AUDITORÍA DE SISTEMAS

Taller 2 Segundo Corte

CRISTIAN DANILO GARCIA BLANCO- 51365

DEISY TATIANA -

INGENIERÍA DE SISTEMAS

PROFESOR: ANGEL RAFAEL REYES SANCHEZ

UNIVERSIDAD ECCI
BOGOTA D.C
24/03/2021
 Gestión del Riesgo para el área de Tecnología y/o Informática de la
organización: The Coca-Cola Company

Método: MINTIC

Clasificación del riesgo

Método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente

implementar mecanismos que permitan controlarlo. Está compuesta por cuatro
fases: Análisis, Clasificación, Reducción y Control de Riesgo.

a. Análisis: Determina los componentes de un sistema que requiere protección, sus

vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el
resultado de revelar su grado de riesgo.

b. Clasificación: Determina si los riesgos encontrados y los riesgos restantes son

aceptables.

c. Reducción: Define e implementa las medidas de protección. Además sensibiliza y

capacita a los usuarios conforme a las medidas.

d. Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las

medidas, para determinar y ajustar las medidas deficientes y sanciona el
incumplimiento

Conceptos para la gestión del riesgo

La gestión del riesgo es un método para determinar, analizar, valorar y clasificar el

riesgo, para posteriormente implementar mecanismos que permitan controlarlo (Erb,
s.f.). Para comprender aún mejor la gestión del riesgo, se hace claridad de los
siguientes conceptos:

a. Activo: Como en los aspectos contables existe el activo y el pasivo, la información

ahora posee un valor importante y por eso se lo considera un activo. Si un alumno
posee el trabajo final de grado y no posee un backup o resguardo en otro
dispositivo, ese activo corre un serio riesgo de sufrir algún daño irrecuperable.

b. Amenaza: todo aquello que pueda provocar un daño a nuestro activo.

Por ejemplo, si un virus corrompe el ordenador en donde el alumno tiene su trabajo
final, no podrá acceder al momento de presentarlo y tal vez lo pierda.
c. Vulnerabilidad: Son las inseguridades que posee el activo tanto por problemas
tecnológicos, como problemas de procedimientos. Está demostrado que la gran
mayoría de pérdidas de activos son por falta de procedimientos o desconocimiento.

d. Riesgo: es la probabilidad que una amenaza aproveche una vulnerabilidad.

Siguiendo el caso del ejemplo, supongamos que el equipo no posee una descarga a
tierra y en una noche tormentosa el equipo sufra una descarga y se queme el disco

Las estrategias más utilizadas para reducir (mitigar) el riesgo:

a. Evitar riesgos: Se debe salir de las actividades o de las condiciones que dan
lugar a riesgo; eliminar la causa raíz. Se puede aplicar cuando no hay otra
respuesta adecuada.

b. Reducción de Riesgos / Mitigación: Corresponde a las medidas tomadas para

detectar el riesgo, seguido por la acción para reducir la frecuencia y/o el impacto de
un riesgo. Al aplicar los controles sobre las causas del riesgo, se reduce la
frecuencia del mismo o su materialización futura. La eficacia de esta estrategia, se
puede medir por medio de los indicadores establecidos en los planes de control.

c. Riesgo Compartido / Transferencia: Transferencia o distribución de una parte del

riesgo. Las técnicas más comunes son los seguros y la subcontratación. Sin
embargo, el riesgo no se transfiere por completo al subcontratista o aseguradora, la
empresa sigue asumiendo parte del riesgo y además se expone a otros riesgos
relacionados con la subcontratación o aseguramiento.

d. Aceptación del riesgo: No se toman medidas relativas con un riesgo particular, y

la pérdida es aceptada cuando se produce. Esto es diferente de ignorar el riesgo.
En ocasiones, se considera aceptar el riesgo cuando mitigarlo resulta más costoso
que el mismo impacto que este pueda producir a la organización

Riesgos

Uno de los principales riesgos que se tiene son los tipos de software malicioso,
estos son los más importantes que tienes que tener en cuenta:

Virus: se replican y diseminan autónomamente.

Troyanos: se disfrazan para poderse instalar y comprometer los sistemas.
Adware: secuestran navegadores para mostrar publicidad.
Exploit kits: método completo para acceder a un sistema usando vulnerabilidades
desconocidas.
Ransomware: secuestro de archivos mediante cifrado.
Phishing: correos maliciosos para robar datos personales como la contraseña de tu
portátil.
El principal motivo de malware es el factor humano.

Hay tres los elementos que componen un sistema informático:

- El Hardware; ordenadores o equipos de red.

- El Software que corre encima de estos equipos.
- El Usuario.

La realidad es que la gran parte de los ataques se producen por una combinación
de vulnerabilidades en las tres áreas, pero principalmente, debido al error humano.
Seguido de los Softwares sin actualizar y los sistemas obsoletos y en última
instancia las redes pobremente protegidas con esquemas de seguridad establecidos
sin tener en cuenta la nueva ola de movilidad.

¿Qué tenemos que tener en cuenta para reducir este riesgo?

Aplicación de políticas por usuario

Políticas de contraseñas
Encriptación datos
Acceso a internet "controlado"

Protección de la usuario

Seguridad en el equipo "End-*Point"

Actualización de sistema operativo
Antivirus
AntiSpam
Detección tráfico malicioso
Filtrado Web

Protección de nuestra red

Firewall / UTM
Control de acceso a servicios de la red
Calidad de servicio QoS
Conectividad securitizada entre los centros de negocio
Bloqueo de aplicaciones
Cifrado de comunicaciones
Visibilidad

Acceso remoto securizado

Conexión VPN
Acceso remoto a nuestra red
Conexión entre oficinas
Tráfico cifrado
Acceso a aplicaciones de negocio "críticas"

Aplicación políticas de movilidad

Gestión Dispositivos Móviles

Corporativos y BYOD
Aplicación restricciones y políticas
Despliegue de aplicaciones
Configuración correo electrónico
Conexión VPN para acceso remoto
Borrar remoto en caso de pérdida o robo

Continuidad de negocio

Seguridad de los datos

Copias de seguridad
Copias locales o remotas
Múltiples sistemas de copias
Estrategias de retención

Bibliografía

(2021). Retrieved 24 March 2021, from

https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

(2021). Retrieved 24 March 2021, from

https://core.ac.uk/download/pdf/143446357.pdf

-------------------------------------------------------------------------------------------------------------

10. IDENTIFICACIÓN DE RIESGOS

1 lista de Clasificación de Riesgos
11. ANÁLISIS DE RIESGOS
11.1. IDENTIFICACIÓN DEL RIESGO
11.2. IDENTIFICACIÓN DE LOS ACTIVOS
11.3. IDENTIFICACIÓN DE LAS AMENAZAS
El punto 11.1 .2 .3 se puede definir como las tablas: que se encuentra en la
pagina 20, 21 y 22

IDENTIFICACIÓN DE CONTROLES EXISTENTES

Los controles existentes actualmente en la organización corresponden a:

 Verificación constante de copias de seguridad, así como garantizar la

duplicidad en las mismas, una a nivel interno y otra externa.
 Servidores espejo, con el fin de garantizar continuidad del negocio.
 Un servidor dedicado 100% a backup
 Estaciones de trabajo en la nube
  Encriptación de documentos bajo contraseña.
 Servidor de dominio para la gestión de privilegios y trazabilidad de incidentes.
 Bloqueo de puertos USB y bandejas de CD.
 Bloqueo de puertos de Red

11.5. IDENTIFICACIÓN DE LAS VULNERABILIDADES

Se identificaron las siguientes vulnerabilidades dentro de la organización:

Tipo de Activo Vulnerabilidades Amenazas

Sensibilidad a los Cortos circuitos,

cambios de Voltaje, quemadura de los
ausencia de UPS. equipos.

Inadecuada gestión de Accidentes que causen

cableado destrucción de los
equipos.

Almacenamiento que Hurto o divulgación de

carece de encriptación. información sensible

Hardware No bloqueo de puertos Hurto de datos mediante

de almacenamiento unidades de
almacenamiento
extraíbles.
No destrucción o Hurto o robo de
disposición final de información y hardware.
hardware antiguo.

Ausencia de Perdida de información,

actualización de equipos afectación a la
físicos. operación.

Tipo de Activo Vulnerabilidades Amenazas

Falta de políticas y Hurto de información o

restricción para el practicas inadecuadas.
acceso remoto
 Falta de limitación de Ocio, hurto de
descargas y acceso libre información o ingreso de
a internet. software malicioso.

Posibilidad de conexión Filtración de personal

a redes ajenas a las de ajeno a la organización,
la organización. hurto de información.

Contraseñas débiles. Filtración de información

y acceso al personal no
correspondiente
Interfaces de usuario Fallas en el uso
Software y Red demasiado complejas.

Ausencia de Fallas en el uso

documentación y
manuales de uso.

La no separación de una Infiltración de la

red dedicada para organización y hurto o
personal ajeno que se secuestro de información
encuentre en misión y recursos.
dentro de la
organización (red de
invitados)
Copias de respaldo Pérdida de información
incompletas

La no existencia de Hurto de datos y

acuerdos de filtración de datos
confidencialidad para terminada la relación
Personal
blindar el now-how de la laboral.
organización.
Falta de capacitación en Falta de conciencia en
seguridad de la sus labores
información.

Falta de ventilación en Destrucción de equipos y

Lugar servidores. datos.

La no documentación de Fallas en la operación.

planes de continuidad
del negocio.
 Organización Ausencia de políticas de Hurto de equipos e
uso restringido de información
equipos portátiles y
móviles.
Falta de control de Hurto de equipos sin
activos. conocimiento de la
organización.

Falta de revisión y Falta de control interno

capacitación en
seguridad a la gerencia.

11.7. IDENTIFICACIÓN DE LAS CONSECUENCIAS:

Las consecuencias pueden variar de acuerdo con las amenazas halladas dentro de
la auditoria, por ejemplo:
Tiempos de investigación y reparación, en el caso de la ausencia de un control
de activos efectivo se puede generar perdida de tiempo operacional en la búsqueda
de un activo inexistente o bien, que haya sido hurtado.

Pérdida de tiempo operacional: En aquellas amenazas que derivan en fallas de

uso, se pueden generar reprocesos, falta de transmisión de información e
improductividad causas por la falta de claridad en la información. De igual manera,
la ausencia de un plan de continuidad en el negocio puede causar graves
consecuencias a nivel operacional.

Salud y Seguridad: El cableado en mal estado, sensibilidad a cambios de voltaje,

falta de ventilación, etc. Pueden generar accidentes y daños, no solo a nivel de
Hardware, sino que ocasiona un riesgo latente a la integridad del personal que
interviene en los diferentes procesos.

Costo Financiero: Dentro de una organización, cualquier tipo de consecuencia, se

traduce en un costo monetario, acorde a la consecuencia, desde la perdida de
tiempo pagado a empleados de la organización, pérdida o recompra injustificada de
equipos, posibles demandas por accidentes, tiempo sin operación, etc

Imagen, reputación y buen nombre: Esta es la principal posible consecuencia de

la filtración, hurto o divulgación de información sensible, o procedimental de la
organización.

PLAN DE IMPLEMENTACIÓN

Vulnerabilidade
Tipo de Activo Amenazas Acciones Indicador
s
 Sensibilidad a los Cortos circuitos, Compra, Días sin fallas
cambios de quemadura de instalación y y continuidaen
Voltaje, ausencia los equipos. mantenimiento la operación
de UPS. de UPS
Inadecuada Accidentes que Correcta Reducción de
gestión de causen gestión de incidentes
cableado destrucción de cableado
los equipos. estructurado
Almacenamiento Hurto o Encriptación de Reducción de
que carece de divulgación de carpetas incidentes
encriptación. información compartidas
sensible
Hardware No bloqueo de Hurto de datos Bloqueo de Auditoria
puertos de mediante puertos desde aleatoria.
almacenamiento unidades de el
almacenamient administrador
o extraíbles. de red.
No destrucción o Hurto o robo de Disposición Certificados
disposición final de información y final o
hardware antiguo. hardware. donación de
hardware.
Ausencia de Perdida de Compra y Reducción de
actualización de información, rotación de incidentes
equipos físicos. afectación a la equipos.
operación.
Falta de políticas y Hurto de Implementació Funcionamient
restricción para el información o n de VPN para o correcto.
acceso remoto practicas acceso remoto
inadecuadas. y configuración
Falta de limitación Ocio, hurto de Limitación Auditoria
de descargas y información o desde aleatoria.
acceso libre a ingreso de administrador
internet. software de dominio.
Software y Red

malicioso.
Posibilidad de Filtración de Limitación Auditoria
conexión a redes personal ajeno desde aleatoria.
ajenas a las de la a la administrador
organización. organización, de dominio.
hurto de
información.
Contraseñas Filtración de Limitación Auditoria
débiles. información y desde aleatoria.
acceso al administrador
personal no de dominio.
correspondiente
Interfaces de Fallas en el uso Rediseño de Productividad
usuario demasiado interfaz. mayor.
complejas.
 Ausencia de Fallas en el uso Creación o Productividad
documentación y divulgación de mayor.
manuales de uso. información
La no separación Infiltración de la Creación de Etichal Hacking
de una red organización y red de
dedicada para hurto o invitados,
personal ajeno que secuestro de completamente
se encuentre en información y aparte.
misión dentro de la recursos.
organización (red
de invitados)

Copias de Pérdida de Revalidación Busqueda

respaldo información de copias de aleatoria de
incompletas seguridad registros.
La no existencia Hurto de datos Firma del Certificados
de acuerdos de y filtración de documento
confidencialidad datos terminada
para blindar el la relación
now-how de la laboral.
Personal organización.
Falta de Falta de Capacitación Certificados
capacitación en conciencia en
seguridad de la sus labores
información.
Falta de Destrucción de Aumento en Reducción de
ventilación en equipos y ventilación incidentes y
servidores. datos. temperatura.

Lugar La no Fallas en la Divulgación del Auditoria

documentación de operación. plan de aleatoria.
planes de continuidad del
continuidad del negocio
negocio.
Ausencia de Hurto de Control y Auditoria
políticas de uso equipos e restricciones aleatoria.
restringido de información en su uso.
equipos portátiles
y móviles.
Falta de control de Hurto de Creación del Auditoria
Organizació activos. equipos sin control de aleatoria.
n conocimiento activos y
de la unificación de
organización. los mismos.
Falta de revisión y Falta de control Capacitación Auditoria
capacitación en interno aleatoria.
seguridad a la
gerencia.