Caso Practico - Magerit

Caso Ca so Pr Prác ácttico - Ma Mag ger eritit AUDITORIA Y SEGURIDAD EN INFORMÁTICA INTEGRANTES: NELSON COQCHI APAZA – 10200092 ZÚÑIGA ACHULLI HAROLD – 12200180

Procesos del negocio Proceso

Descripción

Ventas

Ventas de baterías a clientes finales o distribuidores

Gestión de Almacén

Para el control de los productos de inventario y el seguimiento

Servicio Post Venta

Instalación de equipos , asesorías técnicas y revisiones

Inventario Activo Nombre

Descripción

Categoría

Computadora

Computadoras para los empleados por departamento

Físico

Una impresora ubicada para cada departamento

Físico

Impresora

Punto de red

Puntos de red para computadoras Físico e impresoras en la empresa

Fax y Fotocopiadora

Fax ubicado en departamentos

Físico

Scanner

Para uso de los empleados Módem para la conexión a internet Sistema para registrar y administrar las ventas de la empresa Repositorio de datos con información de la empresa y clientes

Físico

Módem Sistema de ventas Base de datos

Sistema Contable

Sistema de administración de la contabilidad de la empresa

Físico Aplicación Datos Aplicación

ESTIMACION DE RIESGO IMPACTO

PROBABILIDAD

SEVERIDAD

A: ALTO (3)

A: PROBABLE(3)

A: IMPORTANTE

M: MEDIO(2)

M: POSIBLE(2)

M: APRECIABLE

B: BAJO(1)

B: POCO PROBABLE(1)

B: BAJO

A R O D A T U P M O C

A R O S E R P M I I

D E R E D O T N U P

Riesgo o amenaza

Código

Impacto

Probabilidad

Severidad

Existe riesgo de incendio para las computadoras

RC1

A

M

M

Riesgo de robo por la zona de los locales

RC2

B

B

B

Riesgo de pérdida de datos importantes

RC3

M

M

A

Existe riesgo de uso para fines que no corresponden al trabajo de la empresa

RI1

M

A

M

Riesgo de malfuncionamiento debido a mala configuración

RI2

M

M

B

Existe riesgo de robo por su libre acceso

RI3

A

M

M

Existe riesgo de daño a los puntos de red

RPR1

A

M

M


RPR2

A

B

M

Existe riesgo de uso indebido por dispositivos ajenos a los de la empresa

RPR3

B

A

B

A R O D A I P O C O T O F Y X A F

R E N N A C S

M E D O M

Riesgo de mal funcionamiento al ser multifuncional

RFF1

A

A

A

Problemas de funcionamiento mediante usos que no son propios del negocio.

RFF2

M

B

M

Equipo inservible al caerse, si no se encuentra ubicado en un lugar poco transitado e inseguro

RFF3

B

B

B


RS1

B

A

B

Riesgo a caerse si no se encuentra en un lugar seguro.

RS2

M

A

M

Inoperatividad del equipo al no contar con regulador de voltaje.

RS3

M

M

A

-

RM1

M

B

M

Mal funcionamiento al no contar con regulador de voltaje.

RM2

M

M

M

Perdida del servicio de internet y/o línea telefónica, por inoperatividad del equipo al no contar con un módem de respaldo u otro modem de otra compañía.

RM3

M

B

A

S A T N E V E D A M E T S I S

S O T A D E D E S A B

E L B A T N O C A M E T S I S

Problemas de seguridad al no contar con las actualizaciones del sistema.

Problemas de funcionabilidad al vencer la licencia

RSV1

RSV2

A

B

B

M

B

A

Multa por parte de INDECOPI al usar software ilegal y/o no contar con licencias originales

RSV3

M

B

A

Servidor de base de datos inoperativo ante la ausencia de un regulador de voltaje

RBD1

M

M

A

Robo de información por parte del personal al no contar con políticas de seguridad

RBD2

B

B

B

Equipo vulnerable al no tener actualizado el sistema operativo y el sistema gestor de base de datos.

RBD3

M

M

A


RSC1

A

B

B


RSC2

M

B

A


RSC3

M

B

A

Identificación y evaluación de riesgos Cód. Ref.

Riesgo

Activo/ Recurso de Información Afectado

Evaluación de Controles

Prob.

Imp.

RC1

Existe riesgo de incendio para las computadoras

COMPUTADORA

No existen controles

2

2

Moderado

RC2

Riesgo de robo por la zona de los locales

COMPUTADORA


1

1

Bajo

RC3

Riesgo de pérdida de datos importantes

COMPUTADORA


2

2

Alto

RI1

Existe riesgo de uso para fines que no corresponden al trabajo de la empresa

IMPRESORA


3

3

Moderado

RI2


IMPRESORA


2

2

Bajo

Tener procedimientos documentados de las configuraciones en el aspecto de redes

RI3

Existe riesgo de robo por su libre acceso

IMPRESORA


2

2

Moderado

Contar con un servicio de seguridad

RPR1

Existe riesgo de daño a los puntos de red

PUNTO DE RED


2

2

Moderado

Monitoreo periódico de los ítems en el inventario

Severidad

Tratamiento de Riesgo

Usar dispositivos reguladores de voltaje. Contar con un servicio de seguridad Gestión de acceso a información basado en perfiles de usuarios Uso de software que mantenga un registro del uso de las impresoras y genere reportes

RPR 2


PUNTO DE RED


1

1

Moderado

Tener procedimientos documentados de las configuraciones en el aspecto de redes

RPR 3

Existe riesgo de uso indebido por dispositivos ajenos a los de la empresa

PUNTO DE RED


3

3

Bajo

Control de acceso a internet mediante la infraestructura de red Analizar los requerimientos de la empresa y comprar productos que tengan estándares de calidad altos

RFF1

Riesgo de mal funcionamiento al ser multifuncional

Problemas de funcionamiento RFF2 mediante usos que no son propios del negocio.

Equipo inservible al caerse, si no se RFF3 encuentra ubicado en un lugar poco transitado e inseguro

FAX Y FOTOCOPIADORA


3

3

Alto

FAX Y FOTOCOPIADORA


1

1

Moderado

FAX Y FOTOCOPIADORA


1

1

Bajo

Control de uso de los elementos y regular de acuerdo a los perfiles

Diseñar un plan acerca de la ubicación de los componentes de hardware relacionados con tecnología.

RS1


SCANNER


3

3

Bajo

Control de uso de los elementos y regular de acuerdo a los perfiles

RS2

Riesgo a caerse si no se encuentra en un lugar seguro.

SCANNER


3

3

Moderado

Diseñar un plan acerca de la ubicación de los componentes de hardware relacionados con tecnología.

RS3

Inoperatividad del equipo al no contar con regulador de voltaje.

SCANNER


2

2

Alto

Usar dispositivos reguladores de voltaje.

Cód. Ref.

RM2

RM3

RSV1

Riesgo

Mal funcionamiento al no contar con regulador de voltaje. Perdida del servicio de internet y/o lí nea telefónica, por inoperatividad del equipo al no contar con un módem de respaldo u otro modem de otra compañía.


MODEM

MODEM


No existen controles.



SISTEMA DE VENTAS



SISTEMA DE VENTAS


Prob.

M

B

A

Imp.

M

M

B

Severi dad

Tratamiento

1.

Adquirir un regulador de voltaje, no solo para este equipo, sino para toda la empresa. Con el fin de no dañar los aparatos e instalaciones.

1.

Contar con un modem de respaldo previamente configurado, para poder reemplazarlo en caso el actual tenga inconvenientes.

1.

Plantear políticas que nos permita tener el sistema actualizado, además de los componentes de software de los cuales dependa, ejemplo. Actualización de la versión de Java. Sistema de Antivirus actualizado con licencias originales.

M

A

M

2.

1. RSV2

B

M

A

2. 1.

RSV3

RBD1


SISTEMA DE VENTAS

Servidor de base de datos inoperativo ante la ausencia BASE DE DATOS


No existen

B

M

M

M

A

A

2.

1. 2.

Verificar cada cierto tiempo, la vigencia de la licencia del sistema de ventas. Establecer sistema de notificaciones ejemplo: google calendar Establecer políticas de seguridad, que permita que solo usuarios autorizados puedan instalar software de terceros con su respectiva licencia. Establecer la verificación anual de los sistemas instalados, y verificar la vigencia de las licencias.

almacenamie nto remoto de copias de segurid ad almacenamie nto interno de copia s de seguridad

Cód. Ref.

Riesgo

Robo de información por parte RBD2 del personal al no contar con políticas de seguridad

RBD3

Equipo vulnerable al no tener actualizado el sistema operativo y el sistema gestor de base de datos.


BASE DE DATOS

BASE DE DATOS




Prob.

B

M

Imp.

B

M

Severida d

Tratamiento

1.

uso del servidor por personal calificado y autorizado

1.

Imple mentación de firewall de base de datos (fil trar peticiones al sistema gestor de base de datos). Esto permite bloquear las peticiones maliciosas y nos permite llevar el monitoreo de las actividades como la generación de bitácoras. Ejemplo de estos tenemos a:

A

A

. GreenSQL, . Oracle Database Firewall 1. RSC1


SISTEMA CONTABLE


B

A

A 2. 1.

RSC2

Problemas de funcionabilidad al vencer la l icencia

SISTEMA CONTABLE


B

M

A

2.

1. RSC3


SISTEMA CONTABLE


B

M

A

2.

Plantear políticas que nos permita tener el sistema actualizado, además de los componentes de software de los cuales dependa, ejemplo. Actualización de la versión de Java. Sistema de Antivirus actualizado con licencias originales. Verificar cada cierto tiempo, la vigencia de la licencia del sistema de ventas. Establecer sistema de notificaciones ejemplo: google calendar Establecer políticas de seguridad, que permita que solo usuarios autorizados puedan instalar software de terceros con su respectiva l icencia. Establecer la verificación anual de los sistemas instalados, y verificar la vigencia de las licencias.

Caso Practico - Magerit

Recommend Documents