UNIVERSIDAD CONTINENTAL

AUDITORÍA DE SISTEMAS-ASUC-00941-8870-202010

CASO TRAFASA

PRESENTADA POR

Ávila Zambrano Elim

Quispe Saltachin Edison

Salva Muñoz Marlon Willy

Docente: Gonzalo Martin Valdivia

Huancayo, Mayo 2020

OBSERVACIONES TRAFASA

INTEGRANTES:
 Avila Zambrano Ellim
 Quispe Saltachín Edison
 Salva Muñoz Marlon
1. No se cuenta con un área de gestión de riesgos e incidencias

Según el organigrama organizacional, la empresa no cuenta con un área encargada de la

gestión de riesgos e incidencias de software.

La ausencia de esta área podría generar tomas de acción deficientes y/o incorrectas ante la
presencia de una incidencia.

Se recomienda al gerente general tener en consideración la implementación del área de

gestión de riesgos e incidencias

2. No se cuenta con un área de aseguramiento de la calidad

Una de las primeras propuestas del nuevo gerente es la implementación de un área de

aseguramiento de la calidad de software, lo que evidencia que la empresa no cuenta con dicha
área implementada.

La ausencia del área en cuestión ha tenido importantes repercusiones en la empresa, siendo la

más reciente la renuncia del anterior gerente de TI, provocada por problemas funcionales con
el software.

Se recomienda al gerente general tener especial consideración en la propuesta del nuevo

gerente de TI.

3. El Gerente TI ha sido recién contratado y reemplaza al Gerente anterior que

renunció hace 2 meses 

Según al problema de funcionamiento del software el Gerente que ha sido contratado tiene
que asumir el problema que se está viviendo.

El ex Gerente que tenía otro método de realizar su labor es probable se robó alguna
información, es más de repente quizás puede llevarse toda la base datos de la organización,
contratar un nuevo Gerente sería más problema de pérdida de tiempo, de dinero en el
funcionamiento de la organización y muy difícil de comprender forma de cómo trabaja el
software.

Se recomienda a la empresa ofrecer o dar de recompensa que vuelva a trabajar si desea

regresar por puede llevarse información importante y perjudicar:

4. No hay controles en los privilegios de los colaboradores sobre la base de datos.

De la inspección. se dio a conocer que los desarrolladores tienen libertad para ingresar,
actualizar y eliminar los registros de la base de datos. 

La inadecuada gestión de los privilegios de los colaboradores sobre la base de datos hace a la
empresa susceptible a conductas fraudulentas por parte de los colaboradores, tales como robo
sistemático, fugas de información, etc.
 Se recomienda al gerente de TI facultar a los colaboradores con privilegios pertinentes
únicamente a su área de trabajo.

5. El centro de datos se encuentra innecesariamente expuesto

Se observó que el Centro de Datos cuenta con grandes ventanales que permiten visualizar
perfectamente lo que sucede en su interior, asimismo, ubicarlo es muy fácil debido a la
presencia de un letrero en la entrada. 

Al ser tan fácil de ubicar, el centro de datos es muy susceptible a ser víctima de intrusiones,
asimismo, los ventanales podrían representar canales de entrada y salida alternativos para los
intrusos

Se recomienda al gerente de TI tomar medidas para restringir el acceso al Centro de datos, 

 SEGUNDA AUDITORIA A CASO TRAFASA

4) Los sub-Gerentes de las áreas de desarrollo de software y mantenimiento de

software tienen múltiples problemas personales y profesionales.

Título: Los Subgerentes de las áreas de Desarrollo y Mantenimiento de Software

manifiestan problemas personales y profesionales.

• Descripción: En una conversación con el Subgerente de desarrollo de software y Subgerente del

área de mantenimiento se afirmó que entre ambos subgerentes mantienen dificultades personales y
profesionales.

• Riesgo: Si los conflictos continúan conseguiría generar un retraso en la entrega de los proyectos,
falta de coordinación de las labores dentro del área de sistemas lo cual causa un bajo rendimiento en
esta área.
• Recomendación: Se recomienda que el Gerente General oriente que el Gerente de TI en
coordinación con el Gerente de RRHH planifiquen una negociación con el objetivo de mejorar la
situación organizacional para evitar conflictos entre ambos subgerentes

5) 5) Los desarrolladores del área de desarrollo de software tienen acceso al ambiente

de producción de la Base de datos y tienen privilegios para ingresar, actualizar y
eliminar los registros de la Base de Datos.

Título: Los desarrolladores del área de Desarrollo de Software tiene acceso a la base de
datos.
• Descripción: Durante la exploración de los permisos de los desarrolladores del área de
Desarrollo de Software se identificó que tienen privilegios para ingresar, modificar, eliminar y
consultar datos.

• Riesgo: La situación presentada podría crear el riesgo de acceso no autorizado y la modificación

de los datos infringiendo contra la integridad y disponibilidad de la información de la base de datos.

• Recomendación: Se recomienda que el Gerente General disponga que el Gerente de TI evalúe

la posibilidad de eliminar los permisos autorizados a los desarrolladores que tiene acceso del área de
Desarrollo. Además, se recomienda establecer políticas que garanticen la integridad de la información
presentada en dicha área reduciendo.

6) El nuevo Gerente IT está pensado en implementar un área de aseguramiento de

calidad de software.

Título: Ausencia del área de aseguramiento de calidad

• Descripción: Producto de la revisión verificada a la estructura organizacional del área de

Sistemas se perfeccionó que dicha área no cuenta con un área de aseguramiento de calidad.
• Riesgo: Indicada situación causa deficiencias en la calidad del software desarrollado por el área
de Sistemas.
• Recomendación: Se recomienda que el Gerente General disponga que el Gerente de TI
prevalezca la implementación del área de aseguramiento de calidad.

7) El Centro de Datos (Datacenter) cuenta con grandes ventanales que permiten

visualizar los servidores y a las personas que laboran en dicha ubicación. El
cartel a la entrada permite ubicarlo rápidamente.

Título: Vulnerabilidad en el Centro de Datos

• Descripción: En la revisión del acceso físico a sala de servidores se evidenció que dicha sala
cuenta con un cartel que permite ubicarlo rápidamente y grandes ventanales que permiten la
visualización de personas ajenas.

• Riesgo: La realidad presentada podría originar daños físicos y/o lógicos debido al fácil acceso a
los servidores.

• Recomendación: Se recomienda que el Gerente General oriente al Gerente de TI que en

primer lugar se retire al empleador que trabaja dentro de la sala de servidores, ya que esto infringe la
normativa TIA 942, y sobre todo anticipe la seguridad de dicha sala, quitando el cartel y cubriendo o
sustituyendo los ventanales, en caso contrario meditar la posibilidad de realizar un traslado a otro
ambiente que cumpla con las medidas o requisitos de seguridad adecuados.