Académique Documents
Professionnel Documents
Culture Documents
ELECTRONICA
Integrantes:
Docente:
Rojas Nieves, Luis Alfonso
1. Introducción ......................................................................................................... 5
2. Definición del Problema ...................................................................................... 6
2.1. Planteamiento del Problema ........................................................................ 6
2.2. Formulación del Problema ........................................................................... 6
2.2.1. Acceso a DWH - BCPDW3 (ORACLE) ................................................... 6
2.2.2. Acceso a correo en móvil (EMM) .......................................................... 7
3. Marco Referencia ................................................................................................. 7
3.1. Marco Contextual.......................................................................................... 7
3.1.1. Datos de la Empresa ............................................................................. 7
3.1.2. Misión ..................................................................................................... 8
3.1.3. Visión...................................................................................................... 8
3.1.4. Organigrama .......................................................................................... 9
4. Desarrollo de la Auditoría ................................................................................... 9
4.1. Fase 1 – Elaboración del Plan de Auditoria ................................................ 9
4.1.1. Objetivos ................................................................................................ 9
4.1.1.1. Objetivo General ............................................................................. 9
4.1.1.2. Objetivos Específicos .................................................................... 9
4.1.1.3. Alcance.......................................................................................... 10
4.1.2. Plan de Auditoria ................................................................................. 11
4.1.2.1. Investigación Preliminar .............................................................. 11
4.1.2.2. Recolección de Información ........................................................ 12
4.1.2.3. Aplicación de Instrumentos ......................................................... 13
4.1.2.4. Plan de Pruebas ............................................................................ 15
4.1.2.5. Proceso de Análisis y Evaluación de Riesgos ........................... 15
4.1.2.6. Tratamiento de Riesgo ................................................................. 15
4.1.2.7. Dictamen de la Auditoria .............................................................. 16
4.1.2.8. Informe Final de la Auditoria ....................................................... 17
4.1.3. Recursos .............................................................................................. 18
4.1.3.1. Materiales ...................................................................................... 18
4.1.3.2. Tecnológicos ................................................................................ 19
4.1.3.3. Financieros ................................................................................... 22
4.1.3.4. Cronograma .................................................................................. 22
4.2. Fase 2 – Ejecución del Plan de Auditoria.................................................. 23
4.2.1. Proceso de Recolección de Información y Planteamiento de
Actividades ........................................................................................................ 23
4.2.2. Encuesta .............................................................................................. 23
4.2.3. Entrevistas ........................................................................................... 23
4.2.4. Técnicas y Herramientas Utilizadas ................................................... 23
4.2.5. Valoración del Riesgo ......................................................................... 23
4.2.6. Matriz de Probabilidad e Impacto ....................................................... 24
4.2.7. Hallazgos Producidos por Efecto de la Auditoria ............................. 24
4.3. Fase 3 – Informe de la Auditoria ................................................................ 26
4.3.1. Introducción al Informe ....................................................................... 26
4.3.2. Principales Observaciones ................................................................. 26
4.3.3. Recomendaciones y Plan de Acción / Mejoras.................................. 27
5. Conclusión ......................................................................................................... 28
6. Anexos................................................................................................................ 29
INDICE DE FIGURAS
El Banco de Crédito del Perú al ser la entidad bancaria más grande del Perú tiene un
estricto régimen a nivel de seguridad de información y de los permisos con los que
cuentan sus colaboradores dentro de sus plataformas y servicios.
El grupo de Gestión de Accesos se encarga de administrar los accesos a las aplicaciones
y servicios según corresponda a los colaboradores del BCP.
En este escenario cada cierto tiempo se puede observar que algunos colaboradores
cuentan con accesos a plataformas que no les corresponden y no tienen evidencia de
una gestión previamente realizada bajo un ticket.
El BCP al tener una gestión orientada en las buenas prácticas de ITIL todas los
requerimientos o solicitudes están registradas bajo la herramienta de gestión
correspondiente, con las conformidades y/o autorizaciones necesarias para que
puedan ser atendidas.
Por este motivo y para detectar este tipo de fallos en la gestión de accesos se cuenta
con un grupo de auditoria interna que realizan una revisión periódica de los permisos
con los que cuentan los colaboradores.
Este proceso es fundamental para detectar, prevenir e impedir la fuga de información
o un uso inadecuado de los servicios del BCP que puedan involucrar fraudes
financieros y afectar a los clientes.
3. Marco Referencia
El BCP posee una red de más de 8340 puntos de contacto que sirve a sus más
de 13 millones de clientes. BCP es la principal subsidiaria de Credicorp el mayor
holding financiero peruano. La Banca Mayorista del BCP compite con bancos
locales y extranjeros, y ofrece a sus clientes préstamos a corto y mediano plazo
en moneda local y extranjera, financiamientos para comercio exterior, leasing,
seguros y asesoría financiera. Actualmente es el líder del mercado con una
participación de mercado de más del 40% en créditos corporativos. Por otro
lado, la Banca Minorista del BCP atiende a personas y empresas pequeñas con
una amplia gama de productos con alto valor agregado con una participación
de mercado superior al 20%. Además, BCP ofrece servicios de gestión de
activos, transacciones de divisas, de tesorería, de custodia, servicios de
asesoramiento de inversión y actividades de investigación financiera.
3.1.2. Misión
3.1.3. Visión
4. Desarrollo de la Auditoría
4.1.1. Objetivos
4.1.1.3. Alcance
Solo se auditará los flujos de gestión de accesos al correo móvil y el
flujo de gestión de accesos a DWH.
Metodología:
a) Observación
Se aplicará la técnica de observar y mirar detenidamente, ya que nos
permitirá recolectar directamente la información necesaria para analizar
los flujos de gestión de accesos.
b) Entrevistas
c) Encuesta
b) Matriz FODA
c) Lista de Verificación
d) Diagramas de Flujos
e) Reportes
Para iniciar el análisis de la auditoria se solicitará reportes de usuario
vs accesos en referencia a DWH y correo en celular. Estos reportes
incluirán las siguientes columnas:
Matrícula de usuario
Nombre del usuario
Puesto del usuario
Acceso de EMM o Acceso a DWH
Ticket de acceso
Administrador que atendió el ticket
4.1.2.4. Plan de Pruebas
Difusión de resultados
Una copia de este documento debe ser enviada al responsable de la
sección correspondiente. El informe y los documentos se entrega al
encargado de calidad de la empresa y a la Junta Directiva para que
posteriormente sea archivado. Por lo tanto, se debe incluir lo siguiente:
A tener en cuenta
El informe presentado debe tener las siguientes características:
Preciso
Objetivo
Claro
Conciso
Constructivo
Transparente
Completa y oportuna
4.1.3. Recursos
4.1.3.1. Materiales
4.1.3.2. Tecnológicos
Remedy
AD
N
r
o
.
4. Configuración AD
Fuente: Tomado del banco BCP
F
i
g
u
r
a
N
r
o
.
6
.
I
magen sql server
Fuente: Tomado del banco BCP
4.1.3.3. Financieros
4.1.3.4. Cronograma
4.2.2. Encuesta
4.2.3. Entrevistas
Para este punto se tiene en cuenta el impacto presentado por las encuestas y
entrevistas realizadas al área auditada, el cual nos dará la probabilidad de
ocurrencia en el modo de severo, moderado y bajo, dando consigo el nivel de
impacto.
4.2.6. Matriz de Probabilidad e Impacto
NIVEL DE IMPACTO
NIVEL DE BAJO MODERADO SEVERO
PROBABILIDAD
POCO 1 2 3
MEDIANO 2 4 6
ALTO 3 6 9
Los hallazgos encontrados permiten determinar las partes más vulnerables que
tiene el área auditada para que posteriormente sean informados para sean
subsanados correctamente.
ANEXO A: ENTREVISTA
Área: __________________
Cargo: __________________
Fecha: ____- ____-_______
ESCALA DE VALORACIÓN
100 75 50 25
Excelente Bueno Regular Malo
RESULTADOS DE LA ENTREVISTA
A continuación, se muestran los resultados de las entrevistas realizadas a los administradores y
al supervisor.
SISTEMA DE MEDICIÓN
Universo: Ciudad de Lima
Técnica de Muestreo Muestreo Aleatorio Simple
Unidad de Muestreo: Hombres y Mujeres
Marco de la Muestra: Administradores y supervisor del área de gestión de accesos
Tamaño de la Muestra: 21 entrevistas
Figur
a
Nro.
12. .
Preg
unta
de
entre
vista
3
F
u
e
n
t
e
: Elaboración propia
¿Qué políticas de seguridad presenta para el acceso a DWH?
Figura
Nro.1
3. .
Pregu
nta de
entrev
ista 4
F
u
e
n
t
e
:
E
l
aboración propia
¿Cuáles son los grupos de red a los que pertenecen los colaboradores
con móvil Android?
Figura
Nro.1
4. .
Pregu
nta de
entrev
ista 5
F
uente:
Elabor
ación
propia
E
l
a
boración propia
Marque con una X la puntuación que considere conveniente. (Ver cuadro de escala de
evaluación)
ESCALA DE EVALUACIÓN
1 2 3 4 5
1 2 3 4 5
Comentario:
_____________________________________________________________________
_____________________________________________________________________
ENCUESTA AL COLABORAR POR ACCESOS A CORREO EN EL CELULAR
Marque con una X la puntuación que considere conveniente. (Ver cuadro de escala de
evaluación)
ESCALA DE EVALUACIÓN
1 2 3 4 5
Malo Regular Bueno Muy bueno Excelente
Comentario:
_____________________________________________________________________
_____________________________________________________________________
RESULTADOS DE LA ENCUENTA
A continuación, se muestran los resultados de las encuestas realizadas para medir la
satisfacción del colaborador:
1.
¿Cómo califica usted la atención del ticket por solicitud de accesos al DWH?
Figura
Nro.19.
.
Pregunt
a de
encuest
a2
F
u
e
n
t
e
:
Elaboración propia
El impacto está cuantificado del uno (1) al tres (3). En donde: 1 = Bajo Impacto. El
impacto se puede manejar sin afectar la fecha de entrega del proyecto ni el costo de
este. Para esto se deberá de tomar el tiempo destinado como holgura. Cabe resaltar
que se está considerando un 20% de tiempo adicional en el proyecto para estos tipos
de impactos. 2 = Impacto Moderado. El impacto se puede controlar en cierta medida
con el tiempo de holgura. Sin embargo, como el tiempo de holgura está destinado a los
impactos de tipo bajo, este tipo de impacto puede afectar a la larga el tiempo y el
costo del proyecto si no se toman las medidas necesarias para minimizar los futuros
riesgos. 3 = Impacto Severo. El impacto puede afectar tanto al tiempo de desarrollo del
proyecto como al costo del proyecto si no se toma una solución inmediata. Por
consiguiente, puede generar el fracaso del proyecto.
Nivel de Probabilidad
1 = Poco probable.
2 = Medianamente probable.
3 = Altamente probable.
Valor Esperado
Los valores son calculados automáticamente basándose en la siguiente tabla:
NIVEL DE IMPACTO
NIVEL DE 1-BAJO 2-MODERADO 3-SEVERO
PROBABILIDAD
1-POCO 1 2 3
2-MEDIANO 2 4 6
3-ALTO 3 6 9
NIVEL
RIESGO CONSECUENCIAS PROBABILIDAD IMPACTO RECOMENDACIÓN
DE RIESGO
Perdida de información sensible del banco Restricción del acceso a correo móvil.
Configuración de correos
Permitir el acceso a correo móvil según la solicitud
del banco en móviles no Robo de clientes o contactos importantes.
inicial que indico el colaborador
corporativos o que no le 1 2 2
pertenezcan al Perdidas de información detallada de operaciones. Activar la seguridad del Microsoft autenticación
colaborador. para que el colaborador tenga la seguridad que
Fraudes. bajo su aprobación pueda iniciar sesión.
ANEXO D: MATRIZ FODA DEL AREA DE ACCESOS DEL BCP
FORTALEZAS OPORTUNIDADES
DEBILIDADES AMENAZAS
No Verificar conformidades 1
Verificar conformidades y
Asignar vistas a Rol 1
Asignarlo
Creación de Rol
Tipo de solicitud Oracle
Verificar conformidades 1
Verificar conformidad
Si
Temporal
Verificar conformidades y
No 1
atender
1
Quitar accesos Table Space,
Verificar conformidades
Vistas permisos, etc
Modificación de privilegios en
Verificar conformidades 1
rol
Cerrar
2
Ticket
Se resuelve ticket
¿Rol cuenta con
Asignar vistas al rol vistas asociadas?
Si indicando que ya cuenta 2
con vistas
¿Son vistas de
No Atención de Ticket Si 3
Sistema?
Administrador de Accesos
No Atender
Atención de Ticket
3 Atención de Ticket 2
AMENAZA
Fuga de información
Fraude en el manejo de la gestión de accesos.
Pérdida financiera.
Retraso en los proyectos
Pérdida de la confidencialidad.
Insuficientes mecanismos y herramientas de apoyo en la gestión de
requerimiento de accesos móviles y de base de datos.
Capacitaciones deficientes al personal del área de accesos.
VULNERABILIDADES
RIESGOS