UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA ARMADA NACIONAL U.N.E.F.A. NUCLEO PTO. CABELLO
Estudiante:
Manuel Lovera C.I: 28.379.559
PUERTO CABELLO, OCTUBRE DEL 2023
INGENIERIA EN SISTEMAS Introducción Se trata de presentar a la audiencia temas o lecturas previamente preparadas. Lo ideal es que la presentación contenga un resumen de las ideas principales y un recorrido argumentativo del tema y/o lecturas presentadas. Este es el proceso de validar el desempeño comparándolo con los estándares establecidos. De esta definición se puede ver que las funciones de control y las operaciones de control se pueden distinguir fácilmente. Las cuestiones técnicas evolucionan constantemente, por lo que los auditores siempre deben estar dispuestos a aprender y desaprender. Por su parte, los directivos de una organización deben comprender que no formar a los empleados no es una medida de reducción de costes, sino más bien un flaco favor para ellos. Los programas, aplicaciones, sistemas operativos, motores de bases de datos, etc. deben actualizarse periódicamente. Exposición: Consiste en la presentación ante un auditorio de un tema o lectura previamente preparado. Es deseable que una exposición conste de un resumen de las ideas principales y del camino argumentativo del tema y/o de la lectura expuesta. Controles: Es el proceso que verifica el rendimiento mediante su comparación con los estándares establecidos. A través de esta definición se puede advertir que conviene distinguir la función de control, de las operaciones de control 1. Fallas en la capacitación: Los temas de tecnología están en constante evolución, por esta razón los auditores deben estar de manera permanente dispuestos a aprender y desaprender. Por su parte, la administración de las organizaciones debe entender que no capacitar al personal no es una medida de reducción de costos, es algo que los perjudica. 2. Debilidades en los controles de acceso lógico: Las debilidades al crear o usar contraseñas para ingresar a aplicativos, programas y bases de datos son una de las fallas recurrentes. Así mismo, una inadecuada administración de los usuarios, esto es, a quien conceder permisos o privilegios, que se manifiesta de diferentes maneras: privilegios excesivos otorgados a ciertos usuarios, privilegios no revocados de los usuarios que ya no requieren dicho acceso, uso de permisos genéricos que perjudican la responsabilidad del usuario, el intercambio o alteración de contraseñas, etc. Son algunas de las situaciones que se presentan a menudo. 3. Fallas en la documentación: En ocasiones, las organizaciones no cuentan con una documentación clara acerca de las políticas y procedimientos para el uso de los recursos tecnológicos o la misma no es clara, está desactualizada o incompleta. Como consecuencia, los usuarios desconocen los pasos a seguir o actúan de una manera que puede ser imprudente o riesgosa. Adicionalmente, muchas organizaciones no efectúan la respectiva capacitación ni actualizan los documentos y manuales cuando hay cambios en la infraestructura tecnológica 4. Desactualización de aplicativos y programas Los programas, aplicativos, sistemas operativos, motores de bases de datos entre otros, requieren una actualización regular. Con alguna frecuencia quienes producen los programas envían actualizaciones para mejorar su rendimiento o por motivos de seguridad. Es necesario gestionar los parches para evitar ataques de ransomware. 5. Inadecuada gestión de los riesgos de terceros: Muchas organizaciones ignoran el impacto que una violación de un proveedor de servicios externo podría tener sobre las operaciones y los activos. Para ello, además de la implementación de Acuerdos de Nivel de Servicio con Terceros, los contratos y relaciones con terceros deben desarrollarse de una manera que garantice que solo accedan a los servicios que necesitan y nada más. Es necesario adelantar labores de monitoreo de las actividades de los proveedores para verificar si los servicios se están prestando según lo acordado y que los proveedores de servicios externos no adelantan acciones que no estén dentro de los límites del acuerdo. 6. Inadecuada gestión de vulnerabilidades Uno de los principales problemas observados con la gestión de vulnerabilidades está en el alcance; los activos críticos a menudo se pierden porque las organizaciones no conservan un inventario completo de los activos de los sistemas de información. También están los problemas relacionados con los retrasos al implementar las medidas correctivas de las vulnerabilidades identificadas, ya sea debido a las burocracias internas de la organización o a la ausencia de mano de obra calificada. En ocasiones hace falta por parte de la administración, que demuestre un compromiso serio con la efectividad de su programa de gestión de vulnerabilidades Si bien estos son algunos hallazgos comunes en las evaluaciones de auditoría TI, también hay una serie de recomendaciones que son habituales y cuya implementación puede ser útil para mitigar los riesgos de ciberseguridad de las organizaciones. Entre ellas se cuentan: 7. Probar el plan de continuidad del sistema regularmente: Las pruebas del plan de continuidad se realizan para garantizar que el proceso funcione y que su organización pueda continuar operando después de una interrupción del negocio. La organización debe considerar la disponibilidad de personal crítico, el equipo necesario para reanudar las operaciones, los métodos necesarios para restaurar los datos y el tiempo que lleva restaurar los servicios. La prueba debe realizarse al menos anualmente. Tanto el plan de continuidad del negocio como el de recuperación ante desastres deben actualizarse para reflejar las lecciones aprendidas del evento de prueba. 8. Establecer y mantener una lista documentada de protocolos, aplicaciones y servicios para operaciones esenciales Los firewalls se componen de muchas listas de acceso que permiten que el tráfico fluya dentro y fuera de la red. La lista requerida simplemente debe documentar los puertos y servicios permitidos para comunicarse a través del firewall, qué dispositivos pueden comunicarse y la razón comercial de los puertos. en uso. Si los proveedores tienen acceso a la red privada virtual (VPN), la lista debe indicar los sistemas con los que están aprobados para comunicarse y las direcciones IP permitidas del proveedor 9. Utilizar un cifrado de datos sólido para transmitir información restringida La mayoría de las organizaciones asumen que la transmisión de datos a través de la red es segura, lo cual no es necesariamente cierto. El cifrado de todos los datos que salen de la organización es la mejor defensa contra la exposición debido a una mala configuración o individuos sin escrúpulos. 10. Analizar en busca de dispositivos de red no confiables o no autorizados Un dispositivo no confiable es cualquier equipo conectado a la red de la organización que no ha sido autorizado. Dicho dispositivo puede ser un punto de acceso inalámbrico, la computadora portátil personal de un empleado o un interruptor de datos. Hay muchos riesgos asociados con los dispositivos no autorizados, por tanto la protección no autorizada debe bloquear el acceso a la red hasta que el personal de TI haya comprobado el dispositivo y se le haya permitido específicamente conectarse. La Organización de un centro de red. Esta forma organizativa denominada "organización en red" consiste en la alianza a largo plazo de clientes y proveedores para la ejecución de tareas que, desde la estructura integrada, acostumbraban a estar bajo el control de una misma organización. Las auditorías de redes son una forma de proteger los recursos, principalmente la información de la empresa, de amenazas cada vez más complejas y dinámicas Controles Generales Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoria financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Tópicos generales Planeación del área a auditar La auditoría de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo. Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Riesgos. Los riesgos informáticos Se refieren a la incertidumbre existente por la posible realización de un suceso relacionado con las amenazas de daños con respecto a los bienes o servicios informáticos como lo son los equipos periféricos, instalaciones de programas, archivos de información, datos confidenciales, entre otros. Clasificación de los riesgos informáticos Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada por los auditores, para proporcionar una conclusión independiente que permita calificar el cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual pertenecen. El riesgo siempre implica: Incertidumbre: el acontecimiento que caracteriza al riesgo puede o no puede ocurrir. Pérdida potencial: si el riesgo se convierte en una realidad, ocurrirán consecuencias no deseadas o pérdidas. Para cuantificar el nivel de incertidumbre y el grado de pérdidas asociado con cada riesgo se consideran diferentes categorías de riesgos: Riesgos del proyecto: Afectan a la planificación temporal, al coste y calidad del proyecto. Identifican problemas potenciales de presupuesto, calendario, personal, recursos, cliente, etc. Riesgos técnicos: Amenazan la calidad y la planificación temporal del software (producto) que hay que producir. Identifican posibles problemas de incertidumbre técnica, ambigüedad en la especificación, diseño, implementación, obsolescencia técnica o tecnología puntera, interfaz, verificación y mantenimiento. Riesgos del negocio: Amenazan la viabilidad del software. Los principales riesgos de negocio son: • Riesgo de mercado: producto demasiado bueno. • Riesgo estratégico: producto que no encaja • Riesgo de ventas: producto poco vendible • Riesgo de presupuesto: producto fuera de presupuesto Se puede hacer otra categorización de los riesgos en función de su facilidad detección: Riesgos conocidos: son aquellos que se pueden predecir después de una evaluación del plan del proyecto, del entorno técnico y otras fuentes de informaciones fiables. Riesgos predecibles: se extrapolan de la experiencia de proyectos anteriores. Riesgos impredecibles: pueden ocurrir, pero es extremadamente difícil identificarlos por adelantado. Matriz de riesgos informáticos y métricas utilizadas: Todo el proceso está apoyado en una aplicación informática que se alimenta de la información que remiten las entidades y la que introducen los inspectores derivados de sus trabajos de supervisión. El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total, así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser: Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles. Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo. Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto se acepta. Los riesgos informáticos más significativos dado su impacto negativo en la operación y la productividad de la empresa son: • Riesgo de acceso o seguridad • Riesgo de disponibilidad • Riesgo de infraestructura • Riesgo de integridad • Riesgo de proyectos de TI • Riesgo de inversión o costo Así mimos dicho impacto se evidencia principalmente en: • Pérdida de rentabilidad del negocio • Pérdidas financieras • Falta de capacidad para alcanzar los objetivos de negocio • Pérdida de reputación • Desventaja competitiva • Problemas con los reguladores Que es un plan de contingencia
Contingencias más comunes.
Se entiende por plan de contingencia los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun cuando alguna de sus funciones se viese dañada por un accidente interno o externo. Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Presenta una estructura estratégica y operativa que ayudara a controlar una situación de emergencia y a minimizar sus consecuencias negativas Un plan de contingencia incluye cuatro etapas básicas que son: 1. Evaluación. 2. Planificación. 3. Pruebas de viabilidad. 4. Ejecución. Las tres primeras hacen referencia al componente preventivo y la última a la ejecución del plan una vez ocurrido el siniestro. Ejemplo de un plan de contingencia: El borrado accidental o a propósito de archivos de datos o programas de explotación es un problema que todas las instalaciones informáticas han tenido más de una vez, y es siempre costoso el recuperar datos de respaldos o re ingresar aquellas transacciones o datos que no se alcanzaron a respaldar. Las soluciones preventivas más comunes son las siguientes: Separación lógica y física, si es posible, de los datos y programas de explotación de aquellos datos y programas usados en desarrollo y mantención de sistemas. Sistema de protección de los datos y programas de explotación de manera que nadie pueda dañarlos, los sistemas operativos profesionales más comunes tienen formas de proteger directorios de datos y programas de manera tal que su borrado accidental o a propósito sea casi imposible. Ejemplo de la vida real La organización el pentágono sufrió un hackeo, ya que uno de los hackers se hizo pasar por un alto cargo y mediante por ciertas preguntas pudo obtener acceso al sistema Exposiciones Fallas en la capacitación Fallas en la documentación Conclusión Todo el proceso está soportado por una aplicación informática que se sustenta en la información enviada por las entidades y el aporte de los inspectores durante las labores de supervisión. El análisis de riesgos informáticos es un proceso que implica la identificación de activos informáticos, sus vulnerabilidades y amenazas. La probabilidad de que ocurra un riesgo y su impacto para determinar los controles apropiados para aceptar, reducir, transferir o evitar el riesgo. La planificación de contingencias se entiende como un procedimiento que sustituye al orden normal de una empresa y está diseñado para permitirle funcionar con normalidad incluso si alguna de sus funciones se ve comprometida por un accidente interno o externo. La planificación de contingencias es un plan preventivo, predictivo y reactivo. Si es posible, ¿qué datos se utilizan para el desarrollo y mantenimiento del sistema y cuáles son los procedimientos de desarrollo para estos datos y procedimientos Referencia bibliográfica https://www.utadeo.edu.co/es/link/leer-y-escribir- mejor/2791/exposicion#:~:text=Una%20exposición%20consiste%20en%20la,o%20de%20l a%20lectura%20expuesta https://www.bps.gub.uy/bps/file/8458/1/control.pdf#:~:text=El%20control%20es%20el%20 proceso,de%20las%20operaciones%20de%20control. https://www.auditool.org/blog/auditoria-de-ti/los-10-hallazgos-mas-comunes-en-una- auditoria-de-ciberseguridad http://www.forodeseguridad.com/artic/segcorp/7209-que-es-un-plan-de-contingencia.htm https://juliopezblog.files.wordpress.com/2016/10/analisis-y-gestic3b3n-de-riesgo.pdf