UNIVERSIDAD NACIONAL DE INGENIERIA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

SEGURIDAD INFORMATICA
SEGUNDO ENTREGABLE

INTEGRANTES:

PROFESOR: Carlos Trigo Perez

FECHA: LIMA - PERÚ

CONTENIDO
1 MAPEO DE PROCESOS ..........................................................................................................3
1.1 ANALISIS DE CANDIDATO A SOCIO ...............................................................................3
1.2 PROCEDIMIENTO DE APERTURA DE CUENTA DE AHORROS/DEPÓSITO A PLAZO .........4
1.3 PROCESO DE EVALUACIÓN DE CRÉDITO .......................................................................5
 1.4 PROCEDIMIENTOS DE EVALUACIÓN DE DOCUMENTOS LEGALES DEL CRÉDITO ...........6
1.5 PROCEDIMIENTOS DE INGRESO DE DOCUMENTOS VALORADOS ................................7
1.6 PROCEDIMIENTO DE APROBACIÓN DE CRÉDITOS EN AUTONOMÍA DEL COMITÉ DE
CRÉDITOS/CONSEJO DE ADMINISTRACIÓN ..............................................................................8
1.7 PROCEDIMIENTO DE DESEMBOLSOS DE CRÉDITO ........................................................9
1.8 PROCEDIMIENTO DE EMISIÓN DE DOCUMENTOS ......................................................10
1.9 PROCEDIMIENTO DE ANÁLISIS DE OPORTUNIDAD DE COLOCACIÓN .........................11
1.10 PROCEDIMIENTO DE RETIRO DE EFECTIVO .................................................................12
1.11 PROCEDIMIENTO DE TRANSFERENCIA BANCARIA ......................................................13
2 INFORME DE ENTREVISTA ..................................................................................................14
2.1 OBJETIVO DE LA ENTREVISTA .....................................................................................14
2.2 HALLAZGOS DE LA ENTREVISTA ..................................................................................14
2.3 CONCLUSIONES Y RECOMENDACIONES .....................................................................14
2.4 ANEXO: ENTREVISTA...................................................................................................15
3 INFORME DE NECESIDADES DE SEGURIDAD .......................................................................17
3.1 OBJETIVO ....................................................................................................................17
3.2 IDENTIFICACIÓN DE NECESIDADES DE SEGURIDAD ....................................................17
3.3 CONCLUSIONES ............................................................. ¡Error! Marcador no definido.

P á g i n a 2 | 17
1 MAPEO DE PROCESOS

1.1 ANALISIS DE
CANDIDATO
A SOCIO
1.2 PROCEDIMIENTO DE APERTURA DE CUENTA DE AHORROS/DEPÓSITO A PLAZO
1.3 PROCESO DE EVALUACIÓN DE CRÉDITO

P á g i n a 5 | 17
1.4 PROCEDIMIENTOS DE EVALUACIÓN DE DOCUMENTOS LEGALES DEL CRÉDITO

P á g i n a 6 | 17
1.5 PROCEDIMIENTOS DE INGRESO DE DOCUMENTOS VALORADOS

P á g i n a 7 | 17
1.6 PROCEDIMIENTO DE APROBACIÓN DE CRÉDITOS EN AUTONOMÍA DEL COMITÉ DE CRÉDITOS/CONSEJO DE
ADMINISTRACIÓN

P á g i n a 8 | 17
1.7 PROCEDIMIENTO DE DESEMBOLSOS DE CRÉDITO

P á g i n a 9 | 17
1.8 PROCEDIMIENTO DE EMISIÓN DE DOCUMENTOS

P á g i n a 10 | 17
1.9 PROCEDIMIENTO DE ANÁLISIS DE OPORTUNIDAD DE COLOCACIÓN

P á g i n a 11 | 17
1.10 PROCEDIMIENTO DE RETIRO DE EFECTIVO

P á g i n a 12 | 17
1.11 PROCEDIMIENTO DE TRANSFERENCIA BANCARIA

P á g i n a 13 | 17
2 INFORME DE ENTREVISTA

2.1 OBJETIVO DE LA ENTREVISTA

 Tener una visión general del departamento de seguridad de la información de la

empresa para poder identificar sus necesidades de seguridad, amenazas,
vulnerabilidades y riesgos.

2.2 HALLAZGOS DE LA ENTREVISTA

 El departamento de seguridad de información se formó hace dos años, y actualmente
cuenta con 3 empleados: 2 analista y 1 practicante. Desde un inicio el departamento
implemento la norma ISO 27001.
 Su sistema de soporte principal es el DELFIN, que es un sistema en el que se maneja
todas las operaciones de negocio de Financiera TFC.
 El departamento de seguridad informática no presento fallas físicas importantes, más
que una falla en un disco duro en el área de sistema.
 La detección de intrusos se realiza mediante el perfil del usuario, ya que ahí está la
información del usuario. Tienen un control para cada perfil de usuario. Sin embargo, se
ha detectado fallas en la configuración de un equipo. Por ejemplo, un colaborador
ingresa con un perfil de administrador cuando debería ingresar con un perfil de usuario.
 Sus políticas frente a las amenazas de intrusos son:
o Los usuarios poseen un usuario y clave, en el sistema.
o Los trabajadores deben apagar la maquina cuando terminan su trabajo.
o Se bloquea el ingreso de usb en las computadoras.
o Las contraseñas son complejas para evitar el hackeo de estas.
o A nivel de configuración de la red, hay puertos que se bloquean.
o Se bloquea el acceso a páginas de redes sociales.
o No se puede instalar programas en ninguna de las PCs sin antes una solicitud del
área.
 Los ataques más frecuentes son virus y spam.

2.3 CONCLUSIONES Y RECOMENDACIONES

 La empresa debe identificar la causa de los virus y del spam e implementar medidas para
su eliminación y prevención de aparición futura.
 La empresa debe fortalecer los métodos de identificación, autenticación y autorización
de operaciones de la empresa.
 Se debe realizar un mantenimiento constante de las máquinas y de su configuración
para permitir entrar al usuario con su el rol que le corresponde.
 Se debe monitorear y revisar el desempeño del SGSI en contraste con las políticas y
objetivos de seguridad de información reportando los resultados a la Alta Dirección para
su revisión, y determinar y autorizar acciones para la remediación y mejora.
  En conclusión, la empresa tiene buenas políticas de seguridad de la información, pero le
falta una retroalimentación constante de estas medidas para que se creen o se
actualicen las políticas de seguridad con el fin de adecuarla a los incidentes que se
presenten en la organización.
 Jjjj
 llll

2.4 ANEXO: ENTREVISTA

DESARROLLO DE CUESTIONARIO DE PREGUNTAS y ENTREVISTA AL AREA DE SEGURIDAD DE LA

INFORMACIÓN

En esta sección podemos ver la formulación de las preguntas y la entrevista que se hizo en la
EMPRESA FINANCIERA TFC, en la sede San Isidro.

CUESTIONARIO DE LEVANTAMIENTO DE INFORMACION

Se realizó el siguiente cuestionario para recabar información acerca de la necesidad de

seguridad de información en la empresa Financiera TFC.

1. Nombre de la empresa

FINANCIERA TFC.

2. ¿Mencione las fallas físicas que se presentó en el departamento de seguridad informática?

No se ha presentado fallas físicas en el departamento de seguridad, pero con lo que respecta

a fallas de equipo lo ve el área de sistemas el cual reporto una falla en un disco duro de un
equipo.

3. ¿Mencione las fallas lógicas que se presentó en el departamento de seguridad

informática?

La mala configuración de un equipo, cuando un colaborador ingresa con un perfil de

administrador cuando debería ingresar con un perfil de usuario. En una mala configuración
de un programa.

4. Lll
5. Ooo
6. llll

P á g i n a 15 | 17
P á g i n a 16 | 17
3 INFORME DE NECESIDADES DE SEGURIDAD

3.1 OBJETIVO

 Identificar los requerimientos de seguridad de la información en base a la entrevista

realizada a la empresa.

3.2 IDENTIFICACIÓN DE NECESIDADES DE SEGURIDAD

1. Restringir las opciones de acceso a los usuarios en el servidor de archivos. Todas las
carpetas son accesibles para todos desde gerencia hasta los practicantes. La información
debe ser accesible sólo a aquellos que se encuentren debidamente autorizados.
2. Intensificar los controles de ingreso y salida de información de la Financiera
Compartamos. No solo a nivel lógico.
3. Implementar un sistema de detección de intrusión (IDS) para poder saber que personas
4. Hhh
5. Ñññ
6.

A continuación, mostramos la relación entre las preguntas y necesidades de información

definidas.

REQUERIMIENTO Nº DE PREGUNTA
RELACIONADA
1. Restringir las opciones de acceso a los usuarios en el servidor de 29
archivos. Todas las carpetas son accesibles para todos desde gerencia
hasta los practicantes. La información debe ser accesible sólo a aquellos
que se encuentren debidamente autorizados.
2. Intensificar los controles de ingreso y salida de información de la 9, 10
Financiera Compartamos. No solo a nivel lógico.
3. Implementar un sistema de detección de intrusión (IDS) para poder ADICIONAL
saber que personas intentan burlar nuestro sistema de seguridad.

P á g i n a 17 | 17