Segundo entregable

Integrantes:
Mendoza Perez Jack Matas
Ramirez Tarazona Victor Manuel
Rivera Blas Frank Junior

Curso: Auditoria de Sistemas

Profesor: Tino Eduardo Reyna Monteverde e

Introducción
El sistema Vision Plus dentro del BCP es una de las 40 aplicaciones críticas debido al manejo de
dinero con el que cuenta, por lo cual siempre se realizan auditorías para validar su correcto
funcionamiento. Sin embargo, en la auditoria de la misma aplicación de un año anterior se
encontró que no estuvieron cumpliendo con las directivas de seguridad propuesta por COE de
Seguridad y por ello se propuso realizar de manera anual en el plan de auditoria anual.

Misión Visión Propuesta

Brindar la mejor experiencia a los clientes y Ser reconocidos como líderes innovadores en
unidades de negocio, con entrega oportuna el ámbito tecnológico financiero,
de soluciones a la medida de sus contribuyendo de manera significativa al
necesidades, a través del uso y habilitación crecimiento sostenible de nuestros clientes y
de tecnología flexible escalable, eficiente y unidades de negocio. Impulsar la excelencia a
segura. través de soluciones tecnológicas avanzadas,
promoviendo la seguridad, la eficiencia y la
adaptabilidad en un entorno financiero en
constante evolución.
Organigrama de Unidad Auditada
FODA
FORTALEZAS DEBILIDADES
• Uso de aplicaciones y/o módulos con
• Personal competente obsolescencia tecnológica
• Experiencia y Trayectoria • Dependencia de sistemas legado y tecnología
• Buenas prácticas de capacitación del personal especifica
• Lentitud en la velocidad de las correcciones y
cambios

OPORTUNIDADES AMENAZAS
• Mayor accesibilidad de herramientas y programas • Ataques de hacking que pueden vulnerar la
en la Nube seguridad del área
• Automatización/Digitalización en procesos del • Tecnología altamente cambiante que puede dejar
negocio vulnerable el HW y SW actual del área
• Regulaciones cambiantes de privacidad y datos
 CONTROLES DEL COBIT
DEFINICIÓN DE UN PLAN ESTRATÉGICO DE TECNOLOGÍA DE INFORMACIÓN
• Validación del Proceso de Autorización: Verificar la correcta ejecución
del proceso de autorización de las operaciones realizadas a través de
OBJETIVO GENERAL Visión Plus.
Evaluar de forma regular el diseño, implementación y mantenimiento de los
procedimientos que aseguren una gestión efectiva y operación óptima del
• Evaluación de Seguridad en la Transmisión de Información: Revisar y
evaluar los controles de seguridad implementados para la transmisión
Sistema Visión Plus. Esto se hace con el fin de garantizar la integridad,
de información entre el Sistema Visión Plus y otras aplicaciones,
disponibilidad y confidencialidad de la información procesada, así como de
tanto internas como externas del banco.
los servicios respaldados por este sistema}
• Garantía de Disponibilidad y Continuidad del Servicio: Verificar que la
OBJETIVOS ESPECIFICOS aplicación Visión Plus mantenga niveles óptimos de disponibilidad y
continuidad en la prestación de sus servicios.
• Verificación de Privilegios de Acceso: Confirmar que los usuarios que
acceden a la aplicación Visión Plus cuentan con los privilegios • Revisión de Logs y Reportes de Seguridad: Confirmar la existencia y
adecuados según sus funciones y responsabilidades dentro de la adecuación de los registros (logs) y reportes de seguridad generados
organización. por el sistema Visión Plus.
• Revisión de Controles de Seguridad: Evaluar exhaustivamente los • Validación de Niveles de Servicio de Proveedores: Validar los niveles
controles de seguridad aplicados a los diferentes componentes de la de servicio proporcionados por los proveedores que respaldan las
aplicación Visión Plus para garantizar su idoneidad y eficacia. operaciones de la aplicación Visión Plus.
• Gestión de Obsolescencia Tecnológica: Supervisar de manera continua • Evaluación del Control de Prevención de Fraudes: Verificar la
la gestión de la obsolescencia tecnológica, asegurando el seguimiento existencia y efectividad de los controles establecidos para prevenir
de planes de acción para abordar las vulnerabilidades identificadas en fraudes en el uso del Sistema Visión Plus.
el sistema.
• Riesgo: Falta de alineación entre los objetivos estratégicos de TI y los • Plan de pruebas: Obtener el plan estratégico gerencial para TI y
objetivos empresariales, lo que puede dar lugar a la implementación verificar cumplimiento con los requisitos establecidos y alineación de
de soluciones tecnológicas ineficaces o inadecuadas y brechas de políticas de seguridad para las operaciones de SWIFT
seguridad. • Resultado: Al revisar el plan estratégico, no se cuenta con un
• Control: Implementar un sistema de gobernanza de TI robusto, que alineamiento sobre la dirección necesaria para el aseguramiento de las
incluya estructuras de toma de decisiones, roles y responsabilidades operaciones SWIFT y el correcto conocimiento del personal
claras, y mecanismos de control y supervisión para asegurar la involucrado, por ello se propuso una misión y visión anteriormente
alineación continua con los objetivos empresariales y minimizar las mencionado.
brechas de seguridad. • Conclusión: El control es inefectivo

DEFINICIÓN DE LA ARQUITECTURA DE INFORMACIÓN

OBJETIVO GENERAL
Asegurar que la arquitectura de información de la aplicación Visión Plus
satisfaga eficazmente las necesidades organizativas, permitiendo una
organización óptima de los sistemas de información. • Actualización según Plan a Largo Plazo de TI: Mantener la consistencia
del modelo de arquitectura de información de Visión Plus con el plan a
OBJETIVOS ESPECIFICOS
largo plazo de tecnología de información de la empresa. Esto implica
• Creación y Mantenimiento del Modelo de Información: Garantizar la actualizar el modelo de acuerdo con las necesidades y objetivos
creación y actualización continua de un modelo de arquitectura de estratégicos de la organización.
información específico para Visión Plus. Este modelo debe reflejar de
manera precisa la estructura de datos corporativos y los sistemas • Eficiencia en la Identificación y Comunicación de la Información:
Asegurar que la información dentro de Visión Plus sea identificada,
asociados, permitiendo así la optimización y utilización eficiente de la
capturada y comunicada de manera eficiente y oportuna, permitiendo
información.
a los responsables cumplir con sus tareas de manera efectiva dentro de
• Consistencia con Normas y Reglas: Asegurar que la arquitectura de los períodos de tiempo establecidos.
información de Visión Plus cumpla con las normas de la empresa,
incluyendo un repositorio automatizado de datos y un diccionario,
reglas de sintaxis de datos, clasificación de información según su
criticidad y seguridad, y cualquier otro estándar específico de la
empresa relacionado con la arquitectura de información.
 Valores
Atributo Naturaleza Formato Válidos Unidades Derivada Semántica Ontología

Identificador
Identificador Texto de la cuenta ID único de la
Cuenta_ID único (VARCHAR) Alfanumérico - No bancaria cuenta

Número de
cuenta única
Número de asociada a la
Número_Cuent Número de Texto cuenta cuenta
a cuenta (VARCHAR) Alfanumérico - No bancaria bancaria

Categorización
Tipo de de la
Tipo_Transacci Texto transacción transacción
ón Tipo de acción (VARCHAR) abono cargo - No realizada realizada

Valor de la Cantidad
Monto de Números transacción involucrada en
Monto transacción Decimal (18,2) decimales Soles No realizada la transacción

Formato de Fecha y hora Marca

fecha y hora de la temporal de la
Fecha_Hora Fecha y hora DATE estándar - No transacción transacción
DETERMINACIÓN DE LA DIRECCIÓN TECNOLÓGICA
Contingencias en la Infraestructura Tecnológica Estándares de Tecnología
Riesgo: Falta de continuidad del negocio y Riesgo: Falta de seguimiento de los estándares y
recuperación ante desastres lineamientos impuestos por el COE Seguridad
Control: Desarrollo e implementación de un plan Control: Desarrollo de un plan de evaluación
de continuidad del negocio que incluya medidas sobres las configuraciones de las aplicaciones y
para la recuperación de los sistemas tecnológicos subprocesos con las cuales interactua Vision Plus
en caso de interrupciones o desastres. Plan de pruebas: Obtener los lineamientos que
Plan de pruebas: Obtener el plan de sigue la entidad para evaluar los mecanismos por
infraestructura tecnológica para evaluar los los cuales interactua , los hosts y servicios
mecanismos de contingencia del servicio ante relacionados a la aplicacion.
interrupciones o casos de desastres. Resultado: Se valido que hay algunas
Resultado: Se validó que se realizan copias de configuraciones que estan desactualizados con
seguridad para mantener respaldo de la los lineamientos que sigue la entidad y por lo
información y que la infraestructura está tanto esta propenso a recibir ataque y
correctamente segmentada con firewall interno y vulnerabilidades por no estar al dia con lo que
externo en la distribución de servidores. Se establece el COE de Seguridad.
maneja contingencia de servidores en La Molina Conclusión: El control es inefectivo.
para el entorno de producción de Chorrillos,
aparte de manejar una contingencia en Panamá.
Conclusión: El control es efectivo.
ANÁLISIS DE RIESGOS
Objetivo General:
Evaluar y gestionar los riesgos de TI de manera integral para garantizar la continuidad operativa y la seguridad de la información
en Visión Plus, alineando las estrategias de mitigación con los objetivos de la organización.

Objetivos Específicos:
• Identificar Riesgos:
• Reconocer y documentar los posibles riesgos que puedan afectar el funcionamiento y la seguridad de la aplicación Visión Plus.
• Evaluar Impactos:
• Medir cuantitativa o cualitativamente los posibles impactos de los riesgos identificados en la operatividad y seguridad de la
aplicación.
• Definir Tolerancias:
• Establecer niveles tolerables de riesgo para diferentes aspectos de la aplicación, garantizando límites aceptables para la
organización.
• Implementar Estrategias:
• Desarrollar e implementar planes de acción para mitigar, transferir, o aceptar los riesgos identificados de manera efectiva.
• Monitorear y Actualizar:
• Realizar un seguimiento continuo de los riesgos, actualizando y adaptando las estrategias conforme evolucione el entorno
operativo.
Riesgos Controles Situación Actual Evidencia de Control

Posibilidad de ejecución no Verificación de autorizaciones según la Se están llevando a cabo verificaciones de Reportes de auditoría, registros de
autorizado de transacciones Matriz de Roles o del Owner del autorizaciones con la Matriz de Roles o del Owner del verificación, correos electrónicos,
comprometiendo información en aplicativo aplicativo etc.
Vision Plus

Posibilidad de acceso no autorizado Revisión de permisos de acceso a Se ha iniciado la revisión de permisos de acceso a Documentos de revisión, informes
a sistemas CICS y ejecución no ambientes CICS y transacciones sistemas CICS y transacciones críticas de auditoría, registros de cambios,
autorizada de transacciones críticas etc.

Posibilidad de fallas por Uso de herramientas de seguridad Se han ejecutado pruebas de obsolescencia con Informes de pruebas, listado de
obsolescencia en componentes (Owasp Zap, Fortify) para pruebas de Owasp Zap y Fortify, identificando algunos componentes obsoletos, registros
tecnológicos obsolescencia componentes tecnológicos obsoletos de seguimiento

Explotación de vulnerabilidades en Vigilancia de LBS con solución para Se ha implementado una solución para vigilancia de Reportes de alertas, registros de
recursos On Premise por brechas de alertas ante cambios no autorizados LBS con alertas ante cambios no autorizados en cambios, evidencia de
seguridad en configuraciones configuraciones configuraciones seguras

Se deshabilitado los protocolos inseguros de

comunicación de los servidores de las aplicaciones
Filtración de información Implementación de protocolos de reportadas o en su defecto llevar a cabo controles Informes de seguridad, registros de
confidencial seguridad TLS seguros. compensatorios para mitigar los riesgos presentados acceso, políticas documentadas
en la observación y mantener habilitado el protocolo
TLS 1.2

Posibilidad de sobregiro en Verificación realizada por el sistema Se están implementando controles de límites de Documentos de políticas, registros
consumo de tarjetas de crédito en Visión Plus de los consumos realizados crédito, verificación de transacciones y validación de de validación, informes de
Vision Plus con tarjetas sobregirada saldos en Vision Plus controles