FACULTAD DE INGENIERÍA

ESCUELA PROFESIONAL DE SISTEMAS

AUTORES:

 De La Puente Yausin Oscar Hugo Andrei

 García Sedamano Michael Enrique (0000-0002-2593-9239)

 Pacheco Paz Luis Miguel (0000-0002-8433-7326)

 Rivera Marcelo Alejandro (0000-0002-7561-132X)

 Ruiz Rodríguez Martin Jean Pierre (0000-0002-1635-7675)

ASESOR:

Ing. Carretero Obando Marcelino Waldemar

LINEA DE INVESTIGACIÓN:

Auditoria de sistemas y seguridad de la información

CIUDAD DE TRUJILLO – PERÚ

2022
PROCESO SELECCIONADO

Cuando una persona ya sea natural o jurídica requiere solicitar algún tipo de
trámite que brinda Municipalidad Provincial de Trujillo debe acceder a la
aplicación web SISTRAM y completar sus datos dentro del TUPA para
posteriormente ser enviado a los responsables de gestionar el documento a las
áreas correspondientes de ser necesario, cuando las áreas reciben el
documento validarán los datos y verán que todo esté conforme y validar la
información solicitada. cuando todas las áreas correspondientes hayan
validado la información este será enviado a la persona que realizó la solicitud
por medio de correo electrónico.

DESCRIPCIÓN DEL SISTEMA DE INFORMACIÓN

El Sistema Gestor de Trámite Documentarios (SISTRAM) está orientado al

manejo automatizado de todo tipo de trámites documentarios. El SISTRAM
está diseñado para ser adaptado fácilmente a cualquier tipo de organización
independientemente del rubro que tenga pues posee una flexible interfaz que
se adaptará a su organización. SISTRAM fue creado para funcionar en la web,
por lo que puede ser utilizado en una intranet o en la Internet.

SISTRAM genera una clave asociado al expediente lo que permite al usuario

poder verificar el estado del documento a través de la web, además crea
inmediatamente un historial desde el momento en que se recibe el documento,
en el momento de la distribución, en el transcurso recorrido de las áreas por las
cuales viaja el documento, hasta el momento de cerrar o cumplir la finalidad de
la misma; lo que permite mantener informado constantemente a las personas o
áreas involucradas en gestión de la misma.

Las tecnologías que utiliza SISTRAM son las siguientes:

OBJETIVOS DE LA AUDITORÍA

Alcance

La auditoría se realizará al sistema de gestión de trámite documentario

SISTRAM, en la Municipalidad Provincial de Trujillo - Gerencia de
sistemas, haciendo uso de las normas ISO 27001 sobre la seguridad de la
información.

Objetivo General

Evaluar la Seguridad de la Información del sistema de gestión de

trámite documentario SISTRAM utilizando las normas ISO 27001.en el
periodo abril-julio del 2021

Objetivos Específicos

● Evaluar la gestión de acceso de los usuarios SISTRAM

● Evaluar la integridad el SISTRAM
● Evaluar la disponibilidad de las bases de datos SISTRAM

ACTIVIDADES Y CRONOGRAMA DE AUDITORÍA

Requerimientos Operativos

En caso de aceptarse la propuesta técnica, es necesario:

-Acceder al SI y BD
 -Entrevistar al personal que utiliza el sistema

-Información sobre reportes de incidencias

-Lista de usuarios que tienen acceso al sistema

-Procedimiento de gestión de usuarios y contraseñas

-Información sobre los backups

-Revisar los planes de contingencia

-Revisar el tiempo de respuesta(rendimiento) de las consultas a base de

datos.

-Verificar prueba y mantenimiento de sistemas

Las actividades fueron programadas de la siguiente manera:

Objetivo Actividad Duración Seman Responsable

a
(días)

Recopilación Visita a la municipalidad 1 1

de información
Entrevista con el gerente de
sistemas Paredes Gil, Jair
Eduard,

Presentación del plan de Ruiz Rodriguez

auditoría Martin

Evaluación de Entrevista con usuarios del 1 2 RodríguezAguila

acceso de área de SI r, Albert Frank
usuarios al
sistema Espinoza Obeso,
Revisión de proceso de
trámite documentario Anghelo
Augusto

Revisión del nivel de acceso

 de cada usuario

Revisión del documento de 1

funciones del usuario

Revisión del documento de

gestión de contraseñas

Evaluación de Revisión de documento de 1 3

la integridad y incidencias
disponibilidad
del sistema
Evaluar el nivel de acceso de
los usuarios con respecto a
su cargo

Paredes Gil, Jair

Eduard,
Revisión de documento de
personas que tienen acceso Ruiz Rodrgiuez
a copias de seguridad Martin

-Revisión de realización de 1 4
backups

-Revisión de sistema de
contingencia

-Revisión de mantenimiento
al sistema

-Ejecución de cuestionario Ruiz Rodriguez

Martin, Paredes
Gil, Jair Eduard.

Aplicación de Revisión de los puntos 1 5 Rodríguez

controles de la seleccionados de la ISO Aguilar, Albert
ISO Frank
Evaluación de los controles
la municipalidad vs la ISO Espinoza Obeso,
Anghelo
 Augusto

PROGRAMA DE AUDITORÍA

Metodología

La Auditoría se desarrollará según la metodología propuesta en la Norma

ISO 19011(Punto 6. “Realización de la auditoría)

1.Establecer contacto con el auditado: En esta etapa nos reuniremos con la

persona que nos brindara la información para realizar la auditoría, coordinando
las fechas de visita a la empresa, entrevistas con los usuarios del sistema y
requerimientos.
2.Luego de aceptarse la colaboración por parte del auditado quedando en claro
que facilitará el acceso al sistema y a los requerimientos propuestos por parte
del auditor, se analizará la información para poder saber las posibles fallas que
tenga y poder proponer un objetivo general en el cual se basará la auditoría.

3.Una vez identificado el objetivo se evaluará el sistema en base a los criterios

de la normativa escogida, mostrando las inconformidades halladas en el
sistema que podrían generar un riesgo para la empresa.

4.Para finalizar el equipo auditor se reunirá para dar una última revisión de toda
la información recopilada, se preparan las recomendaciones de haber un previo
acuerdo y se entrega el informe a la persona a cargo con las conclusiones y
observaciones obtenidas durante la auditoría.

Evaluación de acceso de usuarios al sistema

-Se encontró que si se cuenta con un documento que especifica el rol del
usuario y su nivel de acceso al sistema.

-Se cumple con la normativa de la municipalidad de inhabilitar usuarios que

están de vacaciones o dados de baja.

-La creación y asignación de roles son dadas únicamente por administrativos y

personal designado.

-Se cumple con la capacitación de las buenas prácticas para el acceso y

seguridad del sistema y más ahora que existen usuarios que trabajan desde su
casa.

-Cuentan con firewall que controla el acceso al sistema y en la bd solo permite

el acceso a las máquinas por ip registradas y usuarios asignados dentro de la
municipalidad.

-Cumplen con el uso de contraseñas robustas que el sistema exige.

-Cumplen con la restricción de páginas que no tengan que ver con el trabajo
que deben realizar dentro de la municipalidad.

-No cuentan con tiempo de vida para las contraseñas.

-No cuentan con límite de intentos de acceso al sistema

Conclusión:

En base a las evidencias y el resultado del checklist se concluye que es una

OPORTUNIDAD

Evaluación del SISTRAM

-Cuentan con políticas de seguridad de información y también están publicadas

para los empleados y altos cargos.

-El sistema cuenta con varios módulos, pero depende del nivel de usuario que
tengas para poder visualizar los distintos módulos y tener acceso a ellos.

-Por motivos de pandemia los usuarios pueden acceder desde sus casas al
sistema y cuentan con un sistema de auditoría para evitar registros
inadecuados.

-Se realizan capacitaciones del uso del sistema y seguridad que deben de
tener con la información que manejan.

-Las áreas de desarrollo, redes y servicio técnico están separadas en distintos

ambientes.

-Las puertas son de vidrio templado y difuminado.

-En el área de desarrollo hay un espacio que colinda con una casa en la cual
se observan ventanas que no tienen protección.

-Las personas que tienen acceso a información sensible no realizan un contrato

de confidencialidad.

Conclusión:

En base a las evidencias y el resultado del checklist se concluye que es una

DEBILIDAD

Evaluación de la Base de datos

-Cuentan con 2 datacenter uno en la municipalidad área de sistemas y otro con

el que hace espejo en el municipio.
-Se realizan 2 tipos de backups uno transaccional que es cada 30min y otro
completo que es a la media noche.

-La BD se revisa diariamente y están en constante actualizaciones.

-Se realizan Jobs que borran los logs que ya no son necesarios y que pueden
ralentizar el funcionamiento del sistema.

-Los servidores cuentan con puertas de metal que están conectadas a

cerraduras electrónicas las cuales se acceden mediante una tarjeta de
identificación que cuenta el responsable del área de redes.

-Cuentan con las medidas de seguridad en caso de incendios, tienen las

señalizaciones correspondientes, un sistema de refrigeración para los
servidores, una ventana de seguridad.

-Cuentan con cámaras de seguridad.

-Se encontró que las contraseñas de los usuarios están encriptadas con MD5

Conclusión:

En base a las evidencias y el resultado del checklist se concluye que es una

FORTALEZA

Identificación de activos
Activos tangibles:
-Computadoras
-Cámaras de seguridad
-Servidores
-Personal
-Área de sistemas
-Tarjetas de identificación
-Telefonía
-Conexiones de red

Activos intangibles:
-App web SISTRAM
-Licencias de software
-Datos operacionales
-Plan de contingencia

Valor de activos

Activo Confidencialida Integrida Disponibilida Valoració

d d d n Total

Computadoras  1 2 2 5

Camaras de 1 1 1 3
seguridad

Servidores 3 3 3 9

Personal 3 2 1 6

Área de sistemas 3 3 3 9

Tarjetas de 3 3 1 7
identificación

Telefonía 1 2 1 4

Conexiones de red 1 3 2 6

App web 3 2 3 8
SISTRAM

LICENCIAS DE 2 3 3 8
SOFTWARE

DATOS 3 3 3 9
OPERACIONALE
S

PLAN DE 2 3 3 8
 CONTINGENCIA

Vulnerabilidad de activos:
-Servidores: Mala configuración, conexiones cifradas, uso de VPN
-Licencias de software: Desactualización de licencias, mala configuración
-Datos operacionales: Nivel de datos cifrados bajos
-Conexiones de red: Personal no capacitado, puertos abiertos sin restricción,
contraseñas débiles
-Tarjeta de identificación: No es de uno único, no se guardan en un lugar
seguro
-App web SISTRAM: SQL injection, fallos de autenticación
-Personal: Ingeniería social
-Computadoras: No cuenta con un bloqueo de actividad
-Telefonía:

Amenaza de las vulnerabilidades de los activos:

-Servidores: Virus, troyanos, gusanos, ransomware, keyloggers
-Personal: Phishing, baiting, scareware, pretexting
-Tarjeta de identificación: Clonación, suplantación de identidad
-Telefonía: Filtración de datos, phishing
-Licencias de software: Licencias piratas, virus
-Datos operacionales: Filtración o alteración de datos por personal de la
empresa.
-Conexiones de red: ataque de DoS, ARP, Spoofing
-App web SISTRAM: Robo de información, exposición de datos sensibles,
inyección de SQL

Riesgos (Activo, Amenaza, Vulnerabilidad)

-Robo de información
-Personal propio de la empresa.
-Licencias piratas
-Filtración de datos
-Keyloggers
-Mala configuración
-Personal no capacitado para las tareas a realizar.
-No tener los datos cifrados
-Backups deficientes

Tipos de riesgo:

Inherente: Residual:
Ataques de virus Error Humano
Suplantación de identidad Ataque de hacker
Pérdida de datos Filtración intencional
Filtración de información Demora por imprevisto

Riesgo Probabilidad Impacto Nivel

Filtración de información por falta de 4 5 Alto
cláusulas de confidencialidad en trabajos
remotos
Hackeo de contraseñas por falta de 4 3 Alto
actualización y contraseñas no seguras

Forzar el logueo de un usuario ya que no 2 3 Medio

cuentan con una restricción o limite de
intentos
Robo de usuarios al sistema debido a que 4 4 Altog
las contraseñas tienen un encriptado débil
(MD5)
Probabilidi
ad

Impacto