Download - 233004A 225 TC2 Consolidado Final Borrador
Riesgos y Control Interno Informático Unidad 2: Fundamentos de Control Interno
informáticoPalacio Miranda Freddy Arturo, Garcia Guacaneme Raúl, Caucali Beltrán diana Marcela,
Universidad Nacional Abierta y a Distancia ¨UNADEspecialización en Seguridad en Informática
23304_225 Riesgos y Control Informático
I. INTRODUCCIÓN
En este documento y con el desarrollo de la guía de trabajo colaborativo 2, se dará a conocer lo concerniente a los contenidos de la Unidad No.2. Fundamentos de Control Interno informático, vamos a afianzar y fortalecer los fundamentos teóricos y prácticos sobre el tema de control interno informático enfocados a la seguridad informática y de la información.
Además conoceremos los estándares más usados a nivel internacional para llevar a cabo el proceso de definición de controles y gestión de riesgos aplicados a la seguridad informática y de la información.
II. OBJETIVOS
1. Determinar los recursos afectados y analizar la causa que origina cada uno de los riesgos encontrados, los recursos afectados pueden ser HW hardware, SW software, TH talento humano, y ORG.2. Proponer un sistema de control interno informático para la organización que ha sido analizada por cada uno de los estudiantes de acuerdo a los estándares de control ISO 27002.3. Realizar el tratamiento de los riesgos encontrados en la matriz de riesgos teniendo en cuenta que pueden ser aceptados, transferidos o que se puede definir los controles que ayuden a mitigarlos.
Matriz de Riesgos con Valoración
CATEGORÍA DE ACTIVO
SERVICIO DE RED
VULNERABILIDAD AMENAZA RIESGO CAUSA CONTROLES
ISO 27002 PROBABILIDAD IMPACTO Riesgo Inherente
RIESGO AFECTADO
1. Comunicaciones
Desarrollo tecnológico informático
Deficiencias en los requerimientos presentados y en el mantenimiento de la herramienta desarrollada.
Falta de personal que brinde soporte a los aplicativos
Aplicación limitada de las herramientas informáticas desarrolladas
Humana: falta de capacitación, tecnológica: actualización de los sistemas
* A.13.1.2. Seguridad de los servicios de red.* A.14. Adquisición, desarrollo y mantenimiento de sistemas.
Medio (0.8) Moderado (0.8) 0.64Medio SW
Desarrollo tecnológico informático
Obsolescencia de herramientas tecnológicas
Ausencia de herramientas tecnológicas
Desarrollo y aplicación de herramientas tecnológicas no autorizadas
Tecnológica: falta de actualización
* A.14.2.2. Procedimiento de control de cambios en sistemas.
Medio (0.8) Moderado (0.8) 08Medio SW
Equipos de comunicaciones
Retraso en los enlaces de los equipos de comunicaciones
Daños presentados en los equipos de comunicaciones
Daños de los equipos de comunicaciones
Tecnológico y físico
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
Alto (1) Catastrófico (1) 1Fuerte HW
Red telefónicaFalta de comunicación entre empleados
Fallas en la red telefónica
Daños de la red telefónica
Humana, físicos y tecnológico
A.13.2. Transferencia de información. Bajo (0.4) Leve (0.5) 0.2
Bajo HW
InternetComunicación no permanente la red
Conocimiento de información tardía
Cortes del servicio de internet
Tecnológico Alto (1) Catastrófico (1) 1Fuerte HW
Red Informática
La interceptación de información que es transmitida desde o hacia el sistema.
Penetración del sistema a través de la red
Intercepción de las comunicaciones
TecnológicoA.6.1.1. Seguridad de la Información Roles y Responsabilidades.
Alto (1) Catastrófico (1) 1Fuerte HW
2. Tecnología
Software
Presencia de software malicioso
Instalación de programas innecesarios
Daños en software
Tecnológico: actualización de software
A.14.2.4. Restricciones sobre los cambios de paquetes de software.
Medio (0.8)
Moderado (0.8)
0.64Medio SW
Conflictos en los recursos compartidos
Registro inadecuado de programas de windows
Tecnológico: Software
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
HardwarePresenta software malicioso
Falla en la memoria, fuente, disipadores, board, disco duro, etc Daños en
Hardware
Tecnológico y físico
A.11.2.4. Mantenimiento de equipos.
Alto (1)
Catastrófico (1)
1Fuerte HW
Consumo de alimentos en las áreas de trabajo
Humano y físicasA.11.2.9. Política de escritorio limpio y pantalla limpia.
Red Administración de la red
Daños en los dispositivos de comunicación (rack, servidores,
Fallas en la red Físicos A.13.1. Gestión de Seguridad de Redes Medio (0.8) Moderado (0.8) 0.64
Medio HW
CATEGORÍA DE ACTIVO
SERVICIO DE RED
VULNERABILIDAD AMENAZA RIESGO CAUSA CONTROLES
ISO 27002 PROBABILIDAD IMPACTO Riesgo Inherente
RIESGO AFECTADO
touters)
Sistemas de Información
Fallas en la administración de los aplicativos
Problemas en la configuración de los parámetros de seguridad del servidor del sistema de información
Violación de los sistemas de Información
Humana, Falta de actualización de los sistemas de seguridad
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
Alto (1)
Catastrófico (1)
1Fuerte SW
Denegación del servicio a través de múltiples consultas concurrentes
Falta de soporte y mantenimiento de fabrica
Desconocimiento tecnológico.
A.12.1. Procedimientos operacionales y responsabilidades.
Problemas en la oportunidad de la atención en los diferentes sistemas de información
Fallas en los controles para el acceso físico a los servidores
Humana A.11.1.2. Controles Físicos de entrada.
Dispositivos de red
El constante cambio tecnológico genera que las herramientas adquiridas entren en inoperancia.
Referencia de repuestos descontinuados
Obsolescencia Tecnológica
TecnologíaA.12.6. Gestión de vulnerabilidad técnica.
Bajo (0.4)
Leve (0.5)
0.2Bajo HW
Aceleración de nuevas tecnologías generando discontinuidad de las mismas en un corto periodo de tiempo
Actualización tecnológica
A.12.5.1. Instalación de software en sistemas operativos.
3. Seguridad Física
Hardware Ausencia de Hardware
Falta de dispositivos para buen funcionamiento
Robos de hardware Humana A.11.1. Áreas
Seguras. Bajo (0.4) Moderado (0.8) 0.32Bajo HW
Infraestructura de red
Violación de autorización
Personas no autorizadas Vandalismo Humana A.11.1.2. Controles
Físicos de entrada. Bajo (0.4) moderado(0.8) 0.32Bajo ORG
Infraestructura de red
Perdida de hardware Riesgos físicos Incendios
Humana y físicos por cortos circuitos que puedan ocurrir
A.11.2.1. Ubicación y protección de los equipos.
Alto (1) Catastrófico (1) 1Fuerte ORG
Infraestructura de red
Perdida de equipos en funcionamiento
Daños en hardware y software Terremotos Humanas y Físicas
A.11.1.4. Protección contra amenazas externas y ambientales.
Alto (1) Catastrófico (1) 1Fuerte ORG
Punto de energía eléctrica
Funcionamiento irreparable de dispositivos
Perdida del funcionamiento correcto de equipos
Fallas eléctricas Humanas y físicas A.11.2.2. Servicios Públicos de soporte. Bajo (0.4) Leve (0.5) 1
Fuerte HW
HardwareAtrasos en el funcionamiento de los procesos
Perdida de la información almacenada
Fallas de hardware
Tecnológicas y físicas
A.11.1.3. Seguridad de oficinas, salones e instalaciones.
Alto (1) Catastrófico (1) 1Fuerte HW
4. Manejo de Personal
Acceso Manipulación de datos confidenciales
Extracción de datos no autorizados
Accesos no autorizados
Humana A.9.3.1.Uso de información secreta.
Alto (1) Catastrófico (1) 1Fuerte
ORG
CATEGORÍA DE ACTIVO
SERVICIO DE RED
VULNERABILIDAD AMENAZA RIESGO CAUSA CONTROLES
ISO 27002 PROBABILIDAD IMPACTO Riesgo Inherente
RIESGO AFECTADO
Tenencia de información no autorizada.
Acciones sospechosas Fraude Humana A.10.1.2. Gestión de
Claves. Alto (1) Catastrófico (1) 1Fuerte ORG
Identidad Autorizaciones no verificadas
Accesos no autorizados
Suplantación de identidad Humana A.9.1.1. Política de
Control de Acceso. Alto (1) Catastrófico (1) 1Fuerte ORG
Autenticación Intentos fallidos Autenticación repetida
Fallas de autenticación
Controles de ingreso
A.9.2. Gestión de Acceso de Usuarios. Alto (1) Catastrófico (1) 1
Fuerte ORG
Personal Eficiencia afectada
Rendimiento desmejorado
Indisponibilidad del personal Humana
A.7.1.2. Términos y condiciones del empleo.
Bajo (0.4) Moderado (0.8) 0.32Bajo TH
Información Obtención de información
Perdida de información
Fugas de Información
Humana y falta de controles de seguridad
A.9.2.4. Gestión de información de autenticación secreta de usuarios.
Bajo (0.4) Moderado (0.8) 0.32Bajo ORG
5. Protección de la Información
Información Obtención de información
Perdida de información
Robo de información
Humana y falta de controles de seguridad
A.9.1.1. Política de Control de Acceso. Alto (1) Catastrófico (1) 1
Fuerte ORG
Información Obtención de información
Perdida de información
Perdida de información
Humana y falta de controles de seguridad
A.9.1.1. Política de Control de Acceso. Alto (1) catastrófico (1) 1
Fuerte ORG
Información Información no veraz
Personal involucrado, Información errada
Manipulación de información Humana
A.9.4.1. Restricción de acceso a información.
Alto (1) catastrófico (1) 1Fuerte ORG
Usuario Entorpece funcionamiento
Demora en servicios ofrecidos
Errores de usuario Humana A.9.2. Gestión de
Acceso de Usuarios. Alto (1) catastrófico (1) 1Fuerte TH
InformaciónFalta de información completa
Ausencia de información real disponible
Eliminación de información
Humana y controles de seguridad
A.12.4. Registro y Seguimiento. Alto (1) catastrófico (1) 1
Fuerte ORG
Backup
Ante cualquier desastre la organización es perjudicada
Perdida de datos
No se encuentran definidas las políticas de copias de seguridad
Tecnológica, falta de políticas de respaldo de los datos
A.12.3. Copias de Respaldo. Alto (1) catastrófico (1) 1
Fuerte ORG
6. Seguridad Lógica
Archivos y programas
El estado de programas y archivos se ve afectado
Programas y archivos eliminados o cambiados
Acceso a los programas y archivos por parte de personal no autorizado
Humana y políticas de seguridad
A.9.1.1. Política de Control de Acceso. Alto (1) catastrófico (1) 1
Fuerte ORG
Destinatario Extracción de información
Accesos de información por medio empleados
Información transmitida a un destinatario incorrecto
Humana y tecnológica
A.13.2. Transferencia de información. Alto (1) catastrófico (1) 1
Fuerte ORG
Programas y archivos
Vulneración y funcionamiento errado de la información
Funcionamiento errado
Modificación de los programas y archivos por parte de los usuarios
HumanaA.12.5. Control de Software Operacional.
Alto (1) Catastrófico (1) 1Fuerte ORG
control de acceso Información puesto es peligro
Vulneración de la privacidad de la información
Falta de software de control de acceso
Tecnológica, actualización de los sistemas de seguridad
A.9.1.1. Política de Control de Acceso. Alto (1) Catastrófico (1) 1
Fuerte SW
CATEGORÍA DE ACTIVO
SERVICIO DE RED
VULNERABILIDAD AMENAZA RIESGO CAUSA CONTROLES
ISO 27002 PROBABILIDAD IMPACTO Riesgo Inherente
RIESGO AFECTADO
virusVulnerable todo el sistema de información
Mal funcionamiento de software o hardware
Entrada de virus y malware
Tecnológica, actualización de los sistemas
A.12.2. Protección contra códigos maliciosos.
Alto (1) Catastrófico (1) 1Fuerte SW
Conclusiones
Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando las principales deficiencias de la misma.
Existen riesgos que dependen del entorno, en los que las políticas gerenciales de la empresa pueden minimizarlos, pero de forma interna no pueden ser evitados.
La Gerencia de la empresa tiene políticas de prevención para los riesgos, pero estas no garantiza el adecuado control de los mismos.
Bibliografía
- Ranz Perlañes Eduardo. Evaluación de control interno en sistemas informáticos. Disponible en: http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf
- ISACA. (2007).COBIT 4.1. Disponible en:http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf- Gobierno de España, Portal de Administración electrónica. MAGERIT V.3: Metodología de Análisis y gestión de riesgos de los sistemas de información. Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html
- Duque Ochoa Blanca R. (2012). Metodologías de gestión de Riesgos (OCTAVE, MAGERIT, DAFP). Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf.
- Yañez de la Melena Carlos, Ibsen Muñoz Sigfred Enrique. (2011). Enfoque metodológico de la auditoría a las tecnologías de información y comunicaciones. Disponible en: http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20120829_1.pdf
- Gaona Vásquez Karin. (2013). Aplicación de la metodología MAGERIT para el análisis y gestión de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito S. A. en la ciudad de Machala. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
- De la Torre Morales Martha Elizabeth, Giraldo Martínez Ingrid, Villalta Gómez Carmen. (2012). Diagnóstico para la Implantación de COBIT en una Empresa de Producción. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPS-GT000307.pdf