Rony M. González Sánchez 624654Darwin J. Velandia Morales 624645

La empresa Atoland S.A. , empresa que se dedica al sector financiero, específicamente a otorgar préstamos al consumo, ha sufrido un marcado crecimiento en los últimos años. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la función TI de la empresa fuese adaptándose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se está operando.

Para contar con una perfecta descripción de la situación actual y sus implicancias, han decidido contratar a una empresa consultora para que releve y evalúe cómo está operando y se está gestionando la función TI.

Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones respecto a los procedimientos que se encuentran vigentes de hecho y cuál es la estructura:

El personal de TI son 12 personas, incluido un gerente de área. A este gerente responden: un administrador de base de datos, dos personas de soporte técnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores.

Si bien cada persona tiene asignado su cargo, en la práctica las posiciones se superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto genera un conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan.

La estructura de hardware es la siguiente: dos servidores Windows Server 2003, un servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2 módems).

Respecto al software se ha detectado: sistema operativo Windows 7, MS Office, DBMS Oracle para Unix, sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado “TotalOne” (del que se han adquirido tres módulos: contable, personal y activo fijo) y una aplicación desarrollada por la empresa de gestión de créditos.

Del relevamiento, también surgió que, exceptuando el software que se encuentra en el servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con licencia de uso. Respecto al software que no tenían esta licencia se comentó que dado el entorno Linux es de software libre no es necesario contar con licencias de uso para el mismo.

La adjudicación de usuarios es realizada exclusivamente por el administrador de usuarios. El procedimiento es el siguiente: en un formulario pre-impreso pre-numerado, en el cual el usuario llena cuáles son sus datos y cuáles son las aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se entrega al administrador. Este, en el correr del día, asigna usuario y contraseña y se la comunica al usuario para que pueda empezar a trabajar.

Todos los usuarios tienen acceso a e-mail e Internet. Para ello se ha definido un servidor de correo y un servidor de internet, en el cual se encuentra totalmente actualizando un

antivirus diariamente. Exceptuando esta opción, solamente el gerente general cuenta con módem en su computadora portable (el cual utiliza para acceder a la red corporativa) con la opción de ingreso a Internet.

Los PCs y el portable cuentan con antivirus los cuales se actualizan mensualmente.

En una etapa pasada, el gerente anterior del centro de cómputo entendía que el personal de informática no tenía nada que hablar con el usuario, por lo que solamente se podían comunicar por un teléfono específicamente dedicado a recibir solicitudes de los usuarios, y por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de gerencia y dado los problemas generados por la situación anterior, hoy día se cuenta con una política de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD.

Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copias las cuales se guardan en una caja fuerte ignífuga (a prueba de fuego) dentro del centro de cómputos. Los respaldos los realiza el último programador que se retira en el día, acordando entre ellos quién será cada día el encargado.

No se ha identificado la existencia de un plan de contingencia. Sin embargo existe un contrato con un tercero, el cual proveerá, en caso de un siniestro, un equipamiento con las mismas características que el existente y con un similar sistema operativo.

El SIG desarrollado internamente ha sido idea de un programador, el cual hoy es el gerente. Dado el éxito de esta aplicación en la empresa, esta persona se asoció con otra persona creando la empresa Osoft, la cual comercializa el mismo en el mercado.

De acuerdo a la situación detallada anteriormente, el próximo paso se encuentra orientado a la identificación de posibles riesgos existentes no mitigados (no cubiertos y/o sin controles adecuados) y proponer soluciones alternativas para mitigarlos.

Por problemas contractuales la empresa consultora sólo realizó el relevamiento y no puede realizar esta otra etapa propuesta, por lo cual Atoland ha decidido contratarlo a usted como profesional universitario para que pueda finalizar el trabajo.

Se pide:

a) Explicarle a los directivos qué es un riesgo informático.b) Identificar los posibles riesgos para lo cual se debe realizar:

Una lista de los activos Una lista de las amenazas Una lista de las vulnerabilidades

Solución Planteada

a) Señores directivos de Atoland S.A., un riesgo es aquel evento o suceso que interfiere con el cumplimiento de un objetivo, cuyas consecuencias pueden ser pérdidas o ganancias. A nivel informático, este se establece como una amenaza (aquellas acciones que pueden ocasionar consecuencias negativas en la operación de la empresa) que se materializó, determinando el grado en que se encuentra expuesto a la ocurrencia de una pérdida.

1- Identificación de activos de Información:

Nombre Vulnerabilidad AmenazaDATOS

Aplicaciones, bases de datos, formularios.Sin configuración de permisos

según perfil de usuario. Accesos no autorizados.HARDWARE

2 servidores Windows Server 2003, 1 servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2 módems). El gerente cuenta con un módem en su computadora portable.

Al parecer la empresa cuenta sin UPS.

Incendio.Inundación.

Falta de corriente.Terremoto.

SOFTWARESistema operativo Windows 7, MS Office, DBMS Oracle para Unix, sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado “TotalOne” (del que se han adquirido tres módulos: contable, personal y activo fijo) y una aplicación desarrollada por la empresa de gestión de créditos.

Antivirus no actualizados.

Falta de conocimientos adecuados de los usuarios.

Virus.

Accesos no autorizados.

Robo/Edición Software.

EDIFICIOSEmpresas Atoland S.A y Osoft.

Falta de cámaras de Seguridad. Robo de Activos.

RECURSOS HUMANOSEl personal de TI son 12 personas, incluido un gerente de área. A este gerente responden: un administrador de base de datos, dos personas de soporte técnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores.

Acceso de personal ajeno a la empresa.

Robo de Activos.

BASES DE DATOSOracle

Sin configuración de permisos según perfil de usuario.

Accesos no autorizados.

BACKUPDiariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copias las cuales se guardan en una caja fuerte ignífuga (a prueba de fuego) dentro del centro de cómputos. Los respaldos los realiza el último programador que se retira en el día, acordando entre ellos quién será cada día el encargado.

No hay respaldos externos.

Inundación.

Falta de corriente.

Terremoto.

2- Definir   Tablas   con   escalas   de   Frecuencia   e   impacto.

Tabla Impacto.

Tabla Frecuencia (Probabilidad).

A Entre 81% - 100% Valor: 5 B Entre 61% - 80% Valor: 4C Entre 41% - 60% Valor: 3 D Entre 21% - 40% Valor: 2E Entre 0% - 20% Valor: 1

3- Matriz   de   análisis   de   Riesgos:

Accesos no

Autorizados

Incendio

Inundación

Falta de corrient

e

Terremoto

Virus

Robo de

Activos

Robo/Edición

Software

Probabilidad

Prob. Prob. Prob. Prob. Prob.

Prob. Prob.

Activo Impacto

Datos 2 C D E - E B C CHardwar

e2 C D E D E B C -

Software 2 C D E - E B C CEdificios 5 D D E D E - C -Recurso

s Humano

s

3 D D E - E - - -

Bases de

Datos

3 D D E D E B C C

Backup 3 D E E D E B C C

4- Evaluación   de   Riesgos

Id. Descripción Probabilidad

Impacto

Riesgo Total

R1Un siniestro de la naturaleza como un terremoto o inundación o haya un incendio, destruya la totalidad o parte de los Edificios de la empresa.

E(1) 5 5

R2Pérdida de la información y/o de las copias de seguridad de las bases de datos debido a un siniestro de la naturaleza (incendio o terremoto).

E(1) 5 5

R3 Robo de la información y/o del software por personal ajeno de la empresa.

C(3) 3 9

R4 Acceso a los datos y/o bases de datos por hackers o personal con malas intenciones para degradar la imagen de la empresa.

D(2) 3 6

R5 Virus ataque al software de la empresa, el cual interrumpa la operación de la empresa.

B(4) 3 12

R6 Virus ataque al hardware de la empresa, el cual interrumpa la operación de la empresa.

B(4) 3 12

R7 Exempleados o personal activo de la empresa roben activos de la empresa.

D(2) 3 6

R8 Virus borre información. C(3) 2 6R9 Falta de corriente por no tener UPS, deje sin

energía el hardware de la empresa e interrumpa la operación de la empresa.

D(2) 2 4

R10 Expiración de licencias y/o no actualización de software y antivirus.

D(2) 2 4

Riesgo = Impacto * Probabilidad, Orden de > a < = R6-R5-R3-R8-R7-R4-R2-R1-R10-R95- Semaforización

6- Tratamiento de riesgos

Se formulan a continuación una contramedida viable para reducir el impacto, capacitar a todos los empleados, como al gerente y demás personal encargado en los siguientes aspectos:

Acceso lógico de personal no autorizado. Manipulación inadecuada de datos. Modificación no autorizada de datos. Fallas en el ingreso de los datos. Perdida de datos. Ejecución no autorizada de programas. Destrucción parcial o total del software. Manipulación fraudulenta de información.

Ya que el riesgo con mayor impacto en el ejercicio tiene que ver con los virus y con el acceso no autorizado a la información de la empresa, robando así información y degradando de esta manera la imagen de la empresa, puesto que se viola la integridad, confidencialidad y disponibilidad.

7- Aplicar la evaluación de riesgos teniendo en cuenta las contramedidas formuladas

A continuación, como parte del tratamiento de los riesgos potenciales determinados anteriormente, se termina el análisis de riesgos con las siguientes preguntas dirigidas a la alta gerencia, empleados y demás cargos de la empresa, para evaluar así la capacidad ante una eventualidad, y dar a conocer que existen aún muchas amenazas y vulnerabilidades en la parte de TI.

¿Existen normas y procedimientos escritos a cerca del funcionamiento de los servicios informáticos?

¿El servicio informático está separado del resto de departamentos?

¿Existe y es adecuada la separación de funciones en el servicio de información a los departamentos de los usuarios?

¿El personal de producción no participa en los procesos de desarrollo?

¿El personal de desarrollo no participa en los procesos de producción?

¿El personal de producción conoce perfectamente cuáles son sus funciones?

¿Está controlado el acceso de operadores a programas y datos no necesarios para su trabajo?