Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO A:
1. Introducción
2. Fase I – Estudio Preliminar o Toma de contacto
Conocimiento de la organización y su contexto
Lineamientos estratégicos
Mapa de procesos
Estructura organizacional de la empresa
Descripcion de los procesos de negocio
4. Conclusiones
5. Bibliografía
INTRODUCCIÓN
Con el auge de la tecnología y su continua evolución, van aumentando los ataques, las
fallas y vulnerabilidades en las empresas y con ellas se ve la necesidad de adoptar
tanto las medidas como los controles que permitan protegerlas ante las amenazas o
vulnerabilidades que podrían afectar a sus activos informáticos.
Con todo lo anterior, el propósito de este trabajo es realizar un informe de auditoria que
permita mediante la recolección de evidencias, determinar la confiabilidad y calidad de
la ejecución de las actividades realizadas en el sistema de información de
supermercados Mi Futuro, aplicando la metodología de gestión de riesgos MAGERIT, la
cual utiliza la herramienta PILAR en congruencia a los criterios establecidos en las
teorias implementadas por el docente para establecer en la organización una toma de
decisiones acertada.
2. FASE 1 – ESTUDIO PRELIMINAR O TOMA DE CONTACTO
PRODUCTOS Y SERVICIOS
Lineamientos Estrategicos
Misión
Visión
Objetivos estratégicos
Creer en la renovación permanente y la apuesta por las nuevas tecnologías que hagan
prestar una mejor calidad de servicio
Principios y valores
Nuestro trabajo y desempeño cotidiano siempre se desarrolla pensando en la
satisfacción del cliente al que nos debemos y cuya confianza debemos ganarnos día a
día, por tanto, la organización tiene los siguientes valores:
Respeto
Honestidad
Comunicación
Responsabilidad
Transparencia
Integridad
Constancia
Entusiasmo
Calidad
Integridad
Mapa de procesos
C C
L Planificación Desarrollo L
I estratégica de gestión I
E E
N N
T T
E E
S Gestión de Gestión de supervisión S
compras ventas de despacho
Proceso de ventas
ID NOMBRE DEL DESCRIPCION ACTORES
PROCESO
Proceso inventario
Proceso contabilidad
ID NOMBRE DEL DESCRIPCION ACTORES
PROCESO
Supermercados mi futuro cuenta con un gran volumen de clientes, lo cual indica que
está facturando grandes volúmenes de datos en la actualidad, es por esto, que es de
vital importancia para esta, llevar un control de todos sus activos, entre estos, su
sistema de información, el cual ha presentado fallas en los últimos meses, lo que indica
una amenaza a tanto a su seguridad, como a su integridad, disponibilidad y
confidencialidad de sus datos, por tanto, es necesario realizar una auditoría para tomar
las medidas necesarias, dado que, si estos requerimientos no se estan cumpliendo,
ejercerá un impacto deficiente en la toma de decisiones de la organización, lo que
genera un escape de datos y una deficiencia en la funcionalidad de su sistema de
información.
Objetivos de la auditoria
Objetivo General
Desarrollar un informe de auditoría aplicando la metodología de análisis de riesgo
MAGERIT en supermercados “Mi futuro”.
Objetivos específicos
Analizar la situación actual del sistema utilizado por supermercados “Mi Futuro”
Identificar, describir y evaluar los activos de la organización
Identificar, describir y evaluar los riesgos latentes en la organización.
Identificar, describir y evaluar las amenazas presentes en la organización.
Aplicar la valoración correspondiente a las amenazas encontradas
Desarrollar un plan de seguridad para la empresa “Mi Futuro”.
Desarrollar un informe final soportado bajo los lineamientos de la metodología
MAGERIT.
Alcance
Identificacion de evidencias
Cableado horizontal: Se empleó el cableado horizontal entre piso y techo del edificio
protegidos por canaletas metálicas esto con el fin de evitar amenazas de inundaciones
y manipulación del cableado por personas ajenas al departamento de sistemas.
Paneles de empalme (patch panels) y cables de empalme utilizados para configurar las
conexiones de cableado horizontal en el cuarto de telecomunicaciones
Tipo de cable utilizado: cable coaxial y cable par trenzado UTP y STP categoría 5
La señal wifi abierta para los usuarios del supermercado es transmitida a través de un
Access point llamado “wifi abierto” de referencia: UniFi Uap-lr Indoor con 2.4ghz
300mbps y un radio de 183m
IDENTIFICACION DE ACTIVOS
Equipamiento – Hardware
Servidores: se posee un servidor de base de datos, en el cual se guardan los
datos de los procesos llevados a cabo en la empresa.
Equipos de hardware:
Equipamiento – Software
Sistemas de información contable y administrativos: se cuenta con un
sistema de información en el cual se desarrollan los procesos administrativos y
contables de la organización.
Almacenamiento: se cuenta con un sistema de almacenamiento de
información, es decir, una base de datos en la nube.
Correo electrónico: se cuenta con correos internos en la organización.
Sistemas de antivirus: se cuenta con servicio de licencia de antivirus.
Sistemas informáticos auxiliares: se cuenta con servicios de office.
Aplicaciones usadas
Equipamiento Auxiliar
Activos esenciales
Servicios internos
Equipamiento
Servicios Subcontratados
Instalaciones
Personal
Para ejemplificar la teoría anterior, a continuacion se presenta en pilar la identificacion
de activos por categorías en la herramienta PILAR:
En este orden, en el primer nivel se han considerado al centro de datos, que es el lugar
donde se concentran los servidores y equipos de comunicación, estos se encuentran en
el segundo nivel al igual que el equipamiento auxiliar. En el tercer nivel se encuentran
los servicios y aplicaciones que corren sobre los equipos de hardware. Además, se han
considerado a los equipos que generan electricidad y la climatización en el centro de
datos que son de suma importancia para el normal funcionamiento de los equipos.
Valoración de Activos.
Valor Criterio
10 Extremo Daño extremadamente grave
9 Muy Alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos prácticos
Mapa de Riesgos.
Tipos de
Degradació Frecuenc
Activos Activos Amenazas Relevantes Riesgo
n ia
Incendio MA MB Medio
Terremoto MA MB Medio
Robo A B Medio
Acceso no autorizado A M Alto
Falla de generador
Equipamiento –Hardware
A M Alto
eléctrico
Acceso no autorizado M B Alto
Servidores Desconexión Física
o MA A Alto
lógica
Falla de
generador A M Medio
eléctrico
Incendio MA MB Medio
Computador Terremoto MA MB Medio
de personal Robo MA B Medio
Sistemas Incendio MA MB Medio
académicos, Terremoto MA MB Medio
financieros y
Acceso no autorizado M A Alto
administrativos
Acceso no autorizado M M Medio
Almacenamient Desconexión física
Equipamiento – Software
MA M Medio
o bases de lógica
Agotamiento de
datos MA M Alto
recursos
Incendio MA MB Medio
Terremoto MA MB Medio
Internet Desconexión física
Sistema
o MA MA Alto
operativo
lógica
Acceso no autorizado MA B Media
Desconexión física
MA A Alta
lógica
Falla de equipos MA A Alta
Incendio MA MB Medio
Comunicacion
Incendio MA MB Medio
Red
inalámbrica Terremoto MA MB Medio
Incendio MA MB Medio
Terremoto MA MB Medio
Falla de equipos
UPS de A MA Alto
climatización
Generador
Equipamiento Auxiliar Incendio MA MB Medio
eléctrico
Terremoto MA MB Medio
Incendio MA MB Medio
Equipos de Terremoto MA MB Medio
climatización Falla de equipos
de MA MA Alto
climatización
Incendio MA MB Medio
Terremoto MA MB Medio
Cableado
eléctrico Desconexión física
o MA B Medio
lógica
Incendio MA MB Medio
Centro de datos Terremoto MA MB Medio
Instalaciones
Tipo
Amenaza Activo Degradac Frecuen Ries
ión cia go
de
Amenaz
a
Servidores MA MB Medio
Computador de personal MA MB Medio
Sistemas académicos, MA MB Medio
financieros y administrativos
Incendio
y Terremoto Almacenamiento – bases MA MB Medio
de datos
Correo electrónico MA MB Medio
Virtualización MA MB Medio
Internet MA MB Medio
Red alámbrica MA MB Medio
Red alámbrica MA MB Medio
Naturales y de Entorno
eléctrico
Agotamiento Almacenamiento – bases MA M Medio
de de datos
recursos
Falla de UPS A MA Alto
equipos Equipos de climatización MA MA Alto
de
climatización
Servidores A M Alto
Equipos d M B Alto
comunicaciones e
financieros y
Acceso no administrativos
autorizado Almacenamiento – bases MA M Medio
de datos
Correo electrónico A A Alto
Virtualización MA A Alto
Centro de datos MA B Medio
Servidores A B Medio
Equipos de comunicaciones A B Medio
Robo
Robot de cintas MA B Medio
Computador de personal MA B Medio
Equipos de comunicaciones M A Alto
Almacenamiento – bases MA B Medio
de datos
Correo electrónico MA M Alto
Desconexión Virtualización MA M Alto
Física o lógica Internet MA MA Alto
Cableado eléctrico MA B Medio
Equipo de desarrollo A B Medio
Fuga de
Equipo técnico A A Alto
información
Administradores A A Alto
Evaluación de Salvaguardas.
Falla de
generador
eléctrico Mantenimiento semanal de generador eléctrico L3 L5
Agotamiento de
recursos Revisión de directiva de copias de seguridad de
forma Regular L0 L3
Acceso no
Utilizar autenticación multifactor para conexión L0 L3
autorizado
Remota
Las salvaguardas con nivel L3 y L4 son aquellas que están siendo implementadas de
forma correcta y que podrían optimizarse para mejorar la seguridad física y lógica.
Los niveles de salvaguardas objetivo son nivel L4 y L5 dependiendo del caso,
siempre tratando de aplicar y optimizar los procedimientos de protección.
Desconexión física o 9 5 4 5 6 3
lógica
Incendio 9 7 4 4 4 3
Red
Terremoto 8 6 4 3 3 2
alámbrica
Incendio 9 7 4 4 4 3
Red
alámbrica Terremoto 8 6 4 3 3 2
Incendio 9 7 3 4 4 3
Terremoto 8 6 3 3 3 2
UPS
Falla de equipos de 9 8 3 7 7 4
climatización
Generador Incendio 9 7 5 4 4 3
eléctrico Terremoto 8 6 5 3 3 2
Equipos de Incendio 9 7 5 4 4 3
climatizació Terremoto 8 6 6 3 3 2
n Falla de equipos de 9 7 3 7 7 4
climatización
Cableado Incendio 9 7 5 4 4 3
eléctrico Terremoto 8 6 5 3 3 2
Desconexión física o 8 8 5 6 6 3
lógica
Centro de Incendio 9 7 6 4 4 3
datos
Terremoto 8 6 6 3 3 2
Acceso no autorizado 8 7 5 6 4 3
Equipo Incendio 8 7 4 4 4 3
de Terremoto 8 6 4 3 3 2
desarr Fuga de información 9 6 3 6 5 3
ollo
Equipo Incendio 9 7 4 4 4 3
técnico Terremoto 8 6 4 3 3 2
Fuga de información 9 6 5 6 5 3
Administrad Incendio 9 7 4 4 4 3
ores Terremoto 8 6 4 3 3 2
Fuga de información 9 7 5 6 5 3
este informe nos muestra los resultados resaltados por colores siendo el rojo el ámbito
donde más impacto puede existir y el azul el ámbito donde menos hay.
Riesgo Acumulado
Pilar también nos arroja datos sobre el riesgo acumulado teniendo en cuenta los activos
y las amenazas ingresadas, otorgando una clasificación ente 1 y 10 estos son:
Plan de seguridad y ejecución
En esta etapa del proceso de la auditoria es de vital importancia informar tanto a la
gerencia como al personal de las áreas implicadas sobre los activos evaluados con sus
respectivas amenazas y las salvaguardas viables para el proceso. Con esto, toca
describir cada amenaza que requiere eliminarse o reducirse de forma urgente para
optimizar la funcionalidad del sistema de información.
En este orden, como plan principal se deberán aplicar e implementar las salvaguardas
con prioridad mayor es decir las de nivel L0 como medias preventivas, luego las
salvaguardas con niveles superiores que conforman las medidas correctivas. Luego de
haber definido e implementado los diversos procesos a realizar dentro del plan de
seguridad es necesario volver a realizar un nuevo análisis de riesgo para conocer el
nivel de riesgo obtenido, y así tratar de aplicar las medidas de seguridad necesarias
para mantener la seguridad de la información.
CONCLUSION