Auditoria MiBanco Final v4

UNIVERSIDAD NACIONAL DE INGENIERÍA
FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS
AUDITORÍA A LA SEGURIDAD DE LA INFORMACIÓN

ENTIDAD: MIBANCO
CURSO : AUDITORIA DE SISTEMAS
PROFESOR : ING. HUMBERTO URBANO ARTEAGA CORTEZ
ESTUDIANTES :
● Colan Sullon, Rubén Darío (20140227B)

● Hernández Rojo, Jean Paul (20131366C)
● Lucana Huancahuari, Juan Carlos (20122079E)
● Olavarría Salvador, Evelyn Roxana (20107019E)
● Paucar Ventura, Cristhian Michael (20131224D)
FECHA : 19 / 09 / 2020
2020 - 1
1
1. INTRODUCCIÓN 3
2. ASPECTOS GENERALES 4
2.1. Estructura Organizacional 4
2.1.1. Misión, visión y objetivos de Mibanco 4
2.1.2. Organigrama de la organización 4
2.2. Procesos objeto de la auditoría 5
2.3. Matriz de Riesgos 8
2.4. Programa de Auditoría 10
2.5. Procedimiento aplicado 13
3. DETALLES DEL INFORME 17
3.1. Informe Relativo al Examen 17
3.1.1. Motivo del Examen 17
3.1.2. Objetivos y Naturaleza 17
3.1.3. Alcance 18
3.1.4. Comunicación de Observaciones 18
3.2. Informe Relativo a la Entidad Examinada 18
3.2.1. Antecedentes y Base Legal 18
3.2.2. Relación de las Personas comprendidas en las Observaciones 19
3.3. Evaluación realizada 21
3.3.1. Aspectos destacables 21
3.3.2. Debilidades encontradas 21
3.3.3. Resumen de las observaciones 21
3.4 CONCLUSIONES 22
3.5 RECOMENDACIONES 23
ANEXOS 25
2
1.INTRODUCCIÓN
En este trabajo se va a investigar desde el punto de vista de un auditor con respecto

a las situaciones de riesgo y otros aspectos que ocurre en MiBanco; ante la
materialización de eventos desfavorables que impacten en la seguridad del negocio.
MiBanco es una entidad financiera de capital privado dedicada al sector

microempresario, que tiene como objetivo principal la bancarización rentable y
responsable de los empresarios y hogares de bajos recursos en el país.
El presente trabajo se enfocará principalmente a la Auditoría de Seguridad, donde

se evaluarán los Procesos administrativos, de soporte, de seguridad, de accesos y
de continuidad del negocio; con la finalidad de verificar el cumplimiento de las
normas regulatorias, estándares y el alineamiento a la normativa interna. Esto se
realizará en base a una revisión de los registros y actividades del negocio, y así
verificar si los controles son los adecuados para garantizar el cumplimiento de la
política establecida y de los procedimientos operativos, con el fin de detectar los
problemas de seguridad en el negocio.
3
2.ASPECTOS GENERALES
2.1. Estructura Organizacional
2.1.1.Misión, visión y objetivos de Mibanco
Misión:
● Brindar oportunidades de progreso y dar acceso al sistema financiero, con

compromiso social.
Visión:
● Ser el líder y referente a la banca con un marcado compromiso social, donde las
personas sienten el orgullo de pertenecer a la comunidad de clientes y
colaboradores de MiBanco.
Objetivos del negocio:
● Ampliar los canales de acceso al cliente.

● Evaluar el sistema de control interno, buscando generar valor agregado en las
operaciones de la institución, así como, evaluar los procesos, buscando aplicar
las buenas prácticas de gestión de procesos.
● Documentar toda actividad aplicada dentro de la empresa para que el
conocimiento no se pierda.
● Tener una estructura más eficiente y diversificada de fondeo, con adecuados
alcances de plazos y costos financieros más bajos.
4
2.1.2. Organigrama de la organización
El organigrama de MiBanco actualizado a cierre de 2019 se muestra a continuación:
Imagen 1. Organigrama de MiBanco. Fuente: MiBanco.
2.2. Procesos objeto de la auditoría
Los principales procesos relacionados con la seguridad de información en el negocio son los
siguientes:
PROCESOS A
DESCRIPCIÓN
REVISAR
Marco normativo A nivel de cumplimiento una revisión de las políticas, normas, estándares,
interno procedimientos, etc.; estén alineadas al marco jurídico aplicable.
Implicación de la La existencia de un comité o dirección que trate la seguridad a nivel

alta dirección corporativo.
Presupuesto de inversiones y de gastos en seguridad.
Cumplimiento de Requerimientos legales, como los referidos a datos personales, así como
requerimientos posibles regularizaciones del sector.
externos
Cumplimiento de contratos y de acuerdos de nivel de servicio (SLA).
Cumplimiento de Cumplimiento de planes de implantación de recomendaciones por
5
requerimientos vulnerabilidades detectadas en evaluaciones de riesgo o auditorías
internos anteriores.
Gestión de Definición de funciones y asignación de responsabilidades.

recursos
humanos Acerca de la terminación de la relación contractual con el empleado, se
realice la baja de claves y de derechos de accesos: físicos y lógicos.
Protección frente a hacker, personal interno descontento o usuarios

potencialmente peligrosos.
Compromiso de confidencialidad por parte del personal interno y externo.
Protección de Protección de las personas, de las instalaciones, de los datos, de las

activos aplicaciones, de las redes, de los equipos y cualquier otro relacionado.
Responsable de los activos, así como el inventario, clasificación y

propietario designado.
Protección de los datos y de información, pueden estar en soportes

diversos y en estructuras diferentes. Esto dependerá del sector de
actividad, el cual debe de cumplir los tres principios de seguridad:
confidencialidad, integridad y disponibilidad.
Control de Usuario con derecho de acceso: a que, cuando y desde donde.

accesos lógicos
Inspección de la matriz de accesos a los diferentes recursos del negocio
como: bases de datos, diccionario de datos, redes servidores, etc.
Proceso de autorización de perfiles y de usuarios.

Inspección de los sistemas de identificación y autentificación.
Acceso por Posibles subcontrataciones de servicios por parte de los proveedores.

terceros a los
recursos Contratos y acuerdos de nivel de servicios aplicables a aspectos de
seguridad y revisiones realizadas.
Accesos físicos o a la red por parte de terceros.
Explotación u Formateo y eliminación de equipos desechados.

operaciones
Protección contra virus, software dañinos y resguardo de logs.
Configuración de los terminales, puertos USB, lectora de CD y lectora de

tarjeta de memoria.
Cambios de contraseña por defecto por efecto de caducidad.
Seguridad de las Tipo de cableado o fibra óptica usado y de protección.

comunicaciones Inspección de las redes inalámbricas en el cifrado y autenticación.
y redes
Accesos a internet y uso.
Protección en los sistemas de mensajería y el uso de firma electrónica.
Protección de conversaciones, videoconferencias y de fax.
Protección de la integridad y disponibilidad de la página interna del banco.
6
Seguridad física Ubicación de centros de computación y servidores, además de datos,
personas y otros activos.
Protección frente a terremotos, sabotaje, terrorismo, inundaciones, etc.
Control de entrada y salida de paquetes, bolsos, carteras y mochilas.
Destrucción de datos en papel tanto en su almacenamiento como en el

transporte en las instalaciones del banco.
Copias, Si se han determinado los riesgos y la criticidad de recursos y procesos.

Recuperación,
Planes de Planes y recursos alternativos dimensionados, actualizados y probados.
contingencia y de
continuidad Si se ha analizado el impacto en el negocio de cada posible situación o
escenario desfavorable.
Si están definidos los diferentes equipos de recuperación, si los

colaboradores afectados están informados y entrenados, así como la
disponibilidad de los recursos mínimos necesarios para reanudar los
servicios críticos para el negocio.
La inspección de pruebas realizadas y resultados obtenidos en estas.
2.3. Matriz de Riesgos
PROCESO SUBPROCESO %SP %P COMENTARIO

1. Gestión y 1.1. Revisar políticas, normas, 16.67% Se evaluará la
Administración lineamientos y 20.00% documentación
regularizaciones del sector solicitada y se
revisará su
1.2. Realizar presupuesto de 20.00%
alineación con la
seguridad
7
1.3. Revisar cumplimiento de
contratos, SLAs y 20.00%
requerimientos legales
1.4. Definición y asignación de

20.00%
responsabilidades política y
1.5. Control logístico y distintos
cumplimiento de 20.00% documentos del
requerimientos externos banco.
2. Seguridad TI 2.1. Definir comité de seguridad

12.50%
corporativo
2.2. Revisar vulnerabilidades e
12.50%
implementar recomendaciones
2.3. Capacitar personal interno

ante ataques o robo de 12.50%
información Se priorizará la
detección de
2.4. Establecer medidas de control
12.50% irregularidades
para activos de información 16.67%
correspondientes
2.5. Proteger los datos e a seguridad de
12.50%
información información.
2.6. Autorizar perfiles y usuarios 12.50%
2.7. Proteger web interna del

12.50%
banco
2.8. Asignar y controlar los

12.50%
accesos en el negocio
3. Continuidad 3.1. Revisión y control en planes
33.33% Se evaluará la
de contingencia y continuidad
sede central
3.2. Dimensionar recursos
16.67% 33.33% debido a que allí
alternativos se ubica el centro
de cómputo
3.3. Realizar pruebas de
33.33% central.
continuidad de negocio
4. Seguridad Física 4.1. Ubicar centros de cómputo y
20.00%
servidores
4.2. Establecer controles frente a Se profundizará
20.00%
desastres naturales que los
procedimientos
4.3. Eliminar accesos físicos 16.67% 20.00% de control de
seguridad física
4.4. Inspeccionar sistemas de
20.00% estén claramente
identificación y autentificación
documentados.
4.5. Monitorear el ingreso y salida
20.00%
del banco
8
5. Infraestructura Controlar las redes y
5.1. 33.33% Sólo se evaluará
de red y comunicaciones la sede central,
comunicaciones dado que aquí se
Inspeccionar cifrado de redes
5.2. 16.67% 33.33% encuentran los
inalámbricas
agentes de
Proteger los sistemas de servicios de
5.3. 33.33%
mensajería Internet externos.
6. Soporte 6.1. Formatear y eliminar equipos

25.00%
desechados
6.2. Inventariar activos de
25.00%
información
16.67% Sólo se evaluará
6.3. Configurar terminales, puertos
25.00% la sede central.
USB y memorias externas
6.4. Destruir documentos físicos

con información interna o 25.00%
sensible
9
2.4. Programa de Auditoría
OBJETIVO
OBJETIVOS ESPECÍFICOS HORAS RH
GENERAL
1. Gestión y 1.1 Verificar existencia e implementación de

5 RC
Administración políticas
1.2 Verificar el cumplimiento de las normas

5 RC
establecidas
1.3. Verificar que los estándares son los

5 RC
adecuados para cubrir servicio
1.4. Verificar que los procedimientos son los

5 RC
1.5. Verificar que la normativa se encuentre

5 RC
alineada al marco jurídico
1.6 Verificar que presupuesto de seguridad sea el

adecuado para cubrir servicio 5 MP
1.7 Verificar el cumplimiento de contratos 7 MP
1.8 Verificar que las funciones sean las

5 MP
adecuadas para cubrir servicio
1.9 Verificar que el perfil corresponda con las

6 MP
funciones asignadas
1.10 Verificar que las regularizaciones del sector

sean las adecuadas para cubrir servicio 5 JH
1.11 Verificar el resguardo de recursos logísticos

5 JH
del proveedor
1.12 Verificar el cumplimiento de requerimientos de

5 EO
los contratos con el proveedor
2. Seguridad TI 2.1. Verificar que el perfil de cada miembro del

comité de seguridad corporativo sean 5 EO
2.2. Verificar requerimientos legales sobre

5 EO
seguridad de la información
2.3. Verificar vulnerabilidades detectadas en

4 EO
evaluaciones de riesgos
2.4. Verificar que las recomendaciones por 4 JL

vulnerabilidades detectadas sean las
adecuadas
10
2.5. Corroborar que el personal interno se
encuentre adecuadamente capacitado ante 4 JL
ataques o robo de información
2.6. Verificar la correcta implementación de

medidas de control para activos de 5 JL
información
2.7. Verificar la protección de datos e información 6 JL
2.8. Verificar la correcta eliminación de accesos

5 MP
físicos
2.9 Verificar la correcta eliminación de accesos

4 JH
lógicos
2.10 Verificar que los sistemas de identificación y

6 RC
autentificación funcionen correctamente
2.11 Verificar el adecuado resguardo de logs 5 EO
2.12 Corroborar la protección adecuada sistemas

2 EO
de mensajería y firmas electrónicas
2.13 Verificar el correcto funcionamiento del

cambio automático de contraseña por 4 JH
caducidad
2.14 Corroborar la seguridad de conversaciones y

5 JH
videoconferencias
2.15 Corroborar que los perfiles y usuarios cuenten

6 MP
con las autorizaciones correspondientes
2.16 Verificar que la web interna del banco se

5 MP
encuentre correctamente protegida
2.17 Verificar que el flujo de información no

6 JH
presente inconsistencias
2.18 Verificar qué matriz de accesos esté

5 JH
correctamente establecidas
2.19 Corroborar la asignación de accesos 5 EO
3. Continuidad 3.1 Realizar plan para la continuidad 5 JL
3.2 Evaluar el proceso para desarrollar y

6 JH
mantener los planes documentados
3.3 Verificar el desarrollo de los planes para la

4 JH
continuidad
3.4 Establecer parámetros para dimensionar los

4 EO
recursos alternativos
3.5 Realizar pruebas de continuidad de negocio 5 EO
11
3.6 Corregir los datos del sistema documental 5 JL
3.7 Revisar requerimientos de negocio 6 JL
3.8 Implementar nuevos mecanismos de

2 JH
contingencia
3.9 Realizar la actualización del plan de

2 JH
continuidad
4. Seguridad Física 4.1. Realizar diseño de un centro de cómputo 4 RC
4.2 Realizar una evaluación de la configuración

5 RC
del centro de cómputo y servidores
4.3 Validar el acceso a los archivos y programas a

5 MP
los programadores, analistas y operadores
4.4 Realizar plan para las medidas de prevención

4 MP
ante desastres naturales
4.5 Realizar vigilancia en el departamento de

24 EO
centro de cómputo las 24 horas
4.6 Asegurar el control adecuado de bolsos,

3 EO
carteras y mochilas en la entrada al banco
5. Infraestructura de 5.1. Verificar que las redes estén en condiciones

4 EO
red y óptimas
comunicaciones
5.2. Verificar las comunicaciones se encuentren en
5 JH
estado óptimo
5.3. Verificar que las redes inalámbricas se

2 JH
encuentren correctamente cifradas
5.4 Verificar que el funcionamiento de los

servidores sean los adecuados para cubrir 3 RC
servicio
6. Soporte 6.1. Verificar la correcta eliminación de los equipos

5 JH
desechados
6.2. Corroborar el inventariado de los activos de

6 JH
información
6.3. Verificar la correcta configuración de los

5 EO
terminales, puertos USB y memorias externas
6.4. Corroborar la destrucción de los documentos

4 JL
físicos con información interna o sensible
Donde los encargados de auditar son:
● EO: Evelyn Olavarría

● JH: Jean Hernández
● JL: Juan Lucana
12
● MP: Michael Páucar
● RC: Rubén Colán
2.5. Procedimiento aplicado
TÉCNICA DE OBTENCIÓN TIPO DE

# OBJETIVOS ESPECÍFICOS
DE EVIDENCIA EVIDENCIA
1.1 Verificar existencia e implementación de Inspección. Física.
políticas Comprobación. Documental.
1.2 Observación. Física.
Verificar el cumplimiento de las normas
Análisis. Analítica.
establecidas
Encuesta. Testimonial.
1.3. Inspección. Física.
Verificar que los estándares son los
Revisión selectiva. Documental.
Comparación. Analítica.
1.4. Verificar que los procedimientos son los Relevamiento. Documental.
adecuados para cubrir servicio Análisis. Analítica.
1.5. Verificar que la normativa se encuentre
Comprobación. Documental.
alineada al marco jurídico
1.6 Relevamiento. Documental.
Verificar que presupuesto de seguridad
Indagación. Testimonial.
sea el adecuado para cubrir servicio
1.7 Revisión selectiva. Documental.
Verificar el cumplimiento de contratos Observación. Física.
Entrevista. Testimonial.
1.8 Verificar que las funciones sean las Relevamiento. Documental.
adecuadas para cubrir servicio Análisis. Analítica.
1.9 Inspección. Física.
Verificar que el perfil corresponda con las
Entrevista. Testimonial.
funciones asignadas
1.10 Verificar que las regularizaciones del
Relevamiento. Documental.
sector sean las adecuadas para cubrir
servicio
1.11 Verificar el resguardo de recursos
Observación. Física.
logísticos del proveedor
1.12 Verificar el cumplimiento de Revisión selectiva. Documental.
requerimientos de los contratos con el Observación. Física.
proveedor Confirmación. Testimonial.
2.1. Verificar que el perfil de cada miembro del Inspección. Física.
comité de seguridad corporativo sean Entrevista. Testimonial.
adecuados para cubrir servicio Análisis. Analítica.
2.2. Verificar requerimientos legales sobre Relevamiento. Documental.
seguridad de la información Análisis. Analítica.
2.3. Observación. Física.
Verificar vulnerabilidades detectadas en
Rastreo. Documental.
evaluaciones de riesgos
Declaración. Testimonial.
2.4. Verificar que las recomendaciones por Relevamiento. Documental.
13
vulnerabilidades detectadas sean las Análisis. Analítica.
adecuadas Indagación. Testimonial.
2.5. Corroborar que el personal interno se
Cuestionario. Testimonial.
encuentre adecuadamente capacitado
Tabulación. Analítica.
ante ataques o robo de información
2.6. Verificar la correcta implementación de Observación. Física.
medidas de control para activos de Comprobación. Documental.
información Declaración. Testimonial.
2.7. Observación. Física.
Verificar la protección de datos e
información
2.8. Verificar la correcta eliminación de Indagación. Testimonial.
accesos físicos Comprobación. Documental.
2.9 Verificar la correcta eliminación de Indagación. Testimonial.
accesos lógicos Comprobación. Documental.
2.10 Verificar que los sistemas de
identificación y autentificación funcionen
correctamente
2.11 Indagación. Testimonial.
Verificar el adecuado resguardo de logs Comprobación. Documental.
2.12 Corroborar la protección adecuada
sistemas de mensajería y firmas
electrónicas
2.13 Verificar el correcto funcionamiento del
cambio automático de contraseña por
caducidad
2.14 Corroborar la seguridad de Indagación. Testimonial.
conversaciones y videoconferencias Comprobación. Documental.
2.15 Corroborar que los perfiles y usuarios
cuenten con las autorizaciones
Inspección. Física.
correspondientes
2.16 Verificar que la web interna del banco se
encuentre correctamente protegida
2.17 Verificar que el flujo de información no Comprobación. Documental.
presente inconsistencias Análisis. Analítica.
2.18 Verificar qué matriz de accesos esté Comprobación. Documental.
correctamente establecidas Análisis. Analítica.
2.19 Corroborar la asignación de accesos Comprobación. Documental.
Realizar plan para la continuidad
Evaluar el proceso para desarrollar y Observación. Física.
mantener los planes documentados Indagación. Testimonial.
Verificar el desarrollo de los planes para
la continuidad
14
Establecer parámetros para dimensionar
los recursos alternativos
3.5 Realizar pruebas de continuidad de Comprobación. Documental.
negocio Declaración. Testimonial.
Corregir los datos del sistema documental Comprobación. Documental.
Declaración. Testimonial.
Revisar requerimientos de negocio
Implementar nuevos mecanismos de
contingencia
Realizar la actualización del plan de
continuidad
Realizar diseño de un centro de cómputo Comprobación. Documental.
4.2. Realizar una evaluación de la
configuración del centro de cómputo y
servidores
4.3. Validar el acceso a los archivos y
programas a los programadores, analistas
y operadores
Realizar plan para las medidas de
prevención ante desastres naturales
4.5. Realizar vigilancia en el departamento de Comprobación. Documental.
centro de cómputo las 24 horas Indagación. Testimonial.
4.6. Asegurar el control adecuado de bolsos, Comprobación. Documental.
carteras y mochilas en la entrada al banco Inspección. Física.
5.1. Verificar que las redes estén en Inspección. Física.
condiciones óptimas Comprobación. Documental.
5.2. Verificar las comunicaciones se Comprobación. Documental.
encuentren en estado óptimo Inspección. Física.
5.3. Verificar que las redes inalámbricas se Comprobación. Documental.
encuentren correctamente cifradas Inspección. Física.
5.4 Verificar que el funcionamiento de los Inspección. Física.
servidores sean los adecuados para Revisión selectiva. Documental.
cubrir servicio Comparación. Analítica.
6.1. Verificar la correcta eliminación de los Indagación. Testimonial.
equipos desechados Comprobación. Documental.
6.2. Inspección.
Corroborar el inventariado de los activos Comprobación. Física.
de información Rastreo. Documental.
Revisión selectiva.
6.3. Verificar la correcta configuración de los Comprobación. Documental.
15
terminales, puertos USB y memorias
externas
6.4 Corroborar la destrucción de los
documentos físicos con información
interna o sensible
16
3.DETALLES DEL INFORME
3.1. Informe Relativo al Examen
3.1.1. Motivo del Examen
La auditoría realizada a la Gerencia de Informática y, específicamente, a la Oficina

de Seguridad Informática de MiBanco se ha efectuado en cumplimiento a la
verificación del mantenimiento de infraestructura informática, de base de datos y las
aplicaciones que impactan en la seguridad del negocio, pues en el últimos meses se
han registrado una baja disponibilidad del servicio de seguridad de la información en
línea exponiendo información sensible lo cual advierte que no se están siguiendo los
lineamientos establecidos para el aseguramiento de la seguridad de la información.
3.1.2. Objetivos y Naturaleza
La naturaleza del presente informe es sobre una auditoría de la gestión de información, con
el fin de determinar el estado actual de los controles vigentes y proponer recomendaciones
en aquellas actividades que no han sido identificadas en anteriores auditoria y presentan un
grado de riesgo elevado para el negocio.
Objetivo general:
Evaluar el diseño y efectividad de los controles de la Gestión de Seguridad de la

Información, así como el cumplimiento de las normas regulatorias y normativa
interna, considerando además las buenas prácticas, enfatizando en los siguientes
objetivos específicos:
Objetivos específicos:
● Evaluar la efectividad de los controles de acceso preventivos y detectivos sobre

las bases para la explotación de información.
● Evaluar la efectividad de los controles de seguridad sobre la información que es
accedida por personal externo.
● Verificar la existencia de procedimientos efectivos de administración de los
activos de información del Banco.
● Evaluar la efectividad de los controles de acceso sobre los medios removibles
que evitan la fuga de información.
● Comprobar la existencia y efectividad de mecanismos de control que permitan
salvaguardar la información que es transferida entre los sistemas del Banco y
hacia entidades externas.
17
● Corroborar que existen procedimientos para la gestión de incidentes de seguridad
de la información que pudieran afectar al Banco.
● Determinar la existencia de controles de seguridad de la información efectivos en
las estaciones de trabajo (p.e: software instalado, encriptación de laptops, entre
otros).
● Verificar la existencia y aplicación de lineamientos que contribuyan a mejorar la
cultura en del personal en aspectos de seguridad de la información.
● Comprobar la efectividad de controles que permitan salvaguardar la información
existente en medios físicos.
3.1.3. Alcance
El alcance del trabajo comprendió la identificación de los principales riesgos que

afectan la seguridad de información. Se desarrolló un plan de acción que documenta
qué procedimientos se seguirán en una auditoría para constatar que una
organización cumple con las regulaciones internas y externas, a cargo de la
Gerencia de Informática del MiBanco, abarcando el período desde el mes de junio
del año 2019 al mes de mayo del año 2020.
3.1.4. Comunicación de Observaciones
La comunicaciones y observaciones realizadas sobre los hallazgos de problemas

dentro de la Gerencia de Informática de MiBanco (específicamente en la oficina de
Seguridad Informática) se comunicarán a los encargados de las Gerencias de las
divisiones involucradas: División de Riesgo, División de Soporte Centralizado,
División Legal, División de Gestión y Desarrollo Humano; para que posteriormente
realicen a mejora de las divisiones auditadas.
3.2. Informe Relativo a la Entidad Examinada
3.2.1. Antecedentes y Base Legal
En 1998, se fundó la Edpyme Edyficar con la participación de CARE Perú como

accionista mayoritario, una organización internacional de desarrollo sin fines de
lucro. Edyficar inicia operaciones en Lima, Arequipa y La Libertad sobre la base y
experiencia del programa de apoyo crediticio de CARE Perú dirigido a segmentos de
pobladores de menores recursos. En el año 2005, Edyficar participa en la primera
operación a nivel mundial de titularización de cartera para microfinanzas
(BlueOrchard) y en el 2007, consiguió ser la primera empresa micro-financiera no
bancaria en acceder con gran éxito al Mercado de Capitales. En el 2009, Edyficar
18
pasó a ser parte del Grupo CREDICORP al convertirse en subsidiaria del Banco de
Crédito del Perú.
MiBanco inició operaciones en Lima en 1998, sobre la base de la experiencia de

Acción Comunitaria del Perú (ACP), una asociación civil sin fines de lucro con 43
años operando en el sector de la micro y pequeña empresa. En el año 2006, el BID
reconoce a MiBanco con el Premio a la Excelencia en Microfinanzas y en el 2008
gana el Effie de Plata por la campaña "Créditos Aprobados". Además de estos
reconocimientos, MiBanco ganó una calificación Global de Desempeño Social
otorgado por Planet Rating 4+ y en el 2011 obtuvo el grado de inversión BBB con
perspectiva estable otorgado por Standard & Poor's.
A principios del 2014, MiBanco fue adquirido por Edyficar y es en ese momento que
se produjo el gran proceso de fusión entre Financiera Edyficar y MiBanco.
MiBanco se rige principalmente por las siguientes normas legales:
● Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la

Superintendencia de Banca y Seguros (Ley N° 26702).
● Ley General de Sociedades (LEY Nº 26887).
● Ley N° 29733, Ley de Protección de Datos Personales.
● Decreto Supremo N° 003-2013-JUS, que aprueba el Reglamento de la Ley N°
29733.
● Directiva de Seguridad de la Información, aprobada por la Resolución Directoral
N° 019-2013-JUS/DGPDP.
● Directiva para el Tratamiento de datos personales mediante Sistemas de
Videovigilancia, aprobada por la Resolución Directoral N° 02-2020-JUS/
DGTAIPD.
● Resolución Ministerial N° 246-2007-PCM, que aprueba la Norma Técnica
Peruana “NTPISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de
buenas prácticas para la gestión de la seguridad de la información en todas las
entidades integrantes del Sistema Nacional de Informática.
3.2.2. Relación de las Personas comprendidas en las Observaciones
El personal que conforma la plana gerencial involucrada con el Proceso de

Seguridad
de la Información, es el siguiente:
19
NOMBRES Y
N° ÁREA RESPONSABLE CARGO
APELLIDOS
1 División de riesgos Gustavo Morón Gerente de División de Riesgos
Gerente de Servicio de Riesgo Operacional y

2 División de riesgos Walter Huamán
Gestión de Fraudes
3 División de riesgos Pedro Fernández Subgerente de la Seguridad de la Información
4 División de riesgos Mónica Velásquez Subgerente de Riesgo Operativo
División de Soporte
5 Jorge Flores Gerente de División de Soporte Centralizado
Centralizado
6 Yolanda Cuzma Gerente de Área de Sistemas
Centralizado
7 Mary Ann Sueyoshi Gerente de Producción de Sistemas
Centralizado
8 Carlos Arrascue Subgerente de Estructura de TI
Centralizado
9 Israel Bustios Subgerente de Operaciones de Sistemas
Centralizado
10 Edinson Navarro Subgerente de Redes y Comunicaciones
Centralizado
11 Carlos Patrón Gerente de Área de Operaciones
Centralizado
12 Renzo Ruiz Gerente de Seguridad Física
Centralizado
13 División Legal Linda Ávila Gerencia de División Legal
14 División Legal Jorge Sierralta Gerencia de Soporte Legal y Contractual
División de Gestión y
15 Caudia Salas Gerente de División de GDH
Desarrollo Humano
16 Ana María Marky Gerente de Aprendizaje y Capacitación
Desarrollo Humano
17 Gisella Díaz Gerente del Área de Planeamiento GDH
Desarrollo Humano
División de Gestión y Subgerente de Procesos de Pago y

18 Enrique Minaya
Desarrollo Humano Administración GDH
20
3.3. Evaluación realizada
3.3.1. Aspectos destacables
Las operaciones / procesos que se destacan por su correcta ejecución y

funcionamiento son los relacionados a la continuidad e infraestructura de red.
3.3.2. Debilidades encontradas
Las operaciones / procesos que se encuentran con debilidades son los relacionados
a la administración del riesgo, controles operacionales y cumplimiento.
3.3.3. Resumen de las observaciones
A continuación se presenta la tabla con el resumen de las observaciones. Puede

revisar el detalle de cada observación en los Anexos del presente trabajo .
Ítem Observación
En una muestra de 25 instantes de tiempo (ingreso, refrigerio y salida) en la sede de

Aramburú se identificaron 2 casos en los que un colaborador ingresó con una mochila y
1
1 caso en el que se retiró y el personal de seguridad no realizó la inspección de la
misma para verificar si portaba una laptop. (ANEXO 1)
De una muestra de 25 proveedores que nos brindan servicio continuamente, 4

2 ingresaron a la red del Banco y a sus instalaciones sin estar autorizados formalmente
por el área responsable. (ANEXO 2)
De una muestra de 25 colaboradores cesados, se identificó que las tarjetas de

3 proximidad de 5 colaboradores cesados se encuentran activas a la fecha de
evaluación. (ANEXO 3)
Durante los años 2018 y 2019 no se ha ejecutado la actualización del inventario de

4 activos de información, lo que implica que existen vulnerabilidades en los nuevos
activos de información que no han sido identificadas. (ANEXO 4)
Como resultado de la evaluación a los procedimientos de registro y revisión de logs de

los sistemas, no se llevan a cabo revisiones periódicas sobre las operaciones
realizadas en los sistemas a través de las cuentas de los usuarios, a fin de identificar
5
posibles eventos de fraude interno originados por actitudes deshonestas de los
colaboradores que aprovechan fallas en los controles preventivos de los sistemas.
(ANEXO 5)
En relación a la evaluación de riesgos de seguridad de la información necesaria previo

a los cambios implementados en el Banco, identificamos que el despliegue del
proyecto Office 365 inició a mediados del mes de octubre (20 colaboradores con
6
acceso a la plataforma). Sin embargo, la evaluación de riesgos culminó el 18 de
diciembre y se presentará al Comité de Administración de Riesgos el 20 de diciembre
del año 2019. (ANEXO 6)
21
Se identificó 782 (37.65%) dispositivos móviles asignados a colaboradores con el
correo corporativo habilitado, los cuales no cuentan con medidas de seguridad para
proteger la información del Banco. Si bien existe un 62.34% de los dispositivos
7
restantes (1295) asignados al proyecto piloto URPI que se encuentran bajo la
administración de un Mobile Device Manager; actualmente no existen lineamientos
para el uso de los dispositivos en la normativa interna. (ANEXO 7)
En la revisión de los monitoreos programados en el Plan de Monitoreo de la

Subgerencia de Seguridad de la Información se identificó que la revisión de perfiles de
8
usuarios de la base de datos Datawarehouse programadas para los meses de enero y
marzo del presente año se realizaron con un mes de retraso. (ANEXO 8)
Identificamos que no se toma acción sobre los colaboradores que acceden a

9 información del Banco, pero no completaron el curso de capacitación de seguridad de
la información. (ANEXO 9)
El Banco no mantiene una lista de instituciones autorizadas con las que podría
intercambiar información través de los distintos medios de comunicación utilizados
10 (enlaces dedicados, VPN, correo electrónico, internet, entre otros), la misma que
permita realizar monitoreos manuales o a través de herramientas sobre la información
que es transferida desde o hacia el Banco. (ANEXO 10)
3.4. Conclusiones
De acuerdo a los objetivos establecidos para la presente revisión y luego de la
evaluación realizada a los controles, aplicados en el proceso de Seguridad de la
Información, se concluye lo siguiente:
Con relación al objetivo general:
En los controles o en las prácticas adoptadas, fueron observadas debilidades que,

aisladamente o en conjunto exponen el proceso a riesgos que exigen atención y
aplicación de acciones correctivas. Las operaciones / procesos se encuentran con
debilidades en cuanto a la administración del riesgo, controles operacionales y
cumplimiento. Requiere atención inmediata por parte de la Gerencia.
Con relación a los objetivos específicos:
 Se identificaron revisiones sobre los accesos a las bases de datos que no se

realizaron oportunamente de acuerdo a la programación establecida.
 Se identificaron debilidades en los controles de acceso para personal externo.
 Se identificó que no se vienen realizando una gestión efectiva de los activos
de información del Banco.
 Se comprobó que el acceso a través de medios removibles se encuentra
controlado de manera efectiva a través de los controles establecidos.
22
 Se verificó que no existe un control integral de la información restringida que
sale de la red interna del Banco hacia otras entidades.
 Verificamos que existen mecanismos de monitoreo de los incidentes de
seguridad de la información a través de los comités de seguridad de la
información, los cuales se llevan a cabo de manera efectiva.
 Se verificó que los mecanismos de encriptación de estaciones de trabajo
portátiles no se encuentran desplegados para todos los equipos del Banco.
 Se comprobó que los cursos de seguridad de la información impartidos no son
culminados efectivamente por todos los colaboradores del Banco.
 Se identificaron deficiencias en los controles de acceso físico a las oficinas del
Banco y en los controles de ingreso de equipamiento y salida de equipamiento
tecnológico.
3.5. Recomendaciones
Del análisis concluyente de la evaluación realizada se mencionan las siguientes
recomendaciones:
 Se recomienda implementar políticas y lineamientos para la seguridad de la
información (reglas de conducta y procedimientos) según la ISO 27001, para
proteger los activos de información del banco.
 Se recomienda realizar la verificación de las actividades de revisión de
accesos una vez al mes para cumplir con la planificación.
 Se recomienda formalizar los esquemas de autorización para los controles de
acceso de personal externo.
 Se recomienda realizar periódicamente las actividades de gestión descritas
en la Guía para la Gestión y Clasificación de Activos de Información sujeta a
la Norma ISO 27001.
 Se recomienda dar seguimiento a los usuarios que interactúen con medios
removibles en su equipo de trabajo.
 Se recomienda implementar controles integrales con respecto a la
información restringida que sale de la red interna del banco.
 Se recomienda reforzar de forma continua el monitoreo de incidentes de
seguridad de la información a través de los comités de seguridad de la
información.
 Se recomienda realizar un despliegue general para los mecanismos de
encriptación de estaciones de trabajo portátiles para todos los equipos del
banco.
 Se recomienda realizar un control exhaustivo de la culminación por parte de
los colaboradores de los cursos de seguridad de información
 Se recomienda realizar una revisión a detalle de los controles de accesos de
acceso físico, controles de ingreso y salida de equipamiento
 Se recomienda realizar una revisión y control de las deficiencias de diseño y
operación de los controles de seguridad de la información.
23
24
ANEXOS
ANEXO 1
Nº DE OBSERVACIÓN: 1
OBSERVACIÓN REFERIDA A LA GERENCIA DE SEGURIDAD FISICA
1. Sumilla
Falta de inspección de las mochilas o bolsos al ingreso y salida del personal.
2. Condición
Durante la auditoría realizada a la Gerencia de Seguridad Física (G.S.F.) de la

Institución Privada “Mibanco”, para el periodo de revisión, se realizó una muestra de
25 instantes de tiempo (ingreso, refrigerio y salida) en la sede de Aramburú se
identificaron 2 casos en los que un colaborador ingresó con una mochila y 1 caso en
el que se retiró y el personal de seguridad no realizó la inspección de la misma para
verificar si portaba una laptop. Estos casos se muestran a continuación.
INGRESO O
INTERVALO DE
Nº FECHA SALIDA DEL
TIEMPO
PERSONAL
1 02/09/2019 08:05 am a 08:10 am Ingreso
2 19/09/2019 08:00 am a 08:05 am Ingreso
3 20/09/2019 17:45 pm a 17:50 pm Salida
3. Criterio
Desde lo establecido en la Política General de Seguridad de la Información en la

sección ‘5.2.3.1 Seguridad Física’, establece:
a) “Todos los controles de seguridad física serán gestionados a través de la
Subgerencia de Seguridad Física del Banco, los cuales incluyen temas de:
seguridad física en el perímetro, controles físicos de entrada a las
instalaciones de todas las oficinas, protección contra amenazas externas y
ambientales”.
b) “El retiro y/o traslado de computadoras portátiles fuera de las instalaciones
del Banco sólo procederá si cuenta con la autorización respectiva del Gerente
de División o Gerente de Área solicitante”.
la misma que se ha omitido parcialmente por la falta de capacitación del personal de
seguridad.
25
4. Causa
La problemática descrita se debe a la cantidad insuficiente de personal de seguridad

y la falta de capacitación en los intervalos de tiempo donde ingresan o salen el
personal masivamente.
5. Efecto
Esta situación incrementa la posibilidad de pérdida de los activos de información del

Banco el cual asciende a S/. 2500 soles.
6. Recomendación
Se recomienda a la Gerencia General que a través Gerencia de Seguridad Física

reforzar la inspección de los bolsos o mochilas que portan los colaboradores al
ingreso o salidas de las instalaciones del Banco o implementar un detector de
metales en el ingreso de las instalaciones del Banco.
26
ANEXO 2
1. Sumilla
Ingreso de proveedores no autorizado formalmente a las instalaciones de la oficina

principal
2. Condición

25 proveedores que nos brindan servicio continuamente, 4 (16%) ingresaron a la red
del Banco y a sus instalaciones sin estar autorizados formalmente por el área
responsable. Estos casos se muestran a continuación.
ÚLTIMA FECHA DE
Nº ID USUARIO PROVEEDOR
INGRESO A LA RED
1 EM42322237 MDP - Jimmy Rojas Gonzales 18/12/2019
2 EM43619328 Pedro Namuche Machco 19/11/2019
3 EM48146214 Ext - Alexandra Oquendo Jiménez 28/10/2019
4 EM70447434 PWC - Gabriela Nava 25/10/2019
3. Criterio
Desde lo establecido en el Manual de Seguridad Física (MAN-OPE-176), en la

sección ‘5.2.1.5 Personal de servicios de terceros, establece: “La Gerencia que
administra el servicio de personal de terceros, debe solicitar el acceso respectivo
brindando la siguiente información:
• Nombre de la Empresa
• Nombre completo y DNI del trabajador
• Tipo de trabajo a realizar
• Ambientes en los que se realizará el trabajo.
Asimismo, el ingreso del citado personal (dentro del horario de trabajo 08:30 a 18:30
horas) será coordinado con anticipación, comunicando vía correo electrónico a
Recepción, con copia a la Gerencia de Seguridad Física e indicando los siguientes
datos:
• Nombre de la Empresa
• Nombre completo y DNI del trabajador”
27
La misma que se ha omitido por falta de la aprobación para el acceso del personal
por parte de la gerencia de Seguridad Física.
4. Causa
El hecho antes descrito se debe a que las áreas usuarias no informan

oportunamente la necesidad del ingreso de proveedores por lo que la gerencia de
Seguridad Física no aprueba la solicitud de acceso del proveedor.
5. Efecto
Esta situación incrementa la posibilidad de pérdida o daño de los activos de

información del Banco.
6. Recomendación

implementar un control para validar el otorgamiento adecuado del acceso a personal
externo a las instalaciones del Banco, así como el actualizar el manual ingresando
un margen de tiempo para el proceso de solicitud de acceso a terceros.
28
ANEXO 3
1. Sumilla
Tarjeta de proximidad activa de personal cesado.
2. Condición

25 colaboradores cesados, se identificó que las tarjetas de proximidad de los
siguientes colaboradores cesados se encuentran activas desde el mes de setiembre:
FECHA DE
Nº NOMBRE CARGO DIVISIÓN
CESE
Palomino Salazar, Practicante de Riesgo División de
1 18/09/2019
Alonso David de mercado Riesgos
Manta Medina, Practicante de Gestión División de
2 27/08/2019
Christian Gabriele Inmobiliaria Administración
Gonzales Bermejo, Analista de
3 División de GDH 15/08/2019
Enrique Mariano Administración GDH
Adicionalmente se identificaron dos casos en los que la Subgerencia de Procesos de

Pago y Administración GDH no comunicó por correo electrónico el cese de estos
colaboradores por lo que la Subgerencia de Seguridad Física no deshabilitó las
tarjetas de proximidad de estos, sin embargo, la Subgerencia de Procesos de Pago
y Administración GDH informó estos ceses oportunamente por el Jira (proyecto
AYP):
FECHA DE
Nº NOMBRE CARGO DIVISIÓN AYP
CESE
Sandoval Candiotti,
1 Practicante de Canales División de Marketing 03/09/2019 AYP-102742
Emilio Jean Paul
Montes Ignacio,
Analista Senior de
2 Alicia María del División de Riesgos 05/06/2019 AYP-107727
Riesgos Operativos
Milagro
29
3. Criterio
Desde lo establecido en el Manual de Seguridad Física (MAN-OPE-176), en la

sección ‘5.2.1.1 Para el ingreso y permanencia’, establece: “La Subgerencia de
Procesos de Pago y Administración GDH, deberá remitir diariamente a la Gerencia
de Seguridad Física la lista de cese de personal de las sedes, con la finalidad de
deshabilitar las tarjetas de proximidad. El Centro de Control mediante correo
brindará la confirmación de la deshabilitación en el sistema de control de acceso”.
La misma que no se cumplió por parte de las distintas áreas involucradas en el
proceso.
4. Causa
El hecho antes descrito se debe a la negligencia por parte del personal de la

Gerencia de Seguridad Física de no asegurar la correcta deshabilitación del
personal cesado durante. Además, se verificó que la Subgerencia de Procesos de
Pago y Administración GDH no comunico el cese de algunos colaboradores al
Centro de Control.
5. Efecto
Esta situación incrementa la posibilidad de pérdida o daño de los activos de

información del Banco el cual asciende a S/. 2500 soles.
6. Recomendación

implementar un control para validar la deshabilitación de las tarjetas de proximidad
del personal cesado. Además, se recomienda a la Subgerencia de Procesos de
Pago y Administración GDH validar él envió de los correos de comunicación de
personal cesado al Centro de Control.
30
ANEXO 4
OBSERVACIÓN REFERIDA A LA SUBGERENCIA DE SEGURIDAD DE LA

INFORMACIÓN
1. Sumilla
Deficiencias en la identificación y evaluación de los riesgos a los que están

expuestos los activos de información.
2. Condición
Durante la auditoría realizada a la Subgerencia de Seguridad de la Información

(SG.S.I.) de la Institución Privada “Mibanco”, para el periodo de revisión, se
identificaron que los activos de información y evaluación de los riesgos relacionados
a estos se ha identificado lo siguiente:
• Durante los años 2018 y 2019 no se ha ejecutado la actualización del
inventario de activos de información, lo que implica que existen
vulnerabilidades en los nuevos activos de información que no han sido
identificadas.
• Durante los años 2018 y 2019 no se ha ejecutado la evaluación de riesgos
programada anualmente para los activos formales de software, por lo que se
incrementa la posibilidad de no mitigar vulnerabilidades y amenazas
relevantes asociadas a estos activos.
• La ‘Metodología de Evaluación de Riesgos de Seguridad de la Información’
(MET – RIE -019) no contempla la evaluación de riesgos en base a los
activos de información de tipo hardware, documentación física y digital, lo que
incrementa la posibilidad de no mitigar vulnerabilidades relevantes que estén
relacionadas con estos tipos de activos.
• En la 'Política de Gestión de Activos de Información y de Software’ (POL-RIE-
018) no se han definido los lineamientos para el rotulado de la información
digital, lo que no permite que los colaboradores diferencien qué información
se puede compartir y cuál no.
3. Criterio
Como buenas practicas el estándar ISO/IEC 27002:2013 establece:

1. Acápite 8.1.1: “El inventario de activos debería ser exacto, actualizado,
consistente y alineado con otros inventarios”.
2. Acápite 8.2.2: “Los procedimientos para el etiquetado de la información
necesitan cubrir la información y sus activos relacionados en formato físico y
electrónico”.
31
Como buenas practicas el ISO/IEC 27005:2008 establece en el acápite 8.2.1.2: “Un
activo es cualquier cosa que tenga valor para la organización y que, por lo tanto,
requiera protección. Para la identificación de activos debe tenerse en cuenta que un
sistema de información consiste en algo más que hardware y software.
La identificación de activos debe realizarse con un nivel de detalle adecuado que
proporcione información suficiente para la evaluación de riesgos”.
Desde lo establecido en La Metodología de Evaluación de Riesgos de Seguridad de

la Información (MET – RIE -019) establece en la sección 5.1.2: “La identificación,
evaluación y tratamiento de riesgos de seguridad de la información se realiza sólo
para los Activos de Software (APP), según la siguiente frecuencia:
 Anual para los aplicativos formales (APPIT) que soporten procesos
priorizados.
 Cada dos (02) años para los aplicativos informales (APPnoIT) según su
prioridad y para aquellos aplicativos formales (APPIT) que no fueron
priorizados por el criterio anterior”
La misma que se ha omitido por falta de personal para realizar dichas tareas.
4. Causa
La problemática descrita se debió a que la Subgerencia de Seguridad de la

Información no contaba con la capacidad suficiente para poder ejecutar el inventario
de activos de información y por ende la evaluación de riesgos de los activos
inventariados.
5. Efecto
Esta situación incrementa la posibilidad de sufrir ciber ataques sobre los activos de
información que no han sido identificados ni gestionados oportunamente.
6. Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de Riesgos:

a) Incluir en la Política de Gestión de Activos de Información y de Software
(POL-RIE-018) la periodicidad de actualización del inventario de activos y los
lineamientos para el rotulado de la información digital.
b) Actualizar la Metodología de Gestión de Activos de Información y de Software
(MET-RIE023).
c) Actualizar el inventario de activos de información.
d) Actualizar la Metodología de Evaluación de Riesgos de Seguridad de la
Información (MET – RIE -019), considerando la ampliación del alcance de la
evaluación de riesgos incluyendo otros tipos de activos de información.
e) Ejecutar la evaluación de riesgos de seguridad de la información a partir de
los activos de información identificados.
32
ANEXO 5

INFORMACIÓN
1. Sumilla
No se llevan a cabo revisiones periódicas sobre las operaciones realizadas por los
usuarios en los sistemas (logs).
2. Condición

(SG.S.I.) de la Institución Privada “Mibanco”, para el periodo de revisión, como
resultado de la evaluación a los procedimientos de registro y revisión de logs de los
sistemas, se pudo verificar que no se llevan a cabo revisiones periódicas sobre las
operaciones realizadas en los sistemas a través de las cuentas de los usuarios, a fin
de identificar posibles eventos de fraude interno originados por actitudes
deshonestas de los colaboradores que aprovechan fallas en los controles
preventivos de los sistemas. La subgerencia de SI señaló que los logs sí se
almacenan, pero actualmente solo se lleva a cabo una revisión cuando se escala un
requerimiento de la subgerencia de Riesgo Operacional y no en otros casos.
3. Criterio
El estándar para la seguridad de la información ISO/IEC 27002:2011, en la sección

‘10.10.1 Registro de la auditoria', establece: "Los registros de auditoria grabando
actividades de los usuarios, excepciones y eventos de la seguridad de información
deben ser producidos y guardados para un periodo acordado con el fin de que
asistan en investigaciones futuras y en el monitoreo de los controles de acceso",
monitoreo que no existe salvo que provenga de una incidencia del equipo de Riesgo
Operacional.
4. Causa
La situación descrita se debe a que el área de seguridad de la información no tiene

identificado la totalidad los logs de auditoría que se registran en cada uno de los
sistemas, además de no haber adquirido o desarrollado herramientas que permitan
realizar un análisis de dichos logs como un proceso rutinario.
5. Efecto
33
No revisar las operaciones de los usuarios y administradores periódicamente,
posibilita que los eventos que pudieran afectar la seguridad de la información
almacenada en los sistemas no se detecten oportunamente. Esta situación,
incrementa el riesgo de fuga de información, fraude interno/externo, pérdidas
económicas, entre otras consecuencias adversas. Algunos eventos de seguridad
relacionados a lo señalado anteriormente son:
• Cambio no autorizado de parámetros del sistema, como el límite de retiro de
cuentas CTS
• Operaciones realizadas a través de cuentas que corresponden a personal
cesado.
• Inicios de sesión en los sistemas desde dispositivos que no pertenecen a la
red del Banco y no están autorizados.
• Intentos consecutivos de acceso a los sistemas.
• Cambios recurrentes de contraseñas.
6. Recomendación
Se recomienda a la Gerencia General que a través de la Subgerencia de Seguridad

de la información:
a) Identificar claramente los registros de auditoría que se almacenan en los
principales sistemas del Banco.
b) Crear o adquirir herramientas para apoyar el análisis de los logs.
c) Llevar a cabo revisiones periódicas sobre los registros.
d) Reportar a las instancias correspondientes las situaciones identificadas.
34
ANEXO 6

INFORMACIÓN
1. Sumilla
Cambios implementados sin una evaluación efectiva de riesgos de seguridad de la

información.
2. Condición

(SG.S.I.) de la Institución Privada “Mibanco”, para el periodo de revisión, en relación
a la evaluación de riesgos de seguridad de la información necesaria previo a los
cambios implementados en el Banco, se ha identificado que:
• El despliegue del proyecto Office 365 inició a mediados del mes de octubre
(20 colaboradores con acceso a la plataforma). Sin embargo, la evaluación de
riesgos culminó el 18 de diciembre y se presentará al Comité de
Administración de Riesgos el 20 de diciembre de 2019. Cabe resaltar la
Gerencia de Servicio de Riesgo Operativo y Gestión de Fraudes y la Gerencia
de Producción de Sistemas acordaron iniciar el despliegue de la migración
antes de completar la evaluación de riesgos, sin embargo, la situación
descrita no fue comunicada a las instancias correspondientes.
• Las normativas internas del Banco no consideran lineamentos que
establezcan la necesidad de una evaluación de riesgos previa a la
implantación de cambios, iniciativas o proyectos propuestos por las distintas.
3. Criterio
La Política de Evaluación de Riesgos Operacionales (POL-RIE-007) establece en el

acápite ‘5.2.3 Política de Evaluación a Cambios Significativos’: “El objetivo de las
Evaluaciones por Cambios Significativos es asegurar que la empresa conozca y
acepte el perfil de riesgos del nuevo producto o cambio importante antes de su
lanzamiento”
Asimismo, el estándar ISO/IEC 27002:2013 establece en el acápite ‘6.1.5. Seguridad

de la información en la gestión de proyectos’ establece: “La seguridad de la
información se debería integrar al(los) método(s) de gestión de proyectos de la
organización, para asegurar que los riesgos de seguridad de la información se
identifiquen y traten como parte de un proyecto. Esto se aplica generalmente a
cualquier proyecto, independientemente de su naturaleza, por ejemplo, un proyecto
35
para un proceso del negocio principal, TI, gestión de instalaciones y otros procesos
de soporte. Los métodos de gestión de proyectos que se usen deberían requerir
que: a) los objetivos de la seguridad de la información se incluyan en los objetivos
del proyecto) la valoración de los riesgos de seguridad de la información se lleva a
cabo en una etapa temprana del proyecto, para identificar los controles necesarios)
la seguridad de la información sea parte de todas las fases de la metodología del
proyecto aplicada”.
4. Causa
La problemática descrita se debe a la insuficiencia de recursos para llevar a cabo las

evaluaciones de riesgos de seguridad de la información. Otra posible causa de lo
anterior es que el Banco viene priorizando los cambios significativos para las
diversas evaluaciones de riesgos, sin embargo, bajo los criterios establecidos para
determinar si un cambio es significativo o no, podrían no considerase como
significativas.
5. Efecto
La implantación de cambios que no han sido objeto de una evaluación efectiva de

riesgos de seguridad de la información podría originar la exposición de la
información del Banco, trayendo como consecuencia fuga de información, daños
reputacionales, reclamos de clientes, entre otros. Algunos ejemplos de estos
cambios son: la implementación de mesas ágiles (Gerencia de Aplicaciones Ágiles),
las cuales utilizan servicios en la nube (Jira Cloud, Confluence Cloud, servicios en
Azure, Firebase, Analytics, Notifications), la creación del grupo de Facebook
ModoMibanco y de la implementación de Mibot.
6. Recomendación

de la Información lo siguiente:
a) Llevar a cabo evaluaciones de riesgos de seguridad de la información
completas y oportunas antes implantación de cambios.
b) Establecer formalmente y desplegar lineamientos que establezcan la
obligatoriedad de llevar a cabo una evaluación de riesgos de seguridad de la
información para todos los cambios, iniciativas o proyectos del Banco.
c) Evaluar la posibilidad de contratar personal adicional para la Subgerencia de
Seguridad de la Información a fin de realizar efectivamente las evaluaciones
de riesgos de seguridad de la información.
36
ANEXO 7

INFORMACIÓN
1. Sumilla
Falta de medidas de seguridad para el uso de dispositivos móviles.
2. Condición
Se identificó 782 (37.65%) dispositivos móviles asignados a colaboradores con el

correo corporativo habilitado, los cuales no cuentan con medidas de seguridad
(bloqueo y eliminación remota, restricción para instalación de aplicaciones,
antimalware, entre otras) para proteger la información del Banco. Si bien existe un
62.34% de los dispositivos restantes (1295) asignados al proyecto piloto URPI que
se
encuentran bajo la administración de un Mobile Device Manager; actualmente no
existen lineamientos para el uso de los dispositivos en la normativa interna.
En adición a lo señalado, es importante indicar que la seguridad de acceso brindada

por los mecanismos de bloqueo (código o patrón), actualmente son vulnerables
debido a la existencia de herramientas que eliminan la configuración, tales como:
HERRAMIENTAS QUE PERMITEN DESBLOQUEAR DISPOSITIVOS

MÓVILES
HERRAMIENT
Nº DESCRIPCIÓN
A
Permite eliminar bloqueos de patrones,
1 Dr.fone
contraseñas, etc.
Elimina el bloqueo de la pantalla de la interfaz del
2 IU de Bloqueo usuario para tener acceso al resto de la interfaz
del teléfono.
Asimismo, identificamos un total de 34 equipos celulares con información del Banco

que fueron robados entre julio de 2018 y noviembre de 2019.
37
(*) Plana Gerencial: Jefes, Subgerentes y Gerentes
3. Criterio
El estándar ISO/IEC 27002:2013 establece en el acápite 6.2.1:

“Una política y medidas de seguridad de soporte deberían ser adoptadas para
manejar los riesgos introducidos por el uso de dispositivos móviles.
(…) La política de dispositivos móviles debería considerar:
a) el registro de los dispositivos móviles;
b) los requisitos de protección física;
c) la restricción de instalación de software;
d) los requisitos de las versiones de software de los dispositivos móviles y para
la aplicación de parches;
e) la restricción de la conexión a los servicios de información;
f) los controles de acceso;
g) las técnicas criptográficas;
h) la protección contra software malicioso;
i) la desactivación, eliminación o el bloqueo a distancia;
j) las copias de seguridad;
k) el uso de servicios y aplicaciones web”.
4. Causa
La problemática descrita se debe a la restricción presupuestal para registrar todos

los dispositivos móviles en el Mobile Device Manager.
38
5. Efecto
Esta situación incrementa la posibilidad de que la confidencialidad de la información

(plan estratégico, estado de resultados, incidentes reputacionales, entre otros) de la
compañía se vea comprometida ante el robo o pérdida del dispositivo móvil.
6. Recomendación

de la Información:
a) Definir lineamientos de seguro para el uso de los dispositivos móviles.
b) Administrar la totalidad de dispositivos móviles asignados a los colaboradores
desde el Mobile Device Manager.
39
ANEXO 8

INFORMACIÓN
1. Sumilla
Deficiencias en la ejecución de los monitoreos de la Subgerencia de Seguridad de la

Información.
2. Condición
En la revisión de los monitoreos programados en el Plan de Monitoreo de la

Subgerencia de Seguridad de la Información se identificó lo siguiente:
• Las revisiones de perfiles de usuarios de la base de datos Datawarehouse
programadas para los meses de julio y octubre del año 2019 se realizaron
con un mes de retraso.
• Las revisiones de perfiles de usuarios de la base de datos Sandbox
programadas para los meses de julio y octubre del año 2019 y febrero y abril
del año 2020 se realizaron con uno o dos meses de retraso.
Durante los años 2019 y 2020 en las bases de datos Sandbox y Datawarehouse, se
asignaron 50 perfiles que no correspondieron a las funciones que desempeñan los
usuarios y se mantuvieron 27 cuentas activas que pertenecieron a personal cesado.
PERFILES (SANDBOX Y DATAWAREHOUSE) QUE

NO CORRESPONDEN
DATAWAREHOUS
MES - AÑO SANDBOX
E
Feb. - 19 27 -
Abr. - 19 - 12
Jun. - 19 - 8
Ago. - 19 3 -
CUENTAS ACTIVAS QUE

CORRESPONDEN A USUARIOS
CESADOS
SANDBOX DATAWAREHOUSE
26 1
40
3. Criterio
El Manual de Monitoreo y Revisión de Seguridad de la Información (MAN-RIE-161)

establece en la sección ‘4.1.3.3 Control de Accesos’ “la ejecución del monitoreo de
perfiles de usuario Datawarehouse y Sandbox”.
4. Causa
La problemática descrita se debe a que la Subgerencia de Seguridad de la

Información no contaba con la capacidad suficiente para ejecutar oportunamente los
monitoreos y a que la revisión de los resultados de los mismos no es detallada.
5. Efecto
Las deficiencias identificadas podrían traer como consecuencia la fuga de

información a través de accesos no autorizados a la base de datos que no son
detectados oportunamente. La probabilidad de ocurrencia es mayor debido a que
durante el periodo de evaluación en las bases de datos Sandbox y Datawarehouse,
se asignaron 50 perfiles que no correspondieron a las funciones que desempeñan
los usuarios y se mantuvieron 27 cuentas activas que pertenecieron a personal
cesado.
6. Recomendación

de la Información:
a) Generar tickets en el JIRA informando los hallazgos identificados en los
monitoreos y realizar el seguimiento de los mismos hasta comprobar la
resolución de los hallazgos.
b) Reforzar el control oportuno de la revisión de los resultados de los
monitoreos.
41
ANEXO 9

INFORMACIÓN
1. Sumilla
No se realizan actividades de reforzamiento para los colaboradores que no

completaron el curso de seguridad de la información.
2. Condición
Identificamos que no se toma acción sobre los colaboradores que acceden a

información del Banco, pero no completaron el curso de seguridad de la información.
Como consecuencia de la situación descrita anteriormente identificamos que 1214

colaboradores que no culminaron el curso de seguridad de la información en el año
2019 y 439 colaboradores que no lo completaron en el año 2020 accedieron a
información interna del Banco
3. Criterio
El estándar para la seguridad de la información ISO/IEC 27002:2011, en la sección '

5.2.2. Seguridad de Recursos Humanos, establece: "5.2.2.7. Todo colaborador
deberá participar de manera obligatoria en los programas de capacitación y/o
concientización en seguridad de la información. La participación de los contratistas y
terceros que sean convocados también será obligatoria, previa coordinación con las
Áreas responsables su supervisión."
4. Causa
La situación descrita se debe, posiblemente, a la insuficiencia de recursos para

llevar a cabo el seguimiento a los colaboradores que no han completado el curso de
seguridad de la información.
5. Efecto
Esta situación incrementa la posibilidad de que los colaboradores tomen decisiones

que pongan en riesgo la seguridad de la información del Banco.
42
6. Recomendación

de la información, enviar reportes a los líderes de los usuarios que no completen los
cursos de seguridad de la información. Asimismo, evaluar la posibilidad de aplicar
amonestaciones a los colaboradores que no culminen estos cursos. De manera,
alternativa, recomendamos llevar a cabo activaciones presenciales con el objetivo
de generar conciencia en seguridad de la información a los colaboradores.
43
ANEXO 10

INFORMACIÓN
1. Sumilla
No se llevan a cabo monitoreos que permitan identificar información compartida de

manera insegura o con entidades no autorizadas.
2. Condición
El Banco no mantiene una lista de instituciones autorizadas con las que podría
intercambiar información través de los distintos medios de comunicación utilizados
(enlaces dedicados, VPN, correo electrónico, internet, entre otros), la misma que
permita realizar monitoreos manuales o a través de herramientas (p.e: DLP
“Prevencion de perdida de datos”) sobre la información que es transferida desde o
hacia el Banco.
ÁREA INFORMACIÓN ENVIADA PROVEEDOR

Aprendizaje y Datos personales de CALEIDOS MEDIO
Capacitación colaboradores S.A.C.
SEIDOR
Aprendizaje y
Normativas internas del Banco TECHNOLOGIES
Capacitación
PERU S.A.C.
Transporte de caudales CIA. DE SEGURIDAD
Gestión de efectivo
interagencia PROSEGUR S.A.
3. Criterio
El estándar para la seguridad de la información ISO/IEC 27002:2011, en la sección

'10.8 Intercambio de información', establece: "(…) Se deberían realizar los
intercambios sobre la base de acuerdos formales. Se deberían controlar los
intercambios de información y software entre organizaciones, que deberían cumplir
con toda la legislación correspondiente"
Asimismo, en la Política de Gestión de Activos de Información y Software (POL-RIE-

018, Versión 02), en la sección ‘5.2.3.2. De la distribución y envío’, establece: “(…)
Para el envío o distribución de activos con clasificación RESTRINGIDO en formato
digital, se utilizará algún sistema de cifrado para proteger dicha información,
asegurándose que sólo las personas autorizadas puedan descifrar la información”
44
4. Causa
La situación descrita se debe, posiblemente, a que la Subgerencia de Seguridad de

la Información no ha relevado con las áreas usuarias los flujos de información a
través de los cuales se comparte recurrentemente información con otras entidades.
5. Efecto
Como consecuencia de la ausencia de control descrita, identificamos información

confidencial enviada a proveedores, sin que previamente se aplique un proceso de
cifrado. La información fue clasificada como RESTRINGIDO como resultado de la
evaluación de riesgos en proveedores llevada a cabo por el área de Riesgo
Operativo en el año 2019.
6. Recomendación

de la información establecer y formalizar, con el apoyo de las áreas usuarias, la
relación de instituciones con las que el Banco tendría permitido intercambiar
información. Este registro debería incluir:
• Nombre de la institución
• Sentido del flujo de información (envío, recepción, bidireccional)
• Información transferida
• Canal de transferencia
• Medidas de control para garantizar la seguridad de la información, entre otros
datos que se consideren relevantes.
45

Auditoria MiBanco Final v4

Cargado por

Copyright:

Formatos disponibles

Auditoria MiBanco Final v4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria MiBanco Final v4

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE INGENIERÍA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

AUDITORÍA A LA SEGURIDAD DE LA INFORMACIÓN

CURSO : AUDITORIA DE SISTEMAS

PROFESOR : ING. HUMBERTO URBANO ARTEAGA CORTEZ

● Colan Sullon, Rubén Darío (20140227B)

En este trabajo se va a investigar desde el punto de vista de un auditor con respecto

MiBanco es una entidad financiera de capital privado dedicada al sector

El presente trabajo se enfocará principalmente a la Auditoría de Seguridad, donde

2.1. Estructura Organizacional

2.1.1.Misión, visión y objetivos de Mibanco

● Brindar oportunidades de progreso y dar acceso al sistema financiero, con

Objetivos del negocio:

● Ampliar los canales de acceso al cliente.

El organigrama de MiBanco actualizado a cierre de 2019 se muestra a continuación:

Imagen 1. Organigrama de MiBanco. Fuente: MiBanco.

2.2. Procesos objeto de la auditoría

Implicación de la La existencia de un comité o dirección que trate la seguridad a nivel

Presupuesto de inversiones y de gastos en seguridad.

Cumplimiento de Cumplimiento de planes de implantación de recomendaciones por

Gestión de Definición de funciones y asignación de responsabilidades.

Protección frente a hacker, personal interno descontento o usuarios

Compromiso de confidencialidad por parte del personal interno y externo.

Protección de Protección de las personas, de las instalaciones, de los datos, de las

Responsable de los activos, así como el inventario, clasificación y

Protección de los datos y de información, pueden estar en soportes

Control de Usuario con derecho de acceso: a que, cuando y desde donde.

Proceso de autorización de perfiles y de usuarios.

Acceso por Posibles subcontrataciones de servicios por parte de los proveedores.

Accesos físicos o a la red por parte de terceros.

Explotación u Formateo y eliminación de equipos desechados.

Configuración de los terminales, puertos USB, lectora de CD y lectora de

Cambios de contraseña por defecto por efecto de caducidad.

Seguridad de las Tipo de cableado o fibra óptica usado y de protección.

Protección en los sistemas de mensajería y el uso de firma electrónica.

Protección de conversaciones, videoconferencias y de fax.

Protección de la integridad y disponibilidad de la página interna del banco.

Protección frente a terremotos, sabotaje, terrorismo, inundaciones, etc.

Control de entrada y salida de paquetes, bolsos, carteras y mochilas.

Destrucción de datos en papel tanto en su almacenamiento como en el

Copias, Si se han determinado los riesgos y la criticidad de recursos y procesos.

Si están definidos los diferentes equipos de recuperación, si los

La inspección de pruebas realizadas y resultados obtenidos en estas.

2.3. Matriz de Riesgos

PROCESO SUBPROCESO %SP %P COMENTARIO

1.4. Definición y asignación de

2. Seguridad TI 2.1. Definir comité de seguridad

2.3. Capacitar personal interno

2.6. Autorizar perfiles y usuarios 12.50%

2.7. Proteger web interna del

2.8. Asignar y controlar los

6. Soporte 6.1. Formatear y eliminar equipos

6.4. Destruir documentos físicos

1. Gestión y 1.1 Verificar existencia e implementación de

1.2 Verificar el cumplimiento de las normas

1.3. Verificar que los estándares son los

1.4. Verificar que los procedimientos son los

1.5. Verificar que la normativa se encuentre

1.6 Verificar que presupuesto de seguridad sea el