UNIVERSIDAD NACIONAL DE INGENIERÍA

UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

PRESENTACIÓN:
“Informe de Auditoría Seguridad TI - Interbank”
CURSO: AUDITORIA DE SISTEMAS (ST275 V)
PROFESORA: Ing. ARTEAGA CORTEZ, Humberto
ALUMNOS:
APELLIDOS Y NOMBRES CÓDIGO
LOPEZ HERRERA, Carlos Claudio 20131451K
CHUNQUI VELA , José Lendel 20131032H
FLORES TAMBO, Diego Alonso 20132716H
CARDENAS MAGNO, Jessica Margarita 20111364E
VALENCIA PEREZ, Paul Javier 20130245H

CICLO: 2018-1

1
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Contenido
1. Introducción3
2. Aspectos Generales4
2.1. Estructura organizacional4
2.2. Matriz de Riesgos6
2.3. Programa de AuditoríaError! Bookmark not defined.
3. Informe FinalError! Bookmark not defined.
3.1. Informe Relativo al examenError! Bookmark not defined.
3.1.1. Motivo del ExamenError! Bookmark not defined.
3.1.2. Naturaleza y ObjetivosError! Bookmark not defined.
3.1.3. AlcanceError! Bookmark not defined.
3.1.4. Comunicación de ObservacionesError! Bookmark not defined.
3.2. Informe Relativo a la Entidad ExaminadaError! Bookmark not defined.
3.2.1. Antecedentes y Base LegalError! Bookmark not defined.
3.2.2. Relación de las Personas comprendidas en las ObservacionesError!
Bookmark not defined.
3.3. Resumen de observacionesError! Bookmark not defined.
3.4. ConclusionesError! Bookmark not defined.
3.5. RecomendacionesError! Bookmark not defined.
3.6. Observaciones detalladas (según anexo)Error! Bookmark not defined.

2
 UNIVERSIDAD NACIONAL DE INGENIERÍA

1. Introducción
La auditoría de sistemas es la evaluación permite identificar que las actividades se
realicen cumpliendo las disposiciones internas (normas, procedimientos, directivas,
etc) y la aplicación de las buenas prácticas técnicas. Ayuda a una organización a
cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar
y mejorar los procesos de gestión de riesgos, control interno y gobierno corporativo.

La auditoría consiste en una evaluación de los componentes que componen ese

sistema, con examen y pruebas en las siguientes áreas:

 Revisión de arquitectura de sistemas de alto nivel

 Mapeo de procesos empresariales (por ejemplo, determinar la dependencia
de los sistemas de información con respecto a los procesos empresariales
del usuario)
 Gestión de identidad de usuario final (por ejemplo, mecanismos de
autenticación, estándares de contraseña, funciones que limitan o conceden
funcionalidad de sistemas)
 Configuraciones de sistemas operativos (por ejemplo, endurecimiento de
servicios)
 Controles de seguridad de aplicaciones
 Controles de acceso a la base de datos (por ejemplo, configuración de la
base de datos, acceso a la base de datos de la cuenta, funciones definidas
en la base de datos)
 Controles antivirus / antimalware
 Controles de red (por ejemplo, ejecución de configuraciones en switches y
enrutadores, uso de listas de control de acceso y reglas de firewall)
 Sistemas y procesos de registro y auditoría
 Control de acceso privilegiado de TI (por ejemplo, Administrador del sistema
o acceso root)
 Procesos de TI en apoyo del sistema (por ejemplo, revisiones de cuentas de
usuario, administración de cambios)
 Procedimientos de copia de seguridad / restauración

La mecánica general de la auditoría consiste en la configuración de muestreo y

archivos de registro, con entrevistas posteriores con personal clave.

3
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Si bien gran parte de la evaluación realizada en una auditoría de sistemas de

información está fuertemente centrada en el entorno de control general de TI para
el sistema dado, se pueden realizar entrevistas con los principales usuarios
primarios o propietarios de información. Se realizaría una investigación sobre la
comunidad de usuarios para determinar la aceptación general del usuario del
sistema y determinar las expectativas de servicio con respecto al sistema.

Bajo el contexto de la definición anterior, nosotros como grupo auditor tenemos

como objetivo general realizar una auditoria especializada a la seguridad de
información del de la central de consultas de INTERBANK en el cumplimiento de
sus propósitos de estabilidad, y cooperación técnica, mediante servicios de
aseguramiento y consulta bajo un enfoque constructivo y de prevención, para
evaluar la eficacia del control interno, la administración de riesgos y el cumplimiento
del marco normativo institucional.

Las revisiones, evaluaciones y estudios especiales que realiza nuestro grupo

auditor, de acuerdo con lineamientos internos aplicables, requieren ser planificados
de manera sistemática a través de planes anuales de auditorías, que deben ser
sometidos a la aprobación de la Junta Directiva del área de TI.

2. Aspectos Generales
2.1. Estructura organizacional

En Interbank, las actividades de tecnologías de información se desarrollan en la

vicepresidencia de operaciones, distribuídas en 4 divisiones: Servicios de TI, Estrategia
Tecnológica, Transformación de Canales, y Control de Gestión y PMO. La división de
Servicios de TI es la encargada de ejecutar las actividades necesarias para que los
aplicativos y operaciones del banco estén siempre activas, y potenciar las actividades

4
 UNIVERSIDAD NACIONAL DE INGENIERÍA

del banco con nuevas tecnologías; además, atienden los distintos incidentes que
puedan surgir en los sistemas del banco, a través de la subgerencia de Centro de
Servicios.
La división de Estrategia Tecnológica, Transformación Retail y Soporte es la encargada
de gestionar los distintos productos digitales y dar tratamiento de la información de
clientes disponible.
La división de Transformación de Canales, Banca Comercial y MDC es la encargada de
gestionar la tecnología detrás de los distintos canales de atención con los que cuenta el
banco.
La división de Control de Gestión y PMO es la encargada de brindar la información
necesaria a las demás divisiones para una mejor toma de decisiones en el ámbito de TI.
Entre sus actividades se encuentra el consolidar la información de los distintos gastos
por consumo de unidades de recursos de TI de las demás divisiones de operaciones.

DATOS PRINCIPALES:

 NOMBRE: Banco Internacional del Perú

 RUC: 20100053455
 RAZÓN SOCIAL: Banco Internacional Del Perú-INTERBANK
 SECTOR ECONÓMICO DE DESEMPEÑO: Otros tipos de intermediación
monetaria.
 INICIO: 01/05/1897
 ESTADO: Activo
 TIPO: Sociedad Anónima Abierta
 CIIU: 6419
 DIRECCIÓN: Av. Carlos Villaran Nro. 140 Urb. Santa Catalina
 DEPARTAMENTO: Lima
 PROVINCIA: Lima
 DISTRITO: La Victoria
 PAÍS: Perú

Fuente: Reporte Interbank

5
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3. Informe Final
3.1. Informe Relativo al Examen
3.1.1. Motivo del examen
La auditoría especializada a la Seguridad de la Información (SGSI), se realizara según
la programación anual de auditoria para el periodo correspondiente al año 2017 al
Banco Internacional del Peru S.A.A - Interbank. La revisión consiste en una evaluación
de los Sistemas Informáticos, a través de diversas técnicas de auditoria y marcos de
control internacionalmente aceptados.

3.1.2. Naturaleza y objetivos

 Naturaleza:

La presente auditoria está enfocada a la Gestión de la Seguridad de la

Información.

 Objetivo General:

Asegurar el cumplimiento de las políticas y procedimientos establecidos por la

organización, en tema, de Seguridad de Información, tomando en consideración
las normas definidas en el ISO 27001.

 Objetivos Específicos:

 Identificar los controles implicados a esta actividad e identificar los riesgos

asociados a estos.
 Verificar que los controles hayan sido desarrollados siguiendo los
lineamientos definidos en las buenas practicas (ISO 27001) y a los objetivos
de la organización.
 Verificar que los controles hayan sido correctamente implementados.
 Verificar la efectividad de los controles implementados.
 Validar el cumplimiento de las normas de la empresa y el marco legal
asociado a la gestión de la seguridad de la información.

3.1.3. Alcance
El presente trabajo abarca los procesos de planificación, implementación y operación
que comprende un Sistema de Gestión de Seguridad de Información en el área de
Sistemas. Con la finalidad de verificar el estado en el cual se encuentra la organización,
en materia de seguridad de la información.

3.1.4. Comunicación de observaciones

Todas las observaciones que se identifiquen, durante la auditoria, se presentara a
NOMBRE DEL ENCARGADO (CARGO EN LA ORGANIZACIÓN) mediante un informe
final escrito, el cual proporcionara de manera detallada, las faltas que ha incurrido la
organización y las observaciones descritas por los encargados de la realización de la
auditoria, posterior a la verificación y el análisis de la información recabada proveniente
de la organización auditada.

6
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3.2. Informe Relativo a la Entidad examinada.

3.2.1. Antecedentes y base legal
Banco Internacional del Perú S.A.A. (Interbank Perú) es un banco comercial fundado en
1897 con oficina corporativa en Lima que ofrece servicios bancarios generales a
particulares, negocios y pymes; de propiedad del grupo peruano Intercorp Financial
Services Inc., un holding financiero con operaciones en seguros, retail, educación,
bienes raíces y finanzas. En 2012, Interbank Perú adquirió las acciones del Banco de
Crédito del Perú en la Compañía de Servicios Conexos Expressnet, tomando la
propiedad completa del único procesador de transacciones de American Express en
Perú. Interbank Perú posee más de 200 sucursales nacionales y filiales en Panamá y
Brasil. En 2017 se aprobó la fusión por absorción de Interbank y Corporación
Inmobiliaria de la Unión 600 S.A.

3.2.2. Relación de las personas comprendidas en las observaciones

Durante la auditoria se entrevistaron a las siguientes personas:
N° ÁREA RESPONSABLE NOMBRE CARGO
1 Operaciones Cesar Andrade Vicepresidente
2 Operaciones TI Jorge Arce Encargado
3 Servicio de Nalthan Moldauer Encargado
Infraestructura
4 Centro de Servicios Dario Guevara Encargado
5 Servicio de Integración Sandro Reategui Encargado
6 Proyecto DevOps Rosa Ruano Encargado
7 Seguridad de Información Encargado

3.2.3. Identificación y objetivos del SGSI

La finalidad del SGSI es asegurar y preservar la confidencialidad, integridad y
disponibilidad de la información dentro de los procesos de almacenamiento,
transferencia y procesamiento del negocio. Los procedimientos para garantizar el
cumplimiento de este propósito involucran a todas las áreas de la organización, los
cuales, hacen uso de los sistemas y servicios basados en tecnología de información.
La seguridad de la información, según la ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de la organización. Así pues, estos tres términos constituyen la base
sobre la que se cimiento todo el edificio de la seguridad de la información:

 Confidencialidad: la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se

debe hacer uso de un proceso sistemático, documentado y conocido por toda la

7
 UNIVERSIDAD NACIONAL DE INGENIERÍA

organización, desde un enfoque de riesgo empresarial. Este proceso es el que

constituye un SGSI.

3.2.4. Objetivos Específicos del SGSI

 Mitigar los riesgos que puedan causar un daño a la organización.
 Establecer una cultura en seguridad de la información.
 Gestionar los recursos en seguridad de la información de tal manera que se
realice un uso adecuado de los activos de información.
 Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
 Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos
de control identificados, incluyendo la asignación de recursos, responsabilidades
y prioridades.
 Implementar los controles que lleven a los objetivos de control.
 Definir un sistema de métricas que permita obtener resultados reproducibles y
comparables para medir la eficacia de los controles o grupos de controles.
 Procurar programas de formación y concienciación en relación a la seguridad de
la información a todo el personal.
 Gestionar las operaciones del SGSI.
 Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de
la seguridad de la información.
 Implantar procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad.

8
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3.3 Observaciones Resumidas

Ítem Detalle
1 No se ha establecido un estándar de aseguramiento para el sistema operativo de los
servidores virtualizados
2 El análisis y atención de vulnerabilidades en los servidores que soportan servicios
críticos del Banco, se realizó parcialmente
3 AIX y Linux: Controles en equipos de red (switches) presentan brechas de seguridad
que pueden afectar servicios críticos

4 No se hacen pruebas de lectura de copias de respaldo de la base de datos del sistema

de atención de pedidos y reclamos de clientes (Telesoft)
5 La confiabilidad de los procedimientos para generar y recuperar copias de respaldo
de la información del sistema Monitor ACF (SM) no puedo ser verificada
6 Los controles de aseguramiento de la seguridad en los servidores que soportan el
sistema Monitor ACF no son realizados ni monitoreados
7 El proceso de generación de las copias de respaldo de la base de datos del sistema
Oracle EBS no asegura la disponibilidad de la información.
8 Información en algunos equipos devueltos al proveedor (leasing) o enviados al
almacén y móviles devueltos a claro, no es eliminada previamente
9 No se cuenta con procedimientos para una adecuada gestión de usuarios
privilegiados y su respectivo monitoreo
10 No se ha establecido un estándar de aseguramiento para el sistema operativo de los
servidores vitalizados

3.4 Conclusiones

9
 UNIVERSIDAD NACIONAL DE INGENIERÍA

3.6 Observaciones detalladas (según anexo)

Observación 1
Sumilla

No se cuenta con procedimientos para una adecuada gestión de usuarios privilegiados y su

respectivo monitoreo

Condición

Se encontró que el Procedimiento de Gestión de Identidades no tenía un documento formal

Criterio

En base a la resolución de la contraloría general Nº320-2006-CG en el punto

3.10, específicamente en el comentario 6 se detalla: "…y demás mecanismo de acceso que

deben limitarse según niveles predeterminados de autorización…

Causa

No se tuvo una reunión para acordar la formalización de estos pseudoprocedimientos.

Efecto

Se encontró que los usuarios con menor nivel de acceso podían acceder a la información que
debería estar limitado a usuarios de mayo nivel de acceso

Recomendación

Creación de un manual de Procedimiento de Gestión de identidades formal y debidamente

verificado por el Gerente de TI

Observación 2
Sumilla

No se ha establecido un estándar de aseguramiento para el sistema operativo de los servidores

virtualizados

Condición

El uso de sistema operativo no estándar y otras no conformidades son identificadas en el área

de servidores.

Criterio

En base a la resolución de la Contraloría General Nº320-2006-CG en el punto 3.10,

específicamente en el comentario 5 se detalla: "[…] Controles para el área de soporte técnico,
en el mantenimiento de máquinas (hardware), licencias (software), sistemas operativos,
utilitarios (antivirus) y bases de datos. […]”

10
 UNIVERSIDAD NACIONAL DE INGENIERÍA

Causa

El gerente del Área de Infraestructura y Operaciones de TI reporta que no se tiene un manual

oficial de seguridad acerca de la seguridad de los servidores del banco.

Efecto

Los servidores poseen diferentes versiones de sistemas operativos distintos que necesitan
requerimientos diferentes para su mantención.

Recomendación

Elaborar el manual oficial de seguridad donde se siga un solo lineamiento para el tratamiento
del aseguramiento de los sistemas operativos de los servidores.

Observación 3
Sumilla

El análisis y atención de vulnerabilidades en los servidores que soportan servicios críticos del
Banco, se realizó parcialmente.

Condición

De acuerdo a una muestra de 12 servidores que utilizan Sistema Operativo AIX, se identificó que
los parches de seguridad del 67% de servidores se encontraban desactualizados, el 25% no se
pudo contar con acceso y el 8% de servidores está fuera de soporte.

Criterio

En base a la resolución de la Contraloría General Nº320-2006-CG en el punto 3.10,

específicamente en el comentario 5 se detalla:

"[…] Controles para el área de soporte técnico, en el mantenimiento de máquinas (hardware),

licencias (software), sistemas operativos, utilitarios (antivirus) y bases de datos. […]”

Causa

El gerente del Área de Infraestructura y Operaciones de TI reporta que aún no se completa el

plan de actualización de parches.

Efecto

Los servidores en mención se encuentren expuestos a vulnerabilidades frente a potenciales

ataques informáticos.

Recomendación

Se deberá establecer un procedimiento de actualizaciones de seguridad de los servidores en el

cual se definan las responsabilidades, periodicidad de las actividades y excepciones de ser
necesarias.

11