Informe Nombre del trabajo

Nombre de la unidad de aprendizaje

Asignatura: Seguridad y Auditoría Informática

Sección: 273

Nombre del docente: ELIZABETH MARIA NUNEZ ANDRADE

Nombre de los integrantes del grupo: Bruno Acevedo

David Jerez

Felipe Allain

Sergio Contreras

Nicolas Moreno

Fecha de entrega
TABLA DE CONTENIDO
Identificación y enumeración de Activos de la Organización................................................................................................... 3

Identificación de los riesgos de los Activos a los cuales se expone.......................................................................................... 4

Identificar y evaluar a los ataques que se expone la Organización.......................................................................................... 5

Construcción de Matriz de Riego............................................................................................................................................. 6

Construir el vector de ataque, ruta o camino que utiliza un atacante para tener acceso al activo objetivo de
ataque..................................................................................................................................................................................... 7

Realizar el análisis de impacto de negocio.............................................................................................................................. 8

Conclusión............................................................................................................................................................................... 9

I. Introducción
En la actualidad, el uso de las Tecnologías de la Información (TI) son un elemento clave para lograr el
éxito de la gestión en las empresas, y es por ello que cada vez son más las compañías y PyMEs que se
vuelcan a utilizar sistemas que les permiten gestionar y administrar ese gran recurso, que no es otro que
la información. Pero lo cierto es que existen ciertos riesgos asociados al uso de las TI dentro del entorno
empresarial, ya sea daños causados accidentalmente por los empleados, o bien debido a intentos
deliberados de intrusos, que desean acceder a los datos de la empresa de forma ilegal para sacar
provecho de esta información.

Es allí donde una empresa puede llegar a quedar seriamente comprometida, porque en definitiva en la
actualidad el valor de la información es enorme. Por eso se vuelve imprescindible poder contar con una
estrategia y herramientas que nos permitan evaluar y reconocer todos los riesgos asociados con el uso
de las TI, con el objetivo de poder minimizar esos riesgos. En este sentido, lo primero que debemos tener
en cuenta para realizar un análisis serio de la situación es conocer los riesgos típicos que suelen
presentar las TI, es decir cuáles son las amenazas más frecuentes.

En general, una de las amenazas habituales en este ámbito se centra en daños relacionados al aspecto
físico de los equipos informáticos, principalmente de los servidores, que se generan debido al mal trato
que muchos empleados suelen dispensarles a sus ordenadores. Claro que además siempre podemos
correr riegos tales como robo, incendio o inundación. Otra de las amenazas frecuentes son aquellas
relacionadas al software, que puede haberse dañado y producir errores, lo que genera incompatibilidad
en los datos. Pero también nuestro sistema de TI puede convertirse en víctima de ciberdelincuentes y
hackers, que a través de diferentes técnicas y virus pueden llegar a infectar por completo el sistema,
poniendo en peligro la información de nuestro negocio.

Nombre del informe

2
IDENTIFICACIÓN Y ENUMERACIÓN DE ACTIVOS DE
LA ORGANIZACIÓN

a. Casa Matriz en la Región Metropolitana

b.
c. 4 sucursales en la Región de Coquimbo en La Serena, Coquimbo, Ovalle y Tongoy.
d. RRHH (Trabajadores de Planta, trabajadores a contrata, trabajadores honorarios)
e. Hardware: Equipos, impresoras, redes y servidores.
f. Software: Sistema de contabilidad del Centro
g. Licencias para el uso de softwares
h. Información física y digital

Nombre del informe

3
IDENTIFICACIÓN DE LOS RIESGOS DE LOS ACTIVOS
A LOS CUALES SE EXPONE
Los encargados del área informática de la empresa no cuentan con personal calificado y
encargados responsables de la seguridad de la información de la empresa, esto puede ser
responsable de la perdida de información valiosa para esta.

La falta de métodos de seguridad como cámaras que registren quienes ingresan en áreas como
servidores u oficinas de altos cargos puede dar paso a que las suplantaciones de identidad o
vulneraciones dentro de los departamentos de la empresa.

La mala gestión del personal a cargo de la contratación de nuevos trabajadores para la empresa
debido a una entrevista que carece de preguntas claves o de un mal seguimiento de su
curriculum ocasionara que se contrate personal no apto para el manejo de la información e
incluso de exponer mediante robos de información la misma.

Una falta de control de los dispositivos que pueden manejar la información de la empresa
puede jugar un papel importante a la hora de cuando robo de información se trata, programas
que controlan el acceso desde solo unos dispositivos registrados para limitar el acceso a un
lugar físico. Por otro lado, la inclusión de programas que prohíben que se puedan conectar
dispositivos externos como memorias, USB o programas externos permitiría reducir los posibles
ataques. también antivirus que controlen la infección de servidores y dispositivos externos.

Las posibles catástrofes medioambientales como terremotos, inundaciones, incendios pueden

afectar severamente la infraestructura de la empresa. También una catástrofe biológica como el
brote de un virus a interior de la empresa podría exponer los recursos humanos de la compañía.

El control de quienes tienen acceso a la información de la empresa es de vital importancia, por

lo que se debe restringir de todos los trabajadores de la empresa a solo personal encargado,
calificado y confiable.

Nombre del informe

4
IDENTIFICAR Y EVALUAR A LOS ATAQUES QUE SE
EXPONE LA ORGANIZACIÓN
Ataques de tipo Pasivo
Supervisión: La empresa tiene información que está disponible para la mayoría de
las personas, por lo que pueden leer y recordar datos confidenciales para vender
esta información más adelante o usarla con fines maliciosos.

Ataques de tipo Activo

Hacerse pasar por otros: El intruso se hace pasar por otras entidades. Por lo
general, incluye algunas otras formas de ataques activos. Por ejemplo, las
secuencias de autenticación se pueden capturar y repetir, lo que permite que
entidades no autorizadas accedan a una serie de recursos privilegiados
haciéndose pasar por entidades con esos privilegios (por ejemplo, robar
contraseñas para acceder a cuentas).

Ataques de tipo Host

Ingeniería social: Los empleados de la empresa carecen de ética, por lo que
algunos de ellos pueden intentar obtener información confidencial para utilizarla
con fines maliciosos. Robo de información física dentro del alcance de la
confianza, como oficinas, áreas de trabajo, bienes raíces, etc.

Nombre del informe

5
CONSTRUCCIÓN DE MATRIZ DE RIEGO

Matriz de Análisis de
Probabilidad de amenaza 
riesgo 
Elementos Magnitud
Criminalidad  Sucesos físicos  Negligencia 
de información  de daño  
 filtración de Contraseñas
  Robo Virus  Terremoto  Incendio 
datos débiles
Sistema e
Nivel 3 4 3 2 3 4
información 
Software  3 9 12 9 6 9 12
Hardware  2 6 8 6 4 6 8
Licencias 3 9 12 9 6 9 12
Datos e
información   
información física  4 12 16 12 8 12 16
Personal   
RR.HH 3 9 12 9 6 9 12

Nombre del informe

6
CONSTRUIR EL VECTOR DE ATAQUE, RUTA O
CAMINO QUE UTILIZA UN ATACANTE PARA TENER
ACCESO AL ACTIVO OBJETIVO DE ATAQUE.
-Analizar el tipo de ataque a realizar, ya sea por host, pasivo o activo

- Se codifican, programan y/o preparan las herramientas a utilizar para el ataque.

- Instalación de softwares maliciosos codificados/programados que servirán como

puerta de entrada para los ataques y permitir acceso a la información.

- Elegir método entrada: correo malicioso, ejecución de archivo exe o script,

transferencia de archivos por usb, tarjeta sd, CD/DVD ROM o floppy disk
(disquete)

- Una vez que se lograr acceder por estas puertas, se explota, hurta, copia o envía
la información y datos sensibles de la organización y sus usuarios.

- Después de realizado el ataque, la empresa como respuesta debería reforzar su

sistema de seguridad para evitar estos tipos de ataques en un futuro próximos
que puedan afectar su información. Hecho esto, el hacker deberá replantearse
una nueva ruta o vector de ataque.

- En el peor de los casos, si la empresa no se da cuenta de los ataques a uno de sus

activos, es muy probable que se repita el ataque de la misma manera y se seguirá
repitiendo hasta que la empresa se percate de estos ataques.

Nombre del informe

7
REALIZAR EL ANÁLISIS DE IMPACTO DE NEGOCIO

Problema Tipo de Ataque Servicio dañado Análisis

Perdida de Ataque tipo Información Daño permanente de los

datos host física datos de algún cliente de
Importantes no tener respaldos, multas
o fiscalizaciones, demandas
y daño a la credibilidad de
la empresa, retraso en
proceso de sus clientes.
Robo de Ataque tipo Base de datos, Venta de información
información activo ordenadores de importante a la
la empresa. competencia. Retraso o
pausa de actividades
importantes de la empresa.

Infección de Ataque tipo Servidores que Posibles pérdidas de

servidores activo resguardan respaldos, perdida de
información programas o plataformas
importante de la de la empresa, perdida de
empresa datos de los clientes,
estafas monetarias por
recuperación de
información.

Nombre del informe

8
CONCLUSIÓN
Los resultados del análisis de riesgos una vez que se realiza el análisis de riesgos, la organización o
empresa tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un
diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este
momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión
de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas
anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de
nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.

Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de
nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones
indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Debido a esto se tiene que estar
constantemente reforzando o crear nuevas formas de defensas contra dichos ataques, mientras que al
otro lado los sujetos con fines maliciosos seguirán buscando nuevas formas de romper estas defensas.

Nombre del informe

9