UNIVERSIDAD NACIONAL DEL CALLAO

FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

AUDITORIA DE SISTEMAS

LIMA AIRPORT PARTNERS

“AUDITORIA ESPECIALIZADA A LA SEGURIDAD DE LA INFORMACION”

INTEGRANTES:

 ANAYA DIONICIO, PAULO

 BRAVO FRANCIA, RODRIGO

 CASTILLO VARGAS, GIANCARLO

 LEÓN TORRES, LUIGUI

 DE LA CRUZ TELLO, WENDY

 AGUIRRE ZEVALLOS, ANDREA

Callao, 2019

PERÚ
 INDICE
I INTRODUCCION...................................................................................................... 3
II ASPECTOS GENERALES ...................................................................................... 4
2.1 Estructura Organizacional ......................................................................................... 4
2.2.1 Funciones .................................................................................................................. 5
2.2 Matriz De Riesgos .................................................................................................... 10
2.3 Programa de Auditoria ............................................................................................. 11
III INFORME FINAL ................................................................................................. 13
3.1 Informe Relativo al Examen ......................................................................................... 13
3.1.1 Motivo del examen ................................................................................................. 13
3.1.2 NATURALEZA Y OBJETIVOS ............................................................................. 13
3.1.3 Alcance..................................................................................................................... 14
3.1.4 Comunicación de Observaciones ........................................................................ 15
3.2. Informe Relativo a la Entidad Examinada ................................................................. 15
3.2.1 Antecedentes .......................................................................................................... 15
3.2.2 Base legal ................................................................................................................ 16
3.2.3 Relación de las Personas comprendidas en las Observaciones .................... 17
3.3 OBSERVACIONES RESUMIDAS ...................................................................... 17
3.4 CONCLUSIONES ............................................................................................... 18
3.5 RECOMENDACIONES ...................................................................................... 18
3.6 OBSERVACIONES DETALLADAS ................................................................... 19
ANEXO .................................................................................................................... 22
 I INTRODUCCION

LIMA AIRPORT PARTNERS es una empresa del consorcio que gano la licitación
para la operación y expansión del aeropuerto internacional Jorge Chávez por un
periodo de 30 años. Esta empresa como parte de su crecimiento hace uso de las
Tic’s para dar soporte en las áreas del negocio y así ofrecer servicio de calidad
a sus clientes. Es por ello que se pretende, usando como base la auditoría,
evaluar el proceso de seguridad de la información en la gerencia de TI, así
identificar fortalezas y debilidades en la gestión de estos procesos informáticos
en dicha empresa. Durante el desarrollo de la misma se realizarán hallazgos
para determinar el nivel de seguridad, planificación, eficacia y eficiencia con que
se están dirigiendo el proceso existente en la empresa. Con los resultados
obtenidos en la auditoria se darán recomendación y planes de acción que podrán
fortalecer aquellos procesos que presenten debilidades en la revisión y
evaluación de controles, sistemas, comunicaciones y procedimientos
informáticos de la empresa.
 II ASPECTOS GENERALES

2.1 Estructura Organizacional

 2.2.1 Funciones

ÓRGANO SUPERIOR: GERENCIA DE TECNOLOGÍAS DE LA

INFORMACIÓN

UNIDAD ÓRGANICA: Comunicaciones, Redes y Soporte Técnico

Objetivo:

Garantizar la operatividad de los equipos de cómputo y del software base,

que permitan brindar un eficiente apoyo a los usuarios de la empresa.

Lograr un eficiente y eficaz desarrollo de las comunicaciones en la

empresa, a través de la instalación y mantenimiento de la telefonía fija y
celular, coadyuvando al ahorro de tiempo, esfuerzo, reducción de costos
operacionales y administrativos, contribuyendo a la optimización de la
gestión empresarial.

Funciones específicas:

 Programar, dirigir y evaluar el mantenimiento preventivo y

correctivo de los equipos de cómputo.

 Supervisar la aplicación de medidas de seguridad de los sistemas,

para garantizar la continuidad de las operaciones de
procesamiento de datos.

 Formular, actualizar y comprobar, mediante técnicas de

simulación, los planes de contingencia que garanticen la
continuidad de las operaciones de procesamiento de datos, así
como efectuar periódicamente los respaldos de la información en
los servidores.

 Organizar y actualizar permanentemente la cintoteca, así como el

almacén de materiales magnéticos y de impresión.

 Supervisar y evaluar la instalación oportuna del software, hardware

y antivirus, verificando que cumplan con los estándares
respectivos.
 Diseñar la red informática de la empresa y proponer su aprobación
e implementación.

 Evaluar las características técnicas de los equipos de cómputo,

redes de comunicación y otros.

 Supervisar y evaluar el mantenimiento preventivo, correctivo,

cableado y repotenciación de equipos realizado por terceros.

 Proponer y evaluar la adquisición del software que requiere la

empresa y custodiar los programas originales.

 Supervisar que el software instalado en los diversos equipos de

cómputo, cuenten con la debida licencia de autorización, así como
mantener en custodia todas las licencias de uso originales de la
Corporación.

 Llevar un registro actualizado del contenido, existencia y situación

de los manuales y documentación de sistemas.

 Realizar estudios de factibilidad para la implementación de nuevas

técnicas de procesamiento de información y/o adquisición de
equipos de cómputo.

 Planificar y organizar la distribución física de los equipos

informáticos, llevando un control de los mismos.

 Impartir instrucción para el manejo de los terminales del

computador, así como de programas y redes propias del proceso
automatizado de datos.

 Organizar, dirigir, supervisar y evaluar la instalación de equipos

telefónicos (fijos y fax), así como la asignación de telefonía móvil
(celulares), llevando un control y registro de los mismos,
coordinando su mantenimiento y/o reparación.
Funciones generales:

 Coordinar y proponer programas de capacitación para el personal

a su cargo.

 Formular y dirigir el planeamiento de su área.

 Organizar, supervisar, dirigir y evaluar las actividades programadas

por su Área y establecidas en el plan operativo.

 Formular, dirigir, controlar y evaluar la ejecución del presupuesto

asignado a su Área.

 Organizar y desarrollar estrategias para el cumplimiento de los

objetivos, metas y funciones de su Área.

 Representar, por delegación expresa, a la Gerencia de Tecnología

de la Información.

 Proponer e integrar comisiones de trabajo relacionadas con el

ámbito de su competencia.

 Despachar con el Gerente de la Gerencia de Tecnología de la

Información y participar en las reuniones de trabajo relacionadas
con las actividades de su Área.

 Administrar los recursos asignados al Área y presentar el cuadro

de necesidades de bienes y servicios para el cumplimiento de las
funciones asignadas.

 Formular y proponer normas y procedimientos para el

cumplimiento del objetivo y metas del Área.
UNIDAD ORGÁNICA: Administración de Sistemas y Seguridad de la
información

Objetivo:
Garantizar el desarrollo de sistemas de información que ayudan a resolver
problemas de la administración del negocio y gestionar adecuadamente
la seguridad de la información, la gestión de activos, la gestión de riesgos
y la continuidad en la prestación de los servicios ofrecidos. Dichos
requisitos y lineamientos serán aplicados a los procesos estratégicos, de
apoyo por tal motivo, deberán ser conocidos y cumplidos por todo el
recurso humano (servidores públicos, proveedores y terceros), que
accedan a los sistemas de información e instalaciones físicas de la
Institución.
Funciones específicas:

 Realizar el análisis, diseño y construcción de los sistemas de

información relacionados a los modelos de solución informática
que dan soporte a las necesidades de los procesos de los sistemas
requeridos en el negocio.

 Proteger los activos de información de la empresa, con base en los

criterios de confidencialidad, integridad y disponibilidad.

 Administrar los riesgos de seguridad de la información para

mantenerlos en niveles aceptables.

 Sensibilizar y capacitar a los servidores públicos, proveedores y

partes interesadas acerca del Sistema de Gestión de Seguridad de
la Información y el Modelo de Seguridad y Privacidad de la
Información, de la empresa, fortaleciendo el nivel de conciencia de
los mismos, en cuanto a la necesidad de salvaguardar los activos
de información institucionales.

 Monitorear el cumplimiento de los requisitos de seguridad de la

información, mediante el uso de herramientas de diagnóstico,
revisiones por parte de la Alta Dirección y auditorías internas
planificadas a intervalos regulares.

 Implementar acciones correctivas y de mejora para el Sistema de

Gestión de Seguridad de la Información y modelo de prevención en
la empresa.
Funciones generales:

 Coordinar y proponer programas de capacitación para el personal

a su cargo.

 Formular y dirigir el planeamiento de su área.

 Organizar, supervisar, dirigir y evaluar las actividades programadas

por su Área y establecidas en el plan operativo.

 Formular, dirigir, controlar y evaluar la ejecución del presupuesto

asignado a su Área.

 Organizar y desarrollar estrategias para el cumplimiento de los

objetivos, metas y funciones de su Área.

 Representar, por delegación expresa, a la Gerencia de Tecnología

de la Información.

 Proponer e integrar comisiones de trabajo relacionadas con el

ámbito de su competencia.

 Despachar con el Gerente de la Gerencia de Tecnología de la

Información y participar en las reuniones de trabajo relacionadas
con las actividades de su Área.

 Administrar los recursos asignados al Área y presentar el cuadro

de necesidades de bienes y servicios para el cumplimiento de las
funciones asignadas.

 Formular y proponer normas y procedimientos para el

cumplimiento del objetivo y metas del Área.
 2.2 Matriz De Riesgos

La matriz de riesgos permite identificar y evaluar los riesgos sobre los procesos
de la empresa.

% DEL % DEL SUB-

N° PROCESO SUBPROCESOS COMENTARIOS
PROCESO PROCESO
Programa detallado donde
Plan de
permite comprender las
seguridad de 50%
vulnerabilidades de los
Gestión de la información
sistemas informáticos.
1 seguridad de 33,33%
Plan de Programa detallado que explica
información
gestión y cómo se ejecutarán los
50%
control de sistemas para el correcto
información manejo de la información.
Prevención, Que los sistemas de
detección y información críticos se vuelvan
corrección de 25% vulnerables como consecuencia
software de no reaccionar frente eventos
malicioso como los virus.
Que la compañía sea víctima de
Seguridad de "ciberataques" por mecanismos
25%
la red de defensa insuficientes o
Monitoreo de defectuosos.
2 la seguridad 33,33% Que se exponga
informática Intercambio inapropiadamente la
de datos 25% información sensible de la
sensibles compañía o los accesos a
transacciones críticas.
Que los sistemas de
información y sus procesos,
Protección de
25% propios de la empresa, sean
tecnología
tomados y utilizados por
personas no autorizadas.
Que existan accesos
Administración
inadecuados a funcionalidades
de cuentas de 50%
de los sistemas y aplicativos del
usuario
Administración aeropuerto.
3 33,33%
de identidades Administración Que personal indebido tenga
de acceso acceso físico a zonas que
50%
físico de puedan afectar a la seguridad
personal informática
 2.3 Programa de Auditoria
OBJETIVO TIEMPO AUDITOR
N° OBJETIVO ESPECIFICO
GENERAL (en horas) ENCARGADO
1.1. Verificar si el plan de seguridad de
Juan Carlos
información se lleva a cabo de acuerdo 3
Castro
Revisar y evaluar a lo estipulado.
la gestión de la
1 1.2. Evaluar los planes de contingencia Juan Carlos
seguridad de 2
del área. Castro
información
1.3. Validar las responsabilidades Juan Carlos
1
correspondientes del personal. Castro
2.1. Revisar los contratos de Juan Carlos
Revisar los 5
adquisición de software y hardware. Castro
2 servicios de
terceros Juan Carlos
2.2. Verificar las licencias de antivirus. 2
Castro
3.1. Verificar el correcto uso de las Juan Carlos
2
cuentas de usuario de los sistemas Castro
3.2. Revisar los inicios de sesión de Juan Carlos
4
usuarios a los sistemas Castro

3.3. Revisar el ingreso de usuarios no

Juan Carlos
identificados a los centros de 3
Castro
información.

3.4. Verificar el cambio de contraseña Juan Carlos

1
mensual de los usuarios. Castro
Revisar los 3.5. Verificar si la IP coincide con la
3 accesos y Juan Carlos
cuenta de usuario por donde se ingresa 2
autorizaciones Castro
a un sistema.

3.6. Verificar los certificados digitales Juan Carlos

1
de las websites a las que se acceden Castro

3.7. Verificar la alertas de páginas del Juan Carlos

2
navegador no autorizadas Castro

3.8. Verificar la eliminación de listado

Juan Carlos
del historial de navegación a las 2
Castro
páginas del navegador
4.1. Verificar la posible fuga de
Juan Carlos
información de reporte a otras 5
Revisar la Castro
cuentas.
seguridad de Juan Carlos
4 4.2. Verificar los backups realizados. 4
sistemas y Castro
aplicaciones
4.3. Verificar si hubo cambios en los Juan Carlos
4
códigos fuente. Castro
4.4. Validar la documentación sobre las
pruebas de hacking ético donde se Juan Carlos
2
evalúa el nivel de seguridad de la Castro
información.
 III INFORME FINAL

3.1 Informe Relativo al Examen

3.1.1 Motivo del examen

El presente trabajo de auditoria tiene como motivo principal la

detección e identificación de debilidades que podría estar sucediendo
en cada uno de los procesos críticos de la empresa operadora de
agencias de viaje terrestre Soyuz SAC para así mediante las
recomendaciones respectivas según el estudio que se hace, pueda
corregirse y con esto disminuir los riesgos que pueda tener la empresa
en el ámbito de seguridad de la información.

Además, se toma como razón primaria reconocer y verificar los posibles

procesos críticos en la Seguridad la Información bien sea en los diferentes
controles de seguridad como en la gestión de TI, es decir sacar a la luz las
debilidades de Seguridad de la Información que tiene la empresa, de tal
forma que permita plantear transformaciones necesarias para el manejo
efectivo de la información.

3.1.2 NATURALEZA Y OBJETIVOS

 Naturaleza

La naturaleza del presente trabajo se trata de evidenciar los

procedimientos a todos los procesos que no estén regulados bajo las
normas y estándares establecidos, así como también la correcta
gestión de los sistemas de Información de la empresa operadora de
agencias de viaje terrestre Soyuz SAC. La evaluación de auditoria
será de forma práctica, técnica y legal.
Cabe destacar que la auditoria surgió a partir de que se generó la
necesidad de revisiones para asegurarse el adecuado manejo de los
procesos de las empresas comerciales y esto se desarrolla en el
marco del control interno de la organización.

 Objetivos

Los objetivos específicos es llevar a cabo la evaluación de normas,

controles, técnicas y procedimientos que se tienen establecidos en las
agencias Soyuz. para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de los sistemas
de información.

Este instrumento de gestión tiene como fin evaluar la gestión de los

procesos organizacionales para tener la certeza de que se cumpla con las
normas, políticas, controles en materia de seguridad de la información de
tal forma que se pueda reducir los riesgos de perdida, robo, filtrado de
información y otros riesgos que pongan en peligro la continuidad del
negocio o la confianza depositada por parte de los clientes de que su
información se encuentra protegida en una empresa que cuenta con niveles
de control de seguridad ligados a las normas legales, estándares
internacionales y buenas prácticas.

Además del control interno, también existe el control interno informático que
es el que controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y
normas fijadas por la dirección de la organización y la dirección de
informática.

3.1.3 Alcance

El alcance del trabajo de auditoria a efectuar se limita a evaluar los

siguientes puntos: Administración de Riesgos, Control de Integridad
de registros, Control de validación de errores, Aseguramiento de la
Calidad del Servicio, respaldo de datos, así como la documentación
general y específica sobre sistemas de control para la seguridad de la
 información, licencias, seguridad de conexiones de red, Capacitación
tanto al personal como al usuario.

El proceso de esta auditoría se llevará a cabo durante el periodo 2019,

con una duración de 6 días, desde el 1 al 6 de noviembre; la cual se
realizará en la empresa Soyuz de acuerdo a las normas y demás
disposiciones aplicables.

3.1.4 Comunicación de Observaciones

.

Para la presentación de las observaciones y recomendaciones

hechas en esta auditoría se espera terminar el informe final, el cual
será presentado a la Jefatura de Tecnología de Información de la
empresa Soyuz.

3.2. Informe Relativo a la Entidad Examinada

3.2.1 Antecedentes

El área de Tecnologías de Información depende de la Gerencia

Central de Administración y Finanzas y tiene bajo su responsabilidad
el área de “Administrador de Sistemas y Seguridad de la Información”
y “Comunicaciones, Redes y Soporte Técnico”, procesos que serán
revisados en esta auditoría.

Los procedimientos utilizados son:

 IT- M - 03 Manual: Políticas de Soporte Técnico, Control y

Seguridad de la Información
 IT- P - 03 Procedimiento de Administración de Recursos de IT
 IT- P - 06 Procedimiento de Respaldo y Recuperación de la
Información.
 3.2.2 Base legal

Las organizaciones necesitan demostrar que realizan una gestión

competente y efectiva de la seguridad de los recursos y datos que
gestionan.

El análisis de riesgos es considerado una pieza fundamental para la

seguridad de la información por diversos estándares y códigos de
buenas prácticas, algunos son:

 Reglamento Interno de Trabajo – Soyuz SAC (RIT)

El Reglamento Interno de Trabajo contiene normas básicas y

generales que deben observar todos los trabajadores de la empresa,
con independencia del puesto, cargo o categoría que desempeñen en
el centro de trabajo.

 Políticas de uso de los sistemas de información y comunicación

Estos documentos definen y detallan el uso adecuado de los Sistemas

de Información así como de las herramientas de comunicaciones a fin
de proteger al usuario y a la entidad de situaciones que pongan en
peligro los sistemas y la información contenida en estos.

 Ley – 29733: LEY DE PROTECCIÓN DE DATOS

PERSONALES

La presente Ley tiene el objeto de garantizar el derecho fundamental

a la protección de los datos personales, previsto en el artículo 2
numeral 6 de la Constitución Política del Perú, a través de su
adecuado tratamiento, en un marco de respeto de los demás derechos
fundamentales que en ella se reconocen.

 NTP-ISO/IEC 27001:2008

Esta Norma Técnica Peruana de Seguridad de la Información ha sido

preparada con el fin de ofrecer un modelo para establecer,
implementar, operar, monitorear, mantener y mejorar un efectivo
Sistema de Gestión de Seguridad de la Información.
  ISO/IEC 27002

Se trata del código de prácticas para controles de seguridad de la

información. Recomienda controles de seguridad de la información
que abordan los objetivos de control de seguridad de información
derivadas de los riesgos para la confidencialidad, integridad y
disponibilidad de la información.

3.2.3 Relación de las Personas comprendidas en las Observaciones

3.3 OBSERVACIONES RESUMIDAS

OBSERVACION RESUMIDA NO 1

Durante la auditoría realizada a la Seguridad de la Información de la empresa

Soyuz SAC en marzo de 2019, se verificó que en el software para la
administración de recursos humanos, llamado Meta4, posee un usuario llamado
CGOMEZ a nombre de Carlos Gómez el cual pertenece al área de contabilidad.
Durante la revisión se observó que el usuario CGOMEZ tiene acceso y privilegios
para modificar la información del sistema.
OBSERVACION RESUMIDA NO 2

Durante la auditoría realizada a la Seguridad de la Información de la empresa

Soyuz en marzo de 2019, se verificó que el usuario YCAMPANA cuenta con
acceso al sistema de identificaciones sin la documentación respectiva que
autorice de manera formal su acceso al sistema.

3.4 CONCLUSIONES
 La empresa Soyuz SAC no cuenta con antecedentes de auditorías
de seguridad de información realizadas anteriormente.

 La Gerencia de Tecnología de Información cumple el papel

importante de dirigir la gestión de riesgos, el cumplimiento de las
normas de Control Interno, y el mantenimiento y mejora de los
procesos bajo el ámbito de su unidad organizacional y dentro de los
lineamientos establecidos por la directiva de la institución.

 En la auditoria se identificó inconsistencia en el control del proceso

de seguridad de la información, que no representan debilidades
significativas, pero deben ser atendidos por gerencia.

 Hacer una revisión continua de las bases de datos y de los equipos

asignados a los colaboradores.

 Se necesita un control de los sistemas de seguridad de la

información para cada equipo que se maneje en la empresa, esto
para evitar algún ciberataque externo.

3.5 RECOMENDACIONES
Los hallazgos que se detallan en el presente informe han sido conversados con
el personal del área auditada, quienes han determinado planes de acción.

 Restringir el acceso de este usuario a visualización de solo lectura.

  Revisar los privilegios de acceso al sistema de resto de usuarios.
 Eliminar el acceso a usuario que no cumplan el perfil.
 Establecer una periodicidad para la revisión de los usuarios de
software desarrollados internamente.
 Almacenar todos los contratos en un mismo repositorio.
 Revisar y actualizar la base de equipos asignados.

3.6 OBSERVACIONES DETALLADAS

OBSERVACIÓN DETALLADA N°1

El día 13 de marzo del 2019 en las instalaciones de la empresa Soyuz SAC

durante la revisión de cuentas de usuario se observó que el usuario CGOMEZ a
nombre de Carlos Gomez que pertenece al área de Contabilidad cuenta con
accesos y privilegios para modificar la información relacionada al software
Meta4, el cual es un software para la administración de recursos humanos. Por
ello se realizó la observación notificando las irregularidades al Área de
Tecnologías de la Información para tomar acciones correctivas del caso.

El colaborador Carlos Gomez pidió al área de TI mediante el documento de

solicitud de acceso 15GTI-2018 para el sistema Meta4 con permisos a nivel de
consulta para la elaboración de planillas en el registro contable de la empresa.

El colaborador Carlos Gomez en su función como contador y para el registro de

planillas solo debe contar con la visualización de los campos: Nombres
completos, DNI y sueldo. En la auditoría realizada se identificó que el usuario
CGOMEZ podía acceder a toda la información registrada de cada colaborador.

El área de TI, en su función de brindar accesos a los colaboradores, no identifico

que el rol creado para el usuario CGOMEZ contaba con una visualización muy
detallada de la información personal y sensible de los colaboradores, quedando
expuestos a posibles daños por uso inadecuado de la información.
Al realizar la Auditoria al Área de Tecnologías de Información en el sistema de
administración de recursos humanos (Meta4) de la empresa Soyuz SAC desde
el punto del RIT (Reglamento Interno de Trabajo) en “Datos Personales del
Trabajador” en el artículo N°108 dice “Es responsabilidad de la empresa que la
protección de los datos y la información consignada en el file personal del
trabajador sea de acceso restringido”; y desde el punto de vista legal, la ley
29733: LEY DE PROTECCION DE DATOS PERSONALES, tiene el objeto de
garantizar el derecho fundamental a la protección de los datos personales,
previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, en un
marco de respeto de los demás derechos fundamentales que en ella se
reconocen.

OBSERVACIÓN DETALLADA N°2

El día 14 de marzo del 2019 en las instalaciones de la empresa Soyuz SAC

durante la revisión de cuentas de usuario se observó que el usuario YCAMPANA
a nombre de Ytalo Campana que es supervisor del centro de control de
operaciones que pertenece al área de Operaciones cuenta con acceso al sistema
de identificaciones, el cual es un software que otorga accesos y registra los
ingresos del personal autorizado a diferentes áreas mediante cerraduras de
tarjeta. Por ello se realizó la observación notificando las irregularidades al Área
de Tecnologías de la Información para tomar acciones correctivas del caso.

Para otorgar un usuario del sistema de identificaciones se debe solicitar

mediante un documento dirigido al área de Seguridad los motivos laborales del
uso del sistema, una vez aprobado por Seguridad da paso a TI para la creación
del usuario.

El supervisor del Centro de Control de Operaciones Ytalo Campana en

noviembre de 2018 solicitó un usuario del sistema debido a que quería
monitorear el flujo de algunas zonas para llevar a cabo ciertas medidas de
protocolo operativas, sin embargo, debido a la emergencia de la solicitud,
acordaron entre las áreas de TI, Seguridad y el supervisor Ytalo Campana que
harían el documento de solicitud después.
Desde el punto de vista del Reglamento Interno de Trabajo de la empresa Soyuz
SAC en “Uso adecuado de bienes de la empresa” el artículo N°20 dice “No
manejar u operar equipos, máquinas o sistemas que no le han sido asignados o
cuyo uso no ha sido autorizado…” y en las políticas de uso del sistema de
identificaciones en el artículo N°4 que dice “Para solicitar un usuario del sistema,
el colaborador debe enviar un documento de solicitud al área de Seguridad para
su aprobación, una vez aprobado el documento pasará al área de Tecnologías
de Información para la creación del usuario”, no se están llevando a cabo las
indicaciones ni el proceso necesario para la creación del usuario en el sistema.
 ANEXO

OBSERVACION NO 1

Sumilla: Usuario autorizado con acceso total a los datos personales de

colaboradores.

Condición: Durante la auditoría realizada a la Seguridad de la Información de la

empresa Soyuz SAC en marzo de 2019, se verificó que, en el software para la
administración de recursos humanos, llamado Meta4, posee un usuario llamado
CGOMEZ a nombre de Carlos Gómez el cual pertenece al área de contabilidad
y cuenta con visualización a toda la información registrada de los colaboradores.
En el sistema Meta4 el personal del área de recursos humanos y del jefe del área
de administración de sistemas y seguridad de la información son los únicos que
deberían de contar con el acceso a toda la información registrada y procesada
por el sistema, debido a la información personal y sensible que registra.

Criterio: Desde el punto del RIT (Reglamento Interno de Trabajo) de Soyuz SAC
en “Datos Personales del Trabajador” en el artículo N°108 dice “Es
responsabilidad de la empresa que la protección de los datos y la información
consignada en el file personal del trabajador sea de acceso restringido”; y desde
el punto de vista legal, la ley 29733: LEY DE PROTECCION DE DATOS
PERSONALES, tiene el objeto de garantizar el derecho fundamental a la
protección de los datos personales, previsto en el artículo 2 numeral 6 de la
Constitución Política del Perú, en un marco de respeto de los demás derechos
fundamentales que en ella se reconocen.

Causa: Durante la auditoria, el área de seguridad de la información detalló que

el colaborador Carlos Gómez solicitó al área de TI, mediante la solicitud de
acceso 15GTI-2018, un usuario con permisos a nivel de consulta para elaborar
sus funciones dentro del área contable como los reportes del pago de la planilla
del mes. El área de TI, al crear el usuario CGOMEZ, no identificó que el rol
otorgado contaba con una visualización muy detallada de la información personal
y sensible de los colaboradores.
Efecto: Si bien es cierto que no se han encontrado daños económicos, el riesgo
es que el usuario CGOMEZ podría usar los datos personales de los
colaboradores de la empresa con fines no laborales perjudicando la imagen y
ocasionando un daño financiero a la organización por no proteger los datos de
sus trabajadores.

Recomendación: Se recomienda al área de TI revisar la actividad del usuario

para ver el historial y sus movimientos dentro del sistema. También se debe
modificar el rol del usuario en el sistema.

OBSERVACION NO 2

Sumilla: Falta de documentación de permisos de acceso al sistema de

identificaciones.

Condición: Durante la auditoría realizada a la Seguridad de la Información de la

empresa Soyuz SAC en marzo de 2019, se verificó que el sistema de
identificaciones , el cual es el que otorga accesos y registra los ingresos del
personal autorizado a diferentes áreas mediante cerraduras de tarjeta, posee un
usuario llamado YCAMPANA a nombre de Ytalo Campana el cual es un
supervisor del Centro de Control de Operaciones, el cual se encarga de
monitorear la operación y dar soporte frente a interrupciones de cualquier índole,
que pertenece del área de Operaciones aeroportuarias. Para otorgar un usuario
del sistema de identificaciones se debe solicitar mediante un documento dirigido
al área de Seguridad los motivos laborales del uso del sistema, una vez aprobado
por Seguridad da paso a TI para la creación del usuario; sin embargo, no existe
documentación para la autorización del usuario YCAMPANA.

Criterio: Desde el punto de vista del Reglamento Interno de Trabajo de la

empresa Soyuz SAC en “Uso adecuado de bienes de la empresa” el artículo
N°20 dice “No manejar u operar equipos, máquinas o sistemas que no le han
sido asignados o cuyo uso no ha sido autorizado…” y en las políticas de uso del
sistema de identificaciones en el articulo N°4 que dice “Para solicitar un usuario
del sistema, el colaborador debe enviar un documento de solicitud al área de
Seguridad para su aprobación, una vez aprobado el documento pasará al área
de Tecnologías de Información para la creación del usuario”, no se están
llevando a cabo las indicaciones ni el proceso necesario para la creación del
usuario en el sistema.

Causas: Durante la auditoria, el área de seguridad de la información detalló que

el supervisor del Centro de Control de Operaciones Ytalo Campana en
noviembre de 2018 solicitó un usuario del sistema debido a que quería
monitorear el flujo de algunas zonas para llevar a cabo ciertas medidas de
protocolo operativas, sin embargo, debido a la emergencia de la solicitud,
acordaron entre las áreas de TI, Seguridad y el supervisor Ytalo Campana que
harían el documento de solicitud después. Según el área de seguridad de la
información, los involucrados olvidaron elaborar el documento y la evidencia de
la creación del usuario YCAMPANA.

Efecto: Si bien es cierto que no se han encontrado daños económicos

registrados, el riesgo seria que el usuario tenga un diferente rol de acceso en el
sistema distinto al solicitado además de no llevar un control adecuado de los
usuarios con accesos al sistema.

Recomendación: Se recomienda al área de TI la regularización de la

documentación necesaria para brindar el acceso al usuario YCAMPANA,
además de ser rigurosos con el procedimiento para brindar accesos a los
sistemas.