Está en la página 1de 37

ANALISIS Y MITIGACION DE RIESGOS DEL SISTEMA DE INFORMACION GLOBAL (ALISON)

CONTENIDO

Pg.

INTRODUCCION 1. OBJETIVOS 1.1. 1.2. Objetivo General. Objetivos Especficos.

6 7 7 7 8 9 9 9 9 10 10

2. ALCANCE 3. PLANEACION DEL PROCESO DE AUDITORIA 3.1. 3.1.1. ACTIVIDADES Seleccionar el personal para conformar el equipo auditor Lder del Equipo De Auditoria Ingenieros Especialista En Redes

3.1.1.1. 3.1.1.2. 3.1.1.3.

3.1.1.4. Especialista En Desarrollo De Software Y Sistemas De Informacin 3.1.1.5. 3.1.1.6. 3.2. 3.3. Analista De Sistemas Tecnlogo En Sistemas

10 11 11 11 16 17 17 17 17

DOCUMENTACIN CRONOGRAMA DE ACTIVIDADES

4. MARCO LEGAL 4.1. LEY 1273 DE 2009 Artculo 269A. Artculo 269D
1

4.1.1. 4.1.2.

4.1.3. 4.1.4. 4.1.5.

Artculo 269F. Artculo 269H. Artculo 269J.

17 17 18 19 19 20 21 22 22 22 23 23 24 25 25 26 27 28 29 31 36 Error! Bookmark not defined.

5. RECURSOS 5.1. 5.2. Recursos Humanos Recursos Tecnolgicos

6. ANLISIS DE RIESGOS 6.1. Inventario de Activos Anlisis de riesgos: StakeHolders Anlisis de riesgos: Subcentro de Datos Anlisis de riesgos: Alison Anlisis de riesgos: centro de datos Anlisis de riesgos: infraestructura tecnolgica Valoracin del Riesgo Valoracin Riesgo: StakeHolders Valoracin Riesgo: Subcentro de Datos Valoracin Riesgo: Alison Valoracin Riesgo: centro de datos Valoracin Riesgo: infraestructura tecnolgica

6.1.1. 6.1.2. 6.1.3. 6.1.4. 6.1.5. 6.2.

6.2.1. 6.2.2. 6.2.3. 6.2.4. 6.2.5.

7. MITIGACION DE LOS RIESGOS 8. CONCLUSIONES 9. BIBLIOGRAFIA

LISTADO DE TABLAS Pg. 1. TABLA 1. RECURSOS DE PERSONAL 2. TABLA 2. RECURSOS TECNOLOGICOS 3. TABLA 3. CLASIFICACION DE RIESGOS 4. TABLA 4. ANLISIS RIESGO STAKEHOLDERS 5. TABLA 5. ANLISIS RIESGO SUBCENTRO DE DATOS 6. TABLA 6. ANLISIS RIESGO ALISON 7. TABLA 7. ANLISIS RIESGO CENTRO DE DATOS 8. TABLA 8. ANLISIS RIESGO INFRAESTRUCTURA TECNOLOGICA 9. TABLA 9. VALORACION RIESGO STAKEHOLDERS 10. TABLA 10. VALORACION RIESGO SUBCENTRO DE DATOS 11. TABLA 11. VALORACION RIESGO ALISON 12. TABLA 12. VALORACION RIESGO CENTRO DE DATOS 13. TABLA 13. VALORACION RIESGO INFRAESTRUCTURA TECNOLOGICA 20 21 22 23 23 24 24 25

26 27 28 29 30

LISTADO DE GRAFICOS

Pg.

1. GRAFICO 1. CRONOGRAMA DE ACTIVIDADES

17

GLOSARIO

FIREWALL: Un firewall es un sistema que est configurado para controlar el flujo de trfico entre dos redes.

WEB SERVER: un servidor web sirve contenido esttico a un navegador, carga un archivo y lo sirve a travs de la red al navegador de un usuario. Este intercambio es mediado por el navegador y el servidor que hablan el uno con el otro mediante HTTP.

HACKER: experto en varias o alguna rama tcnica relacionada con la informtica: programacin, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Que utiliza este conocimiento para realizar actividades no licitas, Se suele llamar hackeo y hackear a las obras propias de un hacker.

CONTROL DE APLICACIONES: controles que se refieren a una funcin especfica de la tecnologa de la informacin.

DATOS DE PRUEBA: conjunto de registros y transacciones ficticias diseados para probar la funcionalidad de un programa de sistemas.

CANAL: medio a travs del cual se establece la comunicacin entre los diferentes elementos (Instrumentos, Estaciones, Centros de datos).

CENTRO DE DATOS: nodo del sistema de informacin meteorolgico que consolida la informacin de los subcentros de datos.

RIESGO: es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.
5

SUBCENTRO DE DATOS: Es un nodo de procesamiento y almacenamiento de informacin que recibe las mediciones de las estaciones. INTRODUCCION

La infraestructura tecnolgica genera en las organizaciones actuales un rendimiento ptimo en sus procesos, logrando satisfacer las necesidades de sus clientes y las propias para su funcionamiento y competitividad dentro del mercado global.

El Sistema de Informacin Global (ALISON), se implementara en las ciudades de Cali y Buenaventura, debido a la necesidad de mitigar desastres naturales y predecirlos en el futuro.

En este documento se presenta un plan de auditora, con el fin de identificar los riesgos y sus mitigaciones para poner en marcha el Sistema de Informacin Global.

1. OBJETIVOS

1.1.

Objetivo General.

Desarrollar el plan de auditoria y el anlisis de riesgos al documento que expresa el software SISTEMA DE INFORMACIN GLOBAL (ALISON).

1.2.

Objetivos Especficos.

Utilizar la metodologa 1 para la identificacin de Activos de Informacin del documento de arquitectura de software del Sistema de Informacin Global (ALISON). Definir las estrategias de mitigacin de riesgos, con el propsito de mejorar el cumplimiento del Sistema de Informacin Global y la conformidad de los usuarios finales. Implementar el plan de auditoria que nos determine el cumplimiento de puesta en marcha del software Sistema de Informacin Global (ALISON).

2. ALCANCE

En el desarrollo de esta auditoria se implementaran una serie de actividades que nos permitirn identificar los diferentes procesos que se llevan a cabo con el sistema de informacin y el trato que se le da a la informacin crtica.

Mediante esta auditoria se definirn y evaluaran todos los posibles riesgos y amenazas que atenten contra el desarrollo del sistema DE INFORMACIN GLOBAL (ALISON).

Este plan de auditoria solo realizara las siguientes actividades:

Anlisis de la informacin brindada. Identificacin de posibles riesgos del proyecto. Identificar las polticas de seguridad que se aplican en este proyecto. Establecimiento de una serie de estrategias para la mitigacin de posibles riesgos.

Esta auditoria se piensa realizar en un periodo aproximado de dos meses para recoger la informacin necesaria y luego proceder a presentar el debido informe de auditora a las personas interesadas.

3. PLANEACION DEL PROCESO DE AUDITORIA

Para desarrollar la auditoria DEL SISTEMA DE INFORMACION GLOBAL (ALISON) se hace necesario definir un plan estratgico de accin para no afectar la calidad de la misma para lo cual se han establecido los siguientes pasos: 3.1. ACTIVIDADES

3.1.1. Seleccionar el personal para conformar el equipo auditor

Para llevar a cabo este proceso de auditora ser necesario conformar un equipo que contara con los siguientes profesionales:

3.1.1.1.

Lder del Equipo De Auditoria

Como responsable de la auditoria debe poseer los siguientes requerimientos: Experiencia acreditada como mnimo de 3 aos en procesos de auditora, Formacin acadmica y/o profesional en ingeniera de sistemas o informtica con especializacin en seguridad informtica certificada por instituciones de reconocimiento gubernamental, Confiabilidad, Capacidad para comunicar su visin, dominio de la tcnica, respaldo moral y liderazgo.

Funciones a desempear Definir el equipo auditor. Realizar el plan de auditora. Asignar tareas a su equipo. Presentar informes a las personas contratantes
9

Verificar el cumplimiento del plan de auditora. 3.1.1.2. Ingenieros

Para este cargo se requieren 4 ingenieros de sistemas, con diferentes especialidades y perfiles, y son los siguientes: Analista de Sistemas, Programador, especializacin en redes y Auditor de Sistemas.

3.1.1.3.

Especialista En Redes

Experiencia de 2 aos demostrable en redes de transmisin, conmutacin y redes de transmisin de datos, multiplexores de acceso, networking, tecnologas de acceso para redes de voz y datos.

Funciones a desempear Examinar el funcionamiento de la red en cuanto a voz y datos. Mantener la integridad de los recursos de comunicacin. Detectar los posibles riesgos y planificar las soluciones a los problemas que se presentan.

3.1.1.4.

Especialista En Desarrollo De Software Y Sistemas De Informacin

Experiencia acreditada como mnimo de 4 aos en desarrollo de software y tics. Formacin acadmica y/o profesional en ingeniera de sistemas o afines certificada por instituciones de reconocimiento gubernamental, Confiabilidad. Capacidad para comunicar su visin, dominio de la tcnica, respaldo moral y liderazgo.

Funciones a desempear Realizar procesos de diagnostico del funcionamiento de los sistemas de informacin y diferentes software. Planear actividades de mejora en el desarrollo y funcionamiento de procesos de software.
10

3.1.1.5.

Analista De Sistemas

Profesional con experiencia de 3 aos en abstraccin y anlisis de informacin con conocimientos en modelados de datos, modelado funcional y sistemas de informacin.

Funciones a desempear Analizar la informacin reunida por los ingenieros y tcnicos para as reconocer los elementos bsicos y la causa del problema que se presenta.

3.1.1.6.

Tecnlogo En Sistemas

Experiencia de 3 aos comprobable estudios a niveles tecnolgicos en el rea en sistemas. Funciones a desempear Revisar componentes de software y hardware como discos duros, memorias extrables, terminales, Adware y la intranet de la empresa, realizar mantenimiento preventivo y correctivo.

3.2.

DOCUMENTACIN

Revisar la documentacin proporcionada por la empresa. Realizar entrevistas al personal involucrado en el problema. Abstraccin y anlisis de informacin.

Estndares aplicados el programa de auditora que se realizara al Sistema de Observacin Global (ALISON), esta descripto por los siguientes estndares. Inventarios de activos y valoracin de riesgos icontec-iso 27005
11

Inventario de activos Utiliza los siguientes procesos: Seleccionar uno de los procesos dentro del alcance de SGSI Identificar los activos de informacin Establecer la ubicacin para cada uno de ellos Evaluar la criticidad de cada activo en el negocio Evaluar criterios de Confidencialidad, Integridad y Disponibilidad.

Valoracin de riesgos Se deben identificar las amenazas y vulnerabilidades y valorar los riesgos asociados Realiza los siguientes procesos. Seleccionar los activos de mayores valores y trasladar Total del inventario de activos Identificar las principales vulnerabilidades actuales de cada uno de estos activos Identificar las principales amenazas que podran explotar cada vulnerabilidad Evaluar el impacto al negocio que causara en el activo la materializacin de cada evento. Estimar la probabilidad de ocurrencia de cada evento Calcular el valor de los riesgos

Consideraciones de seguridad nist 800-64 Es una gua la cual ayuda a identificar controles de seguridad efectivos en costo que pueden ser seleccionados y adquiridos

Categorizacin de la seguridad La organizacin debe contar con un enfoque estndar para establecer categoras de seguridad para la informacin y los sistemas de informacin
12

Las categoras deben basarse en el impacto potencial que ciertos eventos pueden causar sobre los sistemas de informacin requeridos para cumplir la misin, proteger los activos, cumplir las responsabilidades legales mantener la continuidad de las operaciones, y proteger a los individuos: Bajo, Moderado, Alto Las categoras, en conjunto con informacin de las vulnerabilidades y amenazas, se utilizan para valorar el riesgo de operar el sistema : Prdida de confidencialidad, Prdida de disponibilidad integridad, Prdida de

Valoracin preliminar del riesgo Describir las necesidades bsicas de seguridad del sistema, en trminos de integridad, disponibilidad y confidencialidad Definir el ambiente de amenazas en el cual operar el sistema Identificacin inicial de los controles de seguridad requeridos.

Valoracin formal y peridica del riesgo Posibilita identificar los requerimientos de proteccin del sistema Anlisis ms profundo y especfico Genera informacin esencial requerida para el Plan de Seguridad Incluye:

Identificacin de amenazas y vulnerabilidades en el sistema de informacin La identificacin y anlisis de los controles de seguridad para el sistema.

Anlisis de requerimientos funcionales de seguridad Puede incluir las 2 fuentes de requerimientos de seguridad del sistema

13

-Ambiente de seguridad del sistema (poltica de seguridad de la informacin de la empresa y arquitectura de seguridad de la empresa) -Requerimientos funcionales de seguridad

Debe incluir un anlisis de leyes y regulaciones que definan requerimientos de seguridad mnimos (baseline) Los requerimientos de seguridad legales, funcionales y de TI deben establecerse en trminos especficos Para sistemas complejos, ms de una iteracin del anlisis de requerimientos puede necesitarse

Planeacin de la seguridad Asegurar que los controles de seguridad requeridos (planeados), para redes facilidades, sistemas de informacin, estn totalmente documentados Provee una caracterizacin o descripcin completa del sistema de informacin Pueden incluirse referencias a documentos claves del programa de seguridad de la informacin

Plan de administracin de la Configuracin Plan de contingencia Plan de respuesta a incidentes Plan de concientizacin y entrenamiento en seguridad Reglas de comportamiento Valoracin del riesgo Resultados de pruebas y evaluaciones de seguridad Acuerdos de interconexin de sistemas

Autorizaciones/acreditaciones de seguridad

14

1. Metodologa No 1 inventario de activos y valoracin de riesgos. INCONTEC-ISO 27005 (16 noviembre 2011)

15

3.3.

CRONOGRAMA DE ACTIVIDADES

16

4. MARCO LEGAL

4.1.

LEY 1273 DE 2009

4.1.1. Artculo 269A. Acceso abusivo a un sistema informtico. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes. 4.1.2. Artculo 269D. Dao Informtico. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento de informacin o sus partes o componentes lgicos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes. 4.1.3. Artculo 269F. Violacin de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes. 4.1.4. Artculo 269H. Circunstancias de agravacin punitiva. Las penas imponibles de acuerdo con los artculos descritos en este ttulo, se aumentarn de la mitad a las tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informticos o de comunicaciones estatales u

oficiales o del sector financiero, nacionales o extranjeros.


2. Por servidor pblico en ejercicio de sus funciones. 3. Aprovechando la confianza depositada por el poseedor de la informacin

o por quien tuviere un vnculo contractual con este. 4. Revelando o dando a conocer el contenido de la informacin en perjuicio de otro. 5. Obteniendo provecho para s o para un tercero.
17

6. Con fines terroristas o generando riesgo para la seguridad o defensa

nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administracin, manejo o control de dicha informacin, adems se le impondr hasta por tres aos, la pena de inhabilitacin para el ejercicio de profesin relacionada con sistemas de informacin procesada con equipos computacionales. 4.1.5. Artculo 269J. Transferencia no consentida de activos. El que, con nimo de lucro y valindose de alguna manipulacin informtica o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena ms grave, incurrir en pena de prisin de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mnimos legales mensuales vigentes. La misma sancin se le impondr a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisin del delito descrito en el inciso anterior, o de una estafa.

2. http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico 2. COLOMBIA. CONGRESO DE LA REPBLICA. Ley 1273. (5, enero, 2009). Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado - denominado de la proteccin de la informacin y de los datos- y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. Bogot, D.C., 2009.
18

5. RECURSOS

5.1.

Recursos Humanos

Tabla 1. Personal para auditoria

RECURSO Auditor lder Especialista en redes Ingeniero electrnico Especialista en desarrollo de Software y sistemas de informacin Tecnlogo de sistemas Analista de sistemas Total

CANTIDAD 1 1 1 1

SALARIO $ 2.200.000 mensual $1.600.000 mensual 1.400.000 mensual $ 3.000.000 mensual

1 1 6

900.000 mensual $ 2.000.000 mensual $ 11.100.000 mensuales

19

5.2.

Recursos Tecnolgicos

Tabla 2. Tecnologa para la auditoria RECURSOS DVD multicapa Cmara filmadora Memorias USB 4G Porttiles CARACTERISTICAS CANTIDAD 15 2 3 Procesador CORE I32100 DE 3.1 GHz Memoria RAM 4 GB DDR III Disco duro 640 GB Pantalla 15.6 webcam integrada quemador dvd 6 VALOR x 1 $ 3.000 $ 800.000 $ 36.000 $ 1,250, 000 VALOR TOTAL $ 45.000 $ 1,600.00 $ 72.000 $ 7.500.000

Impresora Multifuncional Hp Deskjet 3050

$ 169.900

Wifi
Otros Resma papel. Esferos. Etc.

$ 100.00

Total

22

$ 9.486.900

El costo mensual del proyecto es de $ 20568.900, para su desarrollo El costo total del proyecto es de $ 41137.800 para su desarrollo con una duracin de 2 meses

20

6. ANLISIS DE RIESGOS

Para determinar los posibles eventos que se transformen en una amenaza basada en una vulnerabilidad de un determinado activo de informacin, en el siguiente paso de la auditoria DEL SISTEMA DE INFORMACION GLOBAL (ALISON), se visualizaran de manera objetiva las posibles causas de una catstrofe a nivel empresarial. Lo que permitir elaborar planes de contingencia que prevean a los desarrolladores del software de posibles daos en sus distintas reas de proceso. Para lograr esto se ha determinado un nivel de calificacin de riesgos organizados de la siguiente forma:

Tabla 3: calificacin de riesgos CRITERIOS C I D CALIFICACION 1 2 3 4 5 SIGNIFICADO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD SIGNIFICADO INSIGNIFICANTE BAJO MEDIO ALTO MUY ALTO

21

6.1.

Inventario de Activos

6.1.1. Anlisis de riesgos: StakeHolders Tabla 4: anlisis riesgo: StakeHolders ACTIVO DE INFORMACIN Directores de TI Gobierno (Asesora Financiera) Directivas WMO Desarrolladores de Software C I D TOTAL 12 4 8 8 13 VALOR CRITICO NO CRITICO CRITICO CRITICO CRITICO

4 4 4 1 1 2 3 2 3 2 3 4

Director del instituto (Meteorlogo) 4 4 5

6.1.2. Anlisis de riesgos: Subcentro de Datos Tabla 5: anlisis riesgo: Subcentro de Datos ACTIVO DE INFORMACIN C Servidores Estaciones de trabajo Satlites Boyas Controles de Temperatura Controles de Aire Base de Datos I D TOTAL 7 8 9 8 8 9 9 VALOR CRITICO CRITICO CRITICO CRITICO CRITICO CRITICO CRITICO

2 2 3 1 4 3 2 2 5 2 2 4 2 2 4 1 3 5 3 3 3

22

6.1.3. Anlisis de riesgos: Alison Tabla 6: anlisis riesgo: Alison

ACTIVO DE INFORMACIN

TOTAL

VALOR

Estndares de calidad en observaciones atmosfricas

10

critico

Mtodos de pronostico

10

critico

Base de datos

13

critico

6.1.4. Anlisis de riesgos: centro de datos Tabla 7: anlisis riesgo: centro de datos

ACTIVO DE INFORMACIN

TOTAL

VALOR

Subcentros de datos Estaciones Arquitectura (por capas, hub and spot, datos asncronos). Base de datos local Hardware

3 4 3

4 4 5

3 4 4

10 12 12

critico critico critico

4 2

4 4

5 4

13 10

critico critico

23

6.1.5. Anlisis de riesgos: infraestructura tecnolgica Tabla 8: anlisis riesgo: infraestructura tecnolgica ACTIVOS DE INFORMACIN Servidor de aplicaciones Base de Datos Estaciones Manuales Servidor de Base de Datos Firewall Computadores Satlites Boyas Centros de control de datos Radar de Clima Estacin de Aire Estacin de Superficie C 3 2 2 2 3 1 2 3 2 1 2 2 I 3 1 1 3 4 2 3 3 3 4 3 3 D 5 3 2 4 4 4 5 3 3 4 3 3 TOTAL 11 6 5 9 11 7 10 9 8 9 8 8 VALOR CRTICO NO CRTICO NO CRTICO CRTICO CRTICO CRTICO CRITICO CRITICO CRITICO CRITICO CRITICO CRITICO

24

6.2.

Valoracin del Riesgo

6.2.1. Valoracin Riesgo: StakeHolders Tabla 9: valoracin riesgo StakeHolders ACTIVO DE INFORMACIN Directores de TI VALOR VULNERABILIDADES AMENAZAS Despido. Calamidad. La calidad en los estndares es deficiente IMP PROB TOTAL

12

Comunicacin interpersonal no agradable. Personal no capacitado

ALTO

Directivas WMO

PROBABLE

Desarrolladores de Software Director del instituto (Meteorlogo)

Perdida de informacin.

Compilacin incorrecta Despido. Calamidad.

BAJO

13

Dependencia, conocimiento no compartido.

BAJO

25

6.2.2. Valoracin Riesgo: Subcentro de Datos Tabla 10: valoracin riesgo Subcentro de Datos
ACTIVO DE INFORMACIN Servidores V 7 VULNERABILIDADES Dao en los medios de almacenajes fsicos o magnticos. AMENAZAS Personal no autorizado capaz de encontrar puntos dbiles del servidor o router. Fallas Fsicas, Mal diseo, Error de Fabricacin Lluvia de meteoritos. No lleguen los datos a los centros de datos. Huracanes. Arrastre mar adentro. Huracanes. Perdida de informacin. Perdida de informacin. IMP 4 PROB 5 TOTAL ALTO

Estaciones de trabajo

Extravo, Robo, Daos Tcnicos

MODERADO

Satlites

Interferencia en la seal. Daos tanto fsicos como lgicos.

MODERADO

Boyas

Daos tcnicos.

ALTO

Controles de Temperatura

Corte en la seal de transmisin de datos. Interferencia en la seal de transmisin de datos. En la fase de desarrollo, cuando el programador no introduce la sentencia SQL de forma correcta.

MODERADO

Controles de Aire

MODERADO

Base de Datos

Fraude: personal no autorizado.

MODERADO

26

6.2.3. Valoracin Riesgo: Alison Tabla 11: valoracin riesgo Alison

ACTIVO DE INFORMACION Estndares de calidad en observaciones atmosfricas

V 10

VULNERABILIDAD -No aplicacin de los estndares adecuados. -procesos no estandarizados.

AMENAZAS -datos errneos. -Procesos de baja calidad. -Predicciones erradas

P TOTAL

4 3 Moderado

Mtodos de pronostico predicciones, alertas y alarmas en tiempo real

10

-Mtodos de pronsticos usados inadecuadamente u obsoletos.

-aumento en tiempos de procesamientos lo que demorara el procesamiento en tiempo real. -hackers. -robo de informacin. -datos sin integridad.

5 2 Bajo

Base de datos

13

-seguridad de acceso ineficiente. -no tener privilegios. -desactualizacin.

4 4 Alto

27

6.2.4. Valoracin Riesgo: centro de datos Tabla 12: valoracin centro de datos ACTIVO DE INFORMACION Subcentros de datos V VULNERABILIDAD AMENAZAS I P TOTAL

Estaciones

Arquitectura

Base de datos local

hardware

10 -Fallas en los servidores. -seguridad ineficiente. -desastres naturales (incendios, Inundaciones, Terremotos, etc.). 12 -tecnologa obsoleta. -desastres naturales. -daos en instrumentos de medicin. 12 -factores humanos. -fallas en la red elctrica. -no tener una arquitectura definida. 13 -seguridad de acceso ineficiente. -no tener privilegios. -desactualizacin. 10 Desastres naturales. Fallas elctricas. desastres

-Perdida de informacin. -dao de equipos.

5 3

alto

-Perdida de informacin. -dao de equipos.

5 2

Moderado

-implementacin inadecuada del modelo de arquitectura. - sabotaje -hackers. -robo de informacin. -datos sin integridad. Perdida de informacin. Falta de disponibilidad.

3 2

Bajo

4 3

moderado

4 4

alto

28

6.2.5. Valoracin Riesgo: infraestructura tecnolgica Tabla 13: infraestructura tecnolgica

29

30

7. MITIGACION DE LOS RIESGOS

El desarrollo de una investigacin, clasificacin y determinacin de consecuencias ocasionadas por los riesgos que pueden ocurrir en el Sistema de Observacin Global (ALISON) permite una estrategia para disminuir la posibilidad de que tales riesgos sean una amenaza de catstrofe en el proceso de gestin de la informacin de la meteorologa.

ALISON Y CENTRO DE DATOS: Teniendo en cuenta que al realizar el anlisis de riesgos de los activos obtenidos despus de identificar los proceso que se lleva a cabo en el sistema de informacin ALISON y en el centro de datos la mayora de los activos de informacin se detectaron como crticos convirtindose en amenazas potenciales para la organizacin se hace necesario realizar una mitigacin de los riesgos encontrados. Por lo cual a continuacin se citan las estrategias de mitigacin.

Implementar seguridad en cuanto a los privilegios de usuario. Instalar todas las actualizaciones pertinentes (service packs, parches y revisiones). Instalacin de firewall en los servidores y utilizacin se SSL. Copias de seguridad para contar con resguardos de la informacin. Realizar constantes auditorias a las cuentas de usuario y verificar la utilizacin de contraseas privadas y confidenciales. Establecer un espacio adecuado para las partes de hardware y la infraestructura elctrica. Concientizar al personal sobre los posibles riesgos que se pueden presentar para que estn alertas. Generar cultura de seguridad entre los miembros del proyecto Comunicacin interpersonal no agradable. Vemos muchos casos donde el personal de las organizaciones hay conflictos.

31

Para poder mitigar estos riesgos es imprescindible tener un dialogo constante entre las personas involucradas. Teniendo en cuenta las salidas empresariales para un mayor dialogo. Personal no capacitado El personal no capacitado profesionalmente. Para mitigar este riesgo se debe programar en el ao capacitaciones sobre el rea donde se est trabajando, es decir, mejoramiento continuo de los empleados. Perdida de informacin. La prdida de informacin es un hecho constante en las organizaciones, si estamos hablando de un proyecto de observacin meteorolgico sera catastrfico el no saber los datos de un posible desastre natural.

Para mitigar este riesgo se propone: Monitoreo y prevencin de los protocolos encargados de los Backups de la informacin. Observacin del contenido de los archivos principales y adjuntos. Bloqueo selectivo de mensajes recibidos de las diferentes estaciones encargadas de enviar la informacin del clima. Dependencia, conocimiento no compartido. Es un caso tpico de las organizaciones, donde siempre se le deja el mando de una dependencia y estructuracin de un rea a una sola persona. Se propone: Las prcticas laborales para los recin egresados de las universidades. Dao en los medios de almacenajes fsicos o magnticos. Los medios de almacenamiento indistintamente de su forma y capacidad son necesarios para el almacenaje de la informacin. Se propone: Los dispositivos que almacenan los datos estn alejados de los cables elctricos, debido al campo magntico que estos generan. No exposicin a la humedad. No exposicin de altas temperaturas.

32

Extravo, Robo, Daos Tcnicos. Estos riesgos suceden mucho, ya sean internos o externos. Para un buen control, es necesaria la implementacin de un sistema de seguridad como los son los circuitos cerrados vigilados por cmaras de video. Seguridad en las entradas a los diferentes centros de datos, como los carnets de presentacin. Interferencia en la seal, daos tanto fsicos como lgicos. Se habla de un sistema de gestin para la observacin de los cambios climticos en las ciudades de Cali y Buenaventura. Se plantea la disminucin de tiempos en el envi de informacin a los centros de datos. El envo de la informacin a antenas ms cercanas y que posiblemente nos estn interferidas con los fenmenos climticos. Daos tcnicos. Los daos tcnicos de los equipos son frecuentes, pero estamos hablando de la Boyas, lo que implica una prdida de informacin fundamental para la prediccin de los cambios climatolgicos de las ciudades.

Aseguramiento de las Boyas en sitios especializados. Recubrimiento del circuito electrnico para evitar la humedad del mismo. Mantenimiento constante a los circuitos electrnicos. Corte en la seal de transmisin de datos. Los controles de temperatura son fundamentales porque estos indican los grados si est muy alta o muy baja la temperatura del clima. Mantenimiento constante a los circuitos electrnicos. Cambios de canales por los cuales se transmite la seal. Las distancias de los controles de temperatura no deben estar muy alejados de los centros de datos. Interferencia en la seal de transmisin de datos. El sistema de gestin para la observacin de los cambios climticos en las ciudades de Cali y Buenaventura. La disminucin de tiempos en l envo de informacin a los centros de datos. Los controles de aire no deben estar muy alejados del centro de datos.
33

Base de Datos. Las bases de datos son fundamentales para el almacenamiento de datos de las observaciones climatolgicas. Evitar el ingreso de personal externo a los servidores donde se encuentra la base de datos. Depuracin de datos. Evitar el desbordamiento de la misma.

En caso de colapso y cada de los servidores Se realizan copias de seguridad mensuales que garanticen la continuidad de las operaciones de la informacin considerada crtica que compone el ncleo de las funciones base de la implementacin del sistema, en caso de una posible cada o colapso del servidor. En caso de desbordamiento del bfer en la base de datos Un desbordamiento de bfer es bsicamente una copia de datos fuera de los espacios asignados para una aplicacin, cuando se supera el lmite de dicho espacio, colapsa el sistema. Se instala una aplicacin que permite supervisar todos los procesos activos del sistema para evitar que haya desbordamientos de bfer; cuando detecte una aplicacin usando espacios no asignados del bfer, acta. El programa tiene una interfaz intuitiva, permite el fcil manejo de todas las opciones que ofrece al usuario, bloqueara los programas que estn causando desbordamiento para as mantener el sistema operando correctamente. En caso de interferencia en las estaciones manuales Esta interferencia depende de las variaciones del medio, el riesgo consiste en la aparicin de espectros electromagnticos. Para disminuir el impacto lo ideal es la generacin de nuevas seales GNNS en nuevas frecuencias, lo que asegurara que esta interferencia no provoque la prdida del servicio, aunque se presenten fallas en bajo nivel de afeccin.

34

En caso de filtraciones de espas En relacin a la seguridad misma de la informacin, debemos tener medidas en cuenta para evitar la prdida o modificacin de los datos, informacin o software inclusive, por personas no autorizadas, se recomienda el asignar nmeros de identificacin y contraseas a los usuarios.

En caso de fallas en el hardware Para disminuir el impacto que causa una o varias fallas en el hardware se deben tener planes de mantenimiento de equipos, limpieza y verificacin de su correcto desempeo. En caso de tormentas solares Es inevitable la aparicin de las tormentas solares, el impacto que le causaran al sistema seria de gran magnitud, ya que estas pueden derribar los satlites, y aun no se tiene una solucin para disminuir dicha amenaza. En caso de desastres naturales Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso fsico permite: disminuir siniestros trabajar mejor manteniendo la sensacin de seguridad descartar falsas hiptesis si se produjeran incidentes tener los medios para luchar contra accidentes Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeamos; y as tomar decisiones sobre la base de la informacin brindada por los medios de control adecuados. Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.

35

8. CONCLUSIONES

Los sistemas de informacin se han vuelto una herramienta indispensable en las organizaciones debido a su rapidez y gran cantidad de procesamiento de informacin. El sistema estara construido para almacenar, procesar y emitir resultados acordes para la toma de decisiones. Todo riesgo que se presente el los sistemas de informacin o tecnologas de la informacin de una organizacin pueden provocar grandes perdidas, por lo cual toda organizacin debe establecer planes de contingencia que le permitan mitigar las amenazas que se le presente. Las polticas de seguridad descritas por los desarrolladores del sistema ALISON son pertinentes pero deben ser fortalecidas con metodologas y marcos de riesgos para poder establecer estrategias que permitan mitigar riesgos.

36

------------.----------. LEY 1273. (5, enero, 2009).por medio de la cual se modifica el cdigo penal, se crea un nuevo bien jurdico tuteladodenominado de la proteccin de la informacin y de los datos- y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. Bogota, D.C., 2009.

---------.-----------. Metodologa No 1 inventario de activos y valoracin de riesgos. INCONTEC-ISO 27005 (16 noviembre 2011)

AUDITORIA INFORMATICA UN ENFOQUE PRACTICO. 2 Edicin ampliada y revisada. Autores: Mario G. piattini, Emilio del peso. Editorial: Alfa-omega.

37