Sei sulla pagina 1di 6

REALIZACIÓN DE UNA AUDITORIA A UN SISTEMA DE MESA DE

AYUDA A PARTIR DE LAS NORMAS ISO 27001 EN LA EMPRESA


INKAFARMA S.A.C

Buendia Alarcón, Jesús Javier (1523061)


Llontop Flores, Rodrigo Gabriel (U18211284)
Mauricio Olivera, Miguel Ángel (U18211702)

RESUMEN
Inkafarma, una de las empresas pertenecientes al grupo Intercorp, es una empresa que a través de
los años sigue incrementando su cadena de locales en nuestro país, tiene su propia área de TI, el
cual supervisa y gestiona una de los tantos sistemas que tienen, una de estas es el sistema de
escritorio que está implementada en todas sus sucursales, que tiene la tarea de gestionar los
incidentes que ocurren en estas mismas, con el objetivo de optimizar la atención rápida y necesaria
y optar con la continuidad de los servicios que ofrecen, el área de TI es consiente que la información
que maneja este sistema de mesa de ayuda debe estar bien protegida y manejada.
El objetivo de realizar una auditoria Informática de la aplicación de la mesa de ayuda de Inkafarma
es para determinar el estado actual del funcionamiento del aplicativo, así como identificar posibles
fallas y soluciones mediante un examen crítico con el fin de evaluar la eficiencia y eficacia de su
gestión.

Palabras Claves: Seguridad, Auditoria, Informática, Mesa de Ayuda, ISO 27001.

ABSTRACT
Inkafarma, one of the companies belonging to the Intercorp group, is a company that over the years
continues to increase its chain of premises in our country, has its own IT area, which supervises
and manages one of the many systems they have, One of these is the desktop application that is
implemented in all its branches, which has the task of managing the incidents that occur in these,
in order to optimize the fast and necessary attention and opt for the continuity of the services
offered , the IT area is aware that the information handled by this application must be well protected
and managed.
The objective of conducting an IT audit of the application of the Inkafarma help desk is to
determine the current status of the operation of the application, as well as to identify possible
failures and solutions through a critical examination in order to evaluate the efficiency and
effectiveness of its management.

Key words: Security, Audit, Computing, HelpDesk, ISO 27001.


1. Marco Teórico 2. Metodología

1.1 Seguridad de la Información De todos los tipos de auditoría que hay, se escogió realizar
“La seguridad es crítica para el desarrollo de la sociedad de una auditoría interna, tomando la norma ISO 27001 como
la información. Un campo tan complejo y en constante marco de referencia. Se optó por la auditoría interna por 3
evolución tecnológica supone un reto enorme para el éxito de motivos: Primero, porque se tiene acceso a toda la
cualquier usuario, empresario o profesional que usa o documentación e información de los procesos y situación
gestiona sistemas de información” (Aceituno, 2004, p.80). actual de la empresa; Segundo, la empresa confía en el nivel
de profesionalidad y en la integridad moral de sus
1.2 Auditoria de sistemas informáticos trabajadores; y finalmente, existe una mayor inmediatez en
Tiene como propósito evaluar la información de la capacidad la corrección de los fallos detectados. Para llevar a cabo el
que tiene la organización para liderar y proteger sus activos desarrollo de la auditoría se precisa una previa evaluación
de información y eliminar del proceso a usuarios no de cómo recibimos a la empresa a auditar, y para eso es
autorizados.” necesaria la aplicación de algunas de las tantas técnicas
especiales de auditoría. A continuación, se mostrará la
1.3 Tipos de Auditoria aplicación de las técnicas utilizadas.

1.3.1 Auditoria Externa 2.1 Auditoría Interna

“Auditoría interna es una función independiente y objetiva en Se realizó la auditoría interna debido a que la evaluación fue
el aseguramiento y la consultoría, designada para agregar elaborada por una persona dentro de la organización con el
valor y mejorar las operaciones de una organización” fin de determinar el desempeño y cumplimiento de
(Ramón, 2013, p.47). La auditoría interna es llamada de esa actividades de todos los procesos en la empresa.
forma porque es realizada por los trabajadores de la empresa.
2.2 Situación Actual
No existen normas, procedimientos de seguridad o sistemas
1.3.2 Auditoria Interna
de control informático que ayuden a mitigar las
vulnerabilidades y amenazas que se podrían presentar el
Auditoría interna es una función independiente y objetiva en sistema de mesa de ayuda que posee la empresa.
el aseguramiento y la consultoría, designada para agregar
valor y mejorar las operaciones de una organización” 2.3 Objetivos
(Ramón, 2013, p.47). La auditoría interna es llamada de esa 2.3.1 Objetivo Principal
forma porque es realizada por los trabajadores de la empresa
certificación.
 Realizar la auditoria al sistema de ayuda de
1.4 Auditoria Informática Inkafarma utilizando como modelo de referencia la
ISO/IEC 27001.
Tiene como propósito evaluar la información de la capacidad  Minimizar los riesgos de amenazas y
que tiene la organización para liderar y proteger sus activos vulnerabilidades del aplicativo de mesa de ayuda
de información y eliminar del proceso a usuarios no de Inkafarma.
autorizados.
2.3.2 Objetivos Específicos
1.5 Norma ISO/IEC 27001:2013

ISO 27001 es una norma internacional emitida por la  Contar con servicios tecnológicos críticos
Organización Internacional de Normalización (ISO) y optimizados.
describe cómo gestionar la seguridad de la información en  Mejorar los procedimientos del uso de activos y
una empresa, esta se basa en investigar dónde están los servicios tecnológicos.
riesgos y luego tratarlos sistemáticamente.  Contar con un plan de seguridad de información
que incluya los aspectos cubiertos por la ISO
1.6 Sistema de Gestión de Seguridad de la 27001.
Información (SGSI)  Definir controles que permitan disminuir los
riesgos dentro del aplicativo.
Es la abreviatura utilizada para referirse a un Sistema de
Gestión de la Seguridad de la Información. “La implantación
de un Sistema de Gestión de Seguridad de la Información es
una decisión estratégica que debe involucrar a toda la
organización y que debe ser apoyada y dirigida desde la
dirección” (Inteco, 2015, p.13).
2.4 Metodología a utilizar
2.4.1 Cronograma

2.5.2 Encuesta

También se utilizaron métodos como las entrevistas y


encuestas.

La Auditoria se llevó a cabo en la sucursal principal de


Inkafarma este mismo que se encuentra en el distrito de
chorrillos.

Para la auditoria tuvimos en cuenta las normas


internacionales ISO/IEC 27001:2013, la ISO/IEC

27002:2013 y se seleccionara una metodología para el


análisis y gestión de riesgos.

2.5 Evaluación y Evidencia


2.5.1 Visita Técnica N° 1

Se solicita la documentación relacionada con la oficina de


sistemas como lo son el Inventario de activos, Diagramas de
red, Manual de procedimientos del negocio, etc. Además se
realiza una entrevista previa al encargado de la oficina y a los
que estan comprometidos con el uso del sistema, con el
objetivo de conocer generalmente el funcionamiento de este
mismo. En la entrevista previa, se realizan las siguientes
preguntas:

 ¿Se han realizado previamente auditorias de


seguridad informática en la empresa?
 ¿Qué características tiene el servidor del área de
DataCenter en relación a la comunicación con el
sistema de mesa de ayuda?
 ¿Existen herramientas para la gestionar los activos
que viajan por la red cuando ocurre una
incidencia, como mapeo de redes, perdida de
paquetes, monitorización y control de tráfico?
 ¿Cómo se encuentra distribuido el equipo de red?
 ¿Se ha presentado algún cambio de información al
momento de registrar una incidencia?
 ¿Se realiza mantenimiento periódico a los hosts
que están en las sucursales?
2.5.3 Lista de Vulnerabilidad
2.5.4 Matriz de Riesgos
3.2 Topología de Red

3. Empresa
Inkafarma, con más de 11,000 colaboradores a nivel nacional
tienen la misión de llevar con calidez y optimismo: salud y
bienestar al precio más bajo a todas las comunidades del Perú.
Ofrecen una completa variedad de productos farmacéuticos,
perfumería y tocador de excelente calidad y a los precios más
bajos los 365 días del año. Son la cadena de boticas líder del
mercado farmacéutico gracias a su nuestra gran cobertura de
boticas a nivel nacional y, sobretodo, a su gente quienes
gracias a su obsesión por el análisis, pasión por los resultados,
liderazgo inspirador y amor por las personas alinean sus
esfuerzos para que juntos cambien la historia de la salud en
todas las comunidades donde operan.

3.1 Antecedentes

No existen políticas, procedimientos de seguridad o


sistemas de control informático que ayuden a mitigar las
vulnerabilidades y amenazas que se podrían presentar
actualmente
 También se ha detectado que los usuarios de la red
tienen el mismo nivel de acceso a la información y a
los servicios es decir no existen Vlans en los diferentes
tipos de servicios TI, esto ocasiono problemas tales
como: caídas frecuentes del servicio de internet, robo
de información, saturación en la red actual
 Adicionalmente se verifico que no existe un plan de
actualización de los sistemas operativos y aplicaciones
TI criticas del negocio.

5
3.3 Organigrama Se concluye que la empresa Inkafarma no cuenta con una
metodología que pueda respaldar el sistema de seguridad de
Organigrama de la empresa la información y que tampoco el personal de TI, no está
capacitado ni certificado en ninguna norma internacional
como la ISO 27001 - 27003.

Se concluye que la sucursal de chorrillos de Inkafarma es la


sede en donde se centra la mayor cantidad de información
relevante por ser la sede nucleo del negocio y que la
información más importante no tiene un tratamiento
importante ni se sigue unos lineamientos para salvaguardar
este importante activo.

Se recomienda hacer uso e implementar los controles


propuestos en las guías de hallazgos. Seguridad en las redes
y e infraestrucura y el control del acceso al sistema de mesa
de ayuda, se encuentran bastantes deficiencias tanto en la
parte física como lógica de la red, lo cual se recomienda hacer
las acciones correctivas inmediatas planteadas. Se debería
elaborar e implementar un manual de políticas de seguridad
de la información de la empresa Inkafarma. Que contenga la
gestión de los activos de información, los activos
informáticos, respecto al equipo de cómputo y de red en la
empresa y la delegación de responsabilidades para dichos
activos y acciones. Para el área de sistemas y comunicaciones
de la empresa, lugar donde se realizó la presente auditoria, se
deben implementar políticas de control de acceso para la
4 Resultados y Recomendaciones
administración de sistemas y comunicaciones de red y
políticas de seguridad física para los equipos de cómputo de
red, como también, de la implementación de un manual de
procedimientos y operaciones, que contenga las
instrucciones sobre la gestión y control de la red de datos.

Se recomienda seguir los lineamientos de alguna norma


Internacional relacionada a la seguridad de la información
,por ejemplo alinearse a las recomendaciones de la Norma
ISO 27001 y así lograr la certificación, y también el personal
también debería certificarse en ISO 27001 Foundation para
comenzar a salvaguardar la información.

5. Agradecimientos

Al asistente del gerente del área de procesos y controles de


TI por facilitarnos esta ayuda, el señor Iván Robles por
brindarnos todas las facilidades técnicas y operativas para
poder recoger las evidencias necesarias en función de
realizar este proyecto de auditoria.

A nuestro Profesor Yannick Patrick Carrasco Merma, por


asesorarnos con las clases en el transcurso de este ciclo y
La auditoría finalizó cumpliendo cada una de las fases proyecto, que sin él no hubiera sido posible la culminación
propuestas. A pesar de que en la primera fase, en la de este proyecto con éxito.
recolección de información de la mesa de ayuda que esta
implementada en Inkafarma, no se realizó a tiempo ya que
gran parte de la información solicitada no existía y no se han 6. Referencias
implementado procedimientos respecto a la gestión de los
activos con las que opera este sistema de TI, se logró detectar
las primeras falencias, respectivas a la auditoria. Las visitas NTC-ISO-IEC 27001:2013(2013) Tecnología de la
técnicas, también aportaron gran cantidad de observaciones, Información. Técnicas de Seguridad. Sistemas de Gestión de
respecto a identificar las vulnerabilidades que tenían. la Seguridad de la Información. Requisitos.