Rony M. Gonzlez Snchez Darwin J.

Velandia Morales

624654 624645

La empresa Atoland S.A. , empresa que se dedica al sector financiero, especficamente a otorgar prstamos al consumo, ha sufrido un marcado crecimiento en los ltimos aos. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la funcin TI de la empresa fuese adaptndose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se est operando. Para contar con una perfecta descripcin de la situacin actual y sus implicancias, han decidido contratar a una empresa consultora para que releve y evale cmo est operando y se est gestionando la funcin TI. Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones respecto a los procedimientos que se encuentran vigentes de hecho y cul es la estructura: El personal de TI son 12 personas, incluido un gerente de rea. A este gerente responden: un administrador de base de datos, dos personas de soporte tcnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores. Si bien cada persona tiene asignado su cargo, en la prctica las posiciones se superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto genera un conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan. La estructura de hardware es la siguiente: dos servidores Windows Server 2003, un servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2 mdems). Respecto al software se ha detectado: sistema operativo Windows 7, MS Office, DBMS Oracle para Unix, sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado TotalOne (del que se han adquirido tres mdulos: contable, personal y activo fijo) y una aplicacin desarrollada por la empresa de gestin de crditos. Del relevamiento, tambin surgi que, exceptuando el software que se encuentra en el servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con licencia de uso. Respecto al software que no tenan esta licencia se coment que dado el entorno Linux es de software libre no es necesario contar con licencias de uso para el mismo. La adjudicacin de usuarios es realizada exclusivamente por el administrador de usuarios. El procedimiento es el siguiente: en un formulario pre-impreso pre-numerado, en el cual el usuario llena cules son sus datos y cules son las aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se entrega al administrador. Este, en el correr del da, asigna usuario y contrasea y se la comunica al usuario para que pueda empezar a trabajar.

Todos los usuarios tienen acceso a e-mail e Internet. Para ello se ha definido un servidor de correo y un servidor de internet, en el cual se encuentra totalmente actualizando un antivirus diariamente. Exceptuando esta opcin, solamente el gerente general cuenta con mdem en su computadora portable (el cual utiliza para acceder a la red corporativa) con la opcin de ingreso a Internet. Los PCs y el portable cuentan con antivirus los cuales se actualizan mensualmente. En una etapa pasada, el gerente anterior del centro de cmputo entenda que el personal de informtica no tena nada que hablar con el usuario, por lo que solamente se podan comunicar por un telfono especficamente dedicado a recibir solicitudes de los usuarios, y por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de gerencia y dado los problemas generados por la situacin anterior, hoy da se cuenta con una poltica de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD. Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copias las cuales se guardan en una caja fuerte ignfuga (a prueba de fuego) dentro del centro de cmputos. Los respaldos los realiza el ltimo programador que se retira en el da, acordando entre ellos quin ser cada da el encargado. No se ha identificado la existencia de un plan de contingencia. Sin embargo existe un contrato con un tercero, el cual proveer, en caso de un siniestro, un equipamiento con las mismas caractersticas que el existente y con un similar sistema operativo. El SIG desarrollado internamente ha sido idea de un programador, el cual hoy es el gerente. Dado el xito de esta aplicacin en la empresa, esta persona se asoci con otra persona creando la empresa Osoft, la cual comercializa el mismo en el mercado. De acuerdo a la situacin detallada anteriormente, el prximo paso se encuentra orientado a la identificacin de posibles riesgos existentes no mitigados (no cubiertos y/o sin controles adecuados) y proponer soluciones alternativas para mitigarlos. Por problemas contractuales la empresa consultora slo realiz el relevamiento y no puede realizar esta otra etapa propuesta, por lo cual Atoland ha decidido contratarlo a usted como profesional universitario para que pueda finalizar el trabajo.

Se pide: a) Explicarle a los directivos qu es un riesgo informtico. b) Identificar los posibles riesgos para lo cual se debe realizar: Una lista de los activos Una lista de las amenazas Una lista de las vulnerabilidades

Solucin Planteada a) Seores directivos de Atoland S.A., un riesgo es aquel evento o suceso que interfiere con el cumplimiento de un objetivo, cuyas consecuencias pueden ser prdidas o ganancias. A nivel informtico, este se establece como una amenaza (aquellas acciones que pueden ocasionar consecuencias negativas en la operacin de la empresa) que se materializ, determinando el grado en que se encuentra expuesto a la ocurrencia de una prdida. 1- Identificacin de activos de Informacin:

Nombre
DATOS Aplicaciones, bases de datos, formularios. HARDWARE 2 servidores Windows Server 2003, 1 servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2 mdems). El gerente cuenta con un mdem en su computadora portable. SOFTWARE Sistema operativo Windows 7, MS Office, DBMS Oracle para Unix, sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado TotalOne (del que se han adquirido tres mdulos: contable, personal y activo fijo) y una aplicacin desarrollada por la empresa de gestin de crditos. EDIFICIOS Empresas Atoland S.A y Osoft. RECURSOS HUMANOS El personal de TI son 12 personas, incluido un gerente de rea. A este gerente responden: un administrador de base de datos, dos personas de soporte tcnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores. BASES DE DATOS Oracle BACKUP Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copias las cuales se guardan en una caja fuerte ignfuga (a prueba de fuego) dentro del centro de cmputos. Los respaldos los realiza el ltimo programador que se retira en el da, acordando entre ellos quin ser cada da el encargado.

Vulnerabilidad
Sin configuracin de permisos segn perfil de usuario.

Amenaza
Accesos no autorizados. Incendio. Inundacin. Falta de corriente. Terremoto.

Al parecer la empresa cuenta sin UPS.

Antivirus no actualizados. Falta de conocimientos adecuados de los usuarios.

Virus. Accesos no autorizados. Robo/Edicin Software.

Falta de cmaras de Seguridad.

Robo de Activos.

Acceso de personal ajeno a la empresa.

Robo de Activos.

Sin configuracin de permisos segn perfil de usuario.

Accesos no autorizados.

Inundacin. No hay respaldos externos. Falta de corriente. Terremoto.

2- Definir Tablas con escalas de Frecuencia e impacto.

Tabla Impacto.

Tabla Frecuencia (Probabilidad).

A C E

Entre 81% - 100% Entre 41% - 60% Entre 0% - 20%

Valor: 5 Valor: 3 Valor: 1

B D

Entre 61% - 80% Entre 21% - 40%

Valor: 4 Valor: 2

3- Matriz de anlisis de Riesgos:

Accesos no Autorizados Probabilidad

Incendio

Inundacin

Falta de corriente Prob. D D D D

Terremoto

Virus

Prob. D D D D D D E

Prob. E E E E E E E

Prob. E E E E E E E

Prob. B B B B B

Robo de Activos Prob. C C C C C C

Robo/Edicin Software Prob. C C C C

Activo
Datos Hardware Software Edificios Recursos Humanos Bases de Datos Backup

Impacto
2 2 2 5 3 3 3 C C C D D D D

4- Evaluacin de Riesgos

Id.
R1

Descripcin
Un siniestro de la naturaleza como un terremoto o inundacin o haya un incendio, destruya la totalidad o parte de los Edificios de la empresa. Prdida de la informacin y/o de las copias de seguridad de las bases de datos debido a un siniestro de la naturaleza (incendio o terremoto). Robo de la informacin y/o del software por personal ajeno de la empresa. Acceso a los datos y/o bases de datos por hackers o personal con malas intenciones para degradar la imagen de la empresa. Virus ataque al software de la empresa, el cual interrumpa la operacin de la empresa. Virus ataque al hardware de la empresa, el cual interrumpa la operacin de la empresa. Exempleados o personal activo de la empresa roben activos de la empresa. Virus borre informacin. Falta de corriente por no tener UPS, deje sin energa el hardware de la empresa e interrumpa la operacin de la empresa. Expiracin de licencias y/o no actualizacin de software y antivirus.

Probabilidad
E(1)

Impacto
5

Riesgo Total
5

R2

E(1)

R3 R4

C(3)

D(2) B(4) B(4) D(2) C(3) D(2) D(2)

3 3 3 3 2 2 2

6 12 12 6 6 4 4

R5 R6 R7 R8 R9

R10

Riesgo = Impacto * Probabilidad, Orden de > a < = R6-R5-R3-R8-R7-R4-R2-R1-R10-R9

5- Semaforizacin

6- Tratamiento de riesgos

Se formulan a continuacin una contramedida viable para reducir el impacto, capacitar a todos los empleados, como al gerente y dems personal encargado en los siguientes aspectos: Acceso lgico de personal no autorizado. Manipulacin inadecuada de datos. Modificacin no autorizada de datos. Fallas en el ingreso de los datos. Perdida de datos. Ejecucin no autorizada de programas. Destruccin parcial o total del software. Manipulacin fraudulenta de informacin. Ya que el riesgo con mayor impacto en el ejercicio tiene que ver con los virus y con el acceso no autorizado a la informacin de la empresa, robando as informacin y degradando de esta manera la imagen de la empresa, puesto que se viola la integridad, confidencialidad y disponibilidad.

7- Aplicar la evaluacin de riesgos teniendo en cuenta las contramedidas formuladas A continuacin, como parte del tratamiento de los riesgos potenciales determinados anteriormente, se termina el anlisis de riesgos con las siguientes preguntas dirigidas a la alta gerencia, empleados y dems cargos de la empresa, para evaluar as la capacidad ante una eventualidad, y dar a conocer que existen an muchas amenazas y vulnerabilidades en la parte de TI.

Existen normas y procedimientos escritos a cerca del funcionamiento de los servicios informticos? El servicio informtico est separado del resto de departamentos? Existe y es adecuada la separacin de funciones en el servicio de informacin a los departamentos de los usuarios? El personal de produccin no participa en los procesos de desarrollo? El personal de desarrollo no participa en los procesos de produccin? El personal de produccin conoce perfectamente cules son sus funciones? Est controlado el acceso de operadores a programas y datos no necesarios para su trabajo?