UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENIERÍA INDUSTRIAL

LIC. SISTEMAS E INFORMACIÓN

ASIGNATURA: AUDITORIA Y EVALUACION DE SISTEMAS II

TEMA: BANCO DEL PACIFICO

DOCENTE: ERNESTO MAX LOJAN GRANDA

PARALELO: 6-1

GRUPO # 3 INTEGRANTES:

❖ RONNY EDUARDO ASTUDILLO BOCONSACA

❖ ERNESTO DIDIER ARTEAGA PILOSO.

❖ MORA YEPEZ MINERVA CAROLINA.

❖ KAREN MICAELA SERRANO VERA.

❖ BIANCA PAULETTE MUÑOZ SILVA.

❖ RONALD ADRIAN HOLQUIN QUIMI.

❖ AGILA LA TORRE LESLYE ELIUT.

2020 – 2021

1
 Índice

1 Introducción ........................................................................................................ 3

2 Fase I.- Antecedentes ........................................................................................... 4

3 Descripción General ........................................................................................... 4

4 Descripción del Home Page ............................................................................... 4

5 Misión ................................................................................................................. 6

6 Visión.................................................................................................................. 6

7 Objetivo de la Plataforma ................................................................................... 7

8 Plan de Auditoria ................................................................................................ 7

8.1 Definición del Alcance ....................................................................................... 7

8.2 Objetivos a Auditar............................................................................................. 7

9 Fase II.- Identificar y Calificar Activos de la Información ................................ 8

10 Descripción de los Activos ................................................................................. 9

11 Fase II: Identificar y evaluar los riesgos........................................................... 13

12 Fase III: Tratamiento de riesgo……………………………………………….14

13 Operaciones de tratamiento de riesgo ………………………………………..14

2
 1 Introducción

El proyecto presentado detalla el proceso de auditoría realizado en BANCO GUAYAQUIL

comprendida al tratarse de un servicio en el sector bancario, se deben considerar varios aspectos

para su correcto uso, para ello se utiliza la matriz de evaluación de riesgos y tratamientos que

serán mencionadas más adelante en el proceso de desarrollo.

Se realizó mejorar los procesos y funciones que realizan en la plataforma. La auditoría

permitirá que el Sitio web esté bien estructurado y ayudará a la organización a mejorar la

reputación e imagen del banco, por lo que deben ser interactivos y de fácil manejo para el

usuario. El sitio web de la Banca Virtual del Banco de Guayaquil permite mostrar a los usuarios

las operaciones que pueden realizar dentro del sitio web, como pagos de servicios básicos,

transacciones, etc.

3
2 Fase I: Antecedentes

En el Banco Guayaquil, así como en todas las empresas, hoy en día el manejo de la

información ha tomado una gran importancia, no solamente por las necesidades, en lo que

concierne al procesamiento electrónico de datos y a los sistemas de información, sino también

por el factor modernización que viven las organizaciones; de tal forma que redunde en una

compañía más competitiva.

Es de esperar que estos cambios se estén dando, pero es raro que no se adopten nuevas formas

de control en los sistemas. La falta de normalización, estandarización, documentación en los

procesos de desarrollo de los sistemas, hace necesario que se exponga una alternativa de

solución al problema de poder verificar controles en la recolección, procesamiento,

transmisión y distribución de la información a través de los medios existentes y de

verificación de controles en general en la banca virtual del Banco Guayaquil.

3 Descripción General

El Banco Guayaquil es una institución financiera de banca universal con base en la ciudad de

Guayaquil, Ecuador. Esta institución inició actividades el 20 de diciembre de 1923, bajo la

denominación de Sociedad Anónima Banco Italiano, y el 24 de septiembre de 1941, mediante

una nueva escritura pública, se lo denominó con su nombre actual Banco de Guayaquil para

luego el 12 de junio de 2014, mediante un cambio de imagen, se lo denomina con su nombre

actual Banco Guayaquil.

4 Descripción del Home Page

Para vivir la experiencia virtual del negocio del banco de Guayaquil existe una forma, la

banca virtual requiere la contraseña y servicio de internet.

4
Una vez adentro el uso de los servicios es fácil solamente se necesita de una tarjeta de

combinaciones de clave para hacer efectiva cualquier operación como consulta de saldos,

transferencias, pago de servicios, registrar cuentas, etc.

5
También se podrá desempeñar varias funciones ya que el Banco de Guayaquil controla todos

los movimientos bancarios desde la Banca Virtual en Internet, las 24 horas del día, los 7 días

de la semana, durante todo el año.

5 Misión

Ofrecer a los clientes de manera eficaz y práctica sus servicios bancarios con rapidez y

eficiencia, orientada a satisfacer las necesidades de cada uno de nuestros clientes de manera

oportuna, desarrollarnos como institución líder en el sistema Bancario Nacional

6 Visión

Ser la marca líder en servicios bancarios, financieros y satisfacer al cliente,

expandiendo su gama de servicios en el mercado de competitividad empresarial.

6
7 Objetivo de la Plataforma

❖ Permitir a sus clientes realizar operaciones y transacciones con sus productos de

forma autónoma, independiente, segura y rápida a través de Internet.

❖ Desarrollar modelos de negocio centrados en el consumidor y diferenciarlos de la

competencia a través de experiencias digitales y responder a nuevos

comportamientos de compra. Según un estudio de PWC, el 30% de las instituciones

financieras cree que mejorar la experiencia del usuario es su factor más importante.

8 Plan de Auditoria

8.1 Definición del Alcance

Se realizará un examen a la plataforma web del Banco de Guayaquil, específicamente al

módulo de inicio de sesión o también llamado Banca Virtual, para clientes del banco, es decir

aquellos usuarios que posean una cuenta de ahorros, o una cuenta corriente.

En el mismo se busca determinar los estándares de seguridad tanto físicos como lógicos, así

como la explotación, y ver si se están gestionando a entrada de los usuarios y la seguridad en

ellas como son los datos, debe ser seguro y confortable.

8.2 Objetivos a Auditar

❖ Analizar los riesgos más comunes en la plataforma web.

❖ Verificar la confiabilidad y exactitud de los procedimientos.

❖ Plantear sugerencias tendientes a resolver las fallas encontradas en lo referente

al control de sistemas en el Banco Guayaquil.

❖ Resaltar las fortalezas existentes en control de sistemas.

7
 9 Fase II.- Identificar y Calificar Activos de la Información

ACTIVOS
1. Router (Cliente) NIVEL
2. Router (empresa)
3. Switch 1 Bajo
4. Laptop (Asistente) 2 Medio
5. Computador 1 (Jefe de Área)
3 Alto
6. Computador 2 (Cliente)
7. Base de datos (centro de cómputo) 4 Muy Alto
8. Servidores
9. Datos personales
10. Datos financieros
11. Copias de seguridad

NIVEL DE INPACTO (1-4)

ACTIVO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD AUTENTICACIÓN CALIFICACIÓN

PROMEDIO PROMEDIO PROMEDIO PROMEDIO PROMEDIO

Router(cliente) 1 - 4 1 1,5
Router 4 - 4 3 2,7
(empresa)
Switch - - 4 - 1
Laptop 2 2 3 2 2,2
(Asistente)
Computador 1 4 1 3 3 3
(Jefe de Área)
Computador 2 4 4 2 3 3,5
(Cliente)
Base de datos 4 3 3 4 3,7
(CC)
Servidores 3 3 3 4 3,2
Datos 3 2 4 3 3
personales
Copias de 4 3 3 4 3,5
seguridad
Sitio web 3 4 2 2 2,7

8
10 Descripción de los Activos

Router Cliente
❖ Se le asignó el valor de 1 en Confidencialidad ya que la información a veces es
rebotada al enviar o recibir mensajes.
❖ Se le asignó el valor de 0 en Integridad ya que al enviar o recibir mensajes no
puede ser alterada la información.
❖ Se le asignó el valor de 1 en Autenticidad ya que la información es exclusiva
para los clientes que usan la red.
❖ Se le asignó el valor de 4 en Disponibilidad ya que tienen acceso a la red las
24h.

Router Empresa
❖ Se le asignó el valor de 4 en Confidencialidad ya que el contenido o los datos
que tengan los empleados proporcionan una seguridad en el contexto de la
empresa
❖ Se le asignó el valor de 0 en Integridad ya que los datos que obtengan los
empleados se mantendrán puro, reales y no cambiarán.
❖ Se le asignó el valor de 3 en Autenticidad ya que tienen el querer como el hacer
que el contenido o los datos de los empleados que usan la red sean únicos
❖ Se le asignó el valor de 4 en Disponibilidad ya que tienen acceso a la red 24h.

Switch
❖ Se le asignó el valor de 0 en Confidencialidad ya que la red es única para la
persona que la usa.
❖ Se le asignó el valor de 0 en Integridad ya que la banda ancha en el envío y
recepción de datos es mucho más rápida.
❖ Se le asignó el valor de 0 en Autenticidad ya que la información es veraz y
confiable al momento de enviar o recibir datos.
❖ Se le asignó el valor de 4 en Disponibilidad ya que podemos utilizar la red
cuando queramos.

9
 Laptop (Asistente)
❖ Se le asignó el valor de 2 en la Confidencialidad ya que la portátil es utilizada
exclusivamente por el asistente.
❖ Se le asignó el valor de 2 en la Integridad ya que la información es almacenada
en el Disco Duro, y puede ser extraída.
❖ Se le asignó el valor de 3 en Autenticidad ya que la información manejada se
facilitaría a terceros con previa identificación.
❖ Se le asignó el valor de 2 en Disponibilidad ya que la información es exclusiva
para ciertos usuarios identificados.

Computador 1 (Jefe De Área)

❖ Se le asignó el valor de 4 en Confidencialidad ya que a veces la información
también se mantiene a salvo, pero no es 100% segura.
❖ Se le asignó el valor de 1 en Integridad ya que la información no es compartida.
❖ Se le asignó el valor de 3 en Autenticidad porque la información no es
totalmente verificable.
❖ Se le asignó el valor de 3 en Disponibilidad ya que la información es a veces
restringida.

Computador 2 (Cliente)
❖ Se le asignó el valor de 4 en Confidencialidad ya que la información puede ser
manipulada por varias personas.
❖ Se le asignó el valor de 4 en Integridad ya que la información puede adquirir
modificaciones.
❖ Se le asignó el valor de 3 en Autenticidad porque la información no es totalmente
verificable.
❖ Se le asignó el valor de 2 en Disponibilidad ya que la información no está
restringida y hay un mínimo riesgo.

10
 Base De Datos (Centro De Computo)
❖ Se lo valoró con 4 en confidencialidad, porque la información que refleja es
manejada únicamente por un personal del Banco.
❖ Se lo valoró con 3 en integridad, porque el colaborador puede modificar
accidentalmente la información dentro del sistema.
❖ Se le asignó el valor de 4 en Autenticidad ya que la información puede caer en
manos equivocadas.
❖ Se lo valoró con 3 en Disponibilidad, porque la información cuando es
interrumpida no se puede visualizar.

Servidores
❖ Se le asignó el valor de 3 en Confidencialidad ya que la información puede ser
revisada por personas no autorizadas.
❖ Se le asignó el valor de 3 en Integridad ya que hay un mínimo riesgo de cruce de
información y al enviar a imprimir puede ser alterada la información.
❖ Se le asignó el valor de 4 en Autenticidad ya que la información puede caer en
manos equivocadas.
❖ Se le asignó el valor de 3 en Disponibilidad ya que tienen acceso a la red las 24h.

Datos Personales
❖ Se le asignó el valor de 3 en Confidencialidad ya que la información puede ser
vendida o revelada por personal del banco.
❖ Se le asignó el valor de 2 en Integridad ya los datos personales si pueden ser
modificados.
❖ Se le asignó el valor de 3 en Autenticidad ya que la información puede ser
utilizada para suplantar la identidad.
❖ Se le asignó el valor de 4 en Disponibilidad ya que está disponible las 24 h.

11
 Copias De Seguridad
❖ Se le asignó el valor de 3 en Confidencialidad ya que la información puede ser
revisada por personas no autorizadas.
❖ Se le asignó el valor de 0 en Integridad ya que estas se mantienen exactamente igual
a la información original.
❖ Se le asignó el valor de 3 en Autenticidad ya que la información puede caer en manos
equivocadas y ser mal utilizada.
❖ Se le asignó el valor de 4 en Disponibilidad ya que están disponibles las 24h.

Sitio Web
❖ Se le asignó 3 en Confidencialidad las tareas o la función que puedan realizar en el
sitio web no es malicioso más bien el porcentaje es alto al momento de proteger el
contenido de información.
❖ se le asignó 4 en Integridad ya que el contenido que pueda impartir el sitio es único
NO malicioso, aparte de eso, no se debería visualizar otro que no sea la página real.
❖ Se le asignó 2 en Autenticidad ya que el sitio web no está exento a intrusos maliciosos
que quieran ingresar con cuentas falsas para la extracción de la información o datos.
❖ Se le asignó 2 en Disponibilidad, talvez este término le suene familiar “se cayó el
sitio web”, este sitio no está exento a esto entonces es donde tarda tener las 24 horas
disponible el sitio

12
 11 Fase III: Identificar y evaluar los riesgos.

NIVEL
1-3 Bajo
4-6 Medio
7-9 Alto
10-12 Muy Alto

EVALUACIÓN DE RIESGOS

ACTIVOS AMENAZAS PROBABILIDAD IMPACTO RIESGO

Mala recepción de señal 2 1 2

Router (Cliente) Caída del servicio 2 1 2

Daño del Equipo 3 4 12

Corte del Sistema Eléctrico 3 2 6

Switch Mala recepción de señal 3 4 12

Daño del Equipo 2 3 6

Laptop (Asistente) Fallos en el sistema informático 2 2 4

Pérdida de información 4 2 8

Inestabilidad del Sistema

Computador 1 Pérdida de información 2 4 8

(Jefe de Área) Fallos en el sistema informático 2 2 4

Ciberataque 2 2 4

Computador 2 Instalación de memorias extraíbles

(Cliente) Descarga de programas poco seguros 1 1 1

Sistema Operativo desactualizado 2 3 6

13
 12 Fase IIII: Tratamiento de los Riesgos

Mediante una matriz definiéremos las amenazas, para luego poder realizar el respectivo

tratamiento de cada una de los riesgos y ver las opciones de tratamiento que podamos

ejecutar para su respectivo tratamiento, basado a las normas ISO 27001.

13 Opciones de Tratamiento de Riesgo.

Mitigar

• Impementa
controles
(Mitigar/Reducir)

Transferir Evitar

• Elimina, ya sean
• Compartir el procesos que
riesgo con socios. generen riesgo.

Aceptar

• Monitorear y
reconocer la
existencia del
riesgo.

14
 Riesgo Principio de Tratamient Nivel de Controles
Seguridad o de Riesgo Riesgo
A14 Adquisición, desarrollo y mantenimiento de los sistemas de información.
Confidencialidad, A18.1.5 Regulación de los controles criptográficos.
Perdida de Autenticación Mitigar 12 A18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales.
información A18.1.5 Protección y privacidad de la información de carácter personal.
A18.2.1 Revisión independiente de la seguridad de la información.
A18.2.2 Cumplimiento de las políticas y normas de seguridad.
A 9.2 Gestión de acceso de usuario.
Fallos e A18.2.1 Revisión independiente de la seguridad de la información.
Inestabilidad Confidencialidad, A18.2.2 Cumplimiento de las políticas y normas de seguridad.
del Sistema Autenticación, Mitigar 9 A16Gestion de incidentes de seguridad de la información.
Informático Integridad. A 12 Seguridad de las operaciones.

A18.2.1 Revisión independiente de la seguridad de la información.

Posibles Confidencialidad, Mitigar- A18.2.2 Cumplimiento de las políticas y normas de seguridad.
Ataque de Disponibilidad, Aceptar 9 A18.2.3 Comprobación del cumplimiento técnico.
hacker por Autenticación. A16 Gestión de incidentes de seguridad de la información.
A 12 Seguridad de las operaciones.
bajo nivel de
seguridad
A18.2.1 Revisión independiente de la seguridad de la información.
Vulnerabilidad Integridad, 6 A6.1.1 Roles y responsabilidades en seguridad de la información.
sobre la Autenticación. Mitigar A6.2.1 Política de dispositivos móviles.
política de A9.2.5 Revisión de los derechos de acceso de usuario.
seguridad.

15