• Categories
• Malware
• Red de computadoras
• Recursos humanos
• Servidor (Informática)
• Seguridad y privacidad en línea

Citation preview

UNIVERSIDAD NACIONAL DE INGENIERÍA Facultad de ciencias y sistemas UNI-IES

Auditoria de Sistemas Caso de Estudio Autores:    

Luis Carlos López Colomer. Juan Carlos Gadea Brenes. Luis Javier Alvarez Conrado. Alfredo Benjamín Rojas McDonald.

Docente: Ing. Juan José Cruz.

16 de Mayo del 2016.

a)

El planteamiento del caso en donde se define el objetivo y propósito del proyecto, las consideraciones de negocios, la visión del proyecto, etc.

Empresa de alquiler de contenedores de transporte que radica en Veracruz y brinda sus servicios a empresas consignatarias, Dicha empresa tiene sedes en 20 ciudades portuarias además de reparar y dar mantenimiento a contenedores de las empresas q tienen propios de ellos. Esta empresa avoco por que se le hiciera una auditoria estratégica de la seguridad y así mejorar la gestión de la seguridad informática. Objetivo. Identificar y prevenir los posibles riesgos que se pueden presentar tanto en el hardware como en los softwares que presenta la empresa para su actividad diaria y brindar recomendaciones para minimizar dichos riesgos. Propósito del Proyecto  Desarrollar un plan para implantar la función de la seguridad informática dentro de la empresa de alquiler y mantenimiento de trasporte. Consideraciones del Negocio. Esta empresa que se dedica al alquiler y mantenimiento de contenedores de transporte posee dos actividades: 

Alquiler de contenedores: brindan el servicio de alquiler de contenedores



de transporte a empresas consignatarias. Subcontratación de reparación de contenedores gestionada atreves de agentes locales.

Procesos de negocio 

Proceso 1: Recepción de pedidos y reparaciones mediante correo electrónico.



Proceso 2: Carga de datos de pedidos y reparaciones de agentes,



informe semanales de estado. Proceso 3: Facturación y emisión de cargo/abonos, previsión de

  

tesorería y póliza de crédito. Proceso 4: Contratos y nóminas. Proceso 5: Contabilidad. Proceso 6: Copias de seguridad semanal y mensual en cinta de: gestión, contabilidad y nómina.

Misión de la empresa Nuestra misión es ofrecer contenedores de transporte de alta calidad, seguridad, funcionalidad y presentación satisfaciendo las necesidades de empresa consignatarias y ofrecer el servicio de reparación y mantenimiento de contenedores de forma oportuna y eficiente, comprometidos con el desarrollo y bienestar social de la región. Visión de la empresa Ser la empresa líder en el mercado internación en el alquiler de contenedores de transporte y subcontratación de reparación de contenedores, proporcionando soluciones innovadoras, de alta calidad y oportunas para cada cliente. b)

La propuesta de un organigrama con roles y responsabilidades de los involucrados.

Estructura Organizativa, formada por:     

2 socios (General y Comercial) 1 Director Financiero y de Compra 1 Directo de Área Legal y Recursos Humanos 1 Responsable Administración de facturación y Reparaciones 5 Administradores que gestionan los pedidos de alquiler y reparación.

Propuesta de Organigrama.

Manual de Funciones de los Involucrados.  Director General.

Nombre del Puesto

Director General.    

Funciones del Cargo



 

Nivel Académico Requerido

Experiencia Profesional Habilidades y Competencias

Planificar los objetivos generales y específicos de la empresa a corto y largo plazo. Organizar la estructura de la empresa actual y a futuro; como también de las funciones y los cargos. Dirigir la empresa, tomar decisiones, supervisar y ser un líder dentro de ésta. Controlar las actividades planificadas comparándolas con lo realizado y detectar las desviaciones o diferencias. Coordinar con el Ejecutivo de Venta y la Secretaria las reuniones, aumentar el número y calidad de clientes, realizar las compras de materiales, resolver sobre las reparaciones o desperfectos en la empresa. Decidir respecto de contratar, seleccionar, capacitar y ubicar el personal adecuado para cada cargo. Analizar los problemas de la empresa en el aspecto financiero, administrativo, personal, contable entre otros.

 

Idioma: Inglés. Estudios superiores: Universitarios y/o Técnicos.  Títulos: Ingeniero Comercial, Ingeniero en Administración de Empresas.  Estudios complementarios: Computación, administración, finanzas, contabilidad, comercialización y ventas. 2 años de experiencia como mínimo en cargos similares.  Trabajo en Equipo y Liderazgo.  Excelente Presentación.  Amabilidad y discreción  Capacidad de Análisis.  Trabajo bajo presión.  Director Comercial.

Nombre del Puesto

Director Comercial. Crear, definir e implementar junto con la

Funciones del Cargo

Nivel Académico Requerido

Experiencia Profesional Habilidades y Competencias

Dirección General, la estrategia comercial de la compañía. Elaborar argumentaros de venta, rutas/zonas comerciales, política de incentivos, política de precios. Gestión, control, supervisión y motivación del equipo bajo su responsabilidad. • Supervisión y acción directa sobre los principales clientes de la compañía. Gestión y optimización del presupuesto asignado. Analizar y conocer el mercado y la competencia existente o potencial, definiendo acciones que permitan aumentar la cuota de mercado y el posicionamiento de la compañía.  Idioma: Inglés.  Estudios superiores: Universitarios y/o Técnicos.  Títulos: Marketing, Administración de Empresas.  Estudios complementarios: Computación, administración, finanzas, contabilidad, comercialización y ventas. 5 años de experiencia como mínimo en cargos similares.  Trabajo en Equipo y Liderazgo.  Excelente Presentación.  Amabilidad y discreción  Capacidad de Análisis.  Trabajo bajo presión.

 Director Financiero. Nombre del Puesto

Director Financiero.

Funciones del Cargo

Nivel Académico Requerido

Experiencia Profesional Habilidades y Competencias

Crear, definir e implementar junto con la Dirección General, la estrategia comercial de la compañía. Elaborar argumentaros de venta, rutas/zonas comerciales, política de incentivos, política de precios. Gestión, control, supervisión y motivación del equipo bajo su responsabilidad. • Supervisión y acción directa sobre los principales clientes de la compañía. Gestión y optimización del presupuesto asignado. Analizar y conocer el mercado y la competencia existente o potencial, definiendo acciones que permitan aumentar la cuota de mercado y el posicionamiento de la compañía.  Idioma: Inglés.  Estudios superiores: Universitarios y/o Técnicos.  Títulos: Marketing, Administración de Empresas,  Estudios complementarios: Computación, administración, finanzas, contabilidad, comercialización y ventas. 4 años de experiencia como mínimo en cargos similares.  Trabajo en Equipo y Liderazgo.  Excelente Presentación.  Amabilidad y discreción  Capacidad de Análisis.  Trabajo bajo presión.  Dinámico  Honrado

 Director Recursos Humanos y Legal. Nombre del

Director Recursos Humanos y Legal

Puesto

Funciones del Cargo

Nivel Académico Requerido

Experiencia Profesional Habilidades y Competencias

Asesorar y proponer al Directorio, la Gerencia General y otras Áreas del Organismo normas y reglamentaciones en materia de Gestión de Recursos Humanos, Salud Ocupacional, Relaciones Laborales y Sindicales y su posterior implementación. Asesorar al Directorio, la Gerencia General y otras Áreas del Organismo que corresponda, en materia de políticas, prácticas, proyectos, planes y programas de Gestión de Recursos Humanos. Asesorar al Directorio, la Gerencia General y otras Áreas del Organismo que corresponda, en la elaboración de políticas y en la implementación de los cambios relativos a estructuras funcionales y organizativas, y orientar la ejecución de programas y estudios de racionalización en aspectos de su competencia. Dirigir, controlar y gestionar la formulación de políticas y posibles modificaciones referidas a la estructura de Cargos y a las prácticas de Análisis y Descripción de Cargos que sean aprobadas por las autoridades, y desarrollar y controlar su posterior implementación. Dirigir, controlar y gestionar la formulación de políticas, proyectos, planes y programas relativos al Reclutamiento, Búsqueda y Selección e Inducción, para proveer de Recursos Humanos en la cantidad y calidad necesaria para el logro de los objetivos del Organismo y su posterior implementación. Estudiar y analizar problemas jurídicos a petición del Gerente General o el Directorio.  

Idioma: Inglés. Requiere de estudios profesionales preferentemente en Administración de Recursos Humanos, Administración de Empresas, Psicología u otras disciplinas afines. con la Administración de Personal. 3 años de experiencia como mínimo en cargos similares.  Trabajo en Equipo y Liderazgo.  Excelente Presentación.  Amabilidad y discreción

    

Capacidad de Análisis. Disposición a Investigar. Trabajo bajo presión. Dinámico Honrado

 Administrador de Facturación y Reparaciones. Nombre del Puesto

Administrador de Facturación y Reparaciones   

Funciones del Cargo

   

Coordinar y Asegurar la facturación correcta y precisa de todos los servicios prestados por la empresa Asegurar la entrega de las facturas a los clientes en tiempo y forma. Asegurar que los gastos extras por maniobras, demoras o estancias sean cargados a la cuenta correspondiente. Asegurar y cotejar q las maniobras estén previamente pagadas, para la realización del servicio. Asegurar que la facturación del servicio este al día con corte de caja. Atención del conmutador con calidad y servicio. Entregar los reportes e indicadores en el tiempo indicado.



Planifica las actividades del personal a su cargo.



Asigna las actividades al personal a su cargo.



Supervisa el mantenimiento de las instalaciones.



Ordena y supervisa la reparación de equipos.



Estima el tiempo y los materiales necesarios para realizar las labores de mantenimiento y reparaciones.

Elabora notas de pedidos de materiales y repuestos. Nivel Académico Requerido

  

Licenciado en Administración de Empresas. Office Avanzado. L Contabilidad Básica. Administración de Personal.

Experiencia Profesional Habilidades y Competencias

1 años de experiencia como facturista y 2 como mantenimiento (Reparaciones)  Trabajo en Equipo y Liderazgo.  Excelente Presentación.  Comunicación Efectiva  Responsabilidad  Honrado  Disposición a Investigar.  Trabajo bajo presión.

 Administrador de Pedidos de Alquiler y Reparación. Administrador de Pedidos de Alquiler y Reparación.

Nombre del Puesto

Elabora notas de pedidos de Alquiler.

Funciones del Cargo

Analizar lista de pedidos. Coordinar con gerencia pedidos. Analizar equipos para su reparación. 

Realización de trabajos de Mantenimiento.



Nivel Académico Requerido

 

Ronda de inspección y control de Instalaciones. Licenciado en Administración de Empresas. Técnico en Relaciones. Administración de Personal.

Experiencia Profesional Habilidades y Competencias

1 años de experiencia    

Trabajo en Equipo y Liderazgo. Excelente Presentación. Comunicación Efectiva Responsabilidad

  

c)

Honrado Disposición a Investigar. Trabajo bajo presión.

Esquema de clasificación de la información. Cantidad 1

Nombre Descripción Servidor Servidor web y Es una aplicación de de correo

red

computadora

ubicada en un servidor de internet para prestar servicio de aplicaciones 1

Servidor de Aplicaiones

y web Es un servidor en una rad de aplicaciones que ejecuta

cierta

aplicaciones, usualmente se trata de un

dispositivo

software

de que

proporciona servicio a 10

Ordenadores

los clientes Ordenadores personales conectados en red local con sistema operático office

1

Concentrador

Windows,

profesional

y

correo electrónico de Es un elemento

de

comunicaciones

hardware que permite concentrar el tráfico de red que proviene de múltiples

Host

regenera

la

y señal,

contiene varios puesto, 7

Líneas telefónicas

nivel 1 de modelo osci Encargadas de la comunicación entre los clientes y la empresa así

como

la

comunicación interna de 1

Router comunicaciones

la empresa de Es un dispositivo de red que

permite

enrutamiento redes

el entre

independiente,

opera en la capa 3 del Impresora

modelo osci Es un tipo de impresora que

4

realiza

sus

impresiones de gráficos y textos a una gran

10 MB

Acceso ADSL

velocidad y calidad Es una técnica

de

transmisión de datos a alta

velocidad, ofrece

una mayor capacidad de

transmisión

apropiadas para acceso internet 1

basadas

en

sistemas web Ocupan ADSL/RDSI/RTB establecen

3

canales

Ordenador conectado

personal independientes sobre la a

internet misma línea telefónica

con ADSL/RDSI/RTB

estándar, dos canales de alta velocidad 1 para recibir

y

mandar tercer

otro datos

canal

para y

para

un la

comunicación normal de voz. El

ordenador

cuenta

con sistema operativo Windows, profesional

office y

correo

electrónico

d)

Exponer y explicar la normatividad que aplica para la organización (Interna legal y regulatoria nacional y extrajera).

Los desarrollos de sistemas, tanto internos como externos, deberán respetar los lineamientos y estándares definidos. El área de informática y la empresa externa deberán entregar al área solicitante: los programas fuentes y ejecutables, documentación técnica, manual de instalación y manual del usuario. Las normas pueden servir de base técnica para el comercio en los productos finales y servicios entre compradores y vendedores, o como un medio para facilitar la conformidad con las reglamentaciones técnicas. Son desarrolladas a través de un proceso transparente, abierto y de consenso que involucra a las partes interesadas, y definen la aptitud para su uso en el caso de las normas relativas a productos, y de buenas prácticas para el caso de procesos o servicios. Las normas para sistemas de gestión ayudan a las organizaciones en

el manejo de sus actividades. El amplio uso de las normas es un precursor necesario para la evolución de una cultura de la calidad en la sociedad.  El centro de cómputo no cuenta con una infraestructura que resguarde la seguridad de los equipos de cómputo (router, hub, maquina servidor, batería (UPS)).  No se cuenta con un firewall físico.  No se cuenta con un plano de red.  No se cuenta con una planificación para la realización de mantenimiento preventivo a los equipos de cómputo de la red.  No existen revisiones periódicas de la red por tanto se presentan errores y/o daños a la misma.  Los ordenadores no cuentan con antivirus  No utilizan técnicas de respaldo (RAID, ALMACENAMIENTO EN LAS NUBES)  No Cumple con las siguientes normas ISO: ISO 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

Seguridad en Recursos Humanos La norma ISO27001 establece que se debe asegurar que los trabajadores, subcontratas y terceras personas que tengan relación con la organización sepan cuáles son sus responsabilidades, con esto se puede reducir el riesgo de hurto, fraude o mal utilización de las instalaciones de la empresa.

Las responsabilidades de seguridad se tienen que tratar antes realizar el trabajo y debe tener perfectamente descritos los términos y condiciones de dicho trabajo. Los diferentes candidatos al puesto de trabajo, las subcontratas y terceras personas tienen que estar adecuadamente seleccionados y para poder utilizar las instalaciones deben firmar un acuerdo de confidencialidad.

Las funciones y las responsabilidades que tienen los trabajadores tienen que estar definidos y documentadas de forma lineal con la política de seguridad establecida por la ISO-27001.

Las funciones de seguridad y las responsabilidades tienen que encontrase incluidas en los siguientes requisitos: 

Implementadas y realizas según la política de seguridad que establece la norma ISO27001.



Tienen que proteger los diferentes activos de información de una intrusión no autorizada, modificación, destrucción, etc.



Realizar procesos particulares



Asegurar que la responsabilidad se asigna al individuo por tomar decisiones.



Enviar eventos de seguridad para incrementar la concienciación. Las funciones de seguridad y la responsabilidad tienen que estar definidas y ser comunicadas de forma clara a los posibles trabajadores durante el proceso de selección. Las descripciones de trabajo pueden ser utilizadas para documentar las diferentes funciones de seguridad y los responsables. Todas las funciones de seguridad y los responsables que no se encuentran relacionados con el proceso de selección de la empresa, como pueden ser los que están contratados por la organización y son externo, también tienen que tener perfectamente definidas y comunicadas las funciones de seguridad.

La norma ISO 17799 ofrece recomendación para la gestión de la seguridad de la información enfocada en el inicio, implantación o mantenimiento de la

seguridad en una organización, la seguridad de la información se define como la preservación de: 

Confidencialidad: aseguración de la privacidad de la información de la

  

organización. Integridad: garantía del estado original de los datos. Disponibilidad: Acceso cuando sea requerido por los usuarios. No repudio: Estadísticas de la acciones realizadas por el personal autorizado el objetivo de la norma ISO 17799 es proporcionar una base para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

La ISO 14000 trata principalmente sobre “gestión ambiental”. Esto es lo que la organización hace para minimizar los efectos nocivos que sus actividades causan en el ambiente, y mejorar continuamente su desempeño ambiental. Cuando la empresa hace uso del servicio de reparación de contenedores. Capacitación efectiva según la Norma ISO 9001 2000 para el buen uso de correos electrónico. 

Estar calificado versus Ser competente.



Capacitar solamente versus Evaluar la efectividad de la capacitación.



Capacitar a aquellas personas que lo requieran.



Evaluar la efectividad de la capacitación.

Identificación de los contenedores: Los contenedores se identifican de acuerdo con lo que establece la norma ISO 6346, mediante: 

Un sistema de identificación con un código alfabético de tres letras que indica el propietario y una letra para el tipo de equipamiento, y un código con el número de serie asignado por el propietario y un dígito de



comprobación. Un código de 4 dígitos que indica las medidas y el tipo de contenedor. El primero ser refiere a la longitud del contenedor, el segundo a la altura y a la presencia o no de túnel en cuello de cisne, mientras que los otros 2

 

son alfabéticos e indican el tipo de contenedor. Un código de país (norma ISO 3166) Marcas de operación con información para la manipulación del contenedor: peso, altura superior a la estándar, riesgo eléctrico.

Los contratos deben incluir las siguientes especificaciones:          

e)

Precio del alquiler. Duración del contrato. Período de tiempo de arriendo. Coste de la entrega y devolución de los contenedores. Condiciones de pago. Condiciones de intercambio de los contenedores con terceras partes. Condiciones de devolución del equipo por fin de contrato. Condiciones para las inspecciones de contenedores. Condiciones de mantenimiento. Valor depreciado y pérdida total.

Definir 3 políticas, 3 estándares para cada política y procedimientos para cada estándar.

Las políticas y estándares de seguridad informática tienen por objeto establecer medidas y patrones técnicos de administración y organización de las Tecnologías de Información y Comunicaciones TIC´s de todo el personal comprometido en el uso de los servicios informáticos. Facilitando una mayor integridad, confidencialidad y confiabilidad de la información generada por la Empresa de alquiler de contenedores de transporte al personal, al manejo de los datos, al uso de los bienes informáticos tanto de hardware como de software disponible, minimizando los riesgos en el uso de las tecnologías de información. Evaluación de las políticas Las políticas tendrán una revisión periódica se recomienda que sea semestral para

realizar actualizaciones, modificaciones y ajustes basados en

las

recomendaciones y sugerencias. Beneficios Las políticas y estándares de seguridad informática establecidas en el presente documento

son

la

base

fundamental

para

la

protección

de

los

activos informáticos y de toda la información de las Tecnologías de Información y Comunicaciones en la Empresa. Seguridad Institucional Política: Toda persona que ingresa como usuario nuevo

a la Empresa de

alquiler de contenedores de transporte para manejar equipos de cómputo y hacer uso de servicios informáticos debe aceptar las condiciones de confidencialidad, de uso adecuado de los bienes informáticos y de la información, así como cumplir y respetar al pie de la letra las directrices impartidas

en

el

Manual

de

Políticas

y

Estándares

de

Seguridad

Informática para Usuarios.

Usuarios Nuevos: Todo el personal nuevo de la Institución, deberá ser notificado, para asignarle los derechos correspondientes (Equipo de Cómputo, Creación de Usuario para la Red (Perfil de usuario en el Directorio Activo) o en caso de retiro del funcionario, anular y cancelar los derechos otorgados como usuario informático. Obligaciones de los usuarios: Es responsabilidad de los usuarios de bienes y servicios informáticos cumplir las Políticas y Estándares de

Seguridad

Informática para Usuarios del presente Manual. Capacitación en Seguridad Informática: Todo servidor o funcionario nuevo en Empresa de alquiler de contenedores de transporte deberá contar con la inducción sobre las Políticas y Estándares de Seguridad Informática Manual de Usuarios, donde se den a conocer las obligaciones para los usuarios y las sanciones en que pueden incurrir en caso de incumplimiento. Sanciones: Se consideran violaciones graves el robo, daño, divulgación de información reservada o confidencial de esta dependencia, o de que se le declare culpable de un delito informático.

Administración de operaciones Política: Los usuarios y funcionarios deberán proteger la información utilizada en la infraestructura tecnológica de Empresa de alquiler de contendores de transporte. De igual forma, deberán proteger la información reservada o confidencial

que por

necesidades

institucionales

deba

ser guardada,

almacenada o transmitida, ya sea dentro de la red interna institucional a otras dependencias de sedes alternas o redes externas como internet. Los usuarios y funcionarios de Empresa de alquiler de contenedores de transporte que hagan uso de equipos de cómputos, deben conocer y aplicar las medidas para la prevención de código malicioso como pueden ser virus, caballos de Troya o gusanos de red.

Adquisición del Software: Los usuarios y funcionarios que requieran la instalación de software que o sea

propiedad

de Empresa de alquiler de

contendores de transporte, deberán justificar su uso y solicitar su autorización con el visto bueno de su Jefe inmediato, indicando el equipo de cómputo donde se instalará el software y el período de tiempo que será usado. Se considera una falta grave el que los usuarios o funcionarios instalen cualquier tipo de programa (software) en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo conectado a la red que no esté autorizado. Seguridad de la Red: Será considerado como un ataque a la seguridad informática y una falta grave, cualquier actividad no autorizada, en la cual los usuarios o funcionarios realicen la exploración de los recursos informáticos en la red de Empresa de alquiler de contendores de transporte, así como de las aplicaciones que sobre dicha red operan, con fines de detectar y explotar una posible vulnerabilidad. Uso del Correo Electrónico: Los usuarios y funcionarios no deben usar cuentas de correo electrónico asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien más (mientras esta persona se encuentre fuera o de vacaciones) el usuario ausente debe re- direccionar el correo a otra cuenta de correo

interno,

quedando prohibido hacerlo a una dirección de correo electrónico externa a Empresa de alquiler de contendores de transporte, a menos que cuente con la autorización. Los usuarios y funcionarios deben tratar los mensajes de correo electrónico y archivos adjuntos como información de propiedad de la empresa. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor. Los usuarios podrán enviar información reservada y/o confidencial vía correo electrónico siempre y cuando

vayan

de

manera

encriptado

y destinada exclusivamente a

personas autorizadas y en el ejercicio estricto de sus funciones y responsabilidades. Queda prohibido falsificar, esconder, suprimir o sustituir la identidad de un usuario de correo electrónico. Controles contra virus o software malicioso: Para prevenir infecciones por virus informático, los usuarios de la Empresa no deben hacer uso de software que no hayan sido proporcionado y validad. Descargar Y Instalar NOD32 en y revisar si se actualiza correctamente. Los usuarios de la empresa deben verificar que la información y los medios de almacenamiento, estén libres de cualquier tipo de código malicioso, para lo cual deben ejecutar el software antivirus autorizado. Todos los archivos de computadoras que sean proporcionados

por personal externo o interno considerando al menos

programas de software, bases de datos, documentos y hojas de cálculo que tengan que ser descomprimidos, el usuario debe verificar que estén libres de virus utilizando el software antivirus autorizado antes de ejecutarse. Ningún usuario, funcionario, empleado o personal externo, podrá bajar o descargar software de sistemas, boletines electrónicos, sistemas de correo electrónico, de mensajería instantánea y redes de comunicaciones externas, sin la debida autorización. Cualquier usuario que sospeche de alguna

infección por virus

de computadora, deberá dejar de usar inmediatamente el equipo y notifica. Seguridad Física y del Medio Ambiente Política: Para el acceso a los sitios y áreas restringidas se debe notificar para la autorización correspondiente, y así proteger la información y los bienes informáticos.

Mantenimiento de Equipos: Únicamente el personal autorizado podrá llevar a cabo los servicios y reparaciones al equipo informático. Los usuarios deberán asegurarse de respaldar en copias de respaldo o backups la información que consideren relevante cuando el equipo sea enviado a reparación y borrar aquella información sensible que se encuentre en el equipo, previendo así la pérdida involuntaria de información, derivada del proceso de reparación. Daño del Equipo: El equipo de cómputo, periférico o accesorio de tecnología de información que sufra algún desperfecto, daño por maltrato, descuido o negligencia por parte del usuario responsable, se le levantara un reporte de incumplimiento de políticas de seguridad. Protección Y Ubicación de los equipos: Los usuarios no deben mover o reubicar los equipos de cómputo o de comunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin autorización, en caso de requerir este servicio deberá solicitarlo. Será responsabilidad del usuario solicitar la capacitación necesaria para el manejo de las herramientas informáticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al máximo las mismas. Es responsabilidad de los usuarios almacenar su información únicamente en la partición del disco duro diferente destinada para archivos de programas y sistemas operativos, generalmente c:\. Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o ingerir líquidos. Se debe mantener el equipo informático en un lugar limpio y sin humedad. El usuario debe asegurarse que los cables de conexión no sean pisados al colocar otros objetos encima o contra ellos en caso de que no se cumpla solicitar un reubicación de cables con el personal. Cuando se requiera realizar cambios múltiples de los equipo de cómputo derivado de reubicación de lugares físicos de trabajo o cambios locativos, éstos deberán

ser

notificados con tres días de anticipación a través de un plan detallado. Controles de acceso físico: Las computadoras personales, las computadoras portátiles, y cualquier activo de tecnología de información, podrá ser retirado de las instalaciones de la empresa únicamente con la autorización de salida del área de Inventarios, anexando el comunicado de autorización del equipo debidamente firmado por los Directores. Cualquier

persona

que

tenga

acceso a las instalaciones deberá registrar al momento de su entrada, el equipo de cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de la entidad, en el área de recepción o portería, el cual podrán retirar el mismo día. En caso contrario deberá tramitar la autorización de salida correspondiente.

f)

Análisis de Riesgos. Identificación de Amenazas y Vulnerabilidades.  Servidores 1. Existe falta de comunicación entre las áreas, lo cual puede provocar que en caso de que ocurra un incidente no se siga un solo procedimiento para resolverlo y se pueden duplicar actividades en lugar de trabajar conjuntamente para resolverlo. 2.

El servidor no se encuentra en un lugar restringido.

3.

No hay una señalización adecuada en el lugar de trabajo que permita a los miembros de la empresa tomar precauciones al ingresar al área de servidores.

4.

No se cuenta con clima controlado especial para un área de servidores.

5.

No se cuenta con un extintor en el área donde está situado el servidor web y de bases de datos.

6.

No se le da mantenimiento al servidor web y bases de datos, es decir, no se revisan los registros, las bitácoras y aquellas aplicaciones o servicios que hacen vulnerable al mismo, así como

la probabilidad de ser atacado. • Los responsables de cómputo no hacen respaldos de los archivos de configuración de la información. 7.

El

servidor

no

es

seguro,

ya

que

presenta

diversas

vulnerabilidades que podrían ser explotadas y así comprometer la información de los usuarios. 8. 9.

No se hacen las actualizaciones de seguridad de los sistemas. Los desarrolladores no hacen aplicaciones seguras porque no tienen

una

metodología

de

desarrollo

que

considere

la

programación de aplicaciones de manera segura. 10.

Los usuarios no utilizan protocolos seguros para el intercambio de la información en los sistemas, que en algunos casos, puede provocar una pérdida de información importante.

 Red, DNS, Ordenadores, Comunicaciones. 1. La primera generación: Ataque Físico Ataques que se centraban en los componentes electrónicos como ordenadores, dispositivos y cables. 2. La segunda generación: Ataque Sintáctico Las pasadas décadas se han caracterizado por ataques contra la lógica operativa de los ordenadores y las redes, es decir, pretendían explotar las vulnerabilidades 91 de los programas, de los algoritmos de cifrado y de los protocolos, así como permitir la denegación del servicio prestado. 3. La tercera generación: Ataque Semántico Se basan en la manera en que los humanos asocian significado a un contenido. El inicio de este tipo de ataques surgió con la colocación de información falsa en boletines informativos o e-mails, por ejemplo, para beneficiarse de las inversiones dentro de la bolsa financiera. También pueden llevarse a cabo modificando información caduca.

Esta generación de ataques se lleva a su extremo si se modifica el contenido de los datos de los programas, que son incapaces de sospechar de su veracidad. 4. Códigos Maliciosos Los códigos maliciosos o Malware son programas que causan algún tipo de daño en el sistema informático. Los tipos de Malware más comúnmente conocidos son

los

troyanos,

gusanos,

virus

informáticos,

spyware,

BackDoors, rootkits, Keyloggers, entre otros. 5. Contraseñas Las contraseñas representan un elemento de seguridad clave para los atacantes o intrusos, pues la mayoría de sistemas informáticos requieren de una autenticación a los usuarios por medio de contraseñas. El uso de contraseñas para mantener la confidencialidad y la seguridad de los diferentes usuarios en la red, es una práctica de seguridad antigua pero aún hoy en día se mantiene vigente por su efectividad. 6. Configuraciones

Predeterminadas

Las

configuraciones

predeterminadas son un factor de fácil vulneración por parte de los intrusos y atacantes, puesto que los códigos maliciosos e intrusiones, son hechos pensando inicialmente en que el equipo o sistema

a

atacar

se

encuentra

configurado

de

forma

predeterminada. 7. Usuarios autentificados, al menos a parte de la red, como por ejemplo empleados internos o colaboradores externos con acceso a sistemas dentro de la red de la empresa. 8. Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa.

9. Acceso a internet no autorizado.

Para valorar los elementos de información, se consideró la siguiente escala Escala 1

Baja

No causa ningún tipo de impacto o daño a la organización. (Ninguno en caso de que elemento sea

2 3

Media Alta

inexistente) Causa daño aislado, que no perjudica a ningún componente de la organización. Provoca la desarticulación de un componente de la organización. Si no se atiende a tiempo, a largo plazo puede provocar la desarticulación de la organización.

Calificación o niveles de las amenazas CALIFICACION

COMPORTAMIENTO

DEL EVENTO Es aquel fenómeno que puede Bajo (1 - 5)

suceder porque no existen razones históricas para decir que esto no sucederá. Es aquel fenómeno esperado,

Medio ( 6 - 11)

del cual existen razones para creer que si sucederá. Es aquel fenómeno esperado que tiene Alta probabilidad de

Alto (12 - 20)

ocurrir debido a que no existen condiciones externas

que

internas impidan

ocurrencia del evento.

y la

Matriz de Riesgo Nombre de la Amenaza Falta de cuidado del

Alto

Calificación

equipo de computo Confianza entre otras

Alto

personas Controles de acceso

Alto

inseguros para administrador servidores Fuga de Información Daño físico a la

Alto Medio

infraestructura de red Inexistencia de controles

Medio

de seguridad Control de acceso débil

Bajo

en aplicaciones Falta de corriente

Medio

eléctrica regulada Cableado de red

Medio

expuesto Uso de protocolos de red

Alto

inseguros Inexistencias de

Medio

auditoria Limitantes de espacio en

Alto

disco duros de Servidores Inexistencias de cifrado

Medio

en discos duros Descuido en el manejo

Bajo

del hardware Inundaciones Errores humanos Virus informático Robo físico de

Bajo Bajo Alto Medio

ordenadores

g)

Plantear la realización la realización de un proceso de concientización de la seguridad en su organización.

h)

Plan de trabajo con Calendario.

i)

Las recomendaciones a la junta directiva de la empresa que está analizando. 1. Elaboración de análisis de riesgos periódicamente, basándose en estudios realizados anteriormente. 2. Revisión y actualización de políticas de seguridad. 3. Implementación de plantas de energía eléctrica. 4. Realizar una instalación de cable de red estructurado.

5. Respaldo de base de datos en los servidores. 6. Colocar cámaras de seguridad en las áreas donde se encuentren las estaciones de trabajo, ya que de ésta manera se evitará que intenten acceder a la bases de datos del sistema. 7. Hacer uso de contraseñas seguras (alfanumérico). 8. Cambiar las contraseñas cada 90 días. 9. Contar con un firewall físico que permita la obstrucción de intrusos externos al sistema. 10.Establecer una normativa dentro de la empresa que restrinja el intercambio de contraseñas, entre los usuarios del sistema. 11. Reforzar la seguridad por medio de cámaras con sensores de movimientos, para prevenir la saturación de la memoria. 12.Implementar una política de la empresa que estipule que: Si se pierde un equipo informático u otro dispositivo, el costo del equipo será asumido por los empleados del área en cuestión. 13.Dar a conocer las políticas de uso de equipos, red y seguridad de red. 14.Realizar mantenimiento preventivo periódicamente. 15.Limpiar frecuentemente el polvo acumulado en los equipos de cómputo. 16.Mantener los equipos de cómputo en una temperatura no menos de 26 grados Celsius. 17. Reducir o limitar el ancho de banda. 18. Bitácoras del tráfico que pasa por la red.