Escolar Documentos
Profissional Documentos
Cultura Documentos
I. INTRODUCCIN
En este documento y con el desarrollo de la gua de trabajo colaborativo 2, se dar a
conocer lo concerniente a los contenidos de la Unidad No.2. Fundamentos de Control
Interno informtico, vamos a afianzar y fortalecer los fundamentos tericos y prcticos
sobre el tema de control interno informtico enfocados a la seguridad informtica y de la
informacin.
Adems conoceremos los estndares ms usados a nivel internacional para llevar a cabo el
proceso de definicin de controles y gestin de riesgos aplicados a la seguridad informtica
y de la informacin.
II. OBJETIVOS
1. Determinar los recursos afectados y analizar la causa que origina cada uno de los riesgos
encontrados, los recursos afectados pueden ser HW hardware, SW software, TH talento
humano, y ORG.
2. Proponer un sistema de control interno informtico para la organizacin que ha sido
analizada por cada uno de los estudiantes de acuerdo a los estndares de control ISO 27002.
3. Realizar el tratamiento de los riesgos encontrados en la matriz de riesgos teniendo en
cuenta que pueden ser aceptados, transferidos o que se puede definir los controles que
ayuden a mitigarlos.
1. Comunicaciones
SERVICIO DE
RED
VULNERABIL
IDAD
CAUSA
CONTROLES
ISO 27002
Humana: falta de
capacitacin,
tecnolgica:
actualizacin de los
sistemas
* A.13.1.2. Seguridad
de los servicios de
red.
* A.14. Adquisicin,
desarrollo y
mantenimiento de
sistemas.
Medio (0.8)
Moderado (0.8)
0.64
Medio
SW
Tecnolgica: falta
de actualizacin
* A.14.2.2.
Procedimiento de
Medio (0.8)
control de cambios en
sistemas.
Moderado (0.8)
08
Medio
SW
Tecnolgico y
fsico
A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.
Catastrfico (1)
1
Fuerte
HW
Leve (0.5)
0.2
Bajo
HW
Cortes
Conocimiento de
servicio
informacin tarda
internet
AMENAZA
RIESGO
Desarrollo
tecnolgico
informtico
Deficiencias en
los
requerimientos
Falta de personal
presentados y en que brinde soporte
el mantenimiento a los aplicativos
de la herramienta
desarrollada.
Desarrollo
tecnolgico
informtico
Obsolescencia de Ausencia
herramientas
herramientas
tecnolgicas
tecnolgicas
Retraso en los
Equipos
de enlaces de los
comunicaciones
equipos
de
comunicaciones
Falta
de
Red telefnica
comunicacin
entre empleados
Comunicacin
Internet
no permanente la
red
La interceptacin
de informacin
que
es
Red Informtica
transmitida
desde o hacia el
sistema.
2. Tecnologa
Presencia
software
malicioso
Software
Hardware
Red
Aplicacin
limitada de las
herramientas
informticas
desarrolladas
Desarrollo y
de aplicacin de
herramientas
tecnolgicas no
autorizadas
Alto (1)
IMPACTO
Riesgo
Inherente
RIESGO
AFECTADO
del
de Tecnolgico
Alto (1)
Catastrfico (1)
1
Fuerte
HW
Penetracin
del Intercepcin de
sistema a travs de las
Tecnolgico
la red
comunicaciones
A.6.1.1. Seguridad de
la Informacin Roles Alto (1)
y Responsabilidades.
Catastrfico (1)
1
Fuerte
HW
Tecnolgico:
actualizacin de
software
A.14.2.4.
Restricciones sobre
los cambios de
paquetes de software.
Moderado (0.8)
0.64
Medio
SW
Tecnolgico:
Software
A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.
Tecnolgico y
fsico
A.11.2.4.
Mantenimiento de
equipos.
1
Fuerte
HW
Humano y fsicas
A.11.2.9. Poltica de
escritorio limpio y
pantalla limpia.
de Instalacin
programas
innecesarios
de
Daos en
software
Registro
Conflictos en los
inadecuado
de
recursos
programas
de
compartidos
windows
Falla
en
la
memoria, fuente,
disipadores, board,
Presenta
disco duro, etc
Daos en
software
Hardware
malicioso
Consumo
de
alimentos en las
reas de trabajo
Administracin
de la red
PROBABILIDAD
Daos
en
los Fallas en la red
dispositivos
de
comunicacin
(rack, servidores,
Medio (0.8)
Catastrfico (1)
Alto (1)
Fsicos
A.13.1. Gestin de
Seguridad de Redes
Medio (0.8)
Moderado (0.8)
0.64
Medio
HW
CATEGORA DE
ACTIVO
SERVICIO DE
RED
VULNERABIL
IDAD
AMENAZA
RIESGO
CAUSA
CONTROLES
ISO 27002
PROBABILIDAD
IMPACTO
Riesgo
Inherente
RIESGO
AFECTADO
touters)
3. Seguridad Fsica
Problemas en la
configuracin de
Fallas en la los parmetros de
administracin
seguridad
del
de los aplicativos servidor
del
sistema
de
informacin
Denegacin del
Sistemas
de servicio a travs Falta de soporte y
Informacin
de
mltiples mantenimiento de
consultas
fabrica
concurrentes
Problemas en la
oportunidad de la Fallas
en
los
atencin en los controles para el
diferentes
acceso fsico a los
sistemas
de servidores
informacin
Referencia
de
repuestos
El
constante
descontinuados
cambio
Aceleracin
de
tecnolgico
nuevas tecnologas
Dispositivos de red genera que las
generando
herramientas
discontinuidad de
adquiridas entren
las mismas en un
en inoperancia.
corto periodo de
tiempo
Falta
de
Ausencia
de dispositivos para
Hardware
Hardware
buen
funcionamiento
Infraestructura
red
de Violacin
autorizacin
de Personas
autorizadas
Infraestructura
red
de Perdida
hardware
de
Infraestructura
red
de
Riesgos fsicos
no
Humana, Falta de
A.9.4. Control de
actualizacin de los
Acceso a Sistemas y
sistemas de
Aplicaciones.
seguridad
Violacin de los
sistemas de
Informacin
Catastrfico (1)
Desconocimiento
tecnolgico.
A.12.1.
Procedimientos
operacionales y
responsabilidades.
Humana
A.11.1.2. Controles
Fsicos de entrada.
Tecnologa
A.12.6. Gestin de
vulnerabilidad
tcnica.
Actualizacin
tecnolgica
A.12.5.1. Instalacin
de software en
sistemas operativos.
Humana
A.11.1.
Seguras.
Vandalismo
Humana
A.11.1.2. Controles
Bajo (0.4)
Fsicos de entrada.
Incendios
Obsolescencia
Tecnolgica
Robos
hardware
de
Perdida
de
Daos en hardware
equipos
en
Terremotos
y software
funcionamiento
Humanas y Fsicas
Humanas y fsicas
reas
1
Fuerte
SW
0.2
Bajo
HW
Moderado (0.8)
0.32
Bajo
HW
moderado(0.8)
0.32
Bajo
ORG
Catastrfico (1)
1
Fuerte
ORG
Catastrfico (1)
1
Fuerte
ORG
Alto (1)
Leve (0.5)
Bajo (0.4)
Bajo (0.4)
A.11.1.4. Proteccin
contra
amenazas
Alto (1)
externas
y
ambientales.
A.11.2.2. Servicios Bajo (0.4)
Pblicos de soporte.
Leve (0.5)
1
Fuerte
HW
CATEGORA DE
ACTIVO
SERVICIO DE
RED
Hardware
Acceso
4. Manejo de
Personal
5. Proteccin de la
Informacin
6. Seguridad
Lgica
VULNERABIL
IDAD
AMENAZA
Atrasos en el Perdida
de
funcionamiento
informacin
de los procesos
almacenada
Manipulacin de
datos
confidenciales
Tenencia
de
informacin no
autorizada.
RIESGO
la
Humana
A.9.3.1.Uso
de
Alto (1)
informacin secreta.
Catastrfico (1)
1
Fuerte
ORG
Humana
A.10.1.2. Gestin de
Alto (1)
Claves.
Catastrfico (1)
1
Fuerte
ORG
no Suplantacin de
Humana
identidad
A.9.1.1. Poltica de
Alto (1)
Control de Acceso.
Catastrfico (1)
1
Fuerte
ORG
de A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.
Catastrfico (1)
1
Fuerte
ORG
no
Fraude
Accesos
autorizados
Autenticacin
Intentos fallidos
Autenticacin
repetida
Fallas
de Controles
autenticacin
ingreso
Personal
Eficiencia
afectada
Rendimiento
desmejorado
Indisponibilidad
del personal
Informacin
Obtencin
informacin
Informacin
Obtencin
informacin
Informacin
Obtencin
informacin
Informacin
Informacin
veraz
Usuario
Entorpece
funcionamiento
Informacin
Falta
informacin
completa
Backup
Ante cualquier
desastre
la
Perdida de datos
organizacin es
perjudicada
Destinatario
Extraccin
informacin
de Fugas de
Informacin
Humana
A.7.1.2. Trminos y
condiciones del
empleo.
Bajo (0.4)
Moderado (0.8)
0.32
Bajo
TH
Humana y falta de
controles de
seguridad
A.9.2.4. Gestin de
informacin de
autenticacin secreta
de usuarios.
Bajo (0.4)
Moderado (0.8)
0.32
Bajo
ORG
Catastrfico (1)
1
Fuerte
ORG
catastrfico (1)
1
Fuerte
ORG
catastrfico (1)
1
Fuerte
ORG
A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.
catastrfico (1)
1
Fuerte
TH
y
A.12.4. Registro y
de
Alto (1)
Seguimiento.
catastrfico (1)
1
Fuerte
ORG
Alto (1)
catastrfico (1)
1
Fuerte
ORG
catastrfico (1)
1
Fuerte
ORG
Humana y falta de
A.9.1.1. Poltica de
controles
de
Alto (1)
Control de Acceso.
seguridad
Humana y falta de
de Perdida
de Perdida
de
A.9.1.1. Poltica de
controles
de
Alto (1)
informacin
informacin
Control de Acceso.
seguridad
Personal
A.9.4.1. Restriccin
no
Manipulacin de
involucrado,
Humana
de
acceso
a Alto (1)
informacin
Informacin errada
informacin.
de Robo
informacin
Demora
en Errores
servicios ofrecidos usuario
El estado de Programas
y programas
y archivos
archivos se ve eliminados
afectado
cambiados
RIESGO
AFECTADO
HW
Autorizaciones
no verificadas
de Ausencia
informacin
disponible
Riesgo
Inherente
1
Fuerte
Acciones
sospechosas
de Perdida
informacin
IMPACTO
Catastrfico (1)
de Tecnolgicas
fsicas
Identidad
Archivos
programas
PROBABILIDAD
A.11.1.3. Seguridad
de oficinas, salones e Alto (1)
instalaciones.
Fallas
hardware
de Perdida
informacin
CONTROLES
ISO 27002
CAUSA
de
Eliminacin
real
informacin
y
o
de Accesos
de
informacin
por
medio empleados
de
de
de
No se encuentran
definidas
las
polticas
de
copias
de
seguridad
Acceso a los
programas
y
archivos
por
parte de personal
no autorizado
Informacin
transmitida a un
destinatario
incorrecto
Humana
Humana
controles
seguridad
Tecnolgica, falta
de polticas de A.12.3. Copias
respaldo de los Respaldo.
datos
Humana
tecnolgica
de
catastrfico (1)
1
Fuerte
ORG
CATEGORA DE
ACTIVO
SERVICIO DE
RED
Programas
archivos
control de acceso
virus
Conclusiones
VULNERABIL
IDAD
AMENAZA
RIESGO
CAUSA
Modificacin de
los programas y
archivos
por Humana
parte
de
los
usuarios
Tecnolgica,
Vulneracin de la Falta de software
Informacin
actualizacin de los
privacidad de la de control de
puesto es peligro
sistemas
de
informacin
acceso
seguridad
Mal
Vulnerable todo
Tecnolgica,
funcionamiento de Entrada de virus
el sistema de
actualizacin de los
software
o y malware
informacin
sistemas
hardware
Vulneracin
y
y funcionamiento
Funcionamiento
errado de la errado
informacin
CONTROLES
ISO 27002
PROBABILIDAD
IMPACTO
Riesgo
Inherente
RIESGO
AFECTADO
A.12.5. Control de
Software
Alto (1)
Operacional.
Catastrfico (1)
1
Fuerte
ORG
A.9.1.1. Poltica de
Alto (1)
Control de Acceso.
Catastrfico (1)
1
Fuerte
SW
A.12.2.
Proteccin
contra
cdigos Alto (1)
maliciosos.
Catastrfico (1)
1
Fuerte
SW
Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando las principales deficiencias de la misma.
Existen riesgos que dependen del entorno, en los que las polticas gerenciales de la empresa pueden minimizarlos, pero de forma interna no pueden ser evitados.
La Gerencia de la empresa tiene polticas de prevencin para los riesgos, pero estas no garantiza el adecuado control de los mismos.
Bibliografa
-
Ranz Perlaes Eduardo. Evaluacin de control interno en sistemas informticos. Disponible en:
http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf
-
Duque Ochoa Blanca R. (2012). Metodologas de gestin de Riesgos (OCTAVE, MAGERIT, DAFP). Disponible en: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog
%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf.
Yaez de la Melena Carlos, Ibsen Muoz Sigfred Enrique. (2011). Enfoque metodolgico de la auditora a las tecnologas de informacin y comunicaciones. Disponible en:
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20120829_1.pdf
Gaona Vsquez Karin. (2013). Aplicacin de la metodologa MAGERIT para el anlisis y gestin de riesgos de la seguridad de la informacin aplicado a la empresa pesquera e industrial
Bravito S. A. en la ciudad de Machala. Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
De la Torre Morales Martha Elizabeth, Giraldo Martnez Ingrid, Villalta Gmez Carmen. (2012). Diagnstico para la Implantacin de COBIT en una Empresa de Produccin. Disponible
en: http://dspace.ups.edu.ec/bitstream/123456789/2695/13/UPS-GT000307.pdf