Introducción a la Computación.

Curso 2003
P R A C T I C A S ADMINISTRATIVO-CONTABLE

CASO DE RIESGO INFORMÁTICO

La empresa Atoland S.A., empresa que se dedica al sector financiero, específicamente a

otorgar préstamos al consumo, ha sufrido un marcado crecimiento en los último años. De
acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la
función TI de la empresa fuese adaptándose al crecimiento del negocio de manera
adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la
manera en la cual se está operando.

Para contar con una perfecta descripción de la situación actual y sus implicancias, han
decidido contratar a una empresa consultora para que releve y evalúe cómo está
operando y se está gestionando la función TI.

Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones respecto

a los procedimientos que se encuentran vigentes de hecho y cuál es la estructura:

- el personal de TI son 12 personas, incluido un gerente de área. A este gerente

responden: un administrador de base de datos, dos personas de soporte técnico,
tres operadores, un administrador de usuarios, un administrador de
telecomunicaciones y tres programadores.
- Si bien cada persona tiene asignado su cargo, en la práctica las posiciones se
superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto
genera un conocimiento general en el personal, lo cual logra que se solucionen
mejor los problemas que se presentan.
- La estructura de hardware es la siguiente: dos servidores Windows NT, un
servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2
modems)
- Respecto al software se ha detectado: sistema operativo Windows NT, MS Office,
DBMS Oracle para Unix, Sistema operativo Linux, MS Exchange, antivirus, un SIG
local llamado “TotalOne” (del que se han adquirido tres módulos: contable,
personal y activo fijo) y una aplicación desarrollada por la empresa de gestión de
créditos.
- Del relevamiento, también surgió que, exceptuando el software que se encuentra
en el servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software
cuenta con licencia de uso. Respecto al software que no tenían esta licencia se
comentó que dado que el entorno Linux es de software libre no es necesario
contar con licencias de uso para el mismo.
- La adjudicación de usuarios es realizada exclusivamente por el administrador de
usuarios. El procedimiento es el siguiente: en un formulario pre-impreso y pre-
numerado, en el cual el usuario llena cuáles son sus datos y cuáles son las
aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se
entrega al administrador. Este, en el correr del día, asigna usuario y contraseña y
se la comunica al usuario para que pueda comenzar a trabajar.
- Todos los usuarios tienen acceso a e-mail e Internet. Para ello se ha definido un
servidor de correo y un servidor de Internet, en el cual se encuentra totalmente
actualizado un antivirus diariamente. Exceptuando esta opción, solamente el
gerente general cuenta con módem en su computadora portable (el cual utiliza
para acceder a la red corporativa) con la opción de ingreso a Internet.

1
Introducción a la Computación. Curso 2003
P R A C T I C A S ADMINISTRATIVO-CONTABLE

- Los PCs y el portable cuentan con antivirus los cuales se actualizan

mensualmente.
- En una etapa pasada, el gerente anterior del centro de cómputo entendía que el
personal de informática no tenía nada que hablar con el usuario, por lo que
solamente se podían comunicar por un teléfono específicamente dedicado a
recibir solicitudes de los usuarios, y por ende el acceso al CPD se encontraba
totalmente restringido. Con el cambio de gerencia y dado los problemas
generados por la situación anterior, hoy día se cuenta con una política de puertas
abiertas. Por lo cual los usuarios son libres de ingresar al CPD.
- Diariamente se respaldan solamente los datos de aplicaciones y bases de datos.
El respaldo se realiza en doble copia las cuales se guardan en una caja fuerte
ignífuga (a prueba de fuego) dentro del centro de cómputos. Los respaldos los
realiza el último programador que se retira en el día, acordando entre ellos quién
será cada día el encargado.
- No se ha identificado la existencia de un plan de contingencia. Sin embargo existe
un contrato con un tercero, el cual proveerá, en caso de un siniestro, un
equipamiento con las mismas características que el existente y con un similar
sistema operativo.
- El SIG desarrollado internamente ha sido idea de un programador, el cual hoy es
el gerente. Dado el éxito de esta aplicación en la empresa, esta persona se asoció
con otra persona creando la empresa Osoft, la cual comercializa el mismo en el
mercado.

De acuerdo a la situación detallada anteriormente, el próximo paso se encuentra

orientado a la identificación de posibles riesgos existentes no mitigados (no cubiertos y/o
sin controles adecuados) y proponer soluciones alternativas para mitigarlos.

Por problemas contractuales la empresa consultora sólo realizó el relevamiento y no

puede realizar esta otra etapa propuesta, por lo cual Atoland ha decidido contratarlo a
usted como profesional universitario para que pueda finalizar el trabajo.

Se pide:

a) explicarle a los directivos qué es un riesgo informático.

b) identificar los posibles riesgos no mitigados e indicar sus posibles soluciones.