FACULTAD DE INGENIERÍA DE SISTEMAS Y

ELECTRONICA

CARRERA DE ING. DE SISTEMAS E INFORMATICA

“AUDITORÍA INFORMÁTICA EN EL ÁREA

DE GESTIÓN DE ACCESOS”

Integrantes:

Docente:
Rojas Nieves, Luis Alfonso

Lima, febrero del 2019

 INDICE DE CONTENIDO

1. Introducción ......................................................................................................... 5
2. Definición del Problema ...................................................................................... 6
2.1. Planteamiento del Problema ........................................................................ 6
2.2. Formulación del Problema ........................................................................... 6
2.2.1. Acceso a DWH - BCPDW3 (ORACLE) ................................................... 6
2.2.2. Acceso a correo en móvil (EMM) .......................................................... 7
3. Marco Referencia ................................................................................................. 7
3.1. Marco Contextual.......................................................................................... 7
3.1.1. Datos de la Empresa ............................................................................. 7
3.1.2. Misión ..................................................................................................... 8
3.1.3. Visión...................................................................................................... 8
3.1.4. Organigrama .......................................................................................... 9
4. Desarrollo de la Auditoría ................................................................................... 9
4.1. Fase 1 – Elaboración del Plan de Auditoria ................................................ 9
4.1.1. Objetivos ................................................................................................ 9
4.1.1.1. Objetivo General ............................................................................. 9
4.1.1.2. Objetivos Específicos .................................................................... 9
4.1.1.3. Alcance.......................................................................................... 10
4.1.2. Plan de Auditoria ................................................................................. 11
4.1.2.1. Investigación Preliminar .............................................................. 11
4.1.2.2. Recolección de Información ........................................................ 12
4.1.2.3. Aplicación de Instrumentos ......................................................... 13
4.1.2.4. Plan de Pruebas ............................................................................ 15
4.1.2.5. Proceso de Análisis y Evaluación de Riesgos ........................... 15
4.1.2.6. Tratamiento de Riesgo ................................................................. 15
4.1.2.7. Dictamen de la Auditoria .............................................................. 16
4.1.2.8. Informe Final de la Auditoria ....................................................... 17
4.1.3. Recursos .............................................................................................. 18
4.1.3.1. Materiales ...................................................................................... 18
4.1.3.2. Tecnológicos ................................................................................ 19
4.1.3.3. Financieros ................................................................................... 22
4.1.3.4. Cronograma .................................................................................. 22
4.2. Fase 2 – Ejecución del Plan de Auditoria.................................................. 23
4.2.1. Proceso de Recolección de Información y Planteamiento de
Actividades ........................................................................................................ 23
4.2.2. Encuesta .............................................................................................. 23
4.2.3. Entrevistas ........................................................................................... 23
4.2.4. Técnicas y Herramientas Utilizadas ................................................... 23
 4.2.5. Valoración del Riesgo ......................................................................... 23
4.2.6. Matriz de Probabilidad e Impacto ....................................................... 24
4.2.7. Hallazgos Producidos por Efecto de la Auditoria ............................. 24
4.3. Fase 3 – Informe de la Auditoria ................................................................ 26
4.3.1. Introducción al Informe ....................................................................... 26
4.3.2. Principales Observaciones ................................................................. 26
4.3.3. Recomendaciones y Plan de Acción / Mejoras.................................. 27
5. Conclusión ......................................................................................................... 28
6. Anexos................................................................................................................ 29
 INDICE DE FIGURAS

Figura Nro. 1. Organigrama .......................................................................................... 9

Figura Nro. 2. Tratamiento del riesgo .......................................................................... 16
Figura Nro. 3. Gráfico de Remedy .............................................................................. 19
Figura Nro. 4. Configuración AD ................................................................................. 20
Figura Nro. 5. Configuración AD ................................................................................. 20
Figura Nro. 6. Imagen sql server ................................................................................. 21
Figura Nro. 7. Cronograma ......................................................................................... 22
Figura Nro. 8. Matriz de probabilidades e impacto ...................................................... 24
Figura Nro. 9. Hallazgos ............................................................................................. 26
Figura Nro. 10. Pregunta de entrevista 1 .................................................................... 30
Figura Nro. 11. Pregunta de entrevista 2 .................................................................... 31
Figura Nro. 12. Pregunta de entrevista 3 .................................................................... 31
Figura Nro. 13. Pregunta de entrevista 4 .................................................................... 32
Figura Nro. 14. Pregunta de entrevista 5 .................................................................... 32
Figura Nro. 15. Pregunta de entrevista 6 .................................................................... 33
Figura Nro. 16. Pregunta de entrevista 7 .................................................................... 33
Figura Nro. 17. Pregunta de entrevista 8 .................................................................... 34
Figura Nro. 18. Pregunta de encuesta 1 ..................................................................... 37
Figura Nro. 19. Pregunta de encuesta 2 ..................................................................... 38
Figura Nro. 20. Pregunta de encuesta 3 ..................................................................... 38
Figura Nro. 21. Pregunta de encuesta 4 ..................................................................... 39
Figura Nro. 22. Pregunta de encuesta 5 ..................................................................... 39
Figura Nro. 23. Flujo de Gestión de Requerimientos..................................................... 3
Figura Nro. 24. Flujo de Atención de solicitudes de accesos en DWH .......................... 4
1. Introducción

En el presente trabajo, se realizará un análisis al Área de Gestión de Accesos del

Banco de Crédito del Perú, el banco más grande y el proveedor líder de servicios
financieros integrados en el Perú, con aproximadamente US$ 39 mil millones en
activos totales y una participación de mercado de 30,4% en créditos totales y 33,5% en
depósitos totales

El Banco de Crédito del Perú pertenece al holding Credicorp Ltd.

de responsabilidad limitada constituida en Bermudas en 1995. Está integrada por
Banco de Crédito del Perú, El Pacífico Peruano Suiza Compañía de Seguros y
Reaseguros y Atlantic Security Holding Corporation. Credicorp se concentra
principalmente a actividades bancarias comerciales (finanzas comerciales incluyendo,
las finanzas corporativas y los servicios del leasing con opción a compra), seguros
(comerciales incluyendo, transporte y seguro de navíos, de automóviles, de vida,
de salud y de jubilación) y a actividades bancarias de inversión (servicios incluyendo el
corretaje de valores, gerencia de activos, y fideicomiso, los servicios de custodia y
de banca de inversión). BCP es la subsidiaria primaria del holding y concentra la mayor
parte de los créditos totales de Credicorp así como de sus activos totales
y utilidad neta.
2. Definición del Problema

2.1. Planteamiento del Problema

El Banco de Crédito del Perú al ser la entidad bancaria más grande del Perú tiene un
estricto régimen a nivel de seguridad de información y de los permisos con los que
cuentan sus colaboradores dentro de sus plataformas y servicios.
El grupo de Gestión de Accesos se encarga de administrar los accesos a las aplicaciones
y servicios según corresponda a los colaboradores del BCP.
En este escenario cada cierto tiempo se puede observar que algunos colaboradores
cuentan con accesos a plataformas que no les corresponden y no tienen evidencia de
una gestión previamente realizada bajo un ticket.

El BCP al tener una gestión orientada en las buenas prácticas de ITIL todas los
requerimientos o solicitudes están registradas bajo la herramienta de gestión
correspondiente, con las conformidades y/o autorizaciones necesarias para que
puedan ser atendidas.
Por este motivo y para detectar este tipo de fallos en la gestión de accesos se cuenta
con un grupo de auditoria interna que realizan una revisión periódica de los permisos
con los que cuentan los colaboradores.
Este proceso es fundamental para detectar, prevenir e impedir la fuga de información
o un uso inadecuado de los servicios del BCP que puedan involucrar fraudes
financieros y afectar a los clientes.

2.2. Formulación del Problema

2.2.1. Acceso a DWH - BCPDW3 (ORACLE)

 ¿Qué colaboradores cuentan con el acceso a DWH (Roles, Tablespace

y Vistas) sin tener las conformidades necesarias?
 ¿Qué colaboradores no cuentan con el acceso a DWH (Roles,
Tablespace y Vistas) teniendo las conformidades correspondientes?
  ¿Qué colaboradores poseen el acceso a DWH (Roles, Tablespace y
Vistas) teniendo las conformidades correspondientes, pero dentro de
estas no detallan la información minina necesaria para que se haya
brindado el permiso?

2.2.2. Acceso a correo en móvil (EMM)

 ¿Qué colaboradores cuentan con acceso a correo en móvil (EMM)

sin tener las conformidades necesarias?
 ¿Qué colaboradores no cuentan con acceso a correo en móvil
(EMM) teniendo las conformidades correspondientes?
 ¿Qué colaboradores poseen el acceso a correo en móvil (EMM)
teniendo todas las conformidades correspondientes, pero dentro de
estas no detallan la información necesaria para que se haya
brindado el permiso?

3. Marco Referencia

3.1. Marco Contextual

3.1.1. Datos de la Empresa

El BCP posee una red de más de 8340 puntos de contacto que sirve a sus más
de 13 millones de clientes. BCP es la principal subsidiaria de Credicorp el mayor
holding financiero peruano. La Banca Mayorista del BCP compite con bancos
locales y extranjeros, y ofrece a sus clientes préstamos a corto y mediano plazo
en moneda local y extranjera, financiamientos para comercio exterior, leasing,
seguros y asesoría financiera. Actualmente es el líder del mercado con una
participación de mercado de más del 40% en créditos corporativos. Por otro
lado, la Banca Minorista del BCP atiende a personas y empresas pequeñas con
una amplia gama de productos con alto valor agregado con una participación
de mercado superior al 20%. Además, BCP ofrece servicios de gestión de
activos, transacciones de divisas, de tesorería, de custodia, servicios de
asesoramiento de inversión y actividades de investigación financiera.
3.1.2. Misión

Promover el éxito de nuestros clientes con soluciones financieras adecuadas

para sus necesidades, facilitar el desarrollo de nuestros colaboradores, generar
valor para nuestros accionistas y apoyar el desarrollo sostenido del país.

3.1.3. Visión

Ser el Banco líder en todos los segmentos y productos que ofrecemos.

Asimismo, lograr tener una Cultura organizacional con las siguientes
características:

• Estilo directivo horizontal y participativo, que se centra en el desarrollo

de las personas y que permite el involucramiento de los colaboradores
de una manera activa.
• Comunicación multidireccional, caracterizada por la cordialidad y la
calidez.
• Estilo de trabajo que promueve el trabajo en equipo y el
reconocimiento.
• Calidad de servicio basada en la percepción del cliente externo e
interno, buscando el equilibrio entre la orientación al cliente y la
orientación al negocio.
•Banca relacional y personalizada, basada en la claridad, transparencia y
simplicidad en precios y servicios
 3.1.4. Organigrama

Figura Nro.1. Organigrama

Fuente: Tomado del banco BCP

4. Desarrollo de la Auditoría

4.1. Fase 1 – Elaboración del Plan de Auditoria

4.1.1. Objetivos

4.1.1.1. Objetivo General

El objeto general de la auditoria que se realizara en el área de gestión de

accesos del Banco de crédito tiene como finalidad poder detectar a
aquellos colaboradores que cuentan con permisos que no le corresponden
y bajo esta evidencia poder regularizar el acceso de los colaboradores en la
matriz de roles de acuerdo con las normas, políticas, lineamientos y el
correcto uso de los procedimientos implantados por la empresa.

4.1.1.2. Objetivos Específicos

Flujo de Gestión de Requerimientos de Accesos de correo móvil:

  Detectar que se cumple los lineamientos de seguridad BYOD y los
permisos de gerencia para habilitar EMM.

 Detectar que la asignación de los grupos de red esté configurada

correctamente según el sistema operativo del móvil.
 Verificar que el grupo de red de correos sea asignado según la
ubicación de correos electrónico del colaborador.

Flujo de Procedimiento para la atención de Solicitudes de Acceso a Base

de Datos Oracle (DWH):

 Verificar que se cuenta con la conformidad necesaria

 3 tipos de Accesos:
 Rol Oracle:
 Verificar que el acceso que pide el colaborador este
mapeado correctamente en su matriz de roles.
 Verificar que los accesos de los colaboradores que no estén
mapeados en su rol tengan las conformidades del gerente
y autorización del owner del rol de forma temporal.
 Table space
 Comprobar que los colaboradores con acceso permanente
o temporal tengan las conformidades correctas del gerente
y autorizador del table space.
 Verificar que el acceso tenga como mínimo los datos del
colaborador, el acceso al table space, cuotas en gigas,
permisos (escritura y lectura), sustento y licencia.
 Vistas
 Examinar que el colaborador que posea accesos
temporales o permanentes según conforme de su
Gerencia, del autorizador de rol Oracle y del autorizador de
la vista de forma correcta.

4.1.1.3. Alcance
  Solo se auditará los flujos de gestión de accesos al correo móvil y el
flujo de gestión de accesos a DWH.

 No se auditará las aplicaciones que manejan estos flujos debido a que

no se tiene acceso a ellos. Puesto que, son aplicaciones de uso
interno y confidencial de la empresa.

 No se tendrá conocimientos sobre la configuración e instalación de

las aplicaciones que soportan estos flujos. Ya que, esa información la
maneja los técnicos y en este caso en particular solo se auditará los
flujos ya mencionados.

4.1.2. Plan de Auditoria

4.1.2.1. Investigación Preliminar

A. Realización de la investigación preliminar

 Determinar los recursos informáticos más importantes para la

empresa y sus flujos de solicitud de accesos.
 Determinar y evaluar la importancia de los flujos para la solicitud de
requerimientos en el área de Accesos.
 Verificar la cultura del uso correcto y cumplimiento de los flujos de
requerimientos de acuerdo con políticas, normas y lineamientos de la
organización.

B. Objetivo de la investigación preliminar

Se debe observar el estado en la que se encuentra el área de gestión de

accesos, la situación que se tiene dentro del área con respecto a los
problemas generados con los flujos y la priorización que se le da a la
solución de requerimientos.
 Se realiza la investigación solicitada:

 Recopilación de la información para obtener una visión general

del área por medio de observaciones, cuestionarios, encuestas y
solicitud de documentos para poder definir los objetivos y
alcances.
 Descripción general de los flujos de gestión de accesos y la
documentación que se tiene de cada flujo respectivamente.
 Personal participante de la auditoria y sus características.
 Información facilitada de manera general por las demás áreas.

4.1.2.2. Recolección de Información

La recolección de la información se realizará por medio de encuestas a los

colaboradores y entrevista al administrador y supervisor de accesos.

Metodología:

La metodología de recolección a utilizar en el proyecto se presenta a

continuación:
Para la evaluación de flujos de requerimiento de solicitud de accesos se
llevará a cabo las siguientes actividades:

Aplicación de cuestionario a los colaboradores

 Entrevistas a los administradores y supervisor de accesos.

 Encuesta a los colaboradores del BCP que cuenten con acceso a
Correo móvil y DWH.

Para la evaluación de los flujos de la gestión de accesos se llevará a cabo las

siguientes técnicas de recolección:

a) Observación
Se aplicará la técnica de observar y mirar detenidamente, ya que nos
permitirá recolectar directamente la información necesaria para analizar
los flujos de gestión de accesos.

b) Entrevistas

Se hará una entrevista presencial al administrador de accesos, el cual

responderá a las preguntas impresas de acuerdo con su criterio. De esta
manera, se obtendrá información que será clasificada, analizada y evaluada
para el proceso del cual se está auditando y emitir una opinión sobre el
aspecto evaluado. (ver anexo A).

c) Encuesta

Se recolectará información sobre datos en cuanto a la administración de

accesos, tickets, permisos y otras funciones que tienen los flujos de la
Gestión de Accesos. (ver anexo B).

4.1.2.3. Aplicación de Instrumentos

Se utilizarán los siguientes instrumentos en la auditoría realizada:

a) Matriz de Evaluación (Matriz de Riesgo)

Se recopilará la información relacionada con los procesos que se

realiza en el área de Gestión de Accesos. Asimismo, se podrá
observar un diagnóstico objetivo sobre el flujo de requerimiento de
accesos. La escala de valoración puede ir desde 1 como mínimo
puntaje (poco probable) hasta la valoración máxima de 3 (altamente
probable). Esta matriz permite obtener la probabilidad de ocurrencia
de los riesgos, gravedad de estos, acciones para solucionarlos y
 mitigarlos y la valoración del cumplimiento los procesos a auditar.
(ver anexo C).

b) Matriz FODA

Importante herramienta para el análisis y diagnóstico que se usará

para la evaluación de la organización, que permite visualizar el
desempeño los flujos de requerimientos a los accesos. Aquí se
evalúan los factores internos y externos, para que el auditor pueda
conocer el cumplimiento de la misión y objetivo general (ver anexo
D).

c) Lista de Verificación

Método de control y diagnóstico que se usará para la evaluación del

cumplimiento de los 2 procesos a la gestión de accesos. De esta
forma, ayudará a diseñar y reducir los posibles errores que pueden
surgir, provocados por los potenciales límites de la memoria y de la
atención en el ser humano. Asimismo, se evalúan los factores
internos y externos, para que el auditor pueda cumplir con el
objetivo general (ver anexo E).

d) Diagramas de Flujos

Esta herramienta será de ayuda para verificar el análisis y diseño de

los procesos de requerimientos a los accesos de coreo móvil y base
de datos Oracle. Por lo tanto, se representará con sus respectivos
flujos. (ver anexo F).

e) Reportes
 Para iniciar el análisis de la auditoria se solicitará reportes de usuario
vs accesos en referencia a DWH y correo en celular. Estos reportes
incluirán las siguientes columnas:
 Matrícula de usuario
 Nombre del usuario
 Puesto del usuario
 Acceso de EMM o Acceso a DWH
 Ticket de acceso
 Administrador que atendió el ticket
4.1.2.4. Plan de Pruebas

En esta actividad de la fase de planeación de la auditoria se realiza un plan

de pruebas de los flujos de gestión de accesos del Banco de crédito del
Perú.

1. Aplicar los instrumentos de recolección que se han propuesto y

diseñado en la actividad de recolección de información.
2. Realizar y aplicar los instrumentos propuestos y diseñados para la
auditoria de los flujos de gestión de accesos de la empresa.
3. Levantar la información de los dos flujos más importantes que se
utilizan dentro del área auditada.
4. Realizar la valoración de las amenazas y vulnerabilidades
encontradas en los flujos de gestión de accesos dentro del área
auditada.
5. Determinar el tratamiento de los riesgos encontrados en los dos
flujos más importantes del área de accesos.

4.1.2.5. Proceso de Análisis y Evaluación de Riesgos

Se realizará un cuadro de riesgos, vulnerabilidades y amenazas que

enfrenta el área de Gestión de accesos. (ver anexo G).

4.1.2.6. Tratamiento de Riesgo

Al tratar el riesgo como esencial dentro del proceso de auditoría se toman
medidas para establecer las 6 medidas de tratamiento en la Gestión de
Accesos y también establecer la forma de soportar las pérdidas que genera.
Por lo tanto, se determina el tratamiento a los riesgos de acuerdo con la
matriz de riesgo.

El diseño de las medidas de tratamiento puede reflejar la cultura

organizacional, la historia de la empresa, la forma en que está organizada,
su operación y el medio en el cual se desempeña.

Procedimientos Core del Área de Tratamiento

Accesos
Flujo de gestión de accesos para Crear políticas y nuevos
permisos dentro de DWH. procedimientos para reforzar las
vulnerabilidades que actualmente
tenga la gestión de accesos a DWH.
Flujo de gestión de accesos para Mejorar los procedimientos para el
correo en celular. acceso, ya que algunos
colaboradores tienen permiso a
correo móvil corporativo sin que
les corresponda.

Figura Nro.2. Tratamiento del riesgo

Fuente: Elaboración propia

4.1.2.7. Dictamen de la Auditoria

Establecer guía, proporcionar lineamientos a los procesos de la gestión de

accesos y determina el grado de madurez de la organización en el manejo
de cada uno de los procesos evaluados, además de medir el grado de
madurez de acuerdo con los hallazgos detectados en cada proceso.
4.1.2.8. Informe Final de la Auditoria

El presente informe mostrará la fase final de la auditoría donde se

recolectará los hallazgos y la documentación para el sustento del informe.
Asimismo, se detallará la evaluación de los dos flujos a auditar, los cuales
son el flujo de la gestión de accesos a correo móvil y accesos a DWH del
Banco de Crédito de Perú. Donde se obtendrá como resultado la mejora y
cumplimiento de los puntos críticos hallados que serán evaluados en la
ejecución del plan de auditoria.

El objetivo final de la auditoría es divulgar los resultados obtenidos a las

personas apropiadas. Por lo tanto, en esta fase de la auditoría se elabora el
informe de auditoría detallando los siguientes puntos:

Informaciones predeterminadas en el plan inicial de auditoría:

 Información del cliente
 Objetivos y alcance de la auditoria
 Criterios acordados
 Tiempo de auditoría (Cronograma)
 Identificación del equipo auditor
 Resumen del proceso
 Conclusiones y Recomendaciones
 Declaración de confidencialidad
 Lista de distribución del informe.
 Planes de mejoramiento.

Cuando se emita una conclusión, se debe considerar las expectativas de la

alta dirección y otras partes interesadas soportada por información fiable,
relevante y útil.

Resultados de un trabajo a partes ajenas a la organización

 En este caso la distribución de la información debe incluir lo siguiente:
 Limitaciones a la distribución y uso de los resultados.
 Acuerdos de confidencialidad

Difusión de resultados
Una copia de este documento debe ser enviada al responsable de la
sección correspondiente. El informe y los documentos se entrega al
encargado de calidad de la empresa y a la Junta Directiva para que
posteriormente sea archivado. Por lo tanto, se debe incluir lo siguiente:

 Aprobación del informe por la persona encargada.

 El auditor debe difundir los resultados a las partes apropiadas.
 Si se realiza algún cambio, corrección u omisión significativo, el
auditor debe comunicar la información corregida a todas las partes
que recibieron el informe original.

A tener en cuenta
El informe presentado debe tener las siguientes características:
 Preciso
 Objetivo
 Claro
 Conciso
 Constructivo
 Transparente
 Completa y oportuna

4.1.3. Recursos

4.1.3.1. Materiales

Los equipos de cómputo, útiles de oficina serán facilitados por los

auditores. Por otro lado, la documentación y acceso a la información
necesaria para la realización de la auditoría lo otorgará la empresa
contratante.

4.1.3.2. Tecnológicos

 Remedy

Aplicación para el manejo y gestión de tickets. Por lo

cual el acceso debe estar mapeado dentro de su matriz
de roles, de preferencia solicitar matricula modelo.
Solicitud debe ser canalizada con los ACCESOS Y
PERMISOS.

Figura Nro.3. Imagen de Remedy

Fuente: Tomado del banco BCP

 AD

Gestionar los accesos mapeados de los roles de cada

colaborador y proporcionar servicios que permite que
la información se encuentre actualizada y disponible
F
i
g
u
r
a

N
r
o
.
4. Configuración AD
Fuente: Tomado del banco BCP

Figura Nro.5. Configuración AD

Fuente: Tomado del banco BCP
 SQL Server 2008 Estándar

Esta herramienta establece un mecanismo de control y

seguridad para la atención de solicitud de accesos en
DWH BCPDW3.

F
i
g
u
r
a

N
r
o
.
6
.

I
magen sql server
Fuente: Tomado del banco BCP
4.1.3.3. Financieros

El Banco de Crédito del Perú financiará completamente el

proceso de Auditoria.

4.1.3.4. Cronograma

Actividad Enero Febrero

1 2 3 4 5 6 7 8
Estudio Preliminar x x
Planificar la Determinar el área x
auditoría critica a auditar
Planear objetivos y x
alcances
Realizar el plan de x x
auditoria
Ejecutar el Ejecución del plan de x
modelo de auditoria
auditoría Evaluación de riesgos x
Ejecución de pruebas y x
obtención de evidencias

Diseñar los Elaboración del informe x x

planes de final de auditoria
mejoras Sustentación de informe x

Figura Nro.7. Cronograma

Fuente: Elaboración propia
4.2. Fase 2 – Ejecución del Plan de Auditoria

4.2.1. Proceso de Recolección de Información y Planteamiento de

Actividades

Durante la elaboración del informe se procede a la recolección de datos del

proceso de gestión de accesos por lo que se realizará el análisis de las
conformidades para que los colaboradores puedan obtener los accesos, el cual
serán evaluados según los hechos que corresponde e incrimina al área
auditada, al finalizar este informe, brindará evidencias que serán suficientes y
apropiadas.

4.2.2. Encuesta

Para la elaboración de la encuesta se tiene en cuenta a los colaboradores que

nos permitirá definir la realidad dentro del área. Ver anexo B

4.2.3. Entrevistas

Para la entrevista se tiene en cuenta a los administradores de accesos dentro

del área auditada. Ver anexo A

4.2.4. Técnicas y Herramientas Utilizadas

Para la elaboración del presente informe, se realiza las encuestas y entrevistas,

el cual nos permitirá tener una muestra de la forma de trabajo en el área
auditada.

4.2.5. Valoración del Riesgo

Para este punto se tiene en cuenta el impacto presentado por las encuestas y
entrevistas realizadas al área auditada, el cual nos dará la probabilidad de
ocurrencia en el modo de severo, moderado y bajo, dando consigo el nivel de
impacto.
4.2.6. Matriz de Probabilidad e Impacto

NIVEL DE IMPACTO
NIVEL DE BAJO MODERADO SEVERO
PROBABILIDAD
POCO 1 2 3
MEDIANO 2 4 6
ALTO 3 6 9

Figura Nro.8. Matriz de probabilidades e impacto

Fuente: Elaboración propia

4.2.7. Hallazgos Producidos por Efecto de la Auditoria

Los hallazgos encontrados permiten determinar las partes más vulnerables que
tiene el área auditada para que posteriormente sean informados para sean
subsanados correctamente.

Condición Se detectó que algunos colaboradores

cuentan con accesos sin tener las
conformidades necesarias.

Criterio De acuerdo con ISO 27001 se debe

aplicar políticas de seguridad para
mejorar la gestión de accesos a cierta
información, para que esto, no sea
provecho de cualquier colaborador o
cualquier otro externo.

Causa El administrador de accesos brinda

acceso al colaborador sin haber
verificado que el colaborador tenga
todas las conformidades
correspondientes.
Efecto Pérdida de la confidencialidad al tener
acceso a la información sin tener los
conformes aprobados para activar los
accesos.
Recomendación Realización de comités semanales por
parte de los supervisores y encargados
de la gestión de accesos para supervisar
 todas las conformidades y que tengan la
información detallada correctamente.

Condición Se detectó que algunos colaboradores no

cuentan con accesos teniendo las
conformidades correspondientes.

Criterio De acuerdo con ISO 27001 se debe

aplicar políticas de seguridad para
mejorar la gestión de accesos a cierta
información, para que esto, no sea
provecho de cualquier colaborador o
cualquier otro externo.
Causa El administrador de accesos no brinda
acceso al colaborador habiendo
verificado que el colaborador si cuentan
con las conformidades correspondientes.
Efecto Retraso en los proyectos a realizar.
Pérdidas económicas.

Recomendación Realización de comités semanales por

parte de los supervisores y encargados
de la gestión de accesos para supervisar
todas las conformidades.

Condición Se detectó que los algunos

colaboradores poseen el acceso con
todas las conformidades
correspondientes, pero dentro de estas
no detallan la información necesaria para
que se haya realizado la atención.

Criterio De acuerdo con ISO 27001 se debe

aplicar políticas de seguridad para
mejorar la gestión de accesos a cierta
información, para que esto, no sea
provecho de cualquier colaborador o
cualquier otro externo
Causa El administrador de accesos verificó que
el colaborador tenga todas las
conformidades, pero no verificó que
dentro de las conformidades tenga toda
 la información detallada.
Efecto Pérdida de la confidencialidad al tener
acceso a la información sin tener
detallada las conformidades
correspondientes.
Recomendación Realización de comités semanales por
parte de los supervisores y encargados
de la gestión de accesos para supervisar
todas las conformidades y tengan la
información detallada correctamente.

Figura Nro.9. Hallazgos

Fuente: Elaboración propia

4.3. Fase 3 – Informe de la Auditoria

4.3.1. Introducción al Informe

El presente informe de auditoría está basado en la gestión de accesos, diseñado

para brindar los permisos correspondientes al colaborador.

4.3.2. Principales Observaciones

Observaciones del acceso al DWH - BCPDW3 (ORACLE)

 Se observó que algunos colaboradores cuentan con acceso a los roles,

tablespace y vistas del DWH-ORACLE sin tener las conformidades
necesarias.

 Se observó que algunos colaboradores no cuentan con acceso a los

roles, tablespace y vistas del DWH-ORACLE teniendo todas las
conformidades correspondientes.

 Se observó que los algunos colaboradores poseen todas las

conformidades correspondientes, pero dentro de estas no detallan la
información necesaria.

Observaciones del acceso a los correos en móvil (EMM)

  Se observó que algunos colaboradores cuentan con acceso a los grupos
de red sin tener las conformidades necesarias.
 Se observó que algunos colaboradores no cuentan con acceso a los
grupos de red que corresponde según sistema operativo (IOS Y
ANDROID)
 Se observó que los algunos colaboradores poseen todas las
conformidades correctas, pero dentro de estas no cuentan con la
información necesaria.

4.3.3. Recomendaciones y Plan de Acción / Mejoras

De acuerdo a las observaciones encontradas, se brindan las siguientes

recomendaciones para el Banco de Crédito del Perú:

 Seleccionar a un personal dedicado para realizar auditorías internas en

el área de gestión de accesos.
 Sancionar al personal que cometió el error.
 Realización de comités semanales por parte de los supervisores y
encargados de las aplicaciones para dar conformidades habiendo
verificado que la información esté detallada correctamente.
 Concientizar al colaborador para que realicen la solicitud de accesos de
forma correcta.
 Realizar una aplicación para automatizar los procesos de la gestión de
accesos ya que gran parte de los procesos se realizan de forma manual.
5. Conclusión

La auditoría aplicada al área de Gestión de Accesos del BCP, ayudó a precisar su

nivel de desempeño y presentarles oportunidades de mejora. Con la aplicación
de la auditoria, se pudo definir las acciones pertinentes que deberá llevar a
cabo para mejorar su desempeño, de igual forma, dicha auditoria permitió
encontrar las causas que hacen, que no tenga una gestión por completa exitosa
para dar los accesos auditados, así como los elementos que dificultan o la
obstaculizan. Para llevar a cabo esta auditoría se tuvo que recurrir a las visitas
continuas para fomentar la clara participación de los auditores y el equipo
auditor, para así presentar datos lo más acercados a la realidad posible, lo cual
ayudó a detectar el principal problema que se presenta en el área de gestión de
accesos, la cual es la inadecuada asignación de los recursos y la falta de no
tener automatizado mediante un sistema la asignación de los accesos, es por
ello que en el informe se recomienda la implementación de un sistema
automatizado para que exista una correcta asignación de los recursos de la
organización. Todo esto se hizo con el fin de proporcionar las recomendaciones
de alternativas de solución, las cuales se espera que sean de gran utilidad para
el área de Gestión de accesos del BCP.
6. Anexos

ANEXO A: ENTREVISTA

ENTREVISTA A LOS ADMINISTRADORES Y SUPERVISOR DE ACCESOS

La presente entrevista se realizó al del área de Gestión de Accesos del Banco de

Crédito del Perú, a los administradores y supervisor, cuyo rol es de suma importancia
para la aceptación de conformidad en dicha área, le agradecemos contestar las
siguientes preguntas, seleccionando la opción que considere mas conveniente.

Datos del contacto

Área: __________________
Cargo: __________________
Fecha: ____- ____-_______

ESCALA DE VALORACIÓN
100 75 50 25
Excelente Bueno Regular Malo
 RESULTADOS DE LA ENTREVISTA
A continuación, se muestran los resultados de las entrevistas realizadas a los administradores y
al supervisor.

SISTEMA DE MEDICIÓN
Universo: Ciudad de Lima
Técnica de Muestreo Muestreo Aleatorio Simple
Unidad de Muestreo: Hombres y Mujeres
Marco de la Muestra: Administradores y supervisor del área de gestión de accesos
Tamaño de la Muestra: 21 entrevistas

¿Cuál es la función del área de gestión de accesos?

Figura Nro.10. . Pregunta de entrevista 1

Fuente: Elaboración propia
 ¿Se controla estrictamente el acceso a DTW?¿Cómo?

Figura Nro.12. . Pregunta de entrevista 2

Fuente: Elaboración propia

¿Tienes plenamente identificados los procesos para los accesos al

DWH?

Figur
a
Nro.
12. .
Preg
unta
de
entre
vista
3
F
u
e
n
t
e
: Elaboración propia
 ¿Qué políticas de seguridad presenta para el acceso a DWH?

Figura
Nro.1
3. .
Pregu
nta de
entrev
ista 4
F
u
e
n
t
e
:

E
l
aboración propia

¿Cuáles son los grupos de red a los que pertenecen los colaboradores
con móvil Android?

Figura
Nro.1
4. .
Pregu
nta de
entrev
ista 5
F
uente:
Elabor
ación
propia

¿Qué procedimientos se siguen para dar solución a problemas de

colaboradores relacionados con el área de gestión de accesos?
Figura
Nro.1
5. .
Pregu
nta de
entrev
ista 6
F
u
e
n
t
e
:

E
l
a
boración propia

¿Cuántas personas están encargadas de revisar las conformidades?

Figura Nro.16. . Pregunta de entrevista 7

Fuente: Elaboración propia

¿Considera que la herramienta de gestión es suficiente para atender las

conformidades? ¿Por qué?
Figura
Nro.1
7. .
Pregu
nta de
entrev
ista 9
Fuent
e:
Elabor
ación
propia
 ANEXO B: ENCUESTA

ENCUESTA AL COLABORADOR POR ACCESOS A DWH

Datos del contacto

Área: __________________
Fecha: ____- ____-_______

Marque con una X la puntuación que considere conveniente. (Ver cuadro de escala de
evaluación)
ESCALA DE EVALUACIÓN

1 2 3 4 5

Malo Regular Bueno Muy bueno Excelente

Nro. Preguntas Escala de

Evolución

1 2 3 4 5

1 ¿Cómo califica usted la atención del ticket por solicitud

de accesos al DWH?

2 Cuando usted realiza una solicitud de acceso a DWH,

¿Cómo califica los flujos que usa el área de Gestión de
Accesos?

3 ¿Cómo considera usted el tiempo de respuesta por el

área de gestión de accesos al atender su solicitud?

4 Cuando existe errores en los accesos brindados:

¿Cómo califica las acciones correctivas realizadas por
el área de gestión de accesos?

5 ¿Cómo considera usted los esfuerzos realizados por el

área de gestión de accesos para homologar las
solicitudes de accesos?

Comentario:
_____________________________________________________________________
_____________________________________________________________________
 ENCUESTA AL COLABORAR POR ACCESOS A CORREO EN EL CELULAR

Datos del contacto

Área: __________________
Fecha: ____- ____-_______

Marque con una X la puntuación que considere conveniente. (Ver cuadro de escala de
evaluación)
ESCALA DE EVALUACIÓN
1 2 3 4 5
Malo Regular Bueno Muy bueno Excelente

Nro. Preguntas Escala de

Evolución
1 2 3 4 5
1 ¿Cómo califica usted la atención del ticket por solicitud
de accesos a correo en el celular?

2 Cuando usted realiza una solicitud de acceso a correo

en el celular, ¿Cómo califica los flujos que usa el área
de Gestión de Accesos?

3 ¿Cómo considera usted el tiempo de respuesta por el

área de gestión de accesos al atender su solicitud?

4 Cuando se presenta errores en los accesos brindados:

¿Cómo califica las acciones correctivas realizadas por
el área de gestión de accesos?

5 ¿Cómo considera usted los esfuerzos realizados por el

área de gestión de accesos para homologar las
solicitudes de accesos?

Comentario:

_____________________________________________________________________
_____________________________________________________________________
 RESULTADOS DE LA ENCUENTA
A continuación, se muestran los resultados de las encuestas realizadas para medir la
satisfacción del colaborador:

1.
¿Cómo califica usted la atención del ticket por solicitud de accesos al DWH?

Figura Nro.18. . Pregunta de encuesta 1

Fuente: Elaboración propia
 2. Cuándo usted realiza una solicitud de acceso a correo en el celular, ¿Cómo
califica los flujos que usa el área de Gestión de Accesos?

Figura
Nro.19.
.
Pregunt
a de
encuest
a2
F
u
e
n
t
e
:

Elaboración propia

3. ¿Cómo considera usted el tiempo de respuesta por el área de gestión de

accesos al atender su solicitud?

Figura Nro.20 Pregunta de encuesta 3

Fuente: Elaboración propia
 4. Cuando se presenta errores en los accesos brindados: ¿Cómo califica las
acciones correctivas realizadas por el área de gestión de accesos?

Figura Nro.21. . Pregunta de encuesta 4

Fuente: Elaboración propia

5. ¿Cómo considera usted los esfuerzos realizados por el área de gestión de

accesos para homologar las solicitudes de accesos?

Figura Nro.22. . Pregunta de encuesta 5

Fuente: Elaboración propia
ANEXO C: MATRIZ DE RIESGO
Nivel de Impacto

El impacto está cuantificado del uno (1) al tres (3). En donde: 1 = Bajo Impacto. El
impacto se puede manejar sin afectar la fecha de entrega del proyecto ni el costo de
este. Para esto se deberá de tomar el tiempo destinado como holgura. Cabe resaltar
que se está considerando un 20% de tiempo adicional en el proyecto para estos tipos
de impactos. 2 = Impacto Moderado. El impacto se puede controlar en cierta medida
con el tiempo de holgura. Sin embargo, como el tiempo de holgura está destinado a los
impactos de tipo bajo, este tipo de impacto puede afectar a la larga el tiempo y el
costo del proyecto si no se toman las medidas necesarias para minimizar los futuros
riesgos. 3 = Impacto Severo. El impacto puede afectar tanto al tiempo de desarrollo del
proyecto como al costo del proyecto si no se toma una solución inmediata. Por
consiguiente, puede generar el fracaso del proyecto.

Nivel de Probabilidad

La probabilidad está cuantificada del uno (1) al tres (3). En donde:

1 = Poco probable.
2 = Medianamente probable.
3 = Altamente probable.

Valor Esperado
Los valores son calculados automáticamente basándose en la siguiente tabla:

NIVEL DE IMPACTO
NIVEL DE 1-BAJO 2-MODERADO 3-SEVERO
PROBABILIDAD
1-POCO 1 2 3
2-MEDIANO 2 4 6
3-ALTO 3 6 9
 NIVEL
RIESGO CONSECUENCIAS PROBABILIDAD IMPACTO RECOMENDACIÓN
DE RIESGO

Extracción de información Filtro de información sensible Retirar el acceso inadecuado

sensible de clientes del
banco por tener el acceso Venta de información privada de los clientes Homologar accesos de los colaboradores
1 3 3
a tablas que no le
corresponden al Fraudes financieros Restricción de permisos según el acceso solicitado
colaborador. Problemas judiciales por el colaborador.
No se pueden crear nuevas tablas dentro de la base
Ampliar la cuota de acceso al table space
de datos de Oracle
Límite de capacidad o
cuota de acceso asignada No se puede registrar nueva información de clientes El usuario solicite correctamente la capacidad de
1 2 2 cuota que necesitara usar
al usuario dentro de las
table space Monitorio constante a las capacidades de las table
No se pueden gestionar de manera adecuada la
base de datos de las aplicaciones del banco space para alertar al usuario cuando este entre en
el límite de capacidad
Se pierde información de planillas de los Homologar los accesos a los usuarios
A nivel de vistas, colaboradores del banco
Eliminación de información Se pierde la base de datos histórica de la
sensible para la 1 3 3 Restringir accesos a personal no autorizado
información afectada
funcionalidad de
aplicaciones contables. Evaluar y validar periódicamente que los usuarios
Perdida de los Backup de base de datos
no tengan accesos no autorizadas

Mapear correctamente las alertas de cualquier

Perdida de información sensible del banco perdida de móvil para que se puede retirar el
acceso.
Perdida del móvil
corporativo de un Enrolar el acceso al nuevo móvil que le
Robo de clientes o contactos importantes 1 2 2
colaborador o gerente de corresponde al usuario sin tener que perder tiempo.
agencia
Perdidas de información detallada de operaciones Configuración de seguridad a nivel de Microsoft
autenthicaton para que no puedan iniciar sesión
Fraudes. con el correo del colaborador.

Perdida de información sensible del banco Restricción del acceso a correo móvil.
Configuración de correos
Permitir el acceso a correo móvil según la solicitud
del banco en móviles no Robo de clientes o contactos importantes.
inicial que indico el colaborador
corporativos o que no le 1 2 2
pertenezcan al Perdidas de información detallada de operaciones. Activar la seguridad del Microsoft autenticación
colaborador. para que el colaborador tenga la seguridad que
Fraudes. bajo su aprobación pueda iniciar sesión.
ANEXO D: MATRIZ FODA DEL AREA DE ACCESOS DEL BCP
FORTALEZAS
 Tiempo de respuesta adecuada.
 Infraestructura de red adecuada
para la gestión de accesos de
forma correcta.
 Factor humano capacitado para el
cumplimiento de los flujos de
requerimientos de los accesos al
correo móvil y base de datos.
 Brindar accesos bajo la jefatura
responsables.
DEBILIDADES
 Brindar accesos de manera
incorrecta.
 Falta de verificación en el
mapeado de los roles de los
colaboradores.
 Accesos otorgados sin la correcta
autorización de las jefaturas.
OPORTUNIDADES
 Planes de acción en la
automatización de los permisos
minimizar los riesgos.
 Fomentar la gestión de accesos y
de seguridad a través de las ISOS y
el SGSI.
 Reclutamiento externo de
personal capacitado en el área de
gestión de accesos.
AMENAZAS
 Fuga de información
 Fraude en el manejo de la gestión
de accesos.
 Insuficientes mecanismos y
herramientas de apoyo en la
gestión de requerimiento de
accesos móviles y de base de
datos.
 Capacitaciones deficientes al
personal del área de accesos.
ANEXO E: LISTA DE VERIFICACIÓN
Página: 01/05
AUDITORÍA Fecha: 21/02/2019
LISTA DE VERIFICACIÓN Nro.Rev: 1
Organización Auditada: Área Gestión de Accesos del BCP Evaluado:
Control de Accesos Administradores y
Evaluador: Auditor supervisor del área de
gestión accesos

100% 80% 60% 40% 15% 0%

¿Existe un sistema automatizado X

para registro de gestión de accesos?

¿Existe un procedimiento formal X

para las solicitudes de gestión de
accesos?

¿Existe algún grupo que filtre las X

inconsistencias de los accesos?

¿Existe una bitácora de gestión de X

accesos?

¿Cuál es el procedimiento de gestión X

de accesos?

¿Cuál es el criterio de gestión de X

accesos?

¿Cuál es la información que se X

solicita para un acceso?

ANEXO F: DIAGRAMAS DE ANÁLISIS

FLUJO DE LA GESTIÓN DE REQUERIMIENTOS DE ACCESOS AL CORREO MÓVIL

Figura Nro.23. . Flujo de Gestión de Requerimientos

Fuente: Tomado del Banco BCP

FLUJO ATENCION DE SOLICITUDES DE ACCESO EN DWH

Atención de Solicitudes de Accesos en DWH BCPDW3

Creación de ¿Unidad con ¿Rol de Oracle

Si Si Verificar conformidades 1
Usuario matriz de roles? mapeado?

Rechazar, debe ser ingresado

No 2
en su Matriz de Roles

No Verificar conformidades 1

Verificar conformidades y
Asignar vistas a Rol 1
Asignarlo

Creación de Rol
Tipo de solicitud Oracle
Verificar conformidades 1

Verificar conformidad
Si
Temporal

Accesos a Data ¿Es un usuario

Histórica Genérico?
Operador Helpdesk

Verificar conformidades y
No 1
atender

Acceso a Table Space Verificar conformidades 1

Eliminación de usuario Verificar conformidades 1

1
Quitar accesos Table Space,
Verificar conformidades
Vistas permisos, etc

Creación de Usuario Genérico

Derivar a Seguridad 3
(Desarrollo)

Modificación de Perfiles Derivar a Seguridad 3

Modificación de privilegios en
Verificar conformidades 1
rol

Cerrar
2
Ticket

Se resuelve ticket
¿Rol cuenta con
Asignar vistas al rol vistas asociadas?
Si indicando que ya cuenta 2
con vistas

¿Son vistas de
No Atención de Ticket Si 3
Sistema?
Administrador de Accesos

1 Tipo de solicitud ¿Son vistas

No Si
sensibles?

No Atender

¿Tiene Vistas en Indicar al primer nivel

Data Historica Línea?
Si
que cierre el ticket
2

Atención de Ticket

Otro Atención de Ticket 2

Analista de
Seguridad

3 Atención de Ticket 2

Figura Nro.24. Flujo de Atención de solicitudes de accesos en DWH

Fuente: Tomado del Banco BCP

ANEXO G: ANÁLISIS DE RIESGO

AMENAZA

 Fuga de información
 Fraude en el manejo de la gestión de accesos.
 Pérdida financiera.
 Retraso en los proyectos
 Pérdida de la confidencialidad.
 Insuficientes mecanismos y herramientas de apoyo en la gestión de
requerimiento de accesos móviles y de base de datos.
 Capacitaciones deficientes al personal del área de accesos.

VULNERABILIDADES

 Falta de verificación en el mapeado de los roles de los colaboradores.

 Accesos otorgados sin la correcta autorización de las jefaturas.
 Colaboradores que no cuentan con acceso teniendo las conformidades
correspondientes.
 Colaboradores que poseen accesos teniendo todas las conformidades
correspondientes, pero dentro de estas no detallan la información necesaria
para que se haya brindado el permiso.

RIESGOS

 Extracción de información sensible de clientes del banco por tener el acceso a

tablas que no le corresponden al colaborador.
 Límite de capacidad o cuota de acceso asignada al usuario dentro de las table
space
 A nivel de vistas, Eliminación de información sensible para la funcionalidad de
aplicaciones contables.
 Perdida del móvil corporativo de un colaborador o gerente de agencia.
 Configuración de correos del banco en móviles no corporativos o que no le
pertenezcan al colaborador.