Download - 233004A 225 TC2 Consolidado
Resumen — Este trabajo tiene como objetivo realizar estudio y diagnostico en una organización, identificar las áreas donde se genera información que es la parte fundamental pues es producto de sus actividades, bien sea los sistemas, la infraestructura tecnológica y los activos de información como tal, buscando revisar que dependencias intervienen entre sí para controlar, prevenir y proteger la información. Asimismo a partir de ello revisar los controles internos a nivel informático y cómo a partir de ellos determinar las vulnerabilidades, amenazas y riesgos se les pueda dar un tratamiento para mitigarlos y teniendo en cuenta los estándares de seguridad informática aplicar las buenas prácticas de acuerdo a la ISO 270002 y demás estándares y modelos en materia de protección y seguridad de la información.
Palabras clave —, amenaza, causa, control, probabilidad, impacto, tratamiento, riesgo, seguridad informática vulnerabilidad
Abstract – This work aims to conduct research and diagnosis in an organization, identify areas where information is generated which is the fundamental part it is the product of their activities , whether systems , technological infrastructure and information assets as such , seeking review that agencies involved with each other to control, prevent and protect information. Also from this review internal controls at computer level and how from them identify vulnerabilities , threats and risks they are able to give treatment to mitigate and taking into account the standards of security applied best practices according to the ISO 270002 and other standards and models for the protection and information security .
Keyworks — threat, cause , control, probability , impact, treatment , risk, TI, vulnerability
I. INTRODUCCIÓN
A gestión de riesgos hoy en día es tema que enmarca toda una organización, puesto que
no solo se trata de temas financieros si no que le compete a toda una entidad donde se vincula el talento humano, las comunicaciones, tecnología, la infraestructura de la organización, la alta dirección, los recurso físicos y como parte esencial la información, por lo cual se vincula a control interno [1] como una de las áreas transversales que permite realizar seguimiento para controlar y mitigar ciertos riesgos que se presentan y en algunos casos no son tan evidentes, pero por lo cual se les puede dar un tratamiento y calificación a partir de las causas que lo generan para así prevenir y garantizar la seguridad de la información y informática, aplicando las metodologías y técnicas que los estándares y modelos de seguridad proponen a partir del estudio y análisis de riesgos y control informático.
L
Se pretende, afianzar y fortalecer los fundamentos teóricos y prácticos sobre el control interno informático enfocado a la seguridad informática y de la información, y la aplicación de los estándares más recomendados y usados internacionalmente para así a partir del análisis realizado llevar a cabo el proceso de definición de controles y gestión de riesgos aplicados a seguridad informática y de la información.
Palacio Miranda Freddy Arturo, Garcia Guacaneme Raúl, Caucali Beltrán Diana Marcela,Universidad Abierta y a Distancia (UNAD)
Especialización en Seguridad Informática23304_225 Riesgos y Control Informático
FundamentosControl Interno informático
II. OBJETIVOS
1. Determinar los recursos afectados y analizar la causa que origina cada uno de los riesgos encontrados, los recursos afectados pueden ser (HARDWARE) hardware, (SOFTWARE) software, (TH) talento humano, y ORG.2. Proponer un sistema de control interno informático para la organización que ha sido analizada por cada uno de los estudiantes de acuerdo a los estándares de control ISO 27002.3. Realizar el tratamiento de los riesgos encontrados en la matriz de riesgos teniendo en cuenta que pueden ser aceptados, transferidos o que se puede definir los controles que ayuden a mitigarlos.
III. ETAPA DE DISEÑO
Matriz de Riesgos con Valoración
CATEGORÍA DE ACTIVO
SERVICIO DE RED VULNERABILIDAD AMENAZARIESGO
AFECTADORIESGO CAUSA
CONTROLESISO 27002
PROBABILIDAD IMPACTORIESGO
INHERENTENIVEL DE RIESGO
RIESGO RESIDUAL
1. Comunicaciones
Desarrollo tecnológico informático
Deficiencias en los requerimientos presentados y en el mantenimiento de la herramienta desarrollada.
Falta de personal que brinde soporte a los aplicativos
SOFTWARE
Aplicación limitada de las herramientas informáticas desarrolladas
Humana: falta de capacitación, tecnológica: actualización de los sistemas
* A.13.1.2. Seguridad de los servicios de red.* A.14. Adquisición, desarrollo y mantenimiento de sistemas.
Medio (0.8) Moderado (0.8)0.64Medio
Tolerable Medio
Desarrollo tecnológico informático
Obsolescencia de herramientas tecnológicas
Ausencia de herramientas tecnológicas
SOFTWARE
Desarrollo y aplicación de herramientas tecnológicas no autorizadas
Tecnológica: falta de actualización
* A.14.2.2. Procedimiento de control de cambios en sistemas.
Medio (0.8) Moderado (0.8)08Medio
Tolerable Medio
Equipos de comunicaciones
Retraso en los enlaces de los equipos de comunicaciones
Daños presentados en los equipos de comunicaciones
HARDWAREDaños de los equipos de comunicaciones
Tecnológico y físico
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Red telefónicaFalta de comunicación entre empleados
Fallas en la red telefónica
HARDWAREDaños de la red telefónica
Humana, físicos y tecnológico
A.13.2. Transferencia de información.
Bajo (0.4) Leve (0.5)0.2Bajo
Aceptable Bajo
InternetComunicación no permanente la red
Conocimiento de información tardía
HARDWARECortes del servicio de internet
Tecnológico Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Red Informática
La interceptación de información que es transmitida desde o hacia el sistema.
Penetración del sistema a través de la red
HARDWAREIntercepción de las comunicaciones
TecnológicoA.6.1.1. Seguridad de la Información Roles y Responsabilidades.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
2. Tecnología
Software
Presencia de software malicioso
Instalación de programas innecesarios
SOFTWAREDaños en software
Tecnológico: actualización de software
A.14.2.4. Restricciones sobre los cambios de paquetes de software.
Medio (0.8) Moderado (0.8)0.64Medio
Tolerable Medio Conflictos en los recursos compartidos
Registro inadecuado de programas de windows
Tecnológico: Software
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
HardwarePresenta software malicioso
Falla en la memoria, fuente, disipadores, board, disco duro, etc
HARDWAREDaños en Hardware
Tecnológico y físico
A.11.2.4. Mantenimiento de equipos.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico Consumo de alimentos en las áreas de trabajo
Humano y físicasA.11.2.9. Política de escritorio limpio y pantalla limpia.
Red Administración Daños en los HARDWARE Fallas en la red Físicos A.13.1. Gestión de Medio (0.8) Moderado (0.8) 0.64 Tolerable Medio
3
CATEGORÍA DE ACTIVO
SERVICIO DE RED VULNERABILIDAD AMENAZARIESGO
AFECTADORIESGO CAUSA
CONTROLESISO 27002
PROBABILIDAD IMPACTORIESGO
INHERENTENIVEL DE RIESGO
RIESGO RESIDUAL
de la red
dispositivos de comunicación (rack, servidores, touters)
Seguridad de Redes Medio
Sistemas de Información
Fallas en la administración de los aplicativos
Problemas en la configuración de los parámetros de seguridad del servidor del sistema de información
SOFTWAREViolación de los sistemas de Información
Humana, Falta de actualización de los sistemas de seguridad
A.9.4. Control de Acceso a Sistemas y Aplicaciones.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Denegación del servicio a través de múltiples consultas concurrentes
Falta de soporte y mantenimiento de fabrica
Desconocimiento tecnológico.
A.12.1. Procedimientos operacionales y responsabilidades.
Problemas en la oportunidad de la atención en los diferentes sistemas de información
Fallas en los controles para el acceso físico a los servidores
HumanaA.11.1.2. Controles Físicos de entrada.
Dispositivos de red
El constante cambio tecnológico genera que las herramientas adquiridas entren en inoperancia.
Referencia de repuestos descontinuados
HARDWAREObsolescencia Tecnológica
TecnologíaA.12.6. Gestión de vulnerabilidad técnica.
Bajo (0.4) Leve (0.5)0.2Bajo
Aceptable Bajo
Aceleración de nuevas tecnologías generando discontinuidad de las mismas en un corto periodo de tiempo
Actualización tecnológica
A.12.5.1. Instalación de software en sistemas operativos.
3. Seguridad Física
HardwareAusencia de Hardware
Falta de dispositivos para buen funcionamiento
HARDWARERobos de hardware
HumanaA.11.1. Áreas Seguras.
Bajo (0.4) Moderado (0.8)0.32Bajo
Aceptable Bajo
Infraestructura de red
Violación de autorización
Personas no autorizadas
TODA LA ORGANIZACIÓN
Vandalismo HumanaA.11.1.2. Controles Físicos de entrada.
Bajo (0.4) moderado(0.8)0.32Bajo
Aceptable Bajo
Infraestructura de red
Perdida de hardware
Riesgos físicosTODA LA ORGANIZACIÓN
IncendiosHumana y físicos por cortos circuitos que puedan ocurrir
A.11.2.1. Ubicación y protección de los equipos.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Infraestructura de red
Perdida de equipos en funcionamiento
Daños en hardware y software
TODA LA ORGANIZACIÓN
Terremotos Humanas y Físicas
A.11.1.4. Protección contra amenazas externas y ambientales.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Punto de energía eléctrica
Funcionamiento irreparable de dispositivos
Perdida del funcionamiento correcto de equipos
HARDWARE Fallas eléctricas Humanas y físicasA.11.2.2. Servicios Públicos de soporte.
Bajo (0.4) Leve (0.5)0.2Bajo
Aceptable Bajo
4
CATEGORÍA DE ACTIVO
SERVICIO DE RED VULNERABILIDAD AMENAZARIESGO
AFECTADORIESGO CAUSA
CONTROLESISO 27002
PROBABILIDAD IMPACTORIESGO
INHERENTENIVEL DE RIESGO
RIESGO RESIDUAL
HardwareAtrasos en el funcionamiento de los procesos
Perdida de la información almacenada
HARDWAREFallas de hardware
Tecnológicas y físicas
A.11.1.3. Seguridad de oficinas, salones e instalaciones.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
4. Manejo de Personal
AccesoManipulación de datos confidenciales
Extracción de datos no autorizados
TODA LA ORGANIZACIÓN
Accesos no autorizados
HumanaA.9.3.1.Uso de información secreta.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Tenencia de información no autorizada.
Acciones sospechosas
TODA LA ORGANIZACIÓN
Fraude HumanaA.10.1.2. Gestión de Claves.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
IdentidadAutorizaciones no verificadas
Accesos no autorizados
TODA LA ORGANIZACIÓN
Suplantación de identidad
HumanaA.9.1.1. Política de Control de Acceso.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
Autenticación Intentos fallidosAutenticación repetida
TODA LA ORGANIZACIÓN
Fallas de autenticación
Controles de ingreso
A.9.2. Gestión de Acceso de Usuarios.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
PersonalEficiencia afectada
Rendimiento desmejorado
TALENTO HUMANO
Indisponibilidad del personal
HumanaA.7.1.2. Términos y condiciones del empleo.
Bajo (0.4) Moderado (0.8)0.32Bajo
Aceptable Bajo
InformaciónObtención de información
Perdida de información
TODA LA ORGANIZACIÓN
Fugas de Información
Humana y falta de controles de seguridad
A.9.2.4. Gestión de información de autenticación secreta de usuarios.
Bajo (0.4) Moderado (0.8)0.32Bajo
Aceptable Bajo
5. Protección de la Información
InformaciónObtención de información
Perdida de información
TODA LA ORGANIZACIÓN
Robo de información
Humana y falta de controles de seguridad
A.9.1.1. Política de Control de Acceso.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
InformaciónObtención de información
Perdida de información
TODA LA ORGANIZACIÓN
Perdida de información
Humana y falta de controles de seguridad
A.9.1.1. Política de Control de Acceso.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
InformaciónInformación no veraz
Personal involucrado, Información errada
TODA LA ORGANIZACIÓN
Manipulación de información
HumanaA.9.4.1. Restricción de acceso a información.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
UsuarioEntorpece funcionamiento
Demora en servicios ofrecidos
TALENTO HUMANO
Errores de usuario
HumanaA.9.2. Gestión de Acceso de Usuarios.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
InformaciónFalta de información completa
Ausencia de información real disponible
TODA LA ORGANIZACIÓN
Eliminación de información
Humana y controles de seguridad
A.12.4. Registro y Seguimiento.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
Backup
Ante cualquier desastre la TODA LA ORGANIZACIÓNanización es perjudicada
Perdida de datosTODA LA ORGANIZACIÓN
No se encuentran definidas las políticas de copias de seguridad
Tecnológica, falta de políticas de respaldo de los datos
A.12.3. Copias de Respaldo.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
6. Seguridad Lógica
Archivos y programas
El estado de programas y archivos se ve afectado
Programas y archivos eliminados o cambiados
TODA LA ORGANIZACIÓN
Acceso a los programas y archivos por parte de personal no autorizado
Humana y políticas de seguridad
A.9.1.1. Política de Control de Acceso.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
DestinatarioExtracción de información
Accesos de información por
TODA LA ORGANIZACIÓ
Información transmitida a un
Humana y tecnológica
A.13.2. Transferencia de información.
Alto (1) catastrófico (1)1Fuerte
Inaceptable Critico
5
CATEGORÍA DE ACTIVO
SERVICIO DE RED VULNERABILIDAD AMENAZARIESGO
AFECTADORIESGO CAUSA
CONTROLESISO 27002
PROBABILIDAD IMPACTORIESGO
INHERENTENIVEL DE RIESGO
RIESGO RESIDUAL
medio empleados Ndestinatario incorrecto
Programas y archivos
Vulneración y funcionamiento errado de la información
Funcionamiento errado
TODA LA ORGANIZACIÓN
Modificación de los programas y archivos por parte de los usuarios
HumanaA.12.5. Control de Software Operacional.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
control de accesoInformación puesto es peligro
Vulneración de la privacidad de la información
SOFTWAREFalta de software de control de acceso
Tecnológica, actualización de los sistemas de seguridad
A.9.1.1. Política de Control de Acceso.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
virusVulnerable todo el sistema de información
Mal funcionamiento de software o hardware
SOFTWAREEntrada de virus y malware
Tecnológica, actualización de los sistemas
A.12.2. Protección contra códigos maliciosos.
Alto (1) Catastrófico (1)1Fuerte
Inaceptable Critico
6
IV. CONCLUSIONES
• Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando las principales deficiencias de la misma.
• Existen riesgos que dependen del entorno, en los que las políticas gerenciales de la empresa pueden minimizarlos, pero de forma interna no pueden ser evitados.
• La Gerencia de la empresa tiene políticas de prevención para los riesgos, pero estas no garantiza el adecuado control de los mismos.
A partir de la identificación de un riesgo por pequeño que parezca se puede realizar análisis del mismo y así empezar a buscar las alternativas de como mitigarlo y dar el tratamiento adecuado
La aplicación de los estándares internacionales y modelos permiten que las buenas prácticas en cuento a seguridad informática y de la información, se genere un control y seguimiento para la protección de los activos de la organización y así darle una valor a cada uno de estos.
V. REFERENCIAS
[1] Duque, R (s.f.) Metodologías de gestión de riesgos. Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf
[2] Ranz Perlañes Eduardo. Evaluación de control interno en sistemas informáticos. Disponible en: http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf
[3] ISO (2013). Controles ISO/IEC 27002. Disponible en: http://iso27000.es/download/ControlesISO27002-2013.pdf
[4] ISACA. (2007).COBIT 4.1. Disponible en:http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
[5] Gobierno de España, Portal de Administración electrónica. MAGERIT V.3: Metodología de Análisis y gestión de riesgos de los sistemas de información. Disponible en: http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html
[6] Duque Ochoa Blanca R. (2012). Metodologías de gestión de Riesgos (OCTAVE, MAGERIT, DAFP). Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf.
[7] Yañez de la Melena Carlos, Ibsen Muñoz Sigfred Enrique. (2011). Enfoque metodológico de la auditoría a las tecnologías de información y comunicaciones. Disponible en: http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20120829_1.pdf
[8] Gaona Vásquez Karin. (2013). Aplicación de la metodología MAGERIT para el análisis y gestión de riesgos de la seguridad de la información aplicado a la empresa pesquera e industrial Bravito S. A. en la ciudad de Machala. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
[9] De la Torre Morales Martha Elizabeth, Giraldo Martínez Ingrid, Villalta Gómez Carmen. (2012). Diagnóstico para la Implantación de COBIT en una Empresa de Producción. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPS-GT000307.pdf
VI. BIOGRAFÍA
Diana Marcela Caucali Beltrán, nació en Guamal, Meta el 15 de septiembre de 1984. Profesional de Sistemas de Información, bibliotecología y archivística, egresada de la Universidad de La Salle. Especialista en Gestión documental, asesoría y consultoría en Sistemas de gestión de documento de archivo electrónico (SGDEA) y Records Management, lineamientos técnicos archivísticos. Actualmente, estudiante de especialización en Seguridad Informática
Freddy Palacio nació en Colombia – el 8 de Enero de 1977. Se graduó de la Universitaria Nacional y A Distancia UNAD, en Ingeniería de Sistemas, y actualmente es estudiante misma universidad en el postgrado Especialización en Seguridad Informática.Se desempeña como soporte técnico en el área de las telecomunicaciones en el manejo y administración de software con una empresa dedicada a la identificación y procesos
electorales.
7