UNIVERSIDAD NACIONAL DE INGENIERIA

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

AUDITORÍA DE SISTEMAS (ST-275 V)

“TELEFÓNICA DEL PERÚ”

PROYECTO DE AUDITORÍA DE SISTEMAS EN SEGURIDAD DE
INFORMACIÓN

INTEGRANTES DEL GRUPO

GABINO ALVES, JEAN CARLOS

GARCÍA MIRANDA, ERICK FRANZ
GONZALES CORNEJO, KEVIN FAUSTO
HUACAC HUACAC, FREDDY MARTÍN
MUNDO LÉVANO, CARLA KATTERINE
VARGAS CARDENAS, BRYAN JORDAN

2017 - II
CONTENIDO
1. INTRODUCCIÓN ................................................................................................................... 3
2. ASPECTOS GENERALES..................................................................................................... 4
2.1. Estructura organizacional .............................................................................................. 5
2.2. Matriz de riesgos ........................................................................................................... 7
2.3. Programa de auditoría ................................................................................................. 10
3. INFORME FINAL ................................................................................................................. 12
3.1. Informe relativo al examen .......................................................................................... 12
3.1.1. Motivo del examen .............................................................................................. 12
3.1.2. Naturaleza y objetivos ......................................................................................... 12
3.1.3. Alcance ................................................................................................................ 12
3.1.4. Comunicación de observaciones ........................................................................ 12
3.2. Informe relativo a la entidad examinada ..................................................................... 13
3.2.1. Antecedentes y base legal .................................................................................. 13
3.2.2. Relación de las personas comprendidas en las observaciones ......................... 13
3.3. Observaciones resumidas ........................................................................................... 21
Observación 1. ..................................................................................................................... 21
Observación 2 ...................................................................................................................... 21
3.4. CONCLUSIONES ............................................................................................................. 24
3.5. RECOMENDACIONES ..................................................................................................... 24
ANEXO ........................................................................................................................................ 25
OBSERVACIÓN 1 ................................................................................................................... 25
1. Sumilla ......................................................................................................................... 25
2. Condición ..................................................................................................................... 25
3. Criterio ......................................................................................................................... 25
4. Causa .......................................................................................................................... 25
5. Efecto .......................................................................................................................... 25
6. Recomendación........................................................................................................... 25
OBSERVACIÓN 2 ................................................................................................................... 26
1. Sumilla ......................................................................................................................... 26
2. Condición ..................................................................................................................... 26
3. Criterio ......................................................................................................................... 26
4. Causa .......................................................................................................................... 26
5. Efecto .......................................................................................................................... 26
6. Recomendación........................................................................................................... 26

Página 2 de 26
1. INTRODUCCIÓN
En este trabajo presentaremos la Auditoría Especializada al Sistema de Gestión de Seguridad
de la Información (SGSI) del área de reclamos de la empresa Telefónica, seleccionada por un
grupo de alumnos del curso de Auditoría de Sistemas de la Universidad Nacional de Ingeniería.

En esta auditoria se ha analizado el primer trimestre del 2017.

Página 3 de 26
2. ASPECTOS GENERALES
Telefónica es una de las mayores compañías de telecomunicaciones del mundo. Está presente
en 21 países y cuenta con más de 350 millones de clientes a nivel mundial. Se apoya en las
mejores redes fijas, móviles y de banda ancha, así como en una oferta innovadora de servicios
digitales, para ser una ‘Onlife Telco’, una compañía que impulse las conexiones de la vida para
que las personas elijan un mundo de posibilidades infinitas. Telefónica ha cumplido más de 22
años creciendo junto con el Perú, opera comercialmente bajo las marcas Movistar y Tuenti, y
tiene 21 millones de accesos.1

Misión Telefónica del Perú S.A.A.

 Ser una OnLife Telco

 Para Telefónica ser una OnLife Telco significa darle el poder a las personas para que
ellas puedan elegir cómo mejorar sus vidas.

Visión Telefónica del Perú S.A.A.

 La vida digital es la vida, y la tecnología forma parte esencial del ser humano.
Queremos crear, proteger e impulsar las conexiones de la vida para que las personas,
puedan elegir un mundo de posibilidades infinitas.

Valores Telefónica del Perú S.A.A.

Telefónica cumplirá sus compromisos a través del posicionamiento público, que defiende los
intereses de los clientes y de los valores de sus marcas:

 Confiables
La compañía dispone de la mejor red para ofrecer la seguridad y fiabilidad que los
clientes exigen. El compromiso con los clientes: excelencia en la ejecución, cuidado en
el detalle y la mejor calidad. Si es bueno para el cliente, es bueno para la compañía.
 Retadores
Yendo siempre un paso más allá de lo que el cliente espera de la compañía, innovando
para ofrecerle soluciones útiles. El cliente marca las metas.
 Abiertos

Trabajar desde dentro como un sistema abierto y colaborativo para trasladar al cliente una
actitud cercana y amable. Buscar siempre ser atentos y claros.

Organigrama de Telefónica del Perú S.A.A.

Al 31 de diciembre de 2016, el Directorio estaba integrado tal y como lo recompusiera la Junta

Especial de Accionistas de Clase B mediante acuerdo de fecha 24 de marzo de 2015:

o Javier Manzanares Gutiérrez (Presidente)

o Luis Javier Bastida Ibargüen
o Eduardo Caride
o Alfonso Ferrari Herrero
o Gonzalo Hinojosa Fernández de Angulo

1 (Telefónica del Perú S.A.A., 2017)

Página 4 de 26
 Ilustración 1. Organigrama de Telefónica del Perú S.A

Fuente: Telefónica del Perú S.A.A.

2.1. ESTRUCTURA ORGANIZACIONAL

Para el primer trimestre del 2017, la Dirección de Sistemas de la Información (DSI) en

Telefónica del Perú, se encontraba liderada por Marco Vidal en su papel de Director General de
la DSI, y esta dirección se encuentra soportada por cinco gerencias:

 Gestión de Cliente Interno

 Desarrollo de Sistemas
 Producción TI
 Gobierno, Arquitectura y Estrategia
 Inteligencia de Negocio

Página 5 de 26
 Ilustración 2. Organización de la dirección de sistemas de información (DSI)

Fuente: Telefónica del Perú S.A.A.

Misión DSI

 Habilitar los sistemas de manera ágil y flexible para soportar el crecimiento de los
Negocios.
 Habilitar la transformación de Telefónica en una Telco Digital.
 Habilitar eficiencias en sus procesos y sistemas como parte de la Mejora Continua de
la Calidad de sus productos y servicios.

Visión DSI

 Ser un Agente de Cambio hacia una Telco Digital.

 Habilitar procesos y facilitar la creación de nuevos productos y servicios.
 Entregar una experiencia al cliente cada vez mejor.

Valores DSI

 Vocación de servicio
 Proactividad
 Innovación
 Liderazgo tecnológico
 Eficiencia
 Generación de valor

Página 6 de 26
 2.2. MATRIZ DE RIESGOS

Los riesgos encontrados en la empresa Telefónica del Perú S.A.A. son:

Priori %Proc %Subpr

Proceso TIC Sub-Proceso Comentario
dad eso oceso
16,6
1 PLANEACIÓN
6%
Administrar las
33,33%
inversiones en TI
Administrar proyectos 33,33%
Administrar calidad 33,33%
GESTIÓN DE 16,6
2
REQUERIMIENTOS DE IT 6%
Automatización 20,00%
Adquirir y mantener
software de 20,00%
aplicaciones
Adquirir y mantener
arquitectura 20,00%
tecnológica
Desarrollar y mantener
20,00%
procedimientos
Administrar cambios 20,00%
PROCESOS DE 16,6
3
OPERACIÓN 6%
Administrar la
14,28%
información
Administrar las
14,28%
instalaciones
Administrar la
14,28%
operación
Gestión Ventas y
14,28%
marketing
Gestión Facturación y
14,28%
distribución
Gestión Recaudación y
14,28%
cobranzas
Gestión Atención al
14,28%
cliente
SEGURIDAD DE 16,6
4
INFORMACIÓN 6%
Gestión de los En sistemas de
requerimientos de Telefónica,
accesos (altas, 10,00% STC400, ATIS,
modificaciones y bajas SILICOM, entre
de usuarios y perfiles) otros.
Norma Corporativa de
10,00%
Seguridad Información
Estándares SOX 10,00%
ISO27000 10,00%

Página 7 de 26
 Monitorear el Gestión de
desempeño de las cuentas,
10,00%
métricas definidas en Perímetro,networ
los ANS de Seguridad king,etc.)
Soporte a los pases
10,00%
producción
Autenticación
10,00%
Biométrica de Usuarios
Ejecutar y monitorear
los programas de
análisis
de vulnerabilidades en
10,00%
los sistemas
informáticos y
perímetro las redes de
Telefónica.
Gestión de la Operación
del Área de Seguridad 10,00%
de Telefónica
Soporte a la Operación
y Explotación de
10,00%
Información de
Seguridad
16,6
5 MONITOREO
6%
Monitorear procesos 50,00%
Auditoría 50,00%
PROCESOS DE 16,6
6
SOPORTE 6%
Planificación,
mantenimiento y
11,11%
explotación de nuevas
redes
Provisión de servicios 11,11%
Tecnologías de
11,11%
información
Gestión financiera
11,11%
contable
Relaciones con
11,11%
operadores
Gestión de RRHH 11,11%
Gestión de Legal 11,11%
Mejoramiento continuo 11,11%
Aseguramiento y
11,11%
control de ingresos

Los objetivos de la evaluación de riesgos son:

1. Documentar los posibles eventos, los medios y factores de riesgos de seguridad de

información.

Página 8 de 26
 2. Identificar y evaluar la efectividad de los controles existentes para mitigar el riesgo.
3. Recomendar la priorización de algunos controles de seguridad de información.

Como parte de la evaluación de riesgos de seguridad se han identificado dos (2) riesgos
considerados críticos para el negocio:

1. Telefónica del Perú S.A.A podría ser afectada debido a una posible fuga de información
relacionada a sus clientes, procesos críticos, sistemas, empleados y tecnologías.
2. Telefónica del Perú S.A.A podría ser afectada en la continuidad de sus operaciones
debido a actividades no autorizadas realizadas por algún empleado con excesivos
privilegios.

Listado de Riesgos: Parámetros de Valoración Global y Prioridad:

Columna Parámetro Valor

Valoración Global del Riesgo Ponderación Alcance 0,2
Ponderación Tiempo 0,4
Ponderación Costo 0,0
Ponderación Calidad 0,2
Ponderación Gestión 0,2
Prioridad Umbral Prioridad Baja 0,0
Umbral Prioridad Media 0,4
Umbral Prioridad Alta 0,7

Página 9 de 26
 2.3. PROGRAMA DE AUDITORÍ A

05 Evaluar la estructura organizacional encargada de la administración de la informática

10 Verificar la existencia y cumplimiento de políticas, normas y procedimientos de seguridad

informática

15 Evaluar la eficiencia de la gestión de la seguridad de Hardware

20 Evaluar la eficiencia de la gestión de la seguridad del Software

25 Evaluar la gestión de seguridad

30 Analizar plan de contingencias

COD COD DET DESCRIPCIÓN ESTADO

Analizar estructura organizativa para esta gestión

Requerimientos:
-Estructura Organizacional
- Manual de Funciones por Área
10 - Documentación REALIZADO

Análisis:
Evaluación técnica de las estructura organizacional

Definir las funciones y responsabilidades de los distintos puestos

de trabajo

Requerimientos:
05 - Entrevista con personal de cada área según estructura
organizacional

Análisis:
- Evaluación técnica del perfil profesional versus las funciones
20 establecidas
- Evaluación técnicas del cargo asignado versus los cargos que
figuran en el M.O.F.
-Evaluación de su desempeño, capacitación y condiciones de
trabajo

Resultado
- Informe de evaluación

REALIZADO
Verificar la existencia y cumplimiento de políticas, normas y
30 procedimientos para la seguridad informática. REALIZADO

Analizar si las políticas, normas y procedimientos van de acuerdo a

10 40 los objetivos de la institución. REALIZADO
Verificar si existe reglamentación legal sobre la protección de la
50 información y el responsable asignado. REALIZADO

Página 10 de 26
 Verificar la existencia de procedimientos de control para la
60 adquisición de nuevos equipos REALIZADO
Verificar la existencia de criterios escritos sobre la renovación y
70 obsolescencia de ordenadores y de herramientas informáticas REALIZADO
15
Analizar la gestión de mantenimiento del hardware, reporte de
80 fallas, seguimiento, tiempos de respuesta y/o soluciones REALIZADO
Verificar y analizar procedimientos de bajas de ordenadores y de
90 herramientas informáticas REALIZADO
Verificar la existencia de procedimientos de control para la
REALIZADO
100 adquisición de nuevos software
110 Verificar la existencia y actualización del software antivirus REALIZADO
Revisar sistema utilización de licencias (individuales, por paquete
y/o corporativas). Analizar la documentación que se guarda sobre
20 cada herramienta y determinar si la custodia y administración es
centralizada.
120 REALIZADO
Analizar si existen criterios para los cambios de versiones de las
herramientas de software, si se contemplan fechas, formación y/o
apoyo a los usuarios, incluyendo soporte ante problemas
potenciales.
130 REALIZADO
Verificar la existencia de proceso de asignación y control de claves
REALIZADO
130 de acceso
25 140 Verificar la existencia de procedimientos de respaldo REALIZADO
Analizar el histórico de accesos en las distintas aplicaciones y la
150 ejecución de los procedimientos de respaldo REALIZADO
Verificar la existencia de un registro de riesgos de seguridad
REALIZADO
160 detectados
Verificar la existencia de un plan de contingencia para amortiguar
REALIZADO
170 los riesgos de seguridad
Verificar si el plan responde a los riesgos de seguridad detectados
30
180 REALIZADO
Analizar si el plan de contingencia va de acuerdo a los objetivos de
190 la institución. REALIZADO
Verificar si existe reglamentación legal sobre el plan de
200 contingencia y el responsable asignado. REALIZADO

Página 11 de 26
3. INFORME FINAL

3.1. INFORME RELATIVO AL EXAMEN

3.1.1. MOTIVO DEL EXAMEN

La auditoría especializada al Sistema de Gestión de Seguridad de la Información (SGSI) se ha
realizado según la programación anual de auditoría para el primer trimestre del año 2017. La
revisión incluye técnicas de auditoría y marcos de control internacionalmente aceptados.

3.1.2. NATURALEZA Y OBJETIVOS

Naturaleza:

La presente auditoria está enfocada a la Gestión de Seguridad de la Información.

Objetivo General:

El objetivo general del servicio es emitir una opinión independiente sobre el estado del Sistema
de Gestión de Seguridad de la Información de Telefónica del Perú S.A.A. incluyendo los
procesos de mantenimiento de equipos de cómputo, desarrollo y mantenimiento de software y
seguridad de información correspondientes al área de Sistemas.

Objetivos Específicos:

OE1: Validar el cumplimiento de los procesos de mantenimiento de equipos de cómputo,

desarrollo y mantenimiento de software del área de Sistemas.

OE2: Validar el cumplimiento de los procesos de seguridad de la información del área de

Sistemas.

OE3: Verificar el cumplimiento de las normas de la empresa y el marco legal correspondiente a

la gestión de la seguridad de la información.

3.1.3. ALCANCE
En este trabajo se desea que la evaluación incluya la planificación, implantación y operación
del Sistema de Gestión de Seguridad de la Información en el área de Sistemas. De manera que
se pueda saber el estado de la empresa con respecto si se está realizando en seguimiento de
las normas dadas por la empresa y en el marco legal correspondiente.

3.1.4. COMUNICACIÓN DE OBSERVACIONES

Todas las observaciones que se realicen en la auditoría, se presentará a Marco Vidal (Director
de Sistemas de Información de Telefónica del Perú S.A.A) mediante un informe final escrito, el
cuál detalla las observaciones descritas por el equipo auditor, luego de la verificación y análisis
a toda la información recabada proveniente de la organización.

Página 12 de 26
 3.2. INFORME RELATIVO A L A ENTIDAD EXAMINADA

3.2.1. ANTECEDENTES Y BASE LEGAL

Telefónica del Perú se constituyó en la ciudad de Lima mediante escritura pública del 25 de
junio de 1920, con la denominación de Compañía Peruana de Teléfonos Limitada, para prestar
servicios de telefonía local. Posteriormente adoptó la forma de sociedad anónima y la
denominación de Compañía Peruana de Teléfonos S.A. (CPT). Por su parte, en 1969 se creó la
Empresa Nacional de Telecomunicaciones S.A. (ENTEL Perú) como la compañía encargada de
prestar servicios de telefonía local fuera de Lima y los servicios de larga distancia nacional e
internacional.

El Estado peruano controló ambas compañías hasta 1994, año en el que subastaron las
acciones de las mismas en el marco del proceso de privatización. Telefónica Perú Holding
S.A.C., liderada por Telefónica Internacional S.A. de España (TISA), empresa con inversiones
significativas en diversas empresas de telecomunicaciones de América Latina, resultó
ganadora de dicha subasta y adquirió el 35% del capital social de ENTEL Perú S.A. y el 20%
del capital social de CPT, en la que realizó un aporte de capital adicional de US$ 612 millones.
El 16 de mayo de 1994, Telefónica Perú Holding S.A. pagó el precio ofrecido en la subasta,
que representó una inversión total US$ 2,002 millones y pasó a controlar 35% de ambas
compañías.

El 31 de diciembre de 1994, CPT absorbió en un proceso de fusión a ENTEL Perú y, en

adecuación a la Ley General de Sociedades, el 9 de marzo de 1998 Telefónica del Perú adoptó
la denominación de Telefónica del Perú S.A.A., la que conserva a la fecha.

En el curso normal de sus negocios y operaciones, Telefónica del Perú es parte de diferentes
procesos judiciales, administrativos y arbitrales.

Se estima que el importe total demandado/pretendido de los procedimientos y procesos, sin

calificar su razonabilidad ni estimar su probabilidad de ocurrencia, en aproximadamente S/
11,357,989,849 respecto de los cuales Telefónica del Perú ha realizado provisiones por S/
2,279,807,248 actualizado al 31 de diciembre de 2016.

En opinión de la administración de Telefónica del Perú y de sus asesores legales, existen

razonablemente argumentos jurídicos para estimar que la mayoría de los procesos y
procedimientos podrían resolverse en términos favorables para la compañía, por lo que el
resultado individual de los mismos no debería tener un impacto significativo o material en el
negocio o en los resultados de la operación de la compañía.

3.2.2. RELACIÓN DE LAS PERSONAS COMPRENDIDAS EN LAS

OBSERVACIONES
Durante la auditoría se entrevistaron a las siguientes personas:

N° Área Nombre Cargo Actividad

responsable
1 Prevención de María Suyo Analista del área de Realiza actividades de
reclamos Prevención de negocio
Reclamos

Página 13 de 26
2 Prevención de Ricardo de Analista del área de Reportes y mantenimiento a
reclamos la Torre Prevención de la web de prevención
Reclamos
3 Call Center Karen Asesor de Servicios Realiza atención de
Renquifo Primera Línea clientes.

Este trabajo ofrece recomendaciones para realizar la gestión de la seguridad de la información

que pueden utilizarse por los responsables de iniciar, implantar o mantener y mejorar la
seguridad en una organización. Persigue proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la
seguridad.

Identificación de objetivos del SGSI

Según el documento “Alcance del SGSI” los objetivos están relacionados a la preservación de
la confidencialidad, integridad y disponibilidad de la información de los procesos críticos del
negocio. Los procedimientos para garantizar estos objetivos se aplican a todo el personal (Área
de Sistemas, Área de Análisis, Área de TV, Área de Radio, Área de Prensa y Área de Internet),
en caso de que requieran el uso de sistemas y servicios basados en tecnologías de
información.

La seguridad de la información, según ISO 27001, consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base
sobre la que se cimienta todo el edificio de la seguridad de la información:

 Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de
la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer

uso de un proceso sistemático, documentado y conocido por toda la organización, desde un
enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Objetivos específicos del SGSI:

Página 14 de 26
  Mitigar los riesgos que puedan causar un daño a la organización.
 Establecer una cultura en seguridad de la información.
 Gestionar los recursos en seguridad de la información de tal manera que se realice un
uso adecuado de los activos de información.
 Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
 Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de
control identificados, incluyendo la asignación de recursos, responsabilidades y
prioridades.
 Implementar los controles que lleven a los objetivos de control.
 Definir un sistema de métricas que permita obtener resultados reproducibles y
comparables para medir la eficacia de los controles o grupos de controles.
 Procurar programas de formación y concienciación en relación a la seguridad de la
información a todo el personal.
 Gestionar las operaciones del SGSI.
 Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la
seguridad de la información.
 Implantar procedimientos y controles que permitan una rápida detección y respuesta a
los incidentes de seguridad.

Selección de controles a evaluar

A continuación se muestran los objetivos de control seleccionados en el documento

“Declaración de Aplicabilidad” del Sistema de Gestión de Seguridad de la Información de
Telefónica del Perú S.A.A. , los mismos que serán parte de la revisión.

7. Clasificación 7.1. 7.1.1. Inventario de activos SI Por

y control de Responsalidad aplicar
activos sobre los Activos 7.1.2. Propiedad de los activos SI Por
definir
7.1.3. Uso adecuado de los activos SI Por
aplicar
7.2. Clasificación 7.2.1. Guías de clasificación SI Por
de la información aplicar
7.2.2. Marcado y tratamiento de la SI Por
información definir
8. Seguridad en 8.1. Seguridad 8.1.1. Inclusión de la seguridad en las SI Por
recursos antes de empleo 1 Responsabilidades y Funciones Laborales aplicar
humanos 8.1.2. Selección y política de seguridad SI Por
aplicar
8.1.3. Acuerdos de confidencialidad SI Por

Página 15 de 26
 aplicar
8.2. Durante el 8.2.1. Responsabilidades de la gerencia SI Por
empleo definir
8.2.2. Conocimiento, educación y SI Por
entrenamiento de la seguridad de definir
información
8.2.3 Proceso Disciplinario SI Por
definir
8.3. Finalización o 8.3.1. Responsabilidades de finalización SI Por
cambio del aplicar
empleo 8.3.2. Retorno de Activo SI Por
aplicar
8.3.3. Retiros de los derechos de acceso SI Por
aplicar
9. Seguridad 9.1. Áreas seguras 9.1.1. Perímetro de seguridad física SI Por
física y del aplicar
entorno 9.1.2. Controles físicos de entrada SI Por
aplicar
9.1.3. Seguridad de oficinas, despachos y SI Por
recursos aplicar
9.1.4. Protección contra amenazas externas SI Por
y ambientales aplicar
9.1.5. El trabajo en las áreas seguras SI Por
definir
9.1.6. Acceso público, áreas de carga y SI Por
descarga aplicar
9.2. Seguridad de 9.2.1. Instalación y protección de equipos SI Por
los equipos aplicar
9.2.2. suministro eléctrico SI Por
aplicar
9.2.3. seguridad del cableado SI Por
aplicar
9.2.4. Mantenimiento de equipos SI Por
aplicar
9.2.5 Seguridad de los equipos fuera de los SI Por
alcances de la organización aplicar
9.2.6. Seguridad en el rehúso o eliminación SI Por
de equipos aplicar
9.2.7. Retiro de la propiedad SI Por
definir
10. Gestión de 10.1. 10.1.1. Documentación de procedimientos SI Por
comunicaciones Procedimientos y operativos aplicar
y operaciones responsabilidades 10.1.2. Gestión de cambios SI Por
de operación aplicar
10.1.3. Segregación de tareas SI Por
aplicar
10.1.4. Separación de los recursos para SI Aplicado
desarrollo y para la producción
10.2. Gestión de 10.2.1. Servicio de entrega SI Por
servicios externos definir
10.2.2. Monitoreo y revisión de los SI Aplicado
servicios externos
10.2.3. Gestionando cambios para los SI Por
servicios externos aplicar

Página 16 de 26
 10.3. 10.3.1. Planificación de la capacidad SI Aplicado
Planificación y 10.3.2. Aceptación del sistema SI Por
aceptación del aplicar
sistema
10.4. Protección 10.4.1. Medidas y controles contra software SI Por
contra software malicioso aplicar
malicioso 10.4.2. Medidas y controles contra código SI Por
móvil aplicar
10.5. Gestión de 10.5.1. Recuperación de la información SI Por
respaldo y aplicar
recuperación
10.6. Gestión de 10.6.1. Controles de red SI Aplicado
seguridad en redes 10.6.2. Seguridad en los servicios de redes SI Aplicado
10.7. Utilización 10.7.1. Gestión de medios removibles SI Por
de los medios de aplicar
información 10.7.2. Eliminación de medios SI Por
aplicar
10.7.3. Procedimientos de manipulación de SI Por
la información aplicar
10.7.4. Seguridad de la documentación de SI Por
sistemas aplicar
10.8. Intercambio 10.8.1. Políticas y procedimientos para el SI Por
de información intercambio de información y software aplicar
10.8.2. Acuerdos de Intercambio SI Por
aplicar
10.8.3. Medios físicos en tránsito SI Por
aplicar
10.8.4. Seguridad en la mensajería SI Por
electrónica aplicar
10.8.5. Sistemas de información de SI Por
negocios aplicar
10.9. Servicios de 10.9.1. Comercio electrónico SI Por
correo electrónico aplicar
10.9.2. Transacciones en línea SI Aplicado
10.9.3. Información pública disponible SI Aplicado
10.10. Monitoreo 10.10.1. Registro de la auditoría SI Por
aplicar
10.10.2. Monitoreando el uso del sistema SI Por
aplicar
10.10.3. Protección de la información de SI Por
registro aplicar
10.10.4. Registro de administradores y SI Por
operadores aplicar
10.10.5. Registro de la avería SI Por
aplicar
10.10.6. Sincronización del reloj SI Por
aplicar
11. Control de 11.1. Requisitos 11.1.1. Política de control de accesos SI Por
accesos de negocio para el aplicar
control de accesos
11.2. Gestión de 11.2.1. Registro de usuarios SI Por
acceso de usuarios aplicar
11.2.2. Gestión de privilegios SI Por

Página 17 de 26
 aplicar
11.2.3. Gestión de contraseñas de usuario SI Por
aplicar
11.2.4. Revisión de los derechos de acceso SI Por
de usuarios aplicar
11.3. 11.3.1. Uso de contraseñas SI Por
Responsabilidades aplicar
de los usuarios 11.3.2. Equipo informático de usuario SI Por
desatendido aplicar
11.3.3. Política de pantalla y escritorio SI Por
limpio aplicar
11.4. Control de 11.4.1. Política de uso de los servicios de la SI Por
acceso a la red red aplicar
11.4.2. Autentificación de usuario para SI Por
conexiones externas aplicar
11.4.3. Identificación de equipos en la SI Por
redes aplicar
11.4.4. Diagnóstico remoto y configuración SI Por
de protección de puertos aplicar
11.4.5. Segregación en las redes SI Por
aplicar
11.4.6. Control de conexión a las redes SI Por
definir
11.4.7. Control de enrutamiento en la red SI Por
definir
11.5. Control de 11.5.1. Procedimientos de conexión de SI Por
acceso al sistema terminales aplicar
operativo 11.5.2. Identificación y autenticación del SI Por
usuario aplicar
11.5.3. Sistema de gestión de contraseñas SI Por
aplicar
11.5.4. Utilización de facilidades del SI Por
sistema aplicar
11.5.5. Desconexión automática de SI Por
sesiones aplicar
11.5.6. Limitación del tiempo de conexión SI Por
aplicar
11.6. Control de 11.6.1. Restricción de acceso a la SI Por
acceso a las información aplicar
aplicaciones y la 11.6.2. Aislamiento de sistemas sensibles SI Por
información aplicar
11.7. Informática 11.7.1. Información móvil y SI Por
móvil y comunicaciones aplicar
teletrabajo 11.7.2. Teletrabajo NO
12. 12.1. Requisitos 12.1.1. Análisis y especificaciones de los SI Por
Adquisición, de seguridad de requisitos de seguridad aplicar
desarrollo y los sistemas
mantenimiento 12.2. Seguridad 12.2.1. Validación de los datos de entrada SI Por
de sistemas de las aplicar
aplicaciones del 12.2.2. Control del proceso interno SI Por
sistema aplicar
12.2.3. Integridad de mensajes SI Por
aplicar

Página 18 de 26
 12.2.4. Validación de los datos de salida SI Por
aplicar
12.3. Controles 12.3.1. Política de uso de los controles SI Por
criptográficos criptográficos definir
12.3.2. Gestión de claves SI Por
aplicar
12.4. Seguridad 12.4.1. Control de software en producción SI Por
de los archivos aplicar
del sistema 12.4.2. Protección de los datos de prueba SI Por
del sistema aplicar
12.4.3. Control de acceso a los códigos de SI Por
programas fuente aplicar
12.5. Seguridad 12.5.1. Procedimientos de control de SI Por
en los procesos de cambios aplicar
desarrollo y 12.5.2. Revisión técnica de los cambios en SI Por
soporte el sistema operativo aplicar
12.5.3. Restricciones en los cambios a los SI Por
paquetes de software aplicar
12.5.4. Fuga de información SI Por
aplicar
12.5.5. Desarrollo externo del software SI Por
aplicar
12.6. Gestión de 12.6.1. Control de las vulnerabilidades SI Por
la vulnerabilidad técnicas aplicar
técnica
13. Gestión de 13.1. Repostando 13.1.1. Reportando los eventos en la SI Por
incidentes en la eventos y seguridad de información aplicar
seguridad de debilidades de la 13.1.2. Reportando debilidades en la SI Por
información seguridad de seguridad de información aplicar
información
13.2. Gestión de 13.2.1. Responsabilidades y SI Por
las mejoras e procedimientos aplicar
incidentes en la 13.2.2. Aprendiendo de los incidentes en la SI Por
seguridad de seguridad de información aplicar
información 13.2.3. Recolección de evidencia SI Por
aplicar
14. Gestión de 14.1. Aspectos de 14.1.1. Incluyendo la seguridad de SI Por
continuidad del la gestión de información en el proceso de gestión de la aplicar
negocio continuidad del continuidad del negocio
negocio 14.1.2. Continuidad del negocio y SI Por
evaluación de riesgos aplicar
14.1.3. Redacción e implantación de planes SI Por
de continuidad que incluyen la seguridad aplicar
de información
14.1.4. Marco de planificación para la SI Por
continuidad del negocio aplicar
14.1.5. Prueba, mantenimiento y SI Por
reevaluación de los planes de continuidad aplicar
15. 15.1. 15.1.1. Identificación de la legislación SI Aplicado
Cumplimiento cumplimiento con aplicable
los requisitos 15.1.2. derechos de propiedad Intelectual SI Por
legales (DPI) aplicar
15.1.3. Salvaguardia de los registros de la SI Por
información aplicar

Página 19 de 26
 15.1.4. Protección de los datos y de la SI Por
privacidad de la información personal aplicar
15.1.5. Prevención en el mal uso de los SI Por
recursos de tratamiento de la información aplicar
15.1.6. Regulación de los controles SI Por
criptográficos aplicar
15.2. Revisiones 15.2.1. Conformidad de la política de SI Por
de la política de seguridad y de la conformidad técnica aplicar
seguridad y de los 15.2.2. Comprobación de la conformidad SI Por
estándares técnica aplicar
15.3. 15.3.1. controles de auditorías de sistemas SI Por
Consideraciones aplicar
sobre la auditoría 15.3.2. Protección de las herramientas de SI Por
de sistemas auditoría de sistemas aplicar

Página 20 de 26
 3.3. OBSERVACIONES RESUMIDAS

OBSERVACIÓN 1.
Al realizar la auditoria a la Gerencia de Soluciones y Reclamos de la institución “Telefónica del
Perú” para el periodo 2017, se consideró la verificación de una supuesta pérdida de
información obteniéndose lo siguiente:

Con el documento INF-16-DS-2017 de fecha 5 de abril del 2017, en el cual se verifica la

responsabilidad del usuario Julio Domínguez sobre la perdida en su estación de una importante
base de datos de pagos de clientes de telefonía fija del mes de marzo-2017. En el mismo se
detalla que esto sucedió porque en esa fecha se realizaba una consulta externa en la fecha 2
de marzo y se usó la terminal de Julio Domínguez por uno tiempo al necesitar de unos archivos
que se guardaban en esta y que debido a esta la base de datos, responsabilidad del
mencionado (que incluye la protección de la misma) se perdió debido a un borrado o posible
robo. Se estimó en dicho informe que la recuperación de dicha base de datos costo $5000.
Revisar Anexo.

OBSERVACIÓN 2
Luego de auditar la Gerencia de Soluciones y Reclamos de la institución Telefónica del Perú
S.A.A. en el periodo 2017, se verificó el inapropiado funcionamiento de los computadores
donde los analistas laboraban.

Se detectó que el computador de escritorio del analista Edson Pacheco se reiniciaba

inadvertidamente, lo cual dificulta directamente su labor en la gerencia. El hecho se concretó en
el informe INF-16-DS-2017 de fecha 5 de abril del 2017, en el cual se verifica que varios
usuarios reportan el mismo problema. Finalmente, según una entrevista con el analista Ricardo
de la Torre, nos comenta que no existe un plan de mantenimiento sobre el equipo de trabajo.

Se responsabiliza a la Gerencia de Soluciones y Reclamos por no planificar el mantenimiento

continuo de los equipos por un valor estimado de $1000. Revisar Anexo.

El enfoque de auditoría consideró la cantidad y nivel de implementación de los controles que

aseguren el cumplimiento de los objetivos de seguridad de información de Telefónica del Perú
S.A.A.

Nivel de madurez:

EVALUACION NIVEL DE MADUREZ

0 1 2 3 4 5
Procesos CobIT No Inic Repet Defin Adminis Optimi
Existente ial ible ido trado zado
1 PO1 Definir un plan estratégico
O

G
N

C
A
R

A
N

A
R
Y
F

x
I

Página 21 de 26
 de TI
2 PO2 Definir la arquitectura de la
x
información
3 PO3 Determinar la dirección
x
tecnológica
4 PO4 Definir los procesos,
organización y relaciones x
de TI
5 PO5 Gestionar la inversión en TI x
6 PO6 Comunicar las aspiraciones
y la dirección de la x
gerencia
7 PO7 Gestionar recursos
x
humanos de TI
8 PO8 Gestionar la calidad x
9 PO9 Evaluar y Gestionar los
x
riesgos de TI
1 PO1 Gestionar proyectos
x
0 0
1 AI1 Identificar soluciones
x
1 automatizadas
ADQUIRIR E IMPLANTAR

1 AI2 Adquirir y mantener

x
2 software aplicativo
1 AI3 Adquirir y mantener
x
3 infraestructura tecnológica
1 AI4 Facilitar la operación y el
x
4 uso
1 AI5 Adquirir recursos de TI
x
5
1 AI6 Gestionar cambios
x
6
1 AI7 Instalar y acreditar
x
7 soluciones y cambios
1 DS1 Definir y Gestionar los
x
8 niveles de servicio
1 DS2 Gestionar los servicios de
x
9 terceros
2 DS3 Gestionar el desempeño y
x
0 la capacidad
ENTREGAR Y DAR SOPORTE

2 DS4 Garantizar la continuidad

x
1 del servicio
2 DS5 Garantizar la seguridad de
x
2 los sistemas
2 DS6 Identificar y asignar costos
x
3
2 DS7 Educar y entrenar a los
x
4 usuarios
2 DS8 Gestionar la mesa de
x
5 servicio y los incidentes
2 DS9 Gestionar la configuración
x
6
2 DS1 Gestionar los problemas
x
7 0
2 DS1 Gestionar los datos
x
8 1
2 DS1 Gestionar el ambiente
x
9 2 físico

Página 22 de 26
 3 DS1 Gestionar las operaciones
x
0 3
3 ME1 Monitorizar y evaluar el
MONITORIZAR Y
x
1 desempeño de TI
EVALUAR

3 ME2 Monitorizar y evaluar el

x
2 control interno
3 ME3 Garantizar el cumplimiento
x
3 regulatorio
3 ME4 Proporcionar gobierno de
x
4 TI

Página 23 de 26
3.4. CONCLUSIONES

C1: No existe un plan de mantenimiento a los equipos de cómputo, ni controles para la

renovación de los mismos.

C2: Se observó que algunos procesos no estaban siguiendo las normativas de seguridad, no
seguían el COBIT.

C3: Teniendo en cuenta las dos observaciones la que se relaciona más con el tema de la
seguridad de la información lo vemos por el lado de la primera observación que no se tenía un
plan de back-up para el respaldo de información delicada de la empresa y que también no se
implementa bien el control de usuarios por la pérdida de información que se tuvo al acceder por
la terminal de un colaborador.

3.5. RECOMENDACIONES

R1: Se recomienda que la “Dirección de Sistemas de Información” en coordinación con su

“Órgano de Presupuesto y Control” realizar un estudio de del estado actual de los equipos y la
posibilidad de la renovación de estos. Y basados en este estudio solicitar a la oficina de
“Finanzas y control” gestionar los recursos necesarios para las adquisiciones más apremiantes
o de mayor severidad. Además, se recomienda realizar este estudio una vez al año para evitar
contratiempos que impidan la continuidad del negocio y programar mantenimientos preventivos
cada mes para minimizar el impacto de algún mantenimiento correctivo en caso fuesen
necesario.

R2:

R3:

Página 24 de 26
ANEXO

OBSERVACIÓN 1

1. SUMILLA
Pérdida de Información por acceso no autorizado.

2. CONDICIÓN
Durante la auditoria a la Gerencia de Soluciones y Reclamos de la institución “Telefónica del
Perú” para el periodo 2017, se pudo verificar la perdida de la base de datos de pagos de
clientes de telefonía fija del mes de marzo-2017, mediante el informe INF-16-DS-2017 de fecha
5 de abril del 2017. En este informe se responsabiliza a Julio Domínguez al no asegurar la
integridad de la base de datos ya que, al dejar usar su terminal a un consultor externo, dicha
base de datos fue borrada o posiblemente robada.

3. CRITERIO
De acuerdo a la ISO 17799, clausula 11, categoría 2, control 2 Gestión de privilegios, que dice:
“Debería restringirse y controlarse el uso y asignación de privilegios”, la cual se ha omitido
porque el consultor tuvo acceso a archivos que no le correspondían a su labor y terminaron en
pérdida o robo de estos.

4. CAUSA
El consultor tuvo acceso a archivos ajenos a su labor y el responsable de estos no tomó en
cuenta las medidas necesarias para asegurar su integridad.

5. EFECTO
Se ha podido verificar que los daños causados a la Institución por esta pérdida de Información
ascienden a $ 5000 dólares.

6. RECOMENDACIÓN
Los accesos de personal temporal solo deben solo deben tener permiso de hacer uso de
archivos que le competan a su labor. Todos los demás archivos deben estar protegidos y no
disponibles para este tipo de usuarios temporales.

Página 25 de 26
OBSERVACIÓN 2

1. SUMILLA
Falla de operación de computadores por falta de plan de mantenimiento y controles.

2. CONDICIÓN
Durante la auditoria a la Gerencia de Soluciones y Reclamos de la institución “Telefónica del
Perú” para el periodo 2017, se pudo verificar la falla de operación de computadores por falta de
plan de mantenimiento del mismo, mediante el informe INF-16-DS-2017 de fecha 5 de abril del
2017. En este informe se responsabiliza a la Gerencia de Soluciones y Reclamos al no contar
con un plan de mantenimiento continuo sobre sus equipos de trabajo.

3. CRITERIO
De acuerdo al NCI 3200 sección 3.10. Controles para las Tecnologías de Información y
Comunicaciones, comentario 5, la organización debe tener controles para el área de soporte
técnico, en el mantenimiento de máquinas (hardware), licencias (software), sistemas
operativos, utilitarios (antivirus) y bases de datos. En el cual, se han omitido los controles para
el mantenimiento del hardware, el cual dificulta la labor de los analistas.

4. CAUSA
Falta de un plan de mantenimiento de computadores usados por los analistas, y falta de
implementación de controles sobre los mismos.

5. EFECTO
Se ha estimado que los daños causados a la institución ascienden a un monto total de $1000.

6. RECOMENDACIÓN
Establecer un plan de mantenimiento continuo sobre los equipos de trabajo (computadores) y
los controles necesarios para validarlo.

Página 26 de 26