233004A 225 TC2 Consolidado

Resumen — Este trabajo tiene como objetivo realizar estudio y diagnostico en una organización, identificar las áreas donde se genera información que es la parte fundamental pues es producto de sus actividades, bien sea los sistemas, la infraestructura tecnológica y los activos de información como tal, buscando revisar que dependencias intervienen entre sí para controlar, prevenir y proteger la información. Asimismo a partir de ello revisar los controles internos a nivel informático y cómo a partir de ellos determinar las vulnerabilidades, amenazas y riesgos se les pueda dar un tratamiento para mitigarlos y teniendo en cuenta los estándares de seguridad informática aplicar las buenas prácticas de acuerdo a la ISO 270002 y demás estándares y modelos en materia de protección y seguridad de la información.

Palabras clave —, amenaza, causa, control, probabilidad, impacto, tratamiento, riesgo, seguridad informática vulnerabilidad

Abstract – This work aims to conduct research and diagnosis in an organization, identify areas where information is generated which is the fundamental part it is the product of their activities , whether systems , technological infrastructure and information assets as such , seeking review that agencies involved with each other to control, prevent and protect information. Also from this review internal controls at computer level and how from them identify vulnerabilities , threats and risks they are able to give treatment to mitigate and taking into account the standards of security applied best practices according to the ISO 270002 and other standards and models for the protection and information security .

Keyworks — threat, cause , control, probability , impact, treatment , risk, TI, vulnerability

I. INTRODUCCIÓN

A gestión de riesgos hoy en día es tema que enmarca toda una organización, puesto que

no solo se trata de temas financieros si no que le compete a toda una entidad donde se vincula el talento humano, las comunicaciones, tecnología, la infraestructura de la organización, la alta dirección, los recurso físicos y como parte esencial la información, por lo cual se vincula a control interno [1] como una de las áreas transversales que permite realizar seguimiento para controlar y mitigar ciertos riesgos que se presentan y en algunos casos no son tan evidentes, pero por lo cual se les puede dar un tratamiento y calificación a partir de las causas que lo generan para así prevenir y garantizar la seguridad de la información y informática, aplicando las metodologías y técnicas que los estándares y modelos de seguridad proponen a partir del estudio y análisis de riesgos y control informático.

L

Se pretende, afianzar y fortalecer los fundamentos teóricos y prácticos sobre el control interno informático enfocado a la seguridad informática y de la información, y la aplicación de los estándares más recomendados y usados internacionalmente para así a partir del análisis realizado llevar a cabo el proceso de definición de controles y gestión de riesgos aplicados a seguridad informática y de la información.

Palacio Miranda Freddy Arturo, Garcia Guacaneme Raúl, Caucali Beltrán Diana Marcela,Universidad Abierta y a Distancia (UNAD)

Especialización en Seguridad Informática23304_225 Riesgos y Control Informático

FundamentosControl Interno informático

II. OBJETIVOS

1. Determinar los recursos afectados y analizar la causa que origina cada uno de los riesgos encontrados, los recursos afectados pueden ser (HARDWARE) hardware, (SOFTWARE) software, (TH) talento humano, y ORG.2. Proponer un sistema de control interno informático para la organización que ha sido analizada por cada uno de los estudiantes de acuerdo a los estándares de control ISO 27002.3. Realizar el tratamiento de los riesgos encontrados en la matriz de riesgos teniendo en cuenta que pueden ser aceptados, transferidos o que se puede definir los controles que ayuden a mitigarlos.

III. ETAPA DE DISEÑO

Matriz de Riesgos con Valoración

CATEGORÍA DE ACTIVO

SERVICIO DE RED VULNERABILIDAD AMENAZARIESGO

AFECTADORIESGO CAUSA

CONTROLESISO 27002

PROBABILIDAD IMPACTORIESGO

INHERENTENIVEL DE RIESGO

RIESGO RESIDUAL

1. Comunicaciones

Desarrollo tecnológico informático

Deficiencias en los requerimientos presentados y en el mantenimiento de la herramienta desarrollada.

Falta de personal que brinde soporte a los aplicativos

SOFTWARE

Aplicación limitada de las herramientas informáticas desarrolladas

Humana: falta de capacitación, tecnológica: actualización de los sistemas

* A.13.1.2. Seguridad de los servicios de red.* A.14. Adquisición, desarrollo y mantenimiento de sistemas.

Medio (0.8) Moderado (0.8)0.64Medio

Tolerable Medio

Desarrollo tecnológico informático

Obsolescencia de herramientas tecnológicas

Ausencia de herramientas tecnológicas

SOFTWARE

Desarrollo y aplicación de herramientas tecnológicas no autorizadas

Tecnológica: falta de actualización

* A.14.2.2. Procedimiento de control de cambios en sistemas.

Medio (0.8) Moderado (0.8)08Medio

Tolerable Medio

Equipos de comunicaciones

Retraso en los enlaces de los equipos de comunicaciones

Daños presentados en los equipos de comunicaciones

HARDWAREDaños de los equipos de comunicaciones

Tecnológico y físico

A.9.4. Control de Acceso a Sistemas y Aplicaciones.

Alto (1) Catastrófico (1)1Fuerte

Inaceptable Critico

Red telefónicaFalta de comunicación entre empleados

Fallas en la red telefónica

HARDWAREDaños de la red telefónica

Humana, físicos y tecnológico

A.13.2. Transferencia de información.

Bajo (0.4) Leve (0.5)0.2Bajo

Aceptable Bajo

InternetComunicación no permanente la red

Conocimiento de información tardía

HARDWARECortes del servicio de internet

Tecnológico Alto (1) Catastrófico (1)1Fuerte

Inaceptable Critico

Red Informática

La interceptación de información que es transmitida desde o hacia el sistema.

Penetración del sistema a través de la red

HARDWAREIntercepción de las comunicaciones

TecnológicoA.6.1.1. Seguridad de la Información Roles y Responsabilidades.


Inaceptable Critico

2. Tecnología

Software

Presencia de software malicioso

Instalación de programas innecesarios

SOFTWAREDaños en software

Tecnológico: actualización de software

A.14.2.4. Restricciones sobre los cambios de paquetes de software.

Medio (0.8) Moderado (0.8)0.64Medio

Tolerable Medio Conflictos en los recursos compartidos

Registro inadecuado de programas de windows

Tecnológico: Software


HardwarePresenta software malicioso

Falla en la memoria, fuente, disipadores, board, disco duro, etc

HARDWAREDaños en Hardware

Tecnológico y físico

A.11.2.4. Mantenimiento de equipos.


Inaceptable Critico Consumo de alimentos en las áreas de trabajo

Humano y físicasA.11.2.9. Política de escritorio limpio y pantalla limpia.

Red Administración Daños en los HARDWARE Fallas en la red Físicos A.13.1. Gestión de Medio (0.8) Moderado (0.8) 0.64 Tolerable Medio

3




CONTROLESISO 27002



RIESGO RESIDUAL

de la red

dispositivos de comunicación (rack, servidores, touters)

Seguridad de Redes Medio

Sistemas de Información

Fallas en la administración de los aplicativos

Problemas en la configuración de los parámetros de seguridad del servidor del sistema de información

SOFTWAREViolación de los sistemas de Información

Humana, Falta de actualización de los sistemas de seguridad



Inaceptable Critico

Denegación del servicio a través de múltiples consultas concurrentes

Falta de soporte y mantenimiento de fabrica

Desconocimiento tecnológico.

A.12.1. Procedimientos operacionales y responsabilidades.

Problemas en la oportunidad de la atención en los diferentes sistemas de información

Fallas en los controles para el acceso físico a los servidores

HumanaA.11.1.2. Controles Físicos de entrada.

Dispositivos de red

El constante cambio tecnológico genera que las herramientas adquiridas entren en inoperancia.

Referencia de repuestos descontinuados

HARDWAREObsolescencia Tecnológica

TecnologíaA.12.6. Gestión de vulnerabilidad técnica.


Aceptable Bajo

Aceleración de nuevas tecnologías generando discontinuidad de las mismas en un corto periodo de tiempo

Actualización tecnológica

A.12.5.1. Instalación de software en sistemas operativos.

3. Seguridad Física

HardwareAusencia de Hardware

Falta de dispositivos para buen funcionamiento

HARDWARERobos de hardware

HumanaA.11.1. Áreas Seguras.

Bajo (0.4) Moderado (0.8)0.32Bajo

Aceptable Bajo

Infraestructura de red

Violación de autorización

Personas no autorizadas

TODA LA ORGANIZACIÓN

Vandalismo HumanaA.11.1.2. Controles Físicos de entrada.

Bajo (0.4) moderado(0.8)0.32Bajo

Aceptable Bajo


Perdida de hardware

Riesgos físicosTODA LA ORGANIZACIÓN

IncendiosHumana y físicos por cortos circuitos que puedan ocurrir

A.11.2.1. Ubicación y protección de los equipos.


Inaceptable Critico


Perdida de equipos en funcionamiento

Daños en hardware y software


Terremotos Humanas y Físicas

A.11.1.4. Protección contra amenazas externas y ambientales.


Inaceptable Critico

Punto de energía eléctrica

Funcionamiento irreparable de dispositivos

Perdida del funcionamiento correcto de equipos

HARDWARE Fallas eléctricas Humanas y físicasA.11.2.2. Servicios Públicos de soporte.


Aceptable Bajo

4




CONTROLESISO 27002



RIESGO RESIDUAL

HardwareAtrasos en el funcionamiento de los procesos

Perdida de la información almacenada

HARDWAREFallas de hardware

Tecnológicas y físicas

A.11.1.3. Seguridad de oficinas, salones e instalaciones.


Inaceptable Critico

4. Manejo de Personal

AccesoManipulación de datos confidenciales

Extracción de datos no autorizados


Accesos no autorizados

HumanaA.9.3.1.Uso de información secreta.


Inaceptable Critico

Tenencia de información no autorizada.

Acciones sospechosas


Fraude HumanaA.10.1.2. Gestión de Claves.


Inaceptable Critico

IdentidadAutorizaciones no verificadas

Accesos no autorizados


Suplantación de identidad

HumanaA.9.1.1. Política de Control de Acceso.


Inaceptable Critico

Autenticación Intentos fallidosAutenticación repetida


Fallas de autenticación

Controles de ingreso

A.9.2. Gestión de Acceso de Usuarios.


Inaceptable Critico

PersonalEficiencia afectada

Rendimiento desmejorado

TALENTO HUMANO

Indisponibilidad del personal

HumanaA.7.1.2. Términos y condiciones del empleo.


Aceptable Bajo

InformaciónObtención de información

Perdida de información


Fugas de Información

Humana y falta de controles de seguridad

A.9.2.4. Gestión de información de autenticación secreta de usuarios.


Aceptable Bajo

5. Protección de la Información




Robo de información


A.9.1.1. Política de Control de Acceso.


Inaceptable Critico







Alto (1) catastrófico (1)1Fuerte

Inaceptable Critico

InformaciónInformación no veraz

Personal involucrado, Información errada


Manipulación de información

HumanaA.9.4.1. Restricción de acceso a información.


Inaceptable Critico

UsuarioEntorpece funcionamiento

Demora en servicios ofrecidos

TALENTO HUMANO

Errores de usuario

HumanaA.9.2. Gestión de Acceso de Usuarios.


Inaceptable Critico

InformaciónFalta de información completa

Ausencia de información real disponible


Eliminación de información

Humana y controles de seguridad

A.12.4. Registro y Seguimiento.


Inaceptable Critico

Backup

Ante cualquier desastre la TODA LA ORGANIZACIÓNanización es perjudicada

Perdida de datosTODA LA ORGANIZACIÓN

No se encuentran definidas las políticas de copias de seguridad

Tecnológica, falta de políticas de respaldo de los datos

A.12.3. Copias de Respaldo.


Inaceptable Critico

6. Seguridad Lógica

Archivos y programas

El estado de programas y archivos se ve afectado

Programas y archivos eliminados o cambiados


Acceso a los programas y archivos por parte de personal no autorizado

Humana y políticas de seguridad



Inaceptable Critico

DestinatarioExtracción de información

Accesos de información por

TODA LA ORGANIZACIÓ

Información transmitida a un

Humana y tecnológica

A.13.2. Transferencia de información.


Inaceptable Critico

5




CONTROLESISO 27002



RIESGO RESIDUAL

medio empleados Ndestinatario incorrecto

Programas y archivos

Vulneración y funcionamiento errado de la información

Funcionamiento errado


Modificación de los programas y archivos por parte de los usuarios

HumanaA.12.5. Control de Software Operacional.


Inaceptable Critico

control de accesoInformación puesto es peligro

Vulneración de la privacidad de la información

SOFTWAREFalta de software de control de acceso

Tecnológica, actualización de los sistemas de seguridad



Inaceptable Critico

virusVulnerable todo el sistema de información

Mal funcionamiento de software o hardware

SOFTWAREEntrada de virus y malware

Tecnológica, actualización de los sistemas

A.12.2. Protección contra códigos maliciosos.


Inaceptable Critico

6

IV. CONCLUSIONES

• Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando las principales deficiencias de la misma.

• Existen riesgos que dependen del entorno, en los que las políticas gerenciales de la empresa pueden minimizarlos, pero de forma interna no pueden ser evitados.

• La Gerencia de la empresa tiene políticas de prevención para los riesgos, pero estas no garantiza el adecuado control de los mismos.

A partir de la identificación de un riesgo por pequeño que parezca se puede realizar análisis del mismo y así empezar a buscar las alternativas de como mitigarlo y dar el tratamiento adecuado

La aplicación de los estándares internacionales y modelos permiten que las buenas prácticas en cuento a seguridad informática y de la información, se genere un control y seguimiento para la protección de los activos de la organización y así darle una valor a cada uno de estos.

V. REFERENCIAS

[1] Duque, R (s.f.) Metodologías de gestión de riesgos. Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

[2] Ranz Perlañes Eduardo. Evaluación de control interno en sistemas informáticos. Disponible en: http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf

[3] ISO (2013). Controles ISO/IEC 27002. Disponible en: http://iso27000.es/download/ControlesISO27002-2013.pdf

[4] ISACA. (2007).COBIT 4.1. Disponible en:http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

[5] Gobierno de España, Portal de Administración electrónica. MAGERIT V.3: Metodología de Análisis y gestión de riesgos de los sistemas de información. Disponible en: http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html

[6] Duque Ochoa Blanca R. (2012). Metodologías de gestión de Riesgos (OCTAVE, MAGERIT, DAFP). Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf.

[7] Yañez de la Melena Carlos, Ibsen Muñoz Sigfred Enrique. (2011). Enfoque metodológico de la auditoría a las tecnologías de información y comunicaciones. Disponible en: http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20120829_1.pdf

[8] Gaona Vásquez Karin. (2013). Aplicación de la metodología MAGERIT para el análisis y gestión de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito S. A. en la ciudad de Machala. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf

[9] De la Torre Morales Martha Elizabeth, Giraldo Martínez Ingrid, Villalta Gómez Carmen. (2012). Diagnóstico para la Implantación de COBIT en una Empresa de Producción. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPS-GT000307.pdf

VI. BIOGRAFÍA

Diana Marcela Caucali Beltrán, nació en Guamal, Meta el 15 de septiembre de 1984. Profesional de Sistemas de Información, bibliotecología y archivística, egresada de la Universidad de La Salle. Especialista en Gestión documental, asesoría y consultoría en Sistemas de gestión de documento de archivo electrónico (SGDEA) y Records Management, lineamientos técnicos archivísticos. Actualmente, estudiante de especialización en Seguridad Informática

Freddy Palacio nació en Colombia – el 8 de Enero de 1977. Se graduó de la Universitaria Nacional y A Distancia UNAD, en Ingeniería de Sistemas, y actualmente es estudiante misma universidad en el postgrado Especialización en Seguridad Informática.Se desempeña como soporte técnico en el área de las telecomunicaciones en el manejo y administración de software con una empresa dedicada a la identificación y procesos

electorales.

7

http://iso27000.es/download/ControlesISO27002-2013.pdf

http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

233004A 225 TC2 Consolidado

Documents

Transcript of 233004A 225 TC2 Consolidado