ámbito Operativo: Limitado a las operaciones y sistemas
directamente relacionados con los activos de TI, excluyendo otras
áreas no relacionadas con TI.
• Acceso a la Información: Sujeta a restricciones de acceso a
información confidencial o sensible, siguiendo las políticas de
seguridad de la información de la empresa.

Uso de COBIT como Marco de Referencia:

• Aplicación de COBIT para una evaluación estructurada de la gestión
y el gobierno de TI, proporcionando un estándar para evaluar la
alineación estratégica, la gestión de riesgos y el control de procesos
de TI.
• El alcance definido garantiza una auditoría completa y objetiva de la
gestión de activos de TI en Petroecuador. Busca identificar áreas de
mejora y proporcionar recomendaciones específicas para optimizar
la gestión de activos de TI, alineándolos con los objetivos
estratégicos de la organización.
 5. Metodología.
La metodología para la auditoría en gestión y gobierno de activos de TI en
Petroecuador se estructura en torno a cuatro componentes clave: Entrevistas,
Revisión Documental, Observación y Pruebas. Cada componente está diseñado
para abordar de manera específica y objetiva los aspectos críticos identificados en
la gestión de los activos de TI.

1. Entrevistas:

Objetivo: Recopilar información directa sobre la gestión y gobierno de los activos

de TI.
Procedimiento: Realización de entrevistas estructuradas con gerentes de TI,
administradores de sistemas y personal responsable de la gestión de activos de TI.
Temas a Cubrir: Alineación de la gestión de TI con los objetivos empresariales,
eficacia en el mantenimiento y actualización de los activos de TI, procesos de
control y seguimiento, y gestión de riesgos de TI.
2. Revisión Documental:

Objetivo: Evaluar la documentación relacionada con la gestión de activos de TI.

Materiales a Revisar: Políticas de gestión de TI, registros de mantenimiento y
actualización de sistemas, informes de control de activos y documentación sobre
la gestión de riesgos de TI.
Enfoque: Análisis detallado para identificar inconsistencias, brechas y áreas de
mejora en la documentación.

3. Observación:

Objetivo: Comprender las prácticas operativas actuales en la gestión de activos de

TI.
Actividades: Visita a instalaciones clave y observación de los procesos operativos
relacionados con los activos de TI.

Puntos de Enfoque: Uso efectivo de los activos de TI, implementación de políticas

y procedimientos de mantenimiento y actualización, y procesos de control y
seguimiento en la práctica.
4. Pruebas:

Objetivo: Evaluar la eficacia y seguridad de los activos de TI.

Tipos de Pruebas: Pruebas de integridad de los sistemas de TI, evaluación de la
eficacia de los procedimientos de control y seguimiento, y pruebas de los procesos
de gestión de riesgos.
Resultados Esperados: Identificación de vulnerabilidades y deficiencias, eficacia
de los procesos de gestión, y recomendaciones para mejorar la seguridad y eficacia
de los activos de TI.