Taller #2 Auditoría de Sistemas

TALLER DE IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS ASOCIADOS AL USO DE TECNOLOGÍAS DE
INFORMACIÓN
KPMG
TAREA 1 – INDENTIFICACIÓN DE ACTIVOS: Basándose en la información obtenida

durante las entrevistas, identifiqué los activos que consideré más relevantes para el
proceso en estudio, bajo las siguientes categorías:
[D] Datos /
Información relacionada con archivos .mp3,
o Autores,
o Precios,
o Títulos de las canciones.
[SW] Software
o Web Music Interchange
o Windows 10
o Aplicación Web Music Interchange
o Motor de base de datos MYSQL
o Página web de Internet Music
o Visual Basic
.
[HW] Hardware
o Servidor Principal
o Servidor Web
TAREA 2 – VALORACIÓN: Teniendo en cuenta el entendimiento que ha logrado del caso

y considerando la siguiente información, asigne una valoración (use la tabla de impactos
de la siguiente hoja) para 4 activos identificados, en una de las dimensiones de integridad,
disponibilidad e integridad. Para ello genere una tabla como la presentada a continuación:
Dimensiones
Activo Disponibilidad Integridad Confidencialidad
Servidor Web 4.5e
Página web de Internet Music. 4.3
Servidor principal 4.5 c
Base de datos 4.5.C
TAREA 3 – IDENTIFICACIÓN DE AMENAZAS Y GENERACIÓN DE MAPAS DE

RIESGO
Utilizando las categorías descritas en el apéndice 1, identifique para cada activo y cada
dimensión, por lo menos dos amenazas y ubíquelas dentro del mapa de riesgo, estimando
su probabilidad de impacto.
INFORMACIÓN
KPMG
[E1] Errores del administrador

Tipos de activos: Software Página web
de Internet Music Dimensiones: Disponibilidad
(www.internetmusic.com)
Descripción: equivocaciones de personas con responsabilidades de instalación y
operación. El proveedor encargado del software donde reposa la página web, no
cuenta con la experiencia suficiente.
1) Amenaza estudiada: E1 Errores del administrador.
 Probabilidad de ocurrencia de la amenaza: Probable
 Frecuencia: Esporádico.
 Escenario: Probabilidad que Página web de Internet Music no esté disponible

ocasionado por un error de los proveedores, encargados de la operación de la
página web.
 Riesgo inherente: Posible interrupción de las actividades de la empresa

(seleccionar y comprar música en format .mp3) derivado de la indisponibilidad de
la página web ocasionado por errores de la administración debido a la contratación
de un proveedor nuevo en el mercado.
 Calificación final del riesgo inherente (impacto x probabilidad): Alto
Impacto: (Valor del Activo: )
Depreciabl
Menor Moderado Mayor Catastrófico
e
1 2 3 4 5
Certero 5 Sustancial Sustancial Alto Extremo Extremo
Probable 4 Moderado Sustancial Sustancial Alto Extremo

Probabilidad
Posible 3 Bajo Moderado Sustancial Alto Alto
Sustancia
No probable 2 Bajo Bajo Moderado Alto
l
Sustancia
Remota 1 Bajo Bajo Moderado Sustancial
l
INFORMACIÓN
KPMG
[E8] Errores de mantenimiento / actualización de programas (software)

Tipos de activos: Software Página web
de Internet Music Dimensiones: Disponibilidad
(www.internetmusic.com)
Descripción: Defectos en los procedimientos o controles de actualización del código
que permiten que sigan utilizándose programas con defectos conocidos y reparados
por el fabricante.
2) Amenaza estudiada: E8 Errores de mantenimiento / actualización de programas

(software).
 Probabilidad de ocurrencia de la amenaza: Posible (La compañía no ha
implementado el servicio y los proveedores puede adquirir experiencia en la fase
inicial de venta de música a bajo costo)
 Frecuencia: Esporádico.
 Escenario: Probabilidad que Página web de Internet Music no esté disponible por
defectos en procedimientos de actualización de la página web para incluir el
servicio de chat y que la página web no continue funcionando bien.
 Riesgo inherente: Posible interrupción de las actividades de la empresa

(seleccionar y comprar música en format .mp3) derivado de la indisponibilidad de
la página web ocasionado por defectos en procedimientos de actualización de la
página web debido a que la compañía no implementó políticas de control de
calidad antes de lanzar la página web después del mantenimiento.
Depreciabl
e
1 2 3 4 5

Probabilidad
Sustancia
l
Remota 1 Bajo Bajo Moderado Sustancia Sustancial

INFORMACIÓN
KPMG
[N.*] Desastres naturales.

Tipos de activos: Hadware: Servidor principal Dimensiones: Disponibilidad
Descripción: Según estadísticas del Departamento del Trabajo de los Estados Unidos'
más del 40% de todas las empresas que experimentan un desastre nunca vuelven a
abrir* Más del 25% de las compañías restantes cierran a los dos años
 Amenaza estudiada: [N.*] Desastres naturales.
 Frecuencia: Continuo, al menos una vez al año.
 Escenario: Probabilidad que el servidor principal no esté disponible debido a

sucesos que se producen sin intervención humana, ocasionado por desastres
naturales.
 Riesgo inherente: Posible pérdidas económicas excepcionalmente elevadas

derivado de la indisponibilidad del servidor principal ocasionado por un desastre
natural debido a que la compañía no reacondicionó las instalaciones del servidor
para cumplir con normas de seguridad básicas.
Depreciabl
e
1 2 3 4 5

Probabilidad
Sustancia
l
Remota 1 Bajo Bajo Moderado Sustancia Sustancial

INFORMACIÓN
KPMG
[DN] Daños por agua

Tipos de activos: Hadware: Servidor principal Dimensiones: Disponibilidad
Descripción: Inundaciones: posibilidad de que el agua acabe con recursos del
sistema. (Un huracán genera, en promedio, más de 150 milímetros diarios de lluvia, la cual genera severas
inundaciones)
 Amenaza estudiada: [N.*] Daños por agua
 Probabilidad de ocurrencia de la amenaza: Certero
 Frecuencia: Continuo, al menos una vez al año.
 Escenario: Probabilidad que el servidor no esté disponible debido a una

inundación que afecte las instalaciones del servidor principal.

derivado de la indisponibilidad del servidor principal ocasionado por una
inundación debido a que la entidad no realizó reparaciones en su infraestructura
para evitar filtraciones de agua.
 Calificación final del riesgo inherente (impacto x probabilidad): Extremo
Depreciabl
e
1 2 3 4 5

Probabilidad
No probable 2 Bajo Bajo Moderado Sustancia Alto

l
INFORMACIÓN
KPMG
Sustancia
l
[E.1] Errores del administrador

Tipos de activos: Datos: Información
Dimensiones: Integridad
relacionada con archivos .mp3
Descripción: Equivocaciones de personas con responsabilidades de instalación y
operación.
 Amenaza estudiada: [E.1] Errores del administrador
 Probabilidad de ocurrencia de la amenaza: Posible
 Escenario: Probabilidad que los datos hayan sido alterados al introducir cambios
en la base de datos, presente información errónea respecto a los archivos mp3.

derivado de la no integridad de la base de datos ocasionado por un indebido
proceso de diligenciamiento de formularios que constituyen los datos de los
nuevos archivos de canciones.
Depreciabl
e
1 2 3 4 5

Probabilidad

INFORMACIÓN
KPMG
Sustancia
l
Sustancia
l
INFORMACIÓN
KPMG
[E.6] Alteración de la información

Tipos de activos: Datos: Información
Dimensiones: Integridad
relacionada con archivos .mp3
Descripción: Alteración accidental de la información. Esta amenaza sólo se identifica
sobre datos en general, pues cuando la información está en algún soporte
informático, hay amenazas específicas.
 Amenaza estudiada: [E6] Alteración de la información
 Frecuencia: Remoto.
 Escenario: Probabilidad que la base de datos haya sido alterada de manera no

autorizada por manipulación de terceros no autorizados, debido a errores con los
roles y restricciones de usuario y jerarquización de funciones.

derivado de la no integridad de la base de datos ocasionado por la alteración de la
información de manera indebida, ya que en el proceso de control de roles y
permisos no existe una jerarquización de funciones para la manipulación de la
información que reposa en la base de datos.
Depreciabl
e
1 2 3 4 5

Probabilidad
Sustancia
l
Sustancia
l
INFORMACIÓN
KPMG
[E.6] Alteración de la información
Tipos de activos: Servidor web Dimensiones: confidencialidad
Descripción: La información llega accidentalmente al conocimiento de personas que no

deberían tener conocimiento de ella, sin que la información en sí misma se vea alterada
 Amenaza estudiada: [E6] Alteración de la información
 Frecuencia:
 Escenario: Probabilidad que el servidor web sufra manipulación por abuso de la

red de NETWORK por manipulación de terceros no autorizados, debido a algún
descuido de los encargados de dichos datos.
 Riesgo inherente: Probabilidad de un incumplimiento grave a las obligaciones

contractuales de la seguridad de la información proporcionada por terceros,
afectando la confiabilidad de datos ubicados en el servidor, y así mismo la
confiabilidad de la compañía debido a una incorrecta seguridad del equipo de
cómputo, dejando información del servidor a manipulación de terceros.
Depreciabl
e
1 2 3 4 5

Probabilidad
Sustancia
l
Sustancia
l
INFORMACIÓN
KPMG
[E.9] Vulnerabilidades de los programas (software)
Tipos de activos: Servidor web Dimensiones: confidencialidad
Descripción: Defectos en el código que dan pie a una operación defectuosa sin intención por
parte del usuario, pero con consecuencias sobre la integridad de los datos o la capacidad
misma de operar.
 Amenaza estudiada: [E.9] Vulnerabilidades de los programas (software)
 Frecuencia:
 Escenario: Probabilidad que el servidor web sufra un ataque por correo malware y
con esto la posibilidad de una filtración de información, donde no se podría
mantener la confiabilidad de los datos ubicados en el servidor web.
 Riesgo inherente: Posible contribución de un incumplimiento grave a las

obligaciones contractuales de la seguridad de la información proporcionada por
terceros, afectando la confiabilidad de datos ubicados en el servidor, y así mismo
la confiabilidad de la compañía, por la llegada de correos malware y no
implementar evaluaciones de la vulnerabilidad del servidor con respecto a
ataques.
Depreciabl
e
1 2 3 4 5

Probabilidad
No probable 2 Bajo Bajo Moderado Sustancia Alto

INFORMACIÓN
KPMG
Sustancia
l

Taller #2 Auditoría de Sistemas

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller #2 Auditoría de Sistemas

Cargado por

Copyright:

Formatos disponibles

TALLER DE IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS ASOCIADOS AL USO DE TECNOLOGÍAS DE

TAREA 1 – INDENTIFICACIÓN DE ACTIVOS: Basándose en la información obtenida

TAREA 2 – VALORACIÓN: Teniendo en cuenta el entendimiento que ha logrado del caso

TAREA 3 – IDENTIFICACIÓN DE AMENAZAS Y GENERACIÓN DE MAPAS DE

[E1] Errores del administrador

1) Amenaza estudiada: E1 Errores del administrador.

 Probabilidad de ocurrencia de la amenaza: Probable

 Escenario: Probabilidad que Página web de Internet Music no esté disponible

 Riesgo inherente: Posible interrupción de las actividades de la empresa

 Calificación final del riesgo inherente (impacto x probabilidad): Alto

Impacto: (Valor del Activo: )

Certero 5 Sustancial Sustancial Alto Extremo Extremo

Probable 4 Moderado Sustancial Sustancial Alto Extremo

Posible 3 Bajo Moderado Sustancial Alto Alto

[E8] Errores de mantenimiento / actualización de programas (software)

2) Amenaza estudiada: E8 Errores de mantenimiento / actualización de programas

 Riesgo inherente: Posible interrupción de las actividades de la empresa

 Calificación final del riesgo inherente (impacto x probabilidad): Alto

Impacto: (Valor del Activo: )

Certero 5 Sustancial Sustancial Alto Extremo Extremo

Probable 4 Moderado Sustancial Sustancial Alto Extremo

Posible 3 Bajo Moderado Sustancial Alto Alto

Remota 1 Bajo Bajo Moderado Sustancia Sustancial

[N.*] Desastres naturales.

 Amenaza estudiada: [N.*] Desastres naturales.

 Probabilidad de ocurrencia de la amenaza: Probable

 Frecuencia: Continuo, al menos una vez al año.

 Escenario: Probabilidad que el servidor principal no esté disponible debido a

 Riesgo inherente: Posible pérdidas económicas excepcionalmente elevadas

 Calificación final del riesgo inherente (impacto x probabilidad): Alto

Impacto: (Valor del Activo: )

Certero 5 Sustancial Sustancial Alto Extremo Extremo

Probable 4 Moderado Sustancial Sustancial Alto Extremo

Posible 3 Bajo Moderado Sustancial Alto Alto

Remota 1 Bajo Bajo Moderado Sustancia Sustancial

[DN] Daños por agua

 Amenaza estudiada: [N.*] Daños por agua

 Probabilidad de ocurrencia de la amenaza: Certero

 Frecuencia: Continuo, al menos una vez al año.

 Escenario: Probabilidad que el servidor no esté disponible debido a una

 Riesgo inherente: Posible pérdidas económicas excepcionalmente elevadas

 Calificación final del riesgo inherente (impacto x probabilidad): Extremo

Impacto: (Valor del Activo: )

Certero 5 Sustancial Sustancial Alto Extremo Extremo

Probable 4 Moderado Sustancial Sustancial Alto Extremo

Posible 3 Bajo Moderado Sustancial Alto Alto

No probable 2 Bajo Bajo Moderado Sustancia Alto

[E.1] Errores del administrador

 Amenaza estudiada: [E.1] Errores del administrador

 Probabilidad de ocurrencia de la amenaza: Posible

 Riesgo inherente: Posible pérdidas económicas excepcionalmente elevadas

 Calificación final del riesgo inherente (impacto x probabilidad): Alto

Impacto: (Valor del Activo: )

Certero 5 Sustancial Sustancial Alto Extremo Extremo

Probable 4 Moderado Sustancial Sustancial Alto Extremo

Posible 3 Bajo Moderado Sustancial Alto Alto

[E.6] Alteración de la información

 Amenaza estudiada: [E6] Alteración de la información

 Probabilidad de ocurrencia de la amenaza: Probable

 Escenario: Probabilidad que la base de datos haya sido alterada de manera no

 Riesgo inherente: Posible pérdidas económicas excepcionalmente elevadas

 Calificación final del riesgo inherente (impacto x probabilidad): Alto

Impacto: (Valor del Activo: )