Formato informe
Informe Evaluación N°1 Asignatura: Seguridad y auditoria informática Sección: 270 Nombre del docente: Javier Miles Nombr
Views 227 Downloads 1 File size 595KB
Recommend stories
- Author / Uploaded
- Francisco Javier Sanhueza Torres
- Categories
- Seguridad y privacidad en línea
- La seguridad informática
- Servidor (Computación)
- Valores
- Informática
Citation preview
Informe Evaluación N°1 Asignatura: Seguridad y auditoria informática Sección: 270 Nombre del docente: Javier Miles Nombre de los integrantes del grupo: Carola Sanhueza, Álvaro Valenzuela y Daniel Olave
Contenido Introducción................................................................................................................................................... 2 Desarrollo ...................................................................................................................................................... 3 Problema identificado ............................................................................................................................... 3
Causas del problema ................................................................................................................................. 3 Origen del problema .................................................................................................................................. 3 Riesgos sobre la infraestructura TI de la empresa ................................................................................... 3 Activos ........................................................................................................................................................ 3 Niveles de riesgo ........................................................................................................................................ 4 Matriz de riesgo ......................................................................................................................................... 4 Ideas de resolución .................................................................................................................................... 4 Solución propuesta ..................................................................................... Error! Bookmark not defined. Actividades a implementar ....................................................................................................................... 5 Conclusiones .................................................................................................................................................. 5 Referencias bibliográficas ............................................................................................................................. 5
Introducción En este documento nos tocó analizar la situación de una empresa en base a su seguridad informática en donde, dentro de los principales problemas a los que se enfrentaban era a un ataque informático en su servidor Windows Serve 2008 y la filtración de su información de parte de sus extrabajadores. El objetivo de este documento es identificar los problemas de esta empresa y dar una solución para que estos no les vuelva a ocurrir. Identificando los riesgos importantes dentro de la organización y dar noción de que se debe generar una escalabilidad simultanea entre el crecimiento de la empresa y la mejora en la seguridad de su información digital, ya que al crecer como empresa y tener una cantidad importante de información se vuelve un punto llamativo para personas maliciosas que se dediquen a lucrar o generar daño al sustraer esta información.
|2
Desarrollo Problema identificado La empresa JETBACK LTDA tiene graves problemas de seguridad e integridad de su información, esto se debe a que no existen procesos internos que monitoreen la seguridad de estos. Han ocurrido varios incidentes relacionados a esta brecha de seguridad, ya sea por mal uso de parte de los empleados o por motivos externos. Sin embargo, el incidente más grave ocurrió cuando se infectó uno de sus servidores Windows Server 2008 que contenían información vital correspondiente a el departamento jurídico.
Causas del problema 1. El bajo dominio de las tecnologías específicas de la empresa como lo son sus servidores Windows Server 2008, es una de las causas más importantes de este problema ya que estas tecnologías cuentan con muchas características de seguridad las que permiten reducir los ciberataques, así como también la perdida de información, pero él no aplicar estas medidas preventivas ocasiono problemas como lo fue la infección de uno de los servidores. 2. Al no presentar un código de ética establecido que indique a sus empleados como deben actuar en lo relacionado a principios apropiados para la empresa JETBACK LTDA, existe un gran riesgo de que se pase a llevar su integridad, seguridad e imagen ya que los empleados pueden trabajar por cuenta propia tomando las decisiones que a ellos le benefician, pero dejando de lado su importancia e impacto para la empresa. 3. Sumado a lo dicho anteriormente, la empresa no cuenta con una estructura correcta para organizar su información, provocando la incorrecta manipulación de archivos que son de carácter sensible causando un desorden tanto para los trabajadores como para los documentos que maneja JETBACK LTDA. Se dice que cualquier persona que sea trabajador, o que haya pertenecido a la empresa tiene acceso a la documentación haciendo una mala manipulación de esta.
Origen del problema El problema principal, el cual tiene que ver principalmente con la toma de decisiones dentro de la empresa, fue el responsable de lo sucedido luego, como el ataque al servidor Windows server 2008 y las malas acciones tomadas para sus empleados y/o exempleados. La empresa al no tomar buenas decisiones como organización no lograron crear medidas para mejorar y perfeccionar su servidor Windows 2008 con medidas optimas de seguridad según su crecimiento, como también así no tomar las medidas correspondientes en cuanto a la selección e incorporación de sus empleados a la empresa.
Riesgos sobre la infraestructura TI de la empresa Activos • • • •
Departamento de Jurídico Departamento Contabilidad y Finanzas Departamento TI. Servidores (equipos) |3
• • • • • • •
Servidor (Windows Server 2008) Servidor Documental de Jurídico, Servidor de Sistema SAP Servidor de Dominio, Servidor de Intranet Servidor de Correo Redes de comunicación
Niveles de riesgo Muy grave: Requiere medidas preventivas urgentes. No se debe iniciar el proyecto sin la aplicación de medidas preventivas urgentes y sin acotar sólidamente el riesgo. Importante: Medidas preventivas obligatorias. Se deben controlar fuertemente las variables de riesgo durante el proyecto. Apreciable: Estudiar económicamente si es posible introducir medidas preventivas para reducir el nivel de riesgo. Si no fuera posible, mantener las variables controladas. Marginal: Se vigilará, aunque no requiere medidas preventivas de partida.
Matriz de riesgo Riesgo
Probabilidad de que ocurra
Impacto
Nivel de riesgo
Corte de luz
Media
Muy alto
Muy grave
Divulgación de la información
Baja
Alto
Apreciable
Infiltración a los servidores
Muy bajo
Muy alto
Importante
Perdida de información
Muy bajo
Muy alto
Importante
Daño de equipos informáticos
Media
Baja
Marginal
Interrupción de servicio de internet
Media
Medio
Apreciable
Ciberataques
Alto
Alto
Importante
Manipulación de la información
Baja
Muy alto
Importante
Ideas de resolución a Para evitar que ocurran problemas como los estudiados se implementaran medidas preventivas tales como la incorporación de métodos de seguridad dentro del servidor WS 2008, un sistema UPS para prevenir posibles pérdidas de información y backup mensual en los principales servidores de la empresa.
|4
Actividades que implementar 1. 2. 3. 4. 5. 6. 7. 8.
Segmentar áreas de trabajo Crear grupos de trabajo en Active Directory Establecer privilegios de los grupos de trabajo Implementar medidas de seguridad dentro del servidor WS 2008 Contratar servicio externo de almacenamiento Programar backup mensuales en los servidores externos Comprar e instalar UPS Capacitar al personal
Recursos: Se estima que el tiempo de implementación total de la solución propuesta será de 6 meses y estarán involucrados los encargados de áreas dentro de la empresa y los trabajadores que requieran capacitación.
Conclusiones A modo de conclusión, primeramente, analizamos el problema en todas sus aristas para de esta forma tomar decisiones que de verdad ayudaran a la empresa, también nos dimos cuenta de que la empresa contaba con muchos activos los cuales podían representar un riesgo grande a la empresa en el caso de que fallaran, por ende, generamos una lista de ideas de resolución que se podrían ejecutar para evitar este tipo de riesgos y que no afecten a la productividad en la organización en un futuro. Como último punto generamos soluciones para evitar todo tipo de filtrado o robo de información, ataques a su servidor, etc. Entre las cuales la más principal es generar cambios en la estructura de la empresa segmentando las áreas de trabajo, los cuales se encargarán de gestionar, capacitar y contratar personal, este punto es para nosotros uno de los más importantes, ya que es la base de donde se comienza a potenciar una organización y el cuidado de la información.
Referencias bibliográficas Ministerio de Hacienda y Administraciones Públicas, (2012). MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Recuperado de https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri t.html#.XPVKe4hKiUk
|5