Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIA
Facultad de Ingeniería Industrial y de Sistemas
ESTUDIO DE EVALUACION DE
RIESGOS DE LA EMPRESA TEXTIL
SUMIT S.A.C.
ALUMNOS :
VERA OLIVERA, DAVID
RIVERA PEREZ, CHRISTIAN
CURSO :
Auditoria de Sistemas
PROFESOR :
Ing. Carlos Trigo
2006 - II
Facultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
INDICE
I. ANTECEDENTES DE LA EMPRESA
II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
1. IDENTIFICACION DE ACTIVOS DE HARDWARE, SOFTWARE Y
REDES
2. IDENTIFICACION DE ACTIVOS PARA PERSONAS
3. IDENTIFICACION DE ACTIVOS PARA PROCEDIMIENTOS
4. IDENTIFICACION DE ACTIVOS PARA DATOS
III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN
1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES
2. ANALISIS DE ACTIVOS DE PERSONAS
3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOS
4. ANALISIS DE ACTIVOS PARA DATOS
IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN
V. AUTORIZACIÓN
VI. IDENTIFICACIÓN DE AMENAZAS
VII. CATEGORIZACIÓN DE COMPONENTES
VIII. LISTA DE VULNERABILIDADES
IX. EVALUACIÓN DE RIESGOS
X. SALVAGUARDAS
XI. VULNERABILIDADES Y SALVAGUARDAS
Auditoria de Sistemas Pág. 1

IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS PARA LA EMPRESA

TEXTIL SUMIT S.A.C
I. ANTECEDENTES DE LA EMPRESA
SUMIT SAC es una empresa de confecciones parte de un Consorcio Textil

radicada en la ciudad de Lima que inicia sus operaciones en 1992, con la
intención de producir prendas de vestir en tejido de punto para exportación. Las
prendas que produce son a base de hilados de algodón : Pima y Tanguis; así como
mezclas con poliéster, de este modo damos mas variedad al producto que
ofrecemos. A la fecha cuenta con tres plantas industriales. Tejeduría, con
protección contra la contaminación Tintorería ,con moderno equipo de
laboratorio. Confección, con producción flexible, ofreciendo variedad de
diseños. Cumplen individualmente y en detalle con las cantidades requeridas por
talla y color, en cada periodo de entrega, plazo, etc.) y adornados con por
ejemplo: bordado, appliqués y estampados.
Sumit es una empresa bien posicionada en el mercado peruano, que cuenta con
una sólida cartera de clientes obtenida gracias a su puntualidad y eficiencia.
Entre ellos están Oakley, Guess, Zara, Marmaxx, Sara Lee, Esprit. Los 13 años
que lleva en el mercado textil peruano respaldan la calidad de los productos que
ofrecen a sus clientes. Sus productos se basan en la moda casual, ya sean t-
shirts, polos box, tanks, pantalones cortos y largos, todos en la calidad de tejido
de punto. Estan en capacidad de desarrollar cualquier requerimiento solicitado
por sus clientes: su Unidad de Desarrollo de Producto está totalmente equipada y
tiene profesionales de alta competitividad. De igual manera llevan a cabo los
artes diseñados en las prendas (estampados, bordados o aplicaciones), así como
lavados u otros procesos que sean requeridos

II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
1. IDENTIFICACION DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES
 Hardware:
CANTIDAD DISPOSITIVO DESCRIPCIÓN FUNCION

1 SERVIDOR HP, 3Ghz, 80Gb Servidor de Datos
1 SERVIDOR HP, 3Ghz, 80Gb Servidor de Correos
1 SERVIDOR HP, 3Ghz, 60Gb Servidor Proxy
28 PC COMPATIBLE, 800 Mhz, Estaciones de trabajo,
20Gb no tienen todos los DES
19 PC COMPATIBLE, 1000 Mhz, Estaciones de trabajo,
15 PC COMPATIBLE, 1.2 GHz, Estaciones de trabajo,
 Software:
Nº DE
NOMBRE TIPO DESCRIPCIÓN
LICENCIAS
Uso de sistema operativo de los
WINDOWS 2003 SERVER SO 3
servidores.
WINDOWS XP Uso de sistema operativo de la
SO 10
PROFESSIONAL estación de trabajo.
Manejador de Base de datos
MS SQL SERVER 2000 AP 2
empresarial.
Uso ofimática de la estación de
MS OFFICE 2003 AP 1
trabajo.
MS VISUAL STUDIO .NET Uso de herramienta de desarrollo
AP 1
2003 del sistema de la empresa.
Protección de ataque de virus a las
NOD32 ANTIVIRUS
CS 1 herramientas de trabajo a la
SYSTEM
estación de trabajo.
Uso de correo electrónico interno
MOZILLA THUNDERBIRD AP 0
de la empresa.
Sistema integrado para los procesos
INFORGEST AP 0
de la empresa.
Sistema para desarrollo y
TOOLS AP 0
mantenimiento del ERP.
El software que ayuda al proceso
LECTRA AP 5
de moldaje.
SO: SISTEMA OPERATO

AP: APLICACIÓN
CS: COMPONENTE DE SEGURIDAD
 Redes:
CANTIDAD DISPOSITIVO DESCRIPCIÓN FUNCION

2 Router Zyxel, Interface UTP, 4 Provee la conectividad de
puertos. la LAN a Internet (Usan
tecnología Ethernet,

protocolo de red TCP/IP).

Conecta los Routers con
D-Link, Ethernet 10/100
5 Switch los otros switches y
Mbps, 16 puertos UTP.
estaciones de trabajo.
2. IDENTIFICACION DE ACTIVOS PARA PERSONAS

Personas que interactúan con la información de la empresa:
PERSONAS NUMERO DESCRIPCIÓN

ADMINISTRATIVOS 8 CONFIABLES
EMPLEADOS 44 CONFIABLES
DIGITADORES 10 NO CONFIABLES
3. IDENTIFICACION DE ACTIVOS PARA PROCEDIMIENTOS
Almacenada Almacenado en caso

Procedimiento Tipo Relación
como referencia de actualización
Con los módulos En el Área de
Documentación de las
de: Logística, Área de Comercialización y el
transacciones de PTN
Contabilidad y Administración. Área de Sistemas de la
venta.
Ventas. empresa.
Con los módulos
Documentación de las En el Área de
de: Venta,
transacciones de los Área de Logística y el Área de
PTN Compras,
inventarios de los Administración. Sistemas de la
Contabilidad y
avios, hilos y telas. empresa.
Almacén.
de: Logística, RR. Área de Contabilidad y el Área
transacciones de caja PTN
HH., Ventas y Administración. de Sistemas de la
contable.
Compras. empresa.
de: Almacén, Área de Producción y el Área
fichas técnicas de PTN
Producción y Administración. de Sistemas de la
prenda.
Desarrollo. empresa.
Documentación de las de: Logística, Área de Contabilidad y el Área
PTN
transacciones compra. Contabilidad y Administración. de Sistemas de la
Compras. empresa.
En el Área de
Documentación de los A todo el personal
Área de Administración y el
roles y las funciones PSN de la empresa
Administración. Área de Recursos
de las autoridades SUMIT S.A.C.
Humanos
Documentación de las A todo el personal
Área de La comisión encargada
reglas y políticas de PSN de la empresa
Administración. de la empresa.
las de empresa. SUMIT S.A.C.
Documentación del En el Área de
Solo al personal del
balance contable y Área de Contabilidad y el
PSN Área Contable y
estado de G/P por Administración. centro de cómputo de
Administración
año. la empresa.
Administración y Área de Centro de
mantenimiento de los PTI Computo y Soporte Área de Sistemas Área de Sistemas
Sistemas Operativos. Técnico
Administración y PTI Área de Centro de Área de Sistemas Área de Sistemas
Mantenimiento de los Computo y Soporte

sistemas y/o
Técnico
aplicativos.
Vigilancia de las
herramientas de PTI Soporte Técnico Soporte Técnico Área de Sistemas
trabajo.
PTI: PROCEDIMIENTOS CON TI

PSN: PROCEDIMIENTOS STANDARES DEL NEGOCIO
PTN: PROCEDIMIENTOS DE TRANSACCIONES DEL NEGOCIO
4. IDENTIFICACION DE ACTIVOS PARA DATOS
Nombre del Sistema : Módulo del Sistema de Ventas

Fecha de Evaluación : 10 de Octubre del 2006
Evaluado por : David Vera
Activos de Información
Información en Procesamiento
Recepción de Pedido de Clientes - Consulta al módulo de producción para atención
de pedido
Elaboración de Factura - Almacenamiento de factura
Realizar Cobranzas a Clientes - Actualización de información de clientes y módulo
de ventas
Entrega de Pedidos a Clientes - Almacén despacha factura
Nombre del Sistema : Módulo del Sistema de Compras

Evaluado por : Christian Rivera
Elaboración de Pedido a Proveedores - Consulta al módulo de almacén para elaborar
requerimiento
Elaboración de Documentos de Pago – Almacenamiento de documento de pago
Realizar Pagos a Proveedores - Actualización de información de proveedores y
módulo de compras
Entrega de Pedidos a Almacén - Almacén despacha vale de recepción
Nombre del Sistema : Módulo del Sistema de Contabilidad

Evaluado por : David Vera Olivera
Información en Almacenamiento
Consulta de Módulos de Ventas y Compras - Cargado de documentos al módulo de
contabilidad
Validación de Información Ingresada con Balance General - Consulta de información
en el módulo de contabilidad
Elaboración de Informes Contables y Financieros - Entrega de documentos a
administrativos
Nombre del Sistema : Módulo del Sistema de Producción


Ingreso de Ficha Técnica de Producto - Cargado de datos al módulo de producción y

desarrollo
Generación de Documentos de Control de Producción – Consultas, cargado y
actualización de módulo de producción
Monitoreo de Avance de los Productos del Pedido – Actualización de módulo de
producción y demás relacionados
Entrega de Pedido a Almacén – Cargado de datos al módulo de almacén
III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN
1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES
 Hardware: Por inoperatividad del hardware
IMPACTO A LA
DESCRIPCIÓN
RENTABILIDAD
Servidores ALTO
Estaciones de trabajo MEDIO
Dispositivos de E/S conectados a
BAJO
estaciones de trabajo
 Software: Por inoperatividad del software
IMPACTO A LA
NOMBRE DESCRIPCIÓN
RENTABILIDAD
Uso de sistema operativo de los
WINDOWS 2003 SERVER ALTO
servidores.
WINDOWS XP Uso de sistema operativo de la
MEDIO
PROFESSIONAL estación de trabajo.
Manejador de Base de datos
MS SQL SERVER 2000 MEDIO
empresarial.
Uso ofimática de la estación de
MS OFFICE 2003 BAJO
trabajo.
Uso de herramienta de
MS VISUAL STUDIO .NET
desarrollo del sistema de la MEDIO
2003
empresa.
Protección de ataque de virus a
NOD32 ANTIVIRUS SYSTEM las herramientas de trabajo a la ALTO
estación de trabajo.
Uso de correo electrónico
MOZILLA THUNDERBIRD BAJO
interno de la empresa.
Sistema integrado para los
INFORGEST ALTO
procesos de la empresa.
Sistema para desarrollo y
TOOLS MEDIO
mantenimiento del ERP.
El software que ayuda al
LECTRA MEDIO
proceso de moldaje.
 Redes: Por inoperatividad del dispositivos de red
IMPACTO A LA
DISPOSITIVO DESCRIPCIÓN
RENTABILIDAD

Provee la conectividad de la LAN a

Router Internet (Usan tecnología Ethernet, ALTO
protocolo de red)
Conecta los Routers con los otros
Switch ALTO
switches y estaciones de trabajo.
2. ANALISIS DE ACTIVOS DE PERSONAS
Por malas practicas de Seguridad de la información:
IMPACTO A LA
PERSONAS DESCRIPCIÓN
RENTABILIDAD
Administradores Confiables MEDIO
Empleados Confiables MEDIO
Digitadores No Confiables ALTO
3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOS

Por malas practicas en la ejecución de procedimientos que afectan el
contenido de los documentos:
IMPACTO A LA
PROCEDIMIENTO RELACIÓN
RENTABILIDAD
Con los módulos de:
Logística, Contabilidad y ALTO
transacciones de venta.
Ventas.
transacciones de los
Venta, Compras, MEDIO
inventarios de los avios,
Contabilidad y Almacén.
hilos y telas.
Documentación de las Con los módulos de:
transacciones de caja Logística, RR. HH., ALTO
contable. Ventas y Compras.
Documentación de las Con los módulos de:
fichas técnicas de Almacén, Producción y MEDIO
prenda. Desarrollo.
Logística, Contabilidad y MEDIO
transacciones compra.
Compras.
Documentación de los
A todo el personal de la
roles y las funciones de BAJO
empresa SUMIT S.A.C.
las autoridades
A todo el personal de la
reglas y políticas de las BAJO
empresa SUMIT S.A.C.
de empresa.
Documentación del Solo al personal del Área
balance contable y Contable y ALTO
estado de G/P por año. Administración
Administración y Área de Centro de
mantenimiento de los Computo y Soporte MEDIO
Sistemas Operativos. Técnico
Administración y Área de Centro de MEDIO
Mantenimiento de los Computo y Soporte
sistemas y/o Técnico

aplicativos.
Vigilancia de las
herramientas de Soporte Técnico MEDIO
trabajo.
4. ANALISIS DE ACTIVOS PARA DATOS
Por inoperatividad del sistema
Nombre del Sistema : Módulo del Sistema de Ventas

Evaluado por : David Vera
Información en Procesamiento Clasificación Impacto a la
de Datos Rentabilidad
Recepción de Pedido de Clientes - Consulta al
módulo de producción para atención de Uso Interno ALTO
pedido
Elaboración de Factura - Almacenamiento de
Uso Interno ALTO
factura
Realizar Cobranzas a Clientes - Actualización
de información de clientes y módulo de Uso Interno ALTO
ventas
Entrega de Pedidos a Clientes - Almacén
Uso Interno ALTO
despacha factura
Nombre del Sistema : Módulo del Sistema de Compras

Elaboración de Pedido a Proveedores -
Consulta al módulo de almacén para elaborar Uso Interno ALTO
requerimiento
Elaboración de Documentos de Pago –
Uso Interno ALTO
Almacenamiento de documento de pago
Realizar Pagos a Proveedores - Actualización
de información de proveedores y módulo de Uso Interno ALTO
compras
Entrega de Pedidos a Almacén - Almacén
Uso Interno ALTO
despacha vale de recepción
Nombre del Sistema : Módulo del Sistema de Contabilidad

Evaluado por : David Vera Olivera
Información en Almacenamiento Clasificación Impacto a la
Consulta de Módulos de Ventas y Compras - Uso Interno ALTO
Cargado de documentos al módulo de

contabilidad
Validación de Información Ingresada con
Balance General - Consulta de información en Uso Interno ALTO
el módulo de contabilidad
Elaboración de Informes Contables y
Financieros - Entrega de documentos a Uso Interno ALTO
administrativos
Nombre del Sistema : Módulo del Sistema de Producción

Ingreso de Ficha Técnica de Producto -
Cargado de datos al módulo de producción y Uso Interno ALTO
desarrollo
Generación de Documentos de Control de
Producción – Consultas, cargado y Uso Interno ALTO
actualización de módulo de producción
Monitoreo de Avance de los Productos del
Pedido – Actualización de módulo de Uso Interno ALTO
producción y demás relacionados
Entrega de Pedido a Almacén – Cargado de
Uso Interno ALTO
datos al módulo de almacén
IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN
ACTIVOS DE INFORMACIÓN
Información de Ventas
Información de Compras
Información de Contabilidad
Información de Producción
Información de Logística
Información de Almacén
Información de RR. HH.
V. AUTORIZACIÓN
PUESTOS PLAZA NIVEL DE AUTORIZACIÓN

Administrativos 8 Confidencial, Uso Interno, Publica
Jefe de Almacén 1 Confidencial, Uso Interno
Jefe de Desarrollo 1 Confidencial, Uso Interno
Jefe de Producción 1 Confidencial, Uso Interno
Empleados 41 Uso Interno
Digitadores 10 Uso Interno
Proveedores y Clientes 10 Publica
Confidencial: Relevante para el negocio y solo puede acceder a ella un grupo

reservado de personas.
Uso Interno: De uso para los miembros de la empresa.
Publica: De uso para el publico externo a la empresa como por ejemplo clientes
y proveedores.

VI. IDENTIFICACIÓN DE AMENAZAS
Identificación de todas las amenazas encontradas según el caso q podría

ocurrir en cualquier momento a la empresa, en base al historial de la
empresa.
 Hardware:
ACTIVO AMENAZAS
 Desviaciones en la calidad de proveedores servicios: co
 rte súbito de electricidad que afecte las operaciones.
 Ataques deliberados al software: ataques de hackers:
gusanos, troyanos, etc.
 Fuerzas de la naturaleza: p
 osible Incendio por desperfecto eléctrico, temblores de
SERVIDOR alto grado en épocas de movimientos sísmicos.
 Fallas o errores técnicos de hardware.
 Actos deliberados de robo.
 Obsolescencia tecnológica.

 Desviaciones en la calidad de proveedores servicios:
corte súbito de electricidad que afecte las operacio-
nes.
 Ataques deliberados al software: ataques de hackers:
 Fuerzas de la naturaleza: posible Incendio por desper-
PC
fecto eléctrico.
 Posible Temblores de alto grado en épocas de movi-
mientos sísmicos.
 Fallas o errores técnicos de hardware.
nes.
 Fuerzas de la naturaleza: posible Incendio por desper-
MAQUINARIAS fecto eléctrico, temblores de alto grado en épocas de
movimientos sísmicos.
 Fallas o errores técnicos de hardware: fallas de fábrica
 Actos de fallas o error humano: fallas por uso.
 Software:
ACTIVO AMENAZAS
SISTEMAS  Ataques deliberados al software: ataques de hackers:


OPERATIVOS  Obsolescencia tecnológica.
ANTIVIRUS  Compromisos de propiedad intelectual.

 Ataques deliberados al software: destrucción o daño
de los sistemas de información.
SISTEMAS Y/O  Actos deliberados de espionaje o traspaso: acceso no
APLICATIVOS autorizado y/o recolección de datos indebido.
 Actos deliberados de sabotaje o vandalismo.

 Red:
ACTIVO AMENAZAS
nes.
ROUTERS, SWITCHES  Fuerzas de la naturaleza: posible Incendio, temblores
de alto grado en épocas de movimientos sísmicos.
 Fallas o errores técnicos de hardware: fallas de fábrica
VII. CATEGORIZACIÓN DE COMPONENTES

En la tabla se muestra la categorización de los componentes, según los activos
identificados con su clasificación de uso y las amenazas mas frecuentes
encontradas en la empresa “SUMIT S.A.C.”
Categorización
Inventario de Acti- Identificación Amenazas a
Componentes de Categorización
vos los Activos Identificados
Sistemas

Acceso lógico no autorizado con modifi-

Servidor a la Base de Datos Uso Interno cación (inserción, repetición) de infor-
mación en tránsito.
Acceso lógico no autorizado con corrup-
ción o destrucción de información en
Servidor de Correos Confidencial tránsito mediante mails internos (reduc-
ción de integridad de información: sabo-
taje inmaterial, virus)
Acceso lógico no autorizado al control

del tipo de tráfico que fluye a través de
Servidor Proxy Uso Interno la red (es decir, correo electrónico, pagi-
nas web, archivos de ftp, etc) y supervi-
sión de la seguridad en la red.
PC para la estación de traba- Acceso lógico no autorizado pasivo (lec-

Confidencial tura)
jo
Windows 2003 Server Confidencial Manteniendo del Sistema Operativo
Windows XP Professional Pública Manteniendo del Sistema Operativo
Hardware, Soft- MS SQL Server 200 Pública
Acceso no autorizado y/o recolección de
datos indebida.
ware y Redes
MS Office 2003 Pública Manteniendo del Sistema Operativo
MS Visual Studio .Net 2003 Uso Interno Manteniendo el Sistema Inforgest
Probabilidad de no detectar los cracker,
NOD32 Antivirus System Pública virus, etc.
Ataques con Virus, Gusanos, Troyanos,
Mozzilla Thunderbird Uso Interno por Hacker.
Inforgest Confidencial datos indebida.
Tools Confidencial Manteniendo el Sistema Inforgest
LECTRA Confidencial datos indebida.
Routers y Switches Confidencial Falla en Equipos.
Intranet (tecnología Ether- Secuencia o entrega de la información en
net, protocolo de red Pública tránsito
TCP/IP)
Internet para algunos traba- Secuencia o entrega de la información en
Pública tránsito
jadores
Administrativos de la empre- Confidencialidad del conocimiento del
Confidencial negocio
sa
Empleados de estación de la Confidencialidad del conocimiento del
Personas empresa
Pública negocio
Confidencialidad del conocimiento del
Digitadores Uso Interno negocio

Falla en la actualización de los documen-

Documentación de las tran- tos de ventas, cuando se realiza una ac-
Uso Interno
sacciones de venta. tualización del sistema.
Documentación de las tran- tos de inventario, cuando se realiza un
sacciones de los inventarios Pública movimiento del compra/venta, en la ac-
de los avios, hilos y telas. tualización del sistema.
Documentación de las tran- Error en los flujos de caja automatiza-
Pública dos, con los recibos recibidos por caja.
sacciones de caja contable.
Documentación de las fichas Error en la actualización de datos técni-
Pública cos de ficha de una prenda del sistema.
técnicas de prenda.
Documentación de las tran- tos de compras, cuando se realiza una
Uso Interno
sacciones compra. actualización del sistema.
Documentación de los roles y Acceso no autorizado y/o modificación
Procedimientos las funciones de las autorida- Confidencial de datos indebida.
des
Documentación de las reglas Acceso no autorizado y/o modificación
y políticas de las de empre- Pública de datos indebida.
sa.
Documentación del balance Error en los flujos de caja automatiza-
contable y estado de g/p por Confidencial dos, el estado de ganancia/perdida docu-
año. mentado.
Administración y manteni- Acceso lógico no autorizado inutilización
miento de los Sistemas Ope- Uso Interno por destrucción o robo (SW, procedimien-
rativos. tos, etc.)
Administración y Manteni- Acceso lógico no autorizado con inutiliza-
miento de los sistemas y/o Uso Interno ción por destrucción o robo (SW, procedi-
aplicativos. mientos, etc.)
Acceso físico no autorizado con inutiliza-
Vigilancia de las herramien- ción por destrucción o robo (HW, equi-
Uso Interno
tas de trabajo. pos, etc.)
Módulo del Sistema de Ventas Confidencial cación (inserción, repetición) de infor-
mación en tránsito.
Módulo del Sistema de Com- cación (inserción, repetición) de infor-
Confidencial
pras mación en tránsito.
Datos Acceso lógico no autorizado con modifi-
Módulo del Sistema de Conta- cación (inserción, repetición) de infor-
Confidencial
bilidad mación en tránsito.
Módulo del Sistema de Pro- cación (inserción, repetición) de infor-
Confidencial
ducción mación en tránsito
VIII. LISTA DE VULNERABILIDADES
 Software:
AMENAZAS VULNERABILIDAD
- Ataques de programas maliciosos al
Ataques deliberados al software
sistema operativo.
- Error en el ingreso de datos que
pueden afectar la integridad de la
Actos de fallas o error humano información.
- Fallas en el sistema por inadecua-
das configuraciones.
- Fallas de la plataforma y base de
Fallas o errores técnicos de software
datos corregidas en los parches.

- Inoperatividad de algunos procesos

informáticos por errores internos
del sistema empresarial.
- Baja capacidad del sistema de
Desviaciones en la calidad de satisfacer los requerimientos de los
proveedores de servicios usuarios.
- Diseño de procesos informáticos no
óptimos lo cual genera demora en
algunos procesos del negocio.
- Programas maliciosos instalados
remota o localmente (programas de
control remoto, grabadores de lo
tecleado en la PC, etc.) pueden
Espionaje o Traspaso comprometer la información
confidencial de la empresa.
- Mala cultura respecto a la
seguridad de la información por
parte de los usuarios.
 Personas:
- Error en el ingreso de datos que
pueden afectar la integridad de la
Actos de fallas o error humano información.
- Fallas en el sistema por
inadecuadas configuraciones.
- Personal que realiza servicios de
terceros dentro de la empresa y
Espionaje o Traspaso que tienen acceso a información
confidencial e interna de los
sistemas.
 Hardware:
- Servidor
- Corte Súbito de Electricidad que
Desviaciones en la calidad de
afecte las operaciones en el
proveedores de servicios
sistema ERP.
- Ataques de Hackers, Ataques al
Ataques deliberados al software Servidor Interno (Intranet) usando
Smurfing o Spoofing.
- Posible incendio por desperfecto
eléctrico.
Fuerzas de la naturaleza
- Posibles temblores de alto grado en
épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware - Fallas en hardware de fabrica
- Fallas en hardware por su uso, ina-
Actos de fallas o error humano
decuadas configuraciones.

- PC:
- Ataques de Hackers: Gusanos,
Troyanos, etc.
- Posible incendio por desperfecto
eléctrico
Fuerzas de la naturaleza
- Posibles temblores de alto grado en
- Fallas en hardware de fábrica.
Fallas o errores técnicos de
- Fallas en hardware por su uso,
hardware
inadecuadas configuraciones.
- Red: Routers y Switches
- Monitoreo de Red usando Sniffers,
Scanners de Red, Actividades de
Espionaje o Traspaso rastreo de IP pueden revelar
información Uso Interno.
- Posibilidad de Ataques con Virus,
Gusanos, Troyanos, por Hacker a
cualquiera de estos activos de
Networking, a sus sistemas
operativos, procesadores; lo que
causaría fallas de funcionamiento
de la red y la caída de la seguridad
de la red.
Desviaciones en la calidad de - Corte súbito de electricidad.
proveedores de servicios
- Posible Incendio por desperfecto
eléctrico
Fuerzas de la naturaleza - Posible Temblores de alto grado en
Fallas o errores técnicos de - Falla en Equipos.
hardware
IX. EVALUACIÓN DE RIESGOS
 Software:
Frecuencia por Frecuencia por

DESCRIPCION AMENAZA Impacto
ocurrencia ocurrencia Anual
Ataques de programas
maliciosos al sistema 30,000.00 1 cada 2 meses 6
operativo.
Error en el ingreso de
datos que pueden afectar
10.00 2 cada semana 104
la integridad de la
información.
Fallas de la plataforma y 25,000.00 2 cada año 2

base de datos corregidas

en los parches.
Inoperatividad de algunos
procesos informáticos por
30,000.00 1 al mes 12
errores internos del
sistema empresarial.
Diseño de procesos
informáticos no óptimos
lo cual genera demora en 5.00 10 al mes 120
algunos procesos del
negocio.
 Servidor:

Posible incendio por
8,000.00 1 cada 3 años 0.33
desperfecto eléctrico.
Ataques de Hackers,
ataques al Servidor
Interno (Intranet) que 1 vez cada 2
40,000.00 0.5
aloja al Sistema ERP años
usando Smurfing o
Spoofing.
Posibles temblores de
1 vez cada 10
alto grado en épocas de 8,000.00 0.1
años
Fallas en hardware de 1 vez cada 5
4,000.00 0.2
fabrica años
Fallas en hardware por su
1 vez cada 6
uso, inadecuadas 2,000.00 2
meses.
configuraciones.
 PC:

Ataques de Hackers:
1,000.00 1 por semana 52
Gusanos , Troyanos, etc.
Posible incendio por 1 vez cada 2
35,000.00 0.5
desperfecto eléctrico años
1 vez cada 10
alto grado en épocas de 35,00.00 0.1
años
Fallas en hardware de 1 vez cada 5
10,000.00 0.2
fabrica años
Fallas en hardware por su
1 vez cada 2
uso, inadecuadas 3,000.00 6
meses
configuraciones.
 Red:
DESCRIPCION AMENAZA Impacto Frecuencia por Frecuencia por


Monitoreo de Red usando
Sniffers, Scanners de
Red, Actividades de
2,000.00 1 cada 6 meses 2
rastreo de IP pueden
revelar información Uso
Interno.
Posibilidad de Ataques
con Virus, Gusanos,
Troyanos, por Hacker a
cualquiera de estos
activos de Networking, a
sus sistemas operativos, 300.00 1 vez por mes. 12
procesadores; lo que
causaría fallas de
funcionamiento de la red
y la caída de la
seguridad de la red.
Corte súbito de
30.00 1 vez por mes 12
Electricidad
Posible incendio por 1 vez cada 6
450.00 2
desperfecto eléctrico meses
alto grado en épocas de 1 vez cada 10
450.00 0.1
movimientos sísmicos. años
Falla en Equipos. 1 vez cada 4
300.00 3
meses
X. SALVAGUARDAS
Se lista las salvaguardas siguientes:
Salvaguardas
Mantenimiento preventivo de instalaciones eléctricas.
Ubicación de extinguidores y detectores de humo en zonas potenciales

de recarga eléctrica.
Adquisición de un IDS.
Programa de Concientización a los usuarios sobre las implicancias eco-

nómicas y de imagen por esta naturaleza de fallas.
Designación de la labor de vigilancia de parches y actualizaciones para

los softwares que maneja la empresa.
Estandarización de los procesos alternativos en caso de inoperatividad

del sistema para disminuir tiempos de corrección y actualización de in-
formación en el sistema.

Alquilar un local usarlo de modo alterno en épocas cercanas a predic-

ciones de desastres y un plan de salida del local oficial y de traslado de
los activos.
Realizar un estudio de la calidad de los proveedores para tener una

cartera de proveedores fiables.
Capacitación al personal encargado de las configuraciones.

Instalación de Programas de Protección y Antivirus y actualizaciones
oportunas.
Adquisición de generador eléctrico y UPS’s.
Capacitación al personal encargado de diseñar procesos informáticos

Poseer equipos de reemplazo.
XI. VULNERABILIDADES Y SALVAGUARDAS
Vulnerabilidades
Salvaguardas
• Mantenimiento preventivo de
instalaciones eléctricas
Posible incendio por desperfecto eléctrico. • Ubicación de extinguidores y
detectores de humo en zonas
potenciales de recarga eléctrica.
Ataques de Hackers, ataques al Servidor
Interno (Intranet) que aloja al Sistema ERP • Adquisición de un IDS.
usando Smurfing o Spoofing.
• Programa de Concientización a los
Error en el ingreso de datos que pueden usuarios sobre las implicancias
afectar la integridad de la información. económicas y de imagen por esta
naturaleza de fallas.
• Designación de la labor de vigilancia
Fallas de la plataforma y base de datos de parches y actualizaciones para
corregidas en los parches. los softwares que maneja la
empresa.
• Estandarización de los procesos
alternativos en caso de
Inoperatividad de algunos procesos
inoperatividad del sistema para
informáticos por errores internos del sistema
disminuir tiempos de corrección y
empresarial.
actualización de información en el
sistema.
• Alquilar un local usarlo de modo
alterno en épocas cercanas a
Posibles temblores de alto grado en épocas de
predicciones de desastres y un plan
de salida del local oficial y de
traslado de los activos.
• Realizar un estudio de la calidad de
Fallas en hardware de fábrica. los proveedores para tener una
cartera de proveedores fiables.
Fallas en hardware por su uso, inadecuadas • Capacitación al personal encargado
configuraciones. de las configuraciones.

• Instalación de Programas de
Ataques de Hackers: Gusanos , Troyanos, etc. Protección y Antivirus y
actualizaciones oportunas.
Monitoreo de Red usando Sniffers, Scanners de
Red, Actividades de rastreo de IP pueden • Adquisición de un IDS.
revelar información uso Interno.
• Adquisición de un IDS.
Ataques de programas maliciosos al sistema • Instalación de Programas de
operativo. Protección y Antivirus y
actualizaciones oportunas.
• Adquisición de generador eléctrico y

Corte súbito de electricidad
UPS’s.
Diseño de procesos informáticos no óptimos lo

• Capacitación al personal encargado
cual genera demora en algunos procesos del
de diseñar procesos informáticos
negocio.
Falla en equipos de red. • Poseer equipos de reemplazo.
Posibilidad de Ataques con Virus, Gusanos,
Troyanos, por Hacker a cualquiera de estos • Adquisición de un IDS.
activos de Networking, a sus sistemas • Instalación de Programas de
operativos, procesadores; lo que causaría Protección y Antivirus y
fallas de funcionamiento de la red y la caída actualizaciones oportunas.
de la seguridad de la red.

Auditoria Textil 25-10-2006

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria Textil 25-10-2006

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD NACIONAL DE INGENIERIA

Facultad de Ingeniería Industrial y de Sistemas

Auditoria de Sistemas Pág. 1

IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS PARA LA EMPRESA

SUMIT SAC es una empresa de confecciones parte de un Consorcio Textil

Auditoria de Sistemas Pág. 2

II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN

1. IDENTIFICACION DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES

CANTIDAD DISPOSITIVO DESCRIPCIÓN FUNCION

SO: SISTEMA OPERATO

CANTIDAD DISPOSITIVO DESCRIPCIÓN FUNCION

Auditoria de Sistemas Pág. 3

protocolo de red TCP/IP).

2. IDENTIFICACION DE ACTIVOS PARA PERSONAS

PERSONAS NUMERO DESCRIPCIÓN

3. IDENTIFICACION DE ACTIVOS PARA PROCEDIMIENTOS

Almacenada Almacenado en caso

Auditoria de Sistemas Pág. 4

PTI: PROCEDIMIENTOS CON TI

4. IDENTIFICACION DE ACTIVOS PARA DATOS

Nombre del Sistema : Módulo del Sistema de Ventas

Nombre del Sistema : Módulo del Sistema de Compras

Nombre del Sistema : Módulo del Sistema de Contabilidad

Nombre del Sistema : Módulo del Sistema de Producción

Auditoria de Sistemas Pág. 5

Ingreso de Ficha Técnica de Producto - Cargado de datos al módulo de producción y

III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN

1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES

 Hardware: Por inoperatividad del hardware

 Software: Por inoperatividad del software

 Redes: Por inoperatividad del dispositivos de red

Auditoria de Sistemas Pág. 6

Provee la conectividad de la LAN a

2. ANALISIS DE ACTIVOS DE PERSONAS

Por malas practicas de Seguridad de la información:

3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOS

Auditoria de Sistemas Pág. 7

4. ANALISIS DE ACTIVOS PARA DATOS

Por inoperatividad del sistema

Nombre del Sistema : Módulo del Sistema de Ventas

Nombre del Sistema : Módulo del Sistema de Compras

Nombre del Sistema : Módulo del Sistema de Contabilidad

Auditoria de Sistemas Pág. 8

Nombre del Sistema : Módulo del Sistema de Producción

IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN

PUESTOS PLAZA NIVEL DE AUTORIZACIÓN

Confidencial: Relevante para el negocio y solo puede acceder a ella un grupo

Auditoria de Sistemas Pág. 9

VI. IDENTIFICACIÓN DE AMENAZAS

Identificación de todas las amenazas encontradas según el caso q podría

 Actos deliberados de robo.

Auditoria de Sistemas Pág. 10

gusanos, troyanos, etc.

VII. CATEGORIZACIÓN DE COMPONENTES

Auditoria de Sistemas Pág. 11

Acceso lógico no autorizado con modifi-

Acceso lógico no autorizado al control

PC para la estación de traba- Acceso lógico no autorizado pasivo (lec-

Auditoria de Sistemas Pág. 12

Falla en la actualización de los documen-

VIII. LISTA DE VULNERABILIDADES

Auditoria de Sistemas Pág. 13

- Inoperatividad de algunos procesos

Auditoria de Sistemas Pág. 14