NDICE

Contenido
1. CAPTULO I:..................................................................................................................2
GENERALIDADES...............................................................................................................2
1.1. INTRODUCCIN.......................................................................................................2
1.2. ANTECEDENTES.......................................................................................................3
1.3. PLANTEAMIENTO DEL PROBLEMA.........................................................................3
1.3.1. PROBLEMA PRINCIPAL.......................................................................................3
1.4. OBJETIVOS...................................................................................................................3
1.4.1. OBJETIVO GENERAL................................................................................................3
1.4.2. OBJETIVOS ESPECFICOS........................................................................................3
1.5. JUSTIFICACIN............................................................................................................4
2. CAPITULO II.....................................................................................................................4
2.1. ESTUDIO ORGANIZACIONAL....................................................................................4
2.1.1. MISION, VISION.........................................................................................................4
2.1.2. ORGANIGRAMA........................................................................................................5
2.1.3. DESCRIPCIN DE FUNCIONES...........................................................................5
2.1.3.1. PRESIDENTE............................................................................................................5
2.1.3.2. GERENTE GENERAL.............................................................................................6
2.1.3.3. EMPLEADOS - Asistentes.......................................................................................6
2.2. PROCESO DE GESTION DE RIESGOS.......................................................................6
2.2.1. ESTABLECIMIENTO DEL CONTEXTO...................................................................6
2.2.2. IDENTIFICAR RIESGOS............................................................................................8
2.2.3. ANLISIS DE RIESGO.............................................................................................10
2.2.4. EVALUACIN DE RIESGOS...................................................................................12
2.2.5. TRATAMIENTO DE RIESGOS.................................................................................18
2.2.6. MONITOREAR Y REVISAR....................................................................................19
2.2.7. COMUNICAR Y CONSULTAR................................................................................19
2.3. Bibliografa....................................................................................................................21

1
ANEXOS

1. CAPTULO I:
GENERALIDADES

1.1. INTRODUCCIN

El ejrcito del estado plurinacional es el baluarte de la unidad e integridad de la

nacin, integrada por varias sub reas escalafones y reparticiones, el ejrcito
nacional al igual que las dems fuerzas que integran las fuerzas armadas de la
nacin vela por la defensa del territorio nacional.

DICOSE representa el rea de distribucin y es el rea de Informtica dentro del

ejrcito nacional, esta presenta varias deficiencias tanto en infraestructura como
en dredes de comunicacin, presenta un sinnumerio de vulnerabilidades, inclusive
en la arquitectura de interaccion con las dems reparticiones que conforman el
ejercito, esta a cargo de una intranet y una web externa de uso publico, ha sido
fuente de constantes ataque a su seguridad, estas han puesto en peligro
informacin de uso confidencial, no solo para el estado sino tambin a la
seguridad del Estado plurinacional de Bolivia.

El comando de ingeniera representa en el ejerccito nacional una de las

reparticiones estratgicas, se encarga de planificar, organizar a las dems
reparticiones que integran el ejercito nacional con sede en el Estado Mayor de la
ciudad de La Paz.

1.2. ANTECEDENTES
2
 Los sistemas que integran la larga red de infraestructura tecnolgica del
ejecito nacional no es comparable con los colosos existentes en las fuerzas
armadas de otros pases.

El sistema del ejrcito nacional de chile es mucho ms robusto, representa

un rea de alcance a la poblacin ms amena e interactiva, con una
infraestructura que se extiende des de Atacama en el desierto hasta la
Patagonia, representa niveles de seguridad extremamente altos, con
sistema de contingencias previsto para cualquier eventualidad, este sistema
representa uno de los sistemas ms protegidos dentro de Sudamrica,
hacindolo inviolable, e incorruptible en un margen muy alto, Los sistemas
de informacin digital que conforman las fuerzas armadas Chilenas, brindan
una confidencialidad extrema sobre documentacin e informacin de
seguridad nacional.

Es necesario comprender que los temas de seguridad integral en un rea

de trabajo son fundamentales para ejercer confianza con cada uno de los
trabajadores de la institucin. La seguridad informtica constantemente
contempla riesgos y vulnerabilidades, necesita de actualizaciones, dado
que las amenazas evolucionan con el tiempo, a la par de los avances en la
tecnologa, adems esta seguridad contempla infraestructura comunicacin
equipo de trabajo y de profesionales, hablar de seguridad es un tema muy
extenso que se debe estudiar con detenimiento y debe ser una prioridad en
cualquier institucin.

1.3. PLANTEAMIENTO DEL PROBLEMA

1.3.1. PROBLEMA PRINCIPAL

3
La seguridad representa uno de los puntales al que se debe enfocar cualquier organizacin,
las vulnerabilidades y amenazas representan un rea a el anlisis, en el cual se debe tener
prioridad, en el ejecito nacional se buscara atender estas falencia en el rea de seguridad de
sistemas.

1.4. OBJETIVOS

1.4.1. OBJETIVO GENERAL

Conocer sobre los beneficios que proporciona la aplicacin de una herramienta

como lo es el anlisis SMR en la planeacin estratgica de una auditoria interna
de la organizacin.

1.4.2. OBJETIVOS ESPECFICOS

Realizar un estudio organizacional

Describir los elementos que conforma SMR como herramienta para

anlisis de una organizacin de negocio.
Identificar ventajas y desventajas que presenta la utilizacin de SMR
como herramienta de anlisis de una organizacin de negocios..

1.5. JUSTIFICACIN

Es un anlisis innovador que nos permitir contribuir a la satisfaccin de una

necesidad no cubierta. Las cuales nos dan posibilidades de crecimiento al
desenvolvernos en un mercado de consumo potencial para contribuir en la
superacin del subdesarrollo existente en La Paz.

4
Aceptacin del servicio debido a la gama de consumidores potenciales y reales
existentes en la actualidad. Implementacin de un servicio personalizado lo cual
nos permite aseverar la acogida del mismo.

2. CAPITULO II

2.1. ESTUDIO ORGANIZACIONAL

2.1.1. MISION, VISION

La misin es el motivo, propsito, fin o razn de ser de la existencia de una

empresa u organizacin porque define lo que pretende cumplir en su entorno
o sistema social en el que acta, lo que pretende hacer, y para quin lo va a
hacer.
La visin es una exposicin clara que indica hacia dnde se dirige la
empresa a largo plazo y en qu se deber convertir, tomando en cuenta el
impacto de las nuevas tecnologas, de las necesidades y expectativas
cambiantes de los clientes, y la aparicin de nuevas condiciones del
mercado.

Misin
Ser la primera opcin en Telecomunicaciones

Visin
Convertir el uso de las telecomunicaciones en una experiencia nica y
sorprendente

2.1.2. ORGANIGRAMA

5
2.1.3. DESCRIPCIN DE FUNCIONES

2.1.3.1. PRESIDENTE

Su funcin principal ser gestionar el negocio, es decir, encargarse de la

contabilidad adems de controlar las actividades hechas por el supervisor de
actividades.

6
2.1.3.2. GERENTE GENERAL

Su responsabilidad inmediata sera la de controlar que los pedidos sea atendidos

adems de gestionar que los insumos, materiales no se agoten.

2.1.3.3. EMPLEADOS - Asistentes

Nuestros empleados sern personas calificadas para la atencin al cliente de

manera cordial y respetuosa.

2.2. PROCESO DE GESTION DE RIESGOS

2.2.1. ESTABLECIMIENTO DEL CONTEXTO

EMPRESA DE TELECOMUNICACIONES VIVA

MISIN

Ser la primera opcin en Telecomunicaciones

VISIN

Convertir el uso de las telecomunicaciones en una experiencia nica y

sorprendente

NUESTROS VALORES

Compromiso
Excelencia
Innovacin
7
 Enfoque en el cliente
Honestidad
Transparencia

CONTEXTO ESTRATEGICO:

La funcin de VIVA es convertir el uso de las telecomunicaciones en una

experiencia nica y sorprendente, es as que con VIVA se acabaron las compras a
ciegas. Ahora el consumidor de tecnologa cuenta con la orientacin necesaria
para que su compra sea la indicada en cualquiera de las Tiendas de Experiencia
VIVA distribuidas en distintas ciudades del pas. Un concepto absolutamente
innovador para la comercializacin de dispositivos mviles, tabletas y otros
recursos, donde el cliente puede lograr que coincida su expectativa y necesidad
especfica, con las cualidades y alcances tecnolgicos de un producto
determinado. (ANEXO B)

CONTEXTO ORGANIZACIONAL:

Organigrama

8
2.2.2. IDENTIFICAR RIESGOS

Desarrollo

Los riesgos pueden ser causados por eventos naturales, Circunstancias

Econmicas, Comportamiento Humano, o Normativa que pueden causar
grandes impactos tanto en los recursos, o ingresos que tiene la institucin.
Para tal efecto se requiere el uso de herramientas y tcnicas para la
identificacin que se realiza atreves de un proceso amplio sistemtico y
estructurado para el caso del rea de Sistemas se utilizo el mtodo de
Anlisis de riesgos de Secure Risk Management (SRM) que se describa a
continuacin:

Amenaza: Aquellas cosas que nos pueden producir dao.

9
Situacin: Es el lugar donde se da a Amenaza

Vulnerabilidad: Es una debilidad

Probabilidad: La probabilidad de la ocurrencia de un evento es la proporcin del

tiempo que eventos del mismo tipo se presentarn en el corto, mediano y largo
plazo.

Impacto: El impacto es la severidad de la Ocurrencia de un evento. La

consecuencia de la ejecucin del evento

Nivel de Riesgo: La brutalidad de ser daados por la amenaza

Fuente de Identificacin: Es el medio por el cual se obtiene la informacin

Factor de Mitigacin: Es un estado en que la amenaza ha sido disminuido a un

nivel aceptable

10
2.2.3. ANLISIS DE RIESGO
TABLA 1
N AMENAZA SITUACION VULNERABILIDA IMPACTO PROBABILIDA NIVEL FACTOR DE FACTOR DE
D D DE IDENTIFICACIO MITIGACION
RIESG N
O
Cada del Corte de No se registran Jefe de
1 Ninguno
servidor BD luz datos sistemas
Cada del Prdida de DBA
2 Ataque Firewall
servidor Web informacin
Error de No registra Operador del
3 Falla de PC Ninguno
Software informacin equipo
No registra Operador del
4 Baja de PC Desgaste Ninguno
informacin equipo
Corte de Corte en la Paralizacin de Jefe de Dpto.
5 Ninguno
energa zona actividades
Falla de Deterioro Alteracin de Usuarios
6 Ninguno
impresora del equipo actividades
Infiltracin en DBA
Ataque a la Alteracin de
7 la Base de Firewall
BD datos
Datos
Fallas a Jefe de
Ataque por Paralizacin de
8 nivel de sistemas Antivirus
Virus actividades
Software
Fallas en los Perdida de Jefe de rea
Desgaste
9 equipos de conexin en la de redes Ninguno
de equipos
red red
Paralizacin de Usuarios
1 Olvido de Descuido Peticin de
actividad del
0 contraseas del usuario nueva cuenta
usuario

ELABORACIN: PROPIA
2.2.4. EVALUACIN DE RIESGOS

Este es el grafico que utiliza para medir el nivel de riesgo de la amenaza

 En la tabla del SMR que se muestra en el (ANEXO A) se logr identificar los
riesgos que se pueden apreciar en la siguiente grafico
RESULTADO DE SMR

INMINENTE

MUY
PROPBABLE

PROBABLE 2,8,10 11

POCO 1,3,4,5,,7,
6 1
PROBABLE 9

IMPROBABL
E

IRRELEVANT MODERAD
MENOR SEVERO CRITICO
E O

NIVEL DE RIESGO ACEPTABLE --6

Este es el riesgo de menor cuanta as que no es necesario analizar a profundidad

NIVEL DE RIESGO NO ACEPTABLE : 1,2,3,4,5,6,7,8,9,10,11

Estos son los riesgos a tratar

2.2.5. TRATAMIENTO DE RIESGOS

Ecuacin Monetaria de Riesgo

BPL

B: Carga o gasto que significa la prevencin de una prdida

especfica por vulnerabilidad.
P: Probabilidad de ocurrencia de esa prdida especfica.
L: Impacto total de dicha prdida especfica.

Para la compra de un Anti virus se realiza la siguiente operacin:

Costo de Antivirus: 80000$

B: 80000$
P: 0,60%
L: 150000$

Entonces:
B=P*L
80000=0,60*150000
80000<90000
Debido a que el gasto de prevencin de una prdida es menor a la
inversin entonces si se justifica la inversin del riesgo

Costo de Impresoras de facturacin: 3000$

B: 3000$
P: 0,30%
L: 25000$

Entonces:
B=P*L
3000=0,30*25000
3000<7500
Debido a que el gasto de prevencin de una prdida es menor a la
inversin entonces si se justifica la inversin del riesgo

14
2.2.6. MONITOREAR Y REVISAR

El monitorear el escenario que enfrenta la empresa de telecomunicaciones

de Bolivia hoy en materia de seguridad y nuevos riesgos ante amenazas

Para monitorear desde una visin tecnolgica, donde existen amenazas y riesgos
de seguridad que han ido evolucionado en el tiempo.

Es fundamental proteger ataques, estableciendo normas de seguridad, que

proteja todos los elementos sensibles ante amenazas de virus, gusanos, troyanos,
malware, denegacin de servicio, hackeo al rea de transacciones internacionales
de pginas web, robo o destruccin de informacin, llegando a las amenazas por
medio de los protocolos.

En esta propuesta dirigida a la empresa de telecomunicaciones sobre la

tecnologa y servicios

Corrige una de gama de herramientas de proteccin que va desde los histricos

sistemas de proteccin, como son los firewalls y VPN, agregando herramientas de
deteccin de ataques e inspeccin de protocolos, como los IDS y los IPS, y
soluciones de filtrado de contenido, as como incorporando herramientas de
antivirus y antispam.

Una vez realizado el anlisis se define un periodo de auditora de implementacin

recomendable (en cuanto tiempo se implementara) entonces se recomienda
realizar dichos cambios en un periodo estimado de 1 ao y la revisin se realizara
en 2 aos

2.2.7. COMUNICAR Y CONSULTAR

Revisar los servicios tecnolgicos

15
Servicio tecnolgico de equipos de computacin y equipos perifricos de salida
(impresoras) actualizados para el personal administrativo, demuestra en la
eficiencia del monitoreo que presenta.

Este servicio de sistema autnomo capaz de detectar automticamente cualquier

acontecimiento en el servicio o amenazas de seguridad que se estn originando
en los clientes, que adems cuenta con especialistas en seguridad que se
encargan de interpretar las alarmas generadas, tomar acciones en forma oportuna
e informar al gerente de la empresa.

Servicios del personal

El personal cuenta con suficientes conocimientos de en anlisis, diseo e

implementacin de aplicaciones, en lo que se refiere a la eficiencia, correccin y
seguridad de las mismas. Estos conocimientos incluyen, pero no se restringen a:
Diseo, Implementacin y Manejo de Bases de Datos; sistemas Operativos;
Diseo, Instalacin y Administracin de Redes de Computadoras; Anlisis, Diseo
e Implementacin de Aplicaciones Distribuidas o Concurrentes; Sistemas de
Software; Programacin Web; Sistemas Inteligentes para resolver problemas el
rea de computacin como tambin la coordinacin y participacin en equipos de
trabajo en el desarrollo de aplicaciones de cmputo.

Sugerencia de:
- Procesos: Los procesos con los que cuenta la institucin en el rea de
sistemas se sugiere repetir las acciones en intervalos de tiempo ms
frecuentes para brindar mayor seguridad, eficiencia y eficacia a los
sistemas y al personal que trabaja con ellos.

- Tiempo: el tiempo es fundamental para la institucin bancaria ya que

realizan operaciones de suma importancia como ser las transacciones
monetarias y es por eso que en la institucin se tiene que contar con
un cronograma general para el desarrollo de sus fusiones.

16
 - Cambios organizacionales: para el mejor desenvolvimiento del
personal se propone una rotacin en el personal y un cambio de
gerencia en un tiempo promedio de 1 ao o debido a desempeo
laboral.

- Capacitaciones: Se siguiere realizar cursos de actualizacin y

capacitacin segn el cambio de la tecnolgico, econmico, poltico, y
social que se realice en la institucin o en el estado.

2.3. Bibliografa
http://es.wikipedia.org/wiki/Viva_(empresa_telef%C3%B3nica)
http://www.telecombol.com/2006/11/historia-del-gsm-en-bolivia-viva-y-tigo.html
http://www.matrizfoda.com/beneficios-de-utilizar-nuestros-servicios.html
http://www.degerencia.com/articulos.php?artid=544
http://www.buenastareas.com/ensayos/Foda-Empresa-Telecomunicaciones/2687190.html
http://fodaempresarial.blogspot.com/
https://www.google.com.bo/?
gws_rd=cr,ssl&ei=mpbwVMSSE9SHsQSb3YLgDw#q=organigrama+de+entel

17
ANEXOS

ANEXO A

Nr SITUACIO VULNERAB NIVEL DE FACTOR DE

o AMENAZA N ILIDAD PROBABILIDAD IMPACTO RIESGO IDENTIFICACION

Ataque a
los Conexin Robo de
1 servidores a internet informacin Poco probable Critico Medio Jefe de sistemas
Concurren
cia alta a
los En los Errores en
2 servidores servidores el servicio Probable Severo Alto Jefe de sistemas
Baja
Disponibili Pagina Informacin
3 dad Web no oportuna Poco probable Critico Medio Jefe de control de BD
4 Fallas a Uso de los Daos a la Poco probable Critico Medio Jefe de control de BD
nivel equipos informacin

18
 hardware
en las
oficinas

Robo de Dentro de Acceso no

Contrase la autorizado Jefe de control de
5 as institucin al sistema Poco probable Critico Medio SW
Servicio y
Fallos en recursos
Cada de la red fuera de Jefe de control de
6 Servidores elctrica trabajo Poco probable moderado Bajo SW
Fallas en
los
equipos de Hardware Perdida de Jefe de control de
7 red de red conexin Poco probable Critico Medio SW
Falta de
aprovecha
miento de
los
recursos Recursos Conexin Jefe de control de
8 de red de red Lenta Probable Severo Alto Redes

Ingreso de Falta de
Datos Integridad
Incorrecto Base de de la
9 al Sistema datos Informacin Poco probable Critico Medio Jefe de control de BD
Ubicacin
incorrecta Dentro de
del la Perdida de Jefe de control de
10 cableado institucinconexin Probable Severo Alto Redes
Eliminacin
o
Ataques Modificacin Jefe de control de
11 de virus Servidores de Ficheros Probable Critico Alto SW

ANEXO B

19
20