Beruflich Dokumente
Kultur Dokumente
2017 - II
CONTENIDO
1. INTRODUCCIÓN ................................................................................................................... 3
2. ASPECTOS GENERALES..................................................................................................... 4
2.1. Estructura organizacional .............................................................................................. 5
2.2. Matriz de riesgos ........................................................................................................... 7
2.3. Programa de auditoría ................................................................................................. 10
3. INFORME FINAL ................................................................................................................. 12
3.1. Informe relativo al examen .......................................................................................... 12
3.1.1. Motivo del examen .............................................................................................. 12
3.1.2. Naturaleza y objetivos ......................................................................................... 12
3.1.3. Alcance ................................................................................................................ 12
3.1.4. Comunicación de observaciones ........................................................................ 12
3.2. Informe relativo a la entidad examinada ..................................................................... 13
3.2.1. Antecedentes y base legal .................................................................................. 13
3.2.2. Relación de las personas comprendidas en las observaciones ......................... 13
3.3. Observaciones resumidas ........................................................................................... 21
Observación 1. ..................................................................................................................... 21
Observación 2 ...................................................................................................................... 21
3.4. CONCLUSIONES ............................................................................................................. 24
3.5. RECOMENDACIONES ..................................................................................................... 24
ANEXO ........................................................................................................................................ 25
OBSERVACIÓN 1 ................................................................................................................... 25
1. Sumilla ......................................................................................................................... 25
2. Condición ..................................................................................................................... 25
3. Criterio ......................................................................................................................... 25
4. Causa .......................................................................................................................... 25
5. Efecto .......................................................................................................................... 25
6. Recomendación........................................................................................................... 25
OBSERVACIÓN 2 ................................................................................................................... 26
1. Sumilla ......................................................................................................................... 26
2. Condición ..................................................................................................................... 26
3. Criterio ......................................................................................................................... 26
4. Causa .......................................................................................................................... 26
5. Efecto .......................................................................................................................... 26
6. Recomendación........................................................................................................... 26
Página 2 de 26
1. INTRODUCCIÓN
En este trabajo presentaremos la Auditoría Especializada al Sistema de Gestión de Seguridad
de la Información (SGSI) del área de reclamos de la empresa Telefónica, seleccionada por un
grupo de alumnos del curso de Auditoría de Sistemas de la Universidad Nacional de Ingeniería.
Página 3 de 26
2. ASPECTOS GENERALES
Telefónica es una de las mayores compañías de telecomunicaciones del mundo. Está presente
en 21 países y cuenta con más de 350 millones de clientes a nivel mundial. Se apoya en las
mejores redes fijas, móviles y de banda ancha, así como en una oferta innovadora de servicios
digitales, para ser una ‘Onlife Telco’, una compañía que impulse las conexiones de la vida para
que las personas elijan un mundo de posibilidades infinitas. Telefónica ha cumplido más de 22
años creciendo junto con el Perú, opera comercialmente bajo las marcas Movistar y Tuenti, y
tiene 21 millones de accesos.1
La vida digital es la vida, y la tecnología forma parte esencial del ser humano.
Queremos crear, proteger e impulsar las conexiones de la vida para que las personas,
puedan elegir un mundo de posibilidades infinitas.
Telefónica cumplirá sus compromisos a través del posicionamiento público, que defiende los
intereses de los clientes y de los valores de sus marcas:
Confiables
La compañía dispone de la mejor red para ofrecer la seguridad y fiabilidad que los
clientes exigen. El compromiso con los clientes: excelencia en la ejecución, cuidado en
el detalle y la mejor calidad. Si es bueno para el cliente, es bueno para la compañía.
Retadores
Yendo siempre un paso más allá de lo que el cliente espera de la compañía, innovando
para ofrecerle soluciones útiles. El cliente marca las metas.
Abiertos
Trabajar desde dentro como un sistema abierto y colaborativo para trasladar al cliente una
actitud cercana y amable. Buscar siempre ser atentos y claros.
Página 4 de 26
Ilustración 1. Organigrama de Telefónica del Perú S.A
Página 5 de 26
Ilustración 2. Organización de la dirección de sistemas de información (DSI)
Misión DSI
Habilitar los sistemas de manera ágil y flexible para soportar el crecimiento de los
Negocios.
Habilitar la transformación de Telefónica en una Telco Digital.
Habilitar eficiencias en sus procesos y sistemas como parte de la Mejora Continua de
la Calidad de sus productos y servicios.
Visión DSI
Valores DSI
Vocación de servicio
Proactividad
Innovación
Liderazgo tecnológico
Eficiencia
Generación de valor
Página 6 de 26
2.2. MATRIZ DE RIESGOS
Página 7 de 26
Monitorear el Gestión de
desempeño de las cuentas,
10,00%
métricas definidas en Perímetro,networ
los ANS de Seguridad king,etc.)
Soporte a los pases
10,00%
producción
Autenticación
10,00%
Biométrica de Usuarios
Ejecutar y monitorear
los programas de
análisis
de vulnerabilidades en
10,00%
los sistemas
informáticos y
perímetro las redes de
Telefónica.
Gestión de la Operación
del Área de Seguridad 10,00%
de Telefónica
Soporte a la Operación
y Explotación de
10,00%
Información de
Seguridad
16,6
5 MONITOREO
6%
Monitorear procesos 50,00%
Auditoría 50,00%
PROCESOS DE 16,6
6
SOPORTE 6%
Planificación,
mantenimiento y
11,11%
explotación de nuevas
redes
Provisión de servicios 11,11%
Tecnologías de
11,11%
información
Gestión financiera
11,11%
contable
Relaciones con
11,11%
operadores
Gestión de RRHH 11,11%
Gestión de Legal 11,11%
Mejoramiento continuo 11,11%
Aseguramiento y
11,11%
control de ingresos
Página 8 de 26
2. Identificar y evaluar la efectividad de los controles existentes para mitigar el riesgo.
3. Recomendar la priorización de algunos controles de seguridad de información.
Como parte de la evaluación de riesgos de seguridad se han identificado dos (2) riesgos
considerados críticos para el negocio:
1. Telefónica del Perú S.A.A podría ser afectada debido a una posible fuga de información
relacionada a sus clientes, procesos críticos, sistemas, empleados y tecnologías.
2. Telefónica del Perú S.A.A podría ser afectada en la continuidad de sus operaciones
debido a actividades no autorizadas realizadas por algún empleado con excesivos
privilegios.
Página 9 de 26
2.3. PROGRAMA DE AUDITORÍ A
Requerimientos:
-Estructura Organizacional
- Manual de Funciones por Área
10 - Documentación REALIZADO
Análisis:
Evaluación técnica de las estructura organizacional
Requerimientos:
05 - Entrevista con personal de cada área según estructura
organizacional
Análisis:
- Evaluación técnica del perfil profesional versus las funciones
20 establecidas
- Evaluación técnicas del cargo asignado versus los cargos que
figuran en el M.O.F.
-Evaluación de su desempeño, capacitación y condiciones de
trabajo
Resultado
- Informe de evaluación
REALIZADO
Verificar la existencia y cumplimiento de políticas, normas y
30 procedimientos para la seguridad informática. REALIZADO
Página 10 de 26
Verificar la existencia de procedimientos de control para la
60 adquisición de nuevos equipos REALIZADO
Verificar la existencia de criterios escritos sobre la renovación y
70 obsolescencia de ordenadores y de herramientas informáticas REALIZADO
15
Analizar la gestión de mantenimiento del hardware, reporte de
80 fallas, seguimiento, tiempos de respuesta y/o soluciones REALIZADO
Verificar y analizar procedimientos de bajas de ordenadores y de
90 herramientas informáticas REALIZADO
Verificar la existencia de procedimientos de control para la
REALIZADO
100 adquisición de nuevos software
110 Verificar la existencia y actualización del software antivirus REALIZADO
Revisar sistema utilización de licencias (individuales, por paquete
y/o corporativas). Analizar la documentación que se guarda sobre
20 cada herramienta y determinar si la custodia y administración es
centralizada.
120 REALIZADO
Analizar si existen criterios para los cambios de versiones de las
herramientas de software, si se contemplan fechas, formación y/o
apoyo a los usuarios, incluyendo soporte ante problemas
potenciales.
130 REALIZADO
Verificar la existencia de proceso de asignación y control de claves
REALIZADO
130 de acceso
25 140 Verificar la existencia de procedimientos de respaldo REALIZADO
Analizar el histórico de accesos en las distintas aplicaciones y la
150 ejecución de los procedimientos de respaldo REALIZADO
Verificar la existencia de un registro de riesgos de seguridad
REALIZADO
160 detectados
Verificar la existencia de un plan de contingencia para amortiguar
REALIZADO
170 los riesgos de seguridad
Verificar si el plan responde a los riesgos de seguridad detectados
30
180 REALIZADO
Analizar si el plan de contingencia va de acuerdo a los objetivos de
190 la institución. REALIZADO
Verificar si existe reglamentación legal sobre el plan de
200 contingencia y el responsable asignado. REALIZADO
Página 11 de 26
3. INFORME FINAL
Objetivo General:
El objetivo general del servicio es emitir una opinión independiente sobre el estado del Sistema
de Gestión de Seguridad de la Información de Telefónica del Perú S.A.A. incluyendo los
procesos de mantenimiento de equipos de cómputo, desarrollo y mantenimiento de software y
seguridad de información correspondientes al área de Sistemas.
Objetivos Específicos:
3.1.3. ALCANCE
En este trabajo se desea que la evaluación incluya la planificación, implantación y operación
del Sistema de Gestión de Seguridad de la Información en el área de Sistemas. De manera que
se pueda saber el estado de la empresa con respecto si se está realizando en seguimiento de
las normas dadas por la empresa y en el marco legal correspondiente.
Página 12 de 26
3.2. INFORME RELATIVO A L A ENTIDAD EXAMINADA
El Estado peruano controló ambas compañías hasta 1994, año en el que subastaron las
acciones de las mismas en el marco del proceso de privatización. Telefónica Perú Holding
S.A.C., liderada por Telefónica Internacional S.A. de España (TISA), empresa con inversiones
significativas en diversas empresas de telecomunicaciones de América Latina, resultó
ganadora de dicha subasta y adquirió el 35% del capital social de ENTEL Perú S.A. y el 20%
del capital social de CPT, en la que realizó un aporte de capital adicional de US$ 612 millones.
El 16 de mayo de 1994, Telefónica Perú Holding S.A. pagó el precio ofrecido en la subasta,
que representó una inversión total US$ 2,002 millones y pasó a controlar 35% de ambas
compañías.
En el curso normal de sus negocios y operaciones, Telefónica del Perú es parte de diferentes
procesos judiciales, administrativos y arbitrales.
Página 13 de 26
2 Prevención de Ricardo de Analista del área de Reportes y mantenimiento a
reclamos la Torre Prevención de la web de prevención
Reclamos
3 Call Center Karen Asesor de Servicios Realiza atención de
Renquifo Primera Línea clientes.
Según el documento “Alcance del SGSI” los objetivos están relacionados a la preservación de
la confidencialidad, integridad y disponibilidad de la información de los procesos críticos del
negocio. Los procedimientos para garantizar estos objetivos se aplican a todo el personal (Área
de Sistemas, Área de Análisis, Área de TV, Área de Radio, Área de Prensa y Área de Internet),
en caso de que requieran el uso de sistemas y servicios basados en tecnologías de
información.
Página 14 de 26
Mitigar los riesgos que puedan causar un daño a la organización.
Establecer una cultura en seguridad de la información.
Gestionar los recursos en seguridad de la información de tal manera que se realice un
uso adecuado de los activos de información.
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de
control identificados, incluyendo la asignación de recursos, responsabilidades y
prioridades.
Implementar los controles que lleven a los objetivos de control.
Definir un sistema de métricas que permita obtener resultados reproducibles y
comparables para medir la eficacia de los controles o grupos de controles.
Procurar programas de formación y concienciación en relación a la seguridad de la
información a todo el personal.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la
seguridad de la información.
Implantar procedimientos y controles que permitan una rápida detección y respuesta a
los incidentes de seguridad.
Página 15 de 26
aplicar
8.2. Durante el 8.2.1. Responsabilidades de la gerencia SI Por
empleo definir
8.2.2. Conocimiento, educación y SI Por
entrenamiento de la seguridad de definir
información
8.2.3 Proceso Disciplinario SI Por
definir
8.3. Finalización o 8.3.1. Responsabilidades de finalización SI Por
cambio del aplicar
empleo 8.3.2. Retorno de Activo SI Por
aplicar
8.3.3. Retiros de los derechos de acceso SI Por
aplicar
9. Seguridad 9.1. Áreas seguras 9.1.1. Perímetro de seguridad física SI Por
física y del aplicar
entorno 9.1.2. Controles físicos de entrada SI Por
aplicar
9.1.3. Seguridad de oficinas, despachos y SI Por
recursos aplicar
9.1.4. Protección contra amenazas externas SI Por
y ambientales aplicar
9.1.5. El trabajo en las áreas seguras SI Por
definir
9.1.6. Acceso público, áreas de carga y SI Por
descarga aplicar
9.2. Seguridad de 9.2.1. Instalación y protección de equipos SI Por
los equipos aplicar
9.2.2. suministro eléctrico SI Por
aplicar
9.2.3. seguridad del cableado SI Por
aplicar
9.2.4. Mantenimiento de equipos SI Por
aplicar
9.2.5 Seguridad de los equipos fuera de los SI Por
alcances de la organización aplicar
9.2.6. Seguridad en el rehúso o eliminación SI Por
de equipos aplicar
9.2.7. Retiro de la propiedad SI Por
definir
10. Gestión de 10.1. 10.1.1. Documentación de procedimientos SI Por
comunicaciones Procedimientos y operativos aplicar
y operaciones responsabilidades 10.1.2. Gestión de cambios SI Por
de operación aplicar
10.1.3. Segregación de tareas SI Por
aplicar
10.1.4. Separación de los recursos para SI Aplicado
desarrollo y para la producción
10.2. Gestión de 10.2.1. Servicio de entrega SI Por
servicios externos definir
10.2.2. Monitoreo y revisión de los SI Aplicado
servicios externos
10.2.3. Gestionando cambios para los SI Por
servicios externos aplicar
Página 16 de 26
10.3. 10.3.1. Planificación de la capacidad SI Aplicado
Planificación y 10.3.2. Aceptación del sistema SI Por
aceptación del aplicar
sistema
10.4. Protección 10.4.1. Medidas y controles contra software SI Por
contra software malicioso aplicar
malicioso 10.4.2. Medidas y controles contra código SI Por
móvil aplicar
10.5. Gestión de 10.5.1. Recuperación de la información SI Por
respaldo y aplicar
recuperación
10.6. Gestión de 10.6.1. Controles de red SI Aplicado
seguridad en redes 10.6.2. Seguridad en los servicios de redes SI Aplicado
10.7. Utilización 10.7.1. Gestión de medios removibles SI Por
de los medios de aplicar
información 10.7.2. Eliminación de medios SI Por
aplicar
10.7.3. Procedimientos de manipulación de SI Por
la información aplicar
10.7.4. Seguridad de la documentación de SI Por
sistemas aplicar
10.8. Intercambio 10.8.1. Políticas y procedimientos para el SI Por
de información intercambio de información y software aplicar
10.8.2. Acuerdos de Intercambio SI Por
aplicar
10.8.3. Medios físicos en tránsito SI Por
aplicar
10.8.4. Seguridad en la mensajería SI Por
electrónica aplicar
10.8.5. Sistemas de información de SI Por
negocios aplicar
10.9. Servicios de 10.9.1. Comercio electrónico SI Por
correo electrónico aplicar
10.9.2. Transacciones en línea SI Aplicado
10.9.3. Información pública disponible SI Aplicado
10.10. Monitoreo 10.10.1. Registro de la auditoría SI Por
aplicar
10.10.2. Monitoreando el uso del sistema SI Por
aplicar
10.10.3. Protección de la información de SI Por
registro aplicar
10.10.4. Registro de administradores y SI Por
operadores aplicar
10.10.5. Registro de la avería SI Por
aplicar
10.10.6. Sincronización del reloj SI Por
aplicar
11. Control de 11.1. Requisitos 11.1.1. Política de control de accesos SI Por
accesos de negocio para el aplicar
control de accesos
11.2. Gestión de 11.2.1. Registro de usuarios SI Por
acceso de usuarios aplicar
11.2.2. Gestión de privilegios SI Por
Página 17 de 26
aplicar
11.2.3. Gestión de contraseñas de usuario SI Por
aplicar
11.2.4. Revisión de los derechos de acceso SI Por
de usuarios aplicar
11.3. 11.3.1. Uso de contraseñas SI Por
Responsabilidades aplicar
de los usuarios 11.3.2. Equipo informático de usuario SI Por
desatendido aplicar
11.3.3. Política de pantalla y escritorio SI Por
limpio aplicar
11.4. Control de 11.4.1. Política de uso de los servicios de la SI Por
acceso a la red red aplicar
11.4.2. Autentificación de usuario para SI Por
conexiones externas aplicar
11.4.3. Identificación de equipos en la SI Por
redes aplicar
11.4.4. Diagnóstico remoto y configuración SI Por
de protección de puertos aplicar
11.4.5. Segregación en las redes SI Por
aplicar
11.4.6. Control de conexión a las redes SI Por
definir
11.4.7. Control de enrutamiento en la red SI Por
definir
11.5. Control de 11.5.1. Procedimientos de conexión de SI Por
acceso al sistema terminales aplicar
operativo 11.5.2. Identificación y autenticación del SI Por
usuario aplicar
11.5.3. Sistema de gestión de contraseñas SI Por
aplicar
11.5.4. Utilización de facilidades del SI Por
sistema aplicar
11.5.5. Desconexión automática de SI Por
sesiones aplicar
11.5.6. Limitación del tiempo de conexión SI Por
aplicar
11.6. Control de 11.6.1. Restricción de acceso a la SI Por
acceso a las información aplicar
aplicaciones y la 11.6.2. Aislamiento de sistemas sensibles SI Por
información aplicar
11.7. Informática 11.7.1. Información móvil y SI Por
móvil y comunicaciones aplicar
teletrabajo 11.7.2. Teletrabajo NO
12. 12.1. Requisitos 12.1.1. Análisis y especificaciones de los SI Por
Adquisición, de seguridad de requisitos de seguridad aplicar
desarrollo y los sistemas
mantenimiento 12.2. Seguridad 12.2.1. Validación de los datos de entrada SI Por
de sistemas de las aplicar
aplicaciones del 12.2.2. Control del proceso interno SI Por
sistema aplicar
12.2.3. Integridad de mensajes SI Por
aplicar
Página 18 de 26
12.2.4. Validación de los datos de salida SI Por
aplicar
12.3. Controles 12.3.1. Política de uso de los controles SI Por
criptográficos criptográficos definir
12.3.2. Gestión de claves SI Por
aplicar
12.4. Seguridad 12.4.1. Control de software en producción SI Por
de los archivos aplicar
del sistema 12.4.2. Protección de los datos de prueba SI Por
del sistema aplicar
12.4.3. Control de acceso a los códigos de SI Por
programas fuente aplicar
12.5. Seguridad 12.5.1. Procedimientos de control de SI Por
en los procesos de cambios aplicar
desarrollo y 12.5.2. Revisión técnica de los cambios en SI Por
soporte el sistema operativo aplicar
12.5.3. Restricciones en los cambios a los SI Por
paquetes de software aplicar
12.5.4. Fuga de información SI Por
aplicar
12.5.5. Desarrollo externo del software SI Por
aplicar
12.6. Gestión de 12.6.1. Control de las vulnerabilidades SI Por
la vulnerabilidad técnicas aplicar
técnica
13. Gestión de 13.1. Repostando 13.1.1. Reportando los eventos en la SI Por
incidentes en la eventos y seguridad de información aplicar
seguridad de debilidades de la 13.1.2. Reportando debilidades en la SI Por
información seguridad de seguridad de información aplicar
información
13.2. Gestión de 13.2.1. Responsabilidades y SI Por
las mejoras e procedimientos aplicar
incidentes en la 13.2.2. Aprendiendo de los incidentes en la SI Por
seguridad de seguridad de información aplicar
información 13.2.3. Recolección de evidencia SI Por
aplicar
14. Gestión de 14.1. Aspectos de 14.1.1. Incluyendo la seguridad de SI Por
continuidad del la gestión de información en el proceso de gestión de la aplicar
negocio continuidad del continuidad del negocio
negocio 14.1.2. Continuidad del negocio y SI Por
evaluación de riesgos aplicar
14.1.3. Redacción e implantación de planes SI Por
de continuidad que incluyen la seguridad aplicar
de información
14.1.4. Marco de planificación para la SI Por
continuidad del negocio aplicar
14.1.5. Prueba, mantenimiento y SI Por
reevaluación de los planes de continuidad aplicar
15. 15.1. 15.1.1. Identificación de la legislación SI Aplicado
Cumplimiento cumplimiento con aplicable
los requisitos 15.1.2. derechos de propiedad Intelectual SI Por
legales (DPI) aplicar
15.1.3. Salvaguardia de los registros de la SI Por
información aplicar
Página 19 de 26
15.1.4. Protección de los datos y de la SI Por
privacidad de la información personal aplicar
15.1.5. Prevención en el mal uso de los SI Por
recursos de tratamiento de la información aplicar
15.1.6. Regulación de los controles SI Por
criptográficos aplicar
15.2. Revisiones 15.2.1. Conformidad de la política de SI Por
de la política de seguridad y de la conformidad técnica aplicar
seguridad y de los 15.2.2. Comprobación de la conformidad SI Por
estándares técnica aplicar
15.3. 15.3.1. controles de auditorías de sistemas SI Por
Consideraciones aplicar
sobre la auditoría 15.3.2. Protección de las herramientas de SI Por
de sistemas auditoría de sistemas aplicar
Página 20 de 26
3.3. OBSERVACIONES RESUMIDAS
OBSERVACIÓN 1.
Al realizar la auditoria a la Gerencia de Soluciones y Reclamos de la institución “Telefónica del
Perú” para el periodo 2017, se consideró la verificación de una supuesta pérdida de
información obteniéndose lo siguiente:
OBSERVACIÓN 2
Luego de auditar la Gerencia de Soluciones y Reclamos de la institución Telefónica del Perú
S.A.A. en el periodo 2017, se verificó el inapropiado funcionamiento de los computadores
donde los analistas laboraban.
Nivel de madurez:
G
N
C
A
R
A
N
A
R
Y
F
x
I
Página 21 de 26
de TI
2 PO2 Definir la arquitectura de la
x
información
3 PO3 Determinar la dirección
x
tecnológica
4 PO4 Definir los procesos,
organización y relaciones x
de TI
5 PO5 Gestionar la inversión en TI x
6 PO6 Comunicar las aspiraciones
y la dirección de la x
gerencia
7 PO7 Gestionar recursos
x
humanos de TI
8 PO8 Gestionar la calidad x
9 PO9 Evaluar y Gestionar los
x
riesgos de TI
1 PO1 Gestionar proyectos
x
0 0
1 AI1 Identificar soluciones
x
1 automatizadas
ADQUIRIR E IMPLANTAR
Página 22 de 26
3 DS1 Gestionar las operaciones
x
0 3
3 ME1 Monitorizar y evaluar el
MONITORIZAR Y
x
1 desempeño de TI
EVALUAR
Página 23 de 26
3.4. CONCLUSIONES
C2: Se observó que algunos procesos no estaban siguiendo las normativas de seguridad, no
seguían el COBIT.
C3: Teniendo en cuenta las dos observaciones la que se relaciona más con el tema de la
seguridad de la información lo vemos por el lado de la primera observación que no se tenía un
plan de back-up para el respaldo de información delicada de la empresa y que también no se
implementa bien el control de usuarios por la pérdida de información que se tuvo al acceder por
la terminal de un colaborador.
3.5. RECOMENDACIONES
R2:
R3:
Página 24 de 26
ANEXO
OBSERVACIÓN 1
1. SUMILLA
Pérdida de Información por acceso no autorizado.
2. CONDICIÓN
Durante la auditoria a la Gerencia de Soluciones y Reclamos de la institución “Telefónica del
Perú” para el periodo 2017, se pudo verificar la perdida de la base de datos de pagos de
clientes de telefonía fija del mes de marzo-2017, mediante el informe INF-16-DS-2017 de fecha
5 de abril del 2017. En este informe se responsabiliza a Julio Domínguez al no asegurar la
integridad de la base de datos ya que, al dejar usar su terminal a un consultor externo, dicha
base de datos fue borrada o posiblemente robada.
3. CRITERIO
De acuerdo a la ISO 17799, clausula 11, categoría 2, control 2 Gestión de privilegios, que dice:
“Debería restringirse y controlarse el uso y asignación de privilegios”, la cual se ha omitido
porque el consultor tuvo acceso a archivos que no le correspondían a su labor y terminaron en
pérdida o robo de estos.
4. CAUSA
El consultor tuvo acceso a archivos ajenos a su labor y el responsable de estos no tomó en
cuenta las medidas necesarias para asegurar su integridad.
5. EFECTO
Se ha podido verificar que los daños causados a la Institución por esta pérdida de Información
ascienden a $ 5000 dólares.
6. RECOMENDACIÓN
Los accesos de personal temporal solo deben solo deben tener permiso de hacer uso de
archivos que le competan a su labor. Todos los demás archivos deben estar protegidos y no
disponibles para este tipo de usuarios temporales.
Página 25 de 26
OBSERVACIÓN 2
1. SUMILLA
Falla de operación de computadores por falta de plan de mantenimiento y controles.
2. CONDICIÓN
Durante la auditoria a la Gerencia de Soluciones y Reclamos de la institución “Telefónica del
Perú” para el periodo 2017, se pudo verificar la falla de operación de computadores por falta de
plan de mantenimiento del mismo, mediante el informe INF-16-DS-2017 de fecha 5 de abril del
2017. En este informe se responsabiliza a la Gerencia de Soluciones y Reclamos al no contar
con un plan de mantenimiento continuo sobre sus equipos de trabajo.
3. CRITERIO
De acuerdo al NCI 3200 sección 3.10. Controles para las Tecnologías de Información y
Comunicaciones, comentario 5, la organización debe tener controles para el área de soporte
técnico, en el mantenimiento de máquinas (hardware), licencias (software), sistemas
operativos, utilitarios (antivirus) y bases de datos. En el cual, se han omitido los controles para
el mantenimiento del hardware, el cual dificulta la labor de los analistas.
4. CAUSA
Falta de un plan de mantenimiento de computadores usados por los analistas, y falta de
implementación de controles sobre los mismos.
5. EFECTO
Se ha estimado que los daños causados a la institución ascienden a un monto total de $1000.
6. RECOMENDACIÓN
Establecer un plan de mantenimiento continuo sobre los equipos de trabajo (computadores) y
los controles necesarios para validarlo.
Página 26 de 26