You are on page 1of 66

Seguridad y Auditoria de Sistemas de Informacin

Plan de Auditoria
Auditores Bryson Egusquiza, Julio (AA) Chilque Truyenque, Antonio (AE) Espinoza Valderrama, Jos (AA) Lpez Seminario, Julio (AA) Quiroz Quispe, Carlos (AA) Sam Murgua, Miguel (AA) Snchez Castillo, Eduardo (AA) Veliz Garca, Roberto (AA) Zumaeta Carranza, Gustavo (AA) AE: Auditor Encargado AA: Auditor Asistente Supervisor Encargado Ing. Martin Figueroa Revilla

Seguridad y Auditoria de Sistemas de Informacin

Contenido

Tabla de contenido
Contenido...........................................................................................................................2 Tabla de contenido.............................................................................................................2 Objetivos............................................................................................................................3 Plan de trabajo...................................................................................................................4 Requerimiento de informacin..........................................................................................6 Cuestionarios.....................................................................................................................9 Otros Aspectos de Importancia........................................................................................24 Opinin sobre la Infraestructura......................................................................................54 Observaciones..................................................................................................................56 Conclusiones....................................................................................................................59 Recomendaciones............................................................................................................60 Anexos.............................................................................................................................61

Seguridad y Auditoria de Sistemas de Informacin

Objetivos
El siguiente informe de auditora realizar un control basado en buenas prcticas para aspectos de infraestructura que mantiene Epensa, Empresa Periodstica Nacional S.A.. Para este caso, se definen los siguientes objetivos: 1. Evaluar los aspectos de infraestructura de TI, los cuales puedan contribuir de la mejor manera el logro de objetivos de la organizacin 2. Evaluar el plan de continuidad de negocio respecto a la infraestructura de los servicios de TI, as como evaluar la administracin del ambiente fsico en cuanto a la proteccin de los activos de TI. 3. Realizar una evaluacin continua de TI para aspectos de gerencia de comunicaciones y redes tanto fsicas como lgicas y mejoras en las polticas de control de la organizacin.

Seguridad y Auditoria de Sistemas de Informacin

Plan de trabajo
El plan de trabajo que seguir el grupo auditor buscar evaluar el estado actual de la organizacin con respecto a las buenas prcticas determinadas por el Cobit en su Versin 4.0. En base a esto, el plan de trabajo ha sido dividido en las siguientes fases: Monitoreo Planeacin y organizacin Adquisicin e Implementacin Entrega y Soporte Estas fases se detallan a continuacin en el siguiente esquema:

Seguridad y Auditoria de Sistemas de Informacin

Luego de la verificacin y anlisis de la informacin obtenida, elaboramos nuestros hallazgos que hacemos como parte de la evaluacin de control interno y luego las recomendaciones que a nuestro juicio podran incrementar los niveles de seguridad, control, eficacia, eficiencia y calidad de servicios del rea de Informtica, los sistemas de procesamiento de datos de la institucin y la instalacin computarizada. La documentacin base que hemos utilizado ha sido proporcionada por la Direccin de Informtica y Estadstica; as como, resultado de las entrevistas realizadas al encargado de Sistemas, adems de las inspecciones de verificacin y comprobacin que efectuamos.

Seguridad y Auditoria de Sistemas de Informacin

Requerimiento de informacin
EMPRESA PERIODISTICA NACIONAL S.A., conocida generalmente como EPENSA, se fund en 1963 por Luis Banchero Rossi. EPENSA es una corporacin que edita los diarios Correo, Ojo, Aj y el Bocn. Hoy en da est bajo la conduccin de los hermanos Luis y Carlos Agois Epensa es una empresa dedicada a la edicin de peridicos y revistas para varios sectores sociales de la capital e interiores.

Visin
Ser una empresa multimedios con presencia en todas las regiones del pas, con colaboradores comprometidos con el lder, que lo acompaan a hacer realidad la misin de Epensa

Misin
Dirigir una cadena de medios de comunicacin para informar, entretener, educar y servir con credibilidad, veracidad y objetividad. Ser portavoz de las necesidades de la comunidad a travs de su conocimiento profundo de la realidad nacional, para promover el bienestar de la gran mayora del pas.

Objetivo
Ser el ms grande generador de contenidos informativos del Per al ms bajo costo

Seguridad y Auditoria de Sistemas de Informacin

Logo de la Institucin

Nombre Comercial
Epensa

Direccin de la empresa
Jr. Jorge Salazar Ar #171 la Victoria Lima

Empresa Periodstica Nacional

Seguridad y Auditoria de Sistemas de Informacin

Razn Social: (EPENSA) Nombre Comercial: RUC: Tipo De Empresa: Actividad Econmica: Inicio De Actividades: Direccin Completa: Catalina Ubicacin Geogrfica: Fax: Telfono:

Empresa Periodistica Nacional S.A.. EPENSA 20100087945 Sociedad Anonima EDICION DE PERIODICOS Y REVISTAS 22-03-1962 Jr. Jorge Salazar Araoz #171 Santa Lima / Lima / La Victoria 6908127 6908080

Organigrama del rea de TI

Seguridad y Auditoria de Sistemas de Informacin

Cuestionarios
Se realizaron los siguientes Cuestionarios respecto a infraestructura de TI para Epensa ENTIDAD: EPENSA - Empresa Periodstica Nacional S.A. NOMBRE DEL FUNCIONARIO: Erick Garayar CARGO: Jefe del rea de Sistemas Redes y Comunicaciones

Planear y Organizar
Se cuenta con un plan de infraestructura tecnolgica? Tiene usted un conocimiento de las tecnologas con las que cuenta su organizacin y como estn Contamos con Planes, mas no estn documentados Si, si lo estoy, en estos momentos estn planeando adquirir Servidores de la marca IBM, que por el momento no ha sido posible adquirirlos, por el hecho de que aun la empresa no ve la importancia del rea de TI El procedimiento es como cualquier otro, se realiza una orden la cual es evaluada por el jefe de Area y /o responsable y luego es enviada a contabilidad para ser evaluada Si, contamos con polticas para lo que respecta seguridad de la informacin. Cuando enviamos la informacin en PDF de los formatos de los peridicos a las diferentes partes del centro del Pas, esta informacin es enviada encriptado. En Epensa el personal es altamente calificado para asignarle las respectivas tareas de soporte de TI, esta es una rea que no puede descansar es por eso que designamos a un personal el cual tambin puede dar soporte todo la noche. Si, dependiendo de los servidores y/op servicios los cuales se encuentren saturados o necesiten mayor capacidad de fierro es mas ahora ultimo adquirimos una 9

Cuentan con planes de infraestructura de TI para la respectiva adquisicin de nuevos componentes para la organizacin y planes de contingencia? Qu planes? Se cuenta con procesos, polticas administrativas y procedimientos para las funciones de seguridad? Mencione los ms importantes

Cree usted que se designa de manera correcta y justa las tareas de soporte para los requerimientos de TI?

Determinan prioridades para los recursos de TI? Bajo qu criterio?

Seguridad y Auditoria de Sistemas de Informacin

Cree usted que la estructura de TI con la que cuenta su organizacin es la ms adecuada y satisface las necesidades de la organizacin?

Todos los miembros del rea de TI cuenta con roles definidos y responsabilidades de acuerdo a la experiencia y necesidad de cada una de estas actividades? Cree usted que la organizacin cuenta con la respectiva infraestructura y sistemas de informacin para salvaguardar los datos?

Qu tan preparada cree usted que se encuentra su personal de TI para garantizar las funciones de TI? Defina del 1 al 10 Donde 1 es Psimo y 10 es excelente Qu medidas, procedimientos y/o polticas se aplica con el personal de TI para garantizar la proteccin de los activos de informacin de la empresa?

proliant HP para que sirva como servidor de cmaras, el cual lo estamos implementando Contamos con una solucin de Windows server 2003, y muchos de nuestros servicios estn sobre plataforma libre lo cual nos ha ahorrado gastos con respecto a licencias y a mi parecer esta solucin es la ms adecuada mas no la nica que satisface ala organizacin Si, cada miembro del rea de redes, soporte y desarrollo tiene un cargo importante en Epensa, el cual motiva a nuestros miembros a ser participes del cambio y mejora del negocio. Se est implementando una nueva rea para sistemas, pero por falta de apoyo econmico de la misma empresa estos proyectos se encuentran algo olvidados. con respecto al cableado? Usamos Cat5e para toda la organizacin y fibra ptica para los servidores y enlaces VPN con nuestras sucursales. Cuentan con alguna estandarizacin sobre cables 568 o 568b? S, estamos en proceso de hacerlo, es mas estamos viendo la posibilidad de dar un curso de certificacin CISCO para el rea de soporte y redes. El personal es seleccionado por mi criterio, y hasta la fecha he podido encontrar personas muy capaces para realizar las tareas. 9 La mas comn que usamos es el envo de correos y para la seguridad de informacin hemos pasado de almacenar en discos( DVD) a una solucin de 10

Seguridad y Auditoria de Sistemas de Informacin

HP como lo que es Tape BackUps Siguen buenas prcticas o algunos tipos de ejercicio para lo que administracin y recursos humanos de TI? Realizan evaluaciones permanentes al personal de TI? Con que periodo?

As es cada 3 meses se realiza una evaluacin tanto de conocimientos como psicolgica al personal de las respectivas areas de TI, no con el afn de asustarlos o poner en riesgo su trabajo, lo hacemos con el hecho de saber cmo se sienten al trabajar y si el trabajo est cumpliendo con las expectativas del personal. Capacitaciones constantes, adquisicin de nuevas tecnologas, y bastante empeo y estudio para estar preparados para cualquier situacin

Qu procedimientos y/o mtodos aplica la organizacin para la mejora continua del negocio? Detalle

Adquirir e Implementar
ENTIDAD: EPENSA - Empresa Periodstica Nacional S.A. NOMBRE DEL FUNCIONARIO: Ing. Erick Garay, Geiner Gardin CARGO: Jefe del rea de Sistemas Redes y Comunicaciones y administrador de redes respectivamente
Cuestionario de Control Interno S NO

A. ANLISIS DE RIESGOS 1. Se verifica un seguimiento peridico del plan estratgico? 2. Se inspecciona cul es el posicionamiento de la compaa respecto a la competencia? 3. Se efectan reuniones habituales de la alta direccin para tratar asuntos estratgicos del negocio? 4. Se examina la rentabilidad de las diversas unidades de negocio? 5. Se analiza el riesgo de crdito? 6. Se analiza el riesgo de obsolescencia de las existencias? 7. Se analiza la rentabilidad de las inversiones en activos fijos? 8. Se controla la actividad y los resultados de las delegaciones y/o filiales?
Cuestionario de Control Interno

x x x x x x x x

NO

11

Seguridad y Auditoria de Sistemas de Informacin

B. CICLO DE COMPRAS, INVERSIONES, NMINAS Y PAGO 1. Est centralizada la funcin de compras? 2. Existe control presupuestario de las compras? 3. Estn autorizadas las compras e inversiones previamente a su solicitud? (en el caso de inversiones se analiza la suficiencia presupuestaria). 4. Existe una lista de proveedores autorizados? 5. Se verifican las existencias compradas en cuanto a nmero y calidad? 6. Se cotejan en recepcin las unidades registradas con las pedidas? 7. Se cotejan en recepcin las unidades recibidas? 8. Se cotejan las unidades indicadas en factura? 9. Se revisa la introduccin de existencias y la valoracin en el sistema de inventario permanente? 10. Se cotejan los precios con la plantilla pactada? 11. Se autorizan las facturas y la fecha de pago antes de pasarlas a tesorera? 12. Se comunica a contabilidad las facturas debidamente autorizadas? 13. Se autoriza, suficientemente, la emisin de notas de cargo a los proveedores en caso de discrepancias? 14. Se concilian las notas de cargo con la nota de abono emitida por el proveedor? 15. Se verifica la entrada de existencias previamente a la autorizacin de una devolucin? 16. Al cierre, se registran las compras con facturas pendientes de recepcin. 17. Al cierre, se analizan los gastos susceptibles del periodo contable por el responsable de contabilidad. 18. Semestralmente, se amortizan los elementos del inmovilizado. 19. Se realiza inventario fsico de existencias al cierre y rotativo de inmovilizado? 20. Se analiza la obsolescencia de las existencias al cierre del ejercicio? 21. Existe un criterio formalizado para distinguir las reparaciones de las mejoras? 22. Se revisa la asistencia al puesto de trabajo previamente a la elaboracin de la nmina y especialmente los finiquitos? 23. Se autoriza el pago por persona independiente al preparador de la nmina? 24. Las funciones de compra, pago y contabilidad estn suficientemente segregadas o existen mecanismos de autorizacin que garanticen la independencia de funciones? 25. Se cotejan por persona independiente las bases fiscales con los datos contables?

x x x x x x x x x x x x x x x x x x x x x x x x x

12

Seguridad y Auditoria de Sistemas de Informacin Cuestionario de Control Interno S NO

C. CICLO DE INGRESOS Y COBRO 1. Existe presupuesto de ventas? 2. Los vendedores y directivos de venta no perciben su retribucin en funcin de objetivos de venta y rentabilidad? 3. Existe una tarifa oficial de precios y una poltica predefinida de descuentos y devoluciones? 4. Se exige un nivel suficiente de autorizacin para separarse de las polticas preestablecidas en cuanto a precios y descuentos? 5. Se autorizan las ventas por el nivel suficiente en funcin del riesgo crediticio derivado? 6. Se analiza la concentracin de crdito antes de aplazar una operacin? 7. Se comprueban las existencias pedidas por los clientes previamente a su envo? 8. Se coteja el recibo emitido con la nota de pedido del cliente? 9. Se comprueban los datos del cliente y se actualizan adecuadamente? 10. Se mantiene un registro de cuentas a cobrar en funcin de la antigedad de los saldos? 11. Se autorizan adecuadamente los saneamientos de crditos por morosidad o descuentos? 12. Se registran adecuadamente y se siguen los anticipos de clientes? 13. Se cotejan por persona independiente las bases fiscales con los datos contables? 14. Las funciones de venta, cobro y contabilidad se encuentran suficientemente segregadas?
Cuestionario de Control Interno

x x x x x x x x x x x x x x

NO

D. CICLO DE CONVERSIN 1. Se sigue un sistema de Inventario Permanente para existencias? 2. Se utiliza un criterio aceptable para la valoracin de las salidas de materias primas? 3. Se utiliza un criterio aceptable para valorar los movimientos del Inventario Permanente de productos terminados? 4. Se realiza un escandallo de produccin para facilitar el clculo de costes de produccin? 5. Se calcula el coste de los productos terminados en funcin de criterios histricos? 6. Se realiza un inventario fsico para contrastar las cifras del Inventario Permanente?

x x x

x x

13

Seguridad y Auditoria de Sistemas de Informacin Cuestionario de Control Interno S NO

E. INVERSIN Y FINANCIACIN 1. Existe un presupuesto de tesorera? 2. Las operaciones de inversin estratgica en otras compaas son autorizadas por el consejo de administracin? 3. Se realiza un seguimiento peridico de la cartera de inversiones financieras? 4. Se monitorizan los riesgos derivados de la cartera de valores? 5. Se revisan los intereses contratados con las liquidaciones peridicas? 6. Se analizan al cierre las periodificaciones de ingresos financieros? 7. Se revisa la liquidacin de intereses en las operaciones de crdito? 8. Se revisa al cierre la clasificacin de la deuda entre corto y largo plazo? 9. Se autorizan por el consejo de administracin la aprobacin de dividendos?
Cuestionario de Control Interno

x x x

x x x x x

NO

F. TESORERA 1. El movimiento de caja se deja para importes mnimos? 2. Existe un procedimiento de caja fija para los movimientos de caja? 3. Se analizan al cierre los justificantes existentes en caja? 4. Se arquea peridicamente la caja por personal independiente a la funcin de tesorera? 5. Los pagos se encuentran debidamente autorizados 6. Se concilian peridicamente las cuentas corrientes bancarias, por personal independiente a contabilidad y tesorera? 7. Se realiza un seguimiento de las diferencias detectadas en la conciliacin? 8. Se exige doble firma para disponer de fondos? 9. Se autoriza suficientemente la apertura de nuevas cuentas corrientes? 10. Se efecta un control suficiente de las firmas autorizadas? 11. Se revisa peridicamente la liquidacin de intereses de las cuentas corrientes? 12. Se revisa al cierre, las diferencias de conciliacin con incidencia en contabilidad y se informa a la misma? 13. Se controlan las cuentas inactivas?

x x x x x x x x x x x x x

14

Seguridad y Auditoria de Sistemas de Informacin

15

Seguridad y Auditoria de Sistemas de Informacin

CUESTIONARIO PARA AREAS USUARIAS 1. Qu servicios del rea de Informtica recibe usted? Es usuario de Red.............................................................. SI (x) NO ( ) Cuenta usted con servicio de Correo Electrnico ............. SI (x) NO ( ) Cuenta usted con Acceso a Internet ................................. SI (x) NO ( ) 2. Qu Sistemas informticos utiliza ? Software de Oficina MS World MS Excel Adobe InDesign Adobe Photoshop Sistemas Aplicativos

3. En un MES cuan frecuentes son las prdidas del servicio informtico que utiliza? Es as en todos los servicios: Servicio de acceso a los Sistemas Aplicativos Servicio de correo electrnico Servicio de acceso a Internet Servicio de impresin Local y en red Servicio de disponibilidad de computadoras y perifricos
Nunc a 1a5 6a 10 11 a +

x x x x x

4. Cunto tiempo demora en arreglarse el problema o restablecerse el servicio? Es as en todos los servicios: Servicio de acceso a los Sistemas Aplicativos Servicio de correo electrnico Servicio de acceso a Internet Servicio de impresin Local y en red Servicio de disponibilidad de computadoras y perifricos
< 1 Hora 1 Hora > 1 Da

x x x x x

5. Cundo realiza Usted requerimientos al rea de Informtica, cul es el tiempo de atencin? Es as en todos los servicios:
< 1 Hora 1 Hora > 1 Da

16

Seguridad y Auditoria de Sistemas de Informacin

Servicio de acceso a los Sistemas Aplicativos Servicio de Soporte de Software de Oficina Servicio de Soporte de manejo del sistema Servicio de correo electrnico Servicio de acceso a Internet Servicio de impresin Local y en red Servicio de disponibilidad de computadoras y perifricos

x x x x x x x

6. Cundo realiza Usted requerimientos al rea de Informtica, a que persona recurre? Recurre normalmente al Jefe de Sistemas, mediante un documento con formato diseado por esa rea que nos entregaron para atender nuestros requerimientos. 7. Cul es el procedimiento de aceptacin, cuando hay una modificacin, cambio o un nuevo requerimiento atendido de sistema? El procedimiento es siempre escrito y tiene que ser firmado y autorizado por el jefe de Sistemas 8. Cubren sus necesidades de informacin los sistemas que utiliza del rea de Informtica?
No las cubre ( ) Parcialmente ( ) La mayor parte (x) Todas ( ) Por que? Por que no siempre toda la informacin que utilizo para mis artculos provienen de nuestros sistemas, a veces recurro a mis conocidos en otros medios o al Internet.

9. Hay disponibilidad del rea de Informtica para atender sus requerimientos?


Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)

Es as en todos los servicios: Servicio de Soporte de Software de Oficina Servicio de Soporte de manejo del sistema Servicio de correo electrnico Servicio de acceso a Internet Servicio de impresin local o en red Servicio de disponibilidad de computadoras y perifricos

3 x

4 x

x x x x

10. Son entregados oportunamente los trabajos encargados al rea de Informtica?


Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)

Es as en todos los servicios: Servicio de Soporte de Software de Oficina Servicio de Soporte de manejo del sistema

3 x

5 x

17

Seguridad y Auditoria de Sistemas de Informacin

Servicio de correo electrnico Servicio de acceso a Internet Servicio de disponibilidad de computadoras y perifricos Requerimiento de nuevas aplicaciones

x x x x

11. Quin interviene de su departamento y/o oficina en el diseo de sistemas? La persona autorizada que es el Jefe Editor 12. Qu sistemas deseara que se incluyeran? Mas que incluyeran, me gustara que lo mejoren, por que es muy lento y a veces no se entienden bien sus opciones

13. Qu piensa de la seguridad en el manejo de la informacin proporcionada por los sistema que utiliza?
Nula ( ) Riesgosa ( ) Satisfactoria (x) Excelente ( ) Desconoce ( ) Por que? Debido a que tengo entendido que no hace muchos meses, pudieron ingresar externamente a nuestros servidores pero no pudieron acceder a la informacin.

14. Existen fallas de exactitud en los procesos de informacin que Ud. utiliza? Cules? No, la informacin est bien respaldada por los sistemas. Pero demora 15. Usted procesa la informacin o est a cargo del rea de Informtica, o alguna otra rea? No la proceso, pero ingreso mis artculos que voy publicando 16. Tiene acceso Ud., al Manual de Usuario del Sistema que maneja? SI (x) NO ( ) 17. 18. Es claro y objetivo el manual del usuario? SI ( ) NO (x) Qu opinin tiene del manual? Es muy tcnico cuando los que la leemos no sabemos mucho de informtica, slo lo necesario.

18

Seguridad y Auditoria de Sistemas de Informacin

ENTIDAD: EMPRESA PERIODSTICA NACIONAL S.A. EPENSA NOMBRE DEL FUNCIONARIO: ERICK GARAYAR CARGO: Jefe del rea de Sistemas Redes y Comunicaciones NOMBRE DEL FUNCIONARIO: GEINER GARDIN CARGO: Administrador de Redes

Entregar y dar soporte


Est desarrollado algn marco de trabajo de continuidad de TI que soporte la continuidad de negocio? Se tienen plenamente identificados los eventos de interrupcin de la continuidad de negocio? Existen planes desarrollados de la continuidad de TI? Se maneja algn tipo de rol o responsabilidad bajo este plan de continuidad de TI? Se maneja algn criterio para identificar los recursos crticos de TI? Existen procedimientos de control de cambios para asegurar que el plan de continuidad de TI se mantenga actualizado y maneje de manera continua el negocio? Existe algn plan de pruebas para el plan de continuidad de TI? Existe algn plan de entrenamiento a los trabajadores, indicando roles y responsabilidades en el plan de continuidad de TI? Existen procedimientos distribucin del plan de SI (x) NO ( ) SI ( ) NO (x)

SI ( ) NO (x) SI ( ) NO (x) SI ( ) NO (x) SI ( ) NO (x)

SI ( ) NO (x) SI ( ) NO (x)

SI ( ) NO (x) 19

Seguridad y Auditoria de Sistemas de Informacin

continuidad de TI? Existe algn planeamiento de acciones a tomar mientras los servicios de TI se recuperan? Existe almacenamiento de respaldo fuera de las instalaciones como documentacin y /o recursos de TI? Existen revisiones post reanudacin de los servicios de TI? Se revisa y evala la posibilidad de un riesgo fsico (acceso no autorizado, dao, robo) a los activos de TI? Se tienen identificadas las zonas de seguridad y ubicacin de equipo critico? Existe responsabilidad formal para el monitoreo de la seguridad fsica? Existe responsabilidad formal para la resolucin de incidentes de seguridad fsica? Se cuenta con procedimientos para otorgar, limitar y revocar el acceso a determinadas reas de la empresa? Existe un monitoreo constante de toda persona que acceda a la empresa y de lo que realiza en ella? Se posee alguna medida de proteccin contra factores ambientales que daen la infraestructura? Se cuenta con lineamientos para la instalacin de equipos de comunicaciones as como para el de suministro de energa? Se ha evaluado la infraestructura de la empresa por parte de entidades que garanticen que se cumplan las regulaciones para la seguridad y la salud? Se evalu el riesgo al momento de disear el esquema del centro de datos? Se han establecido

SI ( ) NO (x) No existe, pero planean implementarlo. SI ( ) NO (x) SI ( ) NO (x)

SI ( ) NO (x), aun no se ha completado de identificar todas las zonas de seguridad. SI ( ) NO (x) SI ( ) NO (x) SI ( ) NO (x)

SI ( ) NO (x), solo de algunos ambientes de la empresa. SI ( ) NO (x)

SI (x ) NO ( )

SI (x) NO ( ), se siguen las indicaciones de defensa civil.

SI ( ) NO (x) SI (x) NO ( ), se cuenta con un 20

Seguridad y Auditoria de Sistemas de Informacin

procedimientos para monitorear la infraestructura de TI? Se realiza un mantenimiento preventivo de la infraestructura de TI? Se tiene convenio con alguna empresa para ejecutar dicho mantenimiento? Posee equipos proporcionados por terceros (alquilados, en concesin) que sean crticos para sus operaciones?

sistema de monitoreo para diversas reas de la empresa. SI ( ) NO (x) SI ( ) NO (x) SI (x) NO ( )

ENTIDAD: EMPRESA PERIODSTICA NACIONAL S.A. EPENSA NOMBRE DEL FUNCIONARIO: ERICK GARAYAR CARGO: Jefe del rea de Sistemas Redes y Comunicaciones NOMBRE DEL FUNCIONARIO: GEINER GARDIN CARGO: Administrador de Redes MONITOREO DEL PROCESO 1. Saba UD., Que el monitoreo del proceso asegura el logro de los objetivos establecidos para los procesos de TI? 2. Hay disponibles informes precisos en tiempo y forma Si, si saba, se estn monitoreando todos los procesos del rea de TI de la empresa

3. Los responsables de procesos entendieron KGI y KPI 4. Las medidas de No se cuenta con criterios claros rendimiento en TIC incluyen ni definidos para el aprendizaje

Si se tiene informes peridicos de sobre el estado de los procesos del rea de TI los No hubo un entendimiento claro los de los procesos y los KGI y KPI

21

Seguridad y Auditoria de Sistemas de Informacin

criterios de aprendizaje econmico, operacional, de usuarios y organizacional que aseguran la alineacin con los objetivos de la organizacin y pueden ser conectados con los tableros de mando. 5. Los objetivos de los procesos estn claramente entendidos y comunicados. 6. Existe un marco para definir e implementar requerimientos de informes de gobierno. 7. Se establece una base de conocimiento de rendimiento histrico. EVALUAR LO ADECUADO 1. La administracin define claramente cuales componentes deben ser controladas. 2. Se comprenden claramente los controles internos, las responsabilidades internas y su cumplimiento.

operacional dando solo ciertas capacitaciones al usuario del rea de TI

Si estn claramente definidos y comunicados por la gerencia al personal del rea de TI. No cuenta con un marco de definido para obtener informacin del gobierno. Cuenta con archivos histricos de rendimiento. DEL CONTROL INTERNO Si existe una asignacin de control para los componentes los cuales sern medidos y controlados. Si la asignacin de roles est dada internamente y cada uno del personal del rea de TI cumple con su funcin de control asignado. Cuenta con una funcin de control interno detallada pero se controla al personal interno de acuerdo a sus funciones y desempeo.

3. La funcin de control interno existe, es competente y tiene autoridad, puede delegar segn corresponda. 4. Existe un marco de control Si tiene un marco e control TIC adecuado adecuado para evaluar el desempeo y control. 5. Se usa un proceso claro No cuenta con un proceso claro para reportar a tiempo las para reportar deficiencias de deficiencias de control control basndose solo en resultados y desempeo. 6. Hay un compromiso de la Si la alta gerencia est tratando administracin de corregir de mejorar el proceso de control los defectos encontrados del rea de TI 7. Riesgo y seguridad estn Si estn alineados. alineados. 8. Existe un proceso interno Si cuentan con un proceso para para asegurar que se intercambiar informacin sobre comparte informacin incidentes y soluciones.

22

Seguridad y Auditoria de Sistemas de Informacin

sobre los incidentes y sus soluciones. OBTENCION DE ASEGURAMIENTO INDEPENDIENTE La Empresa cuenta con una No cuenta con ninguna Certificacin / Acreditacin certificacin ni acreditacin sobre Independiente de Control y control de seguridad de TI Seguridad de los servicios de TI. Se cuenta con una No cuenta con ninguna Certificacin / Acreditacin certificacin /acreditacin sobre Independiente de Control y control y seguridad de Seguridad de proveedores proveedores externos. externos de servicios. Se ha hecho una Si se ha hecho evaluaciones sobre evaluacin independiente efectividad de los servicios de TI de la efectividad de los logrando obtener beneficios y Servicios de TI. mejoras. Se ha hecho una No se ha hecho una evaluacin evaluacin independiente sobre efectividad de proveedores de la efectividad de externos. proveedores externos de servicios. Hay un aseguramiento Existe un aseguramiento para el Independiente del cumplimiento de las leyes y Cumplimiento de leyes y contratos hechos. requerimientos regulatorios y compromisos contractuales. Existe un cumplimiento de leyes y contratos con proveedores externos.

1.

2.

3.

4.

5.

6. Hay un aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios 7. Existe competencia de la funcin de aseguramiento Independiente 8. Existe participacin Proactiva de Auditoria

No existe competencia de la funcin de aseguramiento. No cuentan con una participacin de auditora.

PROVEER AUDITORA INDEPENDIENTE 1. Autoridades definen y No existe un plan de auditora apoyan un plan de para el rea de TI auditora que provee 23

Seguridad y Auditoria de Sistemas de Informacin

2. 3. 4.

5.

6. 7.

independencia, responsabilidad y autoridad a la funcin de auditoria El planeamiento y realizacin de las auditorias es pro-activa Existen herramientas y tcnicas de soporte a la auditoria Se establecen prcticas acordadas de auditora entre la gestin y la auditoria para cerrar recomendaciones y estatus global. Los auditores asesoran sobre el impacto en la performance de sus recomendaciones incluyendo costos, beneficios y riegos. Se siguen las prcticas generalmente aceptadas de auditora. Se usa planeamiento basado en riegos para definir las actividades a auditar inicial y cclicamente.

Existe una planeacin y realizacin es proactiva. No existe un soporte de auditora. No existen prcticas acordadas de auditora.

No hay auditores que asesoren al rea de TI.

Siguen algunas prcticas para control y planeamiento basadas en auditorias. No cuenta con un plan de riesgos para auditar.

Otros Aspectos de Importancia

24

Seguridad y Auditoria de Sistemas de Informacin

Como toda rea de TI Epensa trata de mantenerse al da con las ltimas tecnologas del mercado, las cuales iremos describiendo a continuacin

Comunicaciones
A nivel WAN, Epensa cuenta con 2 DNS los cuales le permiten una mayor cobertura para mantenerse constante sin problemas de conectividad para toda la organizacin, y contar con mayor rapidez respecto a la comunicaciones a travs de VPNs en las diferentes partes del pas. Epensa cuenta con una red LAN estable la cual conecta a todos los ordenadores de la institucin a los servicios los cuales pueda brindar el rea de TI. Trabaja bajo una plataforma de WindowsServer 2003 la cual le da una mayor flexibilidad para las cuentas y administracin de la red; adems de contar con servicios de DNS y DHCP

Cuentan con un servicio de correo basado enOpenSource, el cual es el openXchange

25

Seguridad y Auditoria de Sistemas de Informacin

Cuentan con servicios de Firewall e IDS basados en Linux los cuales son el IPtables y el snort los cuales son herramientas las cuales han demostrador ser muy eficaces para cumplir estas funciones

La red con la que cuenta Epensa no se encuentra realizado la operacin de subnetting, pero utilizan la red privada 192.168.x.x para las distintas areas las cuales cuenta Epensa, un ejemplo es: Correo utiliza la direccin 192.168.3.2 192.168.168.3.255 y OJO usa la direccin 192.168.2.2 192.168.168.2.255. La organizacin no cuenta con una estandarizacin con respecto al cableado estructurado, pero se conoce que se encuentra todo con cable categora 5e, y para los servidores utilizan fibra ptica monomodo.

Cuenta con servidores proxy implementados para una mayor seguridad del caso.

26

Seguridad y Auditoria de Sistemas de Informacin

Cuentan con una conexin dedicada de 4 Mb y una de respaldo de 2 Mb Speedy Business A continuacin podemos apreciar parte de la red de Epensa y como esta constituida

Foto, izquierda a derecha: Percy Rojas, Administrador de redes; Erik Garayar, Jefe de sistemas; y Geiner Gardn, Administrador de redes de EPENSA.

27

Seguridad y Auditoria de Sistemas de Informacin

28

Seguridad y Auditoria de Sistemas de Informacin

Equipos y Servicios
Epensa S.A cuenta con un Centro de Cmputo adecuado especialmente para contener los servidores, equipos de red y equipos de telefona. El diseo del centro de cmputo cuenta con sistemas de seguridad apropiados para resguardar la informacin de la empresa

.
rea de servidores

Operadores

29

Seguridad y Auditoria de Sistemas de Informacin

Cuenta con una lnea dedicada de 4 mb y una de 2mb SB para respaldo El servicio es brindado por Telefnica del Per El servicio de correo se encuentra montado sobre una distribucin Linux RedHat 5 Enterprise Todo usuario perteneciente a Epensa cuentan con una direccin de correo electrnico En el siguiente grafico podemos apreciar la infraestructura para el envio de correos

Transferencia de correo Electrnico

El servicio de VPNs Los aplicativos de la empresa se utilizan en la parte de finanzas, RRHH etc, los cuales son producidos por la misma rea de desarrollo Epensa no cuenta con una solucin holstica como lo es SAP (por ejemplo) La estructura de DNS de Epensa se encuentra de la siguiente manera 30

Seguridad y Auditoria de Sistemas de Informacin

31

Seguridad y Auditoria de Sistemas de Informacin

Lo cual hace ms flexible para este tema, puesto que su Web esta alojada por Telmex y los dems servicios se encuentran registrados en DNSs de Telefnica

Servidores
Epensa S.A cuenta con servidores HP que cumplen las siguientes funciones: Servidor de correo (OpenXchange) Servidor FTP Servidores de DHCP y DNS montados em Windows Server Servidor de firewall sobre uma plataforma Linux usando Servidor de Proxy en Linx RedHat 5 Enterprise Servidor HP de BackUps TapeBackUp

2003 IPtables

Base de datos
La base de datos de Epensa se encuentra centralizada en Lima la cual a su vez se encuentra duplicada en otra habitacin del mismo local de Epensa, Esta base de datos se encuentra montada en Oracle 10G. Las Bases de datos sucursales se conectan a travs de un enlace VPN para una mayor seguridad del caso. Utilizan mtodos de encriptacin avanzados como AAA puesto que la informacin que es enviada es crtica para la empresa, en este caso

32

Seguridad y Auditoria de Sistemas de Informacin

los peridicos en formato de PDF para la respectiva impresin en diferentes partes del pas.

En lima se sigue un proceso de alta seguridad para lo que es respectivo almacenamiento de la informacin (fotos. PDF, XLS, etc de Epensa)

33

Seguridad y Auditoria de Sistemas de Informacin

34

Seguridad y Auditoria de Sistemas de Informacin

Anlisis de Riesgos
I. INTRODUCCION El presente anlisis de los riesgos fue desarrollado con el propsito de determinar cules de los activos de la organizacin Empresa periodstica Nacional EPENSA tienen mayor vulnerabilidad por la presencia tanto de factores externos o internos que puedan afectar, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo puede ser controlado. Para generar esta informacin se realizaron las siguientes actividades:
a. Identificacin de los activos de

La Organizacin (Epensa) : se evaluaron los distintos activos fsicos y de software de la organizacin, generando un inventario de aquellos que son considerados como vitales para su desenvolvimiento seguro. fueron clasificados segn el impacto que sufrira la organizacin si faltase o fallara tal activo.

b. Asignacin de importancia a los activos: los activos

c. Identificacin de amenazas: acto seguido se listaron los

factores de riesgo relevantes a los pueden verse sometidos cada uno de los activos arriba nombrados.
d. Descripcin de consecuencias y salvaguardas: se

gener una descripcin de las consecuencias que podra sufrir La Institucin si los activos son afectados por sus respectivas amenazas, detallando la manera en que se protege al activo contra ese ataque en particular, y puntualizando en qu grado son efectivas estas medidas.
e. Asignacin de probabilidades de ocurrencia de las

amenazas: teniendo en cuenta los datos arriba mencionados fue posible estimar la probabilidad de ocurrencia que cada una de las amenazas representaba con respecto a los activos listados, considerando para esta estimacin las medidas tomadas por la institucin para mitigar su accin.

35

Seguridad y Auditoria de Sistemas de Informacin

f.

Clculo de niveles de vulnerabilidad y riesgo: una vez identificados los riesgos, se procedi a su anlisis. Con toda la informacin recolectada, se determin el nivel de vulnerabilidad que se asocia con cada activo listado. descritas se pudo evaluar la situacin actual de La Organizacin en relacin a los incidentes que pueden afectarla, calculando las vulnerabilidades cubiertas y descubiertos, y un anlisis sobre la escala de importancia de los activos.

g. Conclusiones: a partir de las actividades anteriormente

h. Consecuencias: luego de identificar, estimar y cuantificar

los riesgos, la unidad de riesgos de La Organizacin deben determinar los objetivos especficos de control y, con relacin a ellos, establecer los procedimientos de control ms convenientes, para enfrentarlos de la manera ms eficaz y econmica posible. En general, aquellos riesgos cuya concrecin est estimada como de baja frecuencia, no justifican preocupaciones mayores. Por el contrario, los que se estiman de alta frecuencia deben merecer preferente atencin. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido comn. II. ACTIVOS Y FACTORES DE RIESGOS Presentamos los distintos activos reconocidos en Epensa, asignando un valor al impacto que tienen en la organizacin, ponderada en una escala del 1 al 10. Este impacto es un valor subjetivo que refleja el nivel de Impacto que puede tener La Organizacin si un incidente afecta a los activos, sin considerar las medidas de seguridad que existan sobre los mismos. CATEGORIA ID DEFINICION DEL ACTIVO IMPACT O 8 8 7 6 7 3 7

Instalaciones 01 Ambiente del rea de Sistemas Personal 02 Personal del rea de sistemas Equipamiento 03 Sistema de Aire Acondicionado auxiliar 04 Pozos a tierra y Sistema Elctrico Estabilizado 05 Suministro de Energa Elctrica 06 Cmaras de seguridad Servicio 07 Sistema de Telecomunicaciones

36

Seguridad y Auditoria de Sistemas de Informacin

Equipos Servidores centrales (Servidor de Dominio, informticos/R 08 Terminal Services, Antivirus, Antispam y edes de Firewall). comunicacione 09 Servidor de base de datos s Dispositivos de conectividad y soporte en 10 comunicaciones (Cableado, switch, routers, access point mdems.) 11 Ordenadores de Escritorio Aplicaciones 12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) Servicio de VPNs para oficinas en centro del Per Data generada por los Sistemas de Informacin

8 7 9 4 5 7 7 6 8 8 7

13 Servicio de correos e intranet, DNS 14

15 Aplicaciones de desarrollo de la empresa Datos e Informacin Soporte de informacin 16

17 Data generada por los Usuarios. Documentacin de programas, hardware, 18 sistemas, procedimientos administrativos locales, manuales, etc.

*La ausencia del jefe del rea de sistemas impactara de gran manera al rea de sistemas, por lo que no solo es jefe del rea, sino del rea de redes y comunicaciones y ala vez tambin de soporte tcnico 1 10 = = Menor impacto Mayor impacto

A continuacin se listan los factores de riesgo o amenazas que pueden afectar a dichos activos, indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 5. Esta probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la organizacin.
PROBABILI DAD

TIPO

ID

AMENAZA Incendios Inundacin Terremotos Error de backups Error en el medio de almacenamiento

Accidentes 001 002 003 004 005

1 1 1 1 2

37

Seguridad y Auditoria de Sistemas de Informacin

TIPO

ID 006 007

AMENAZA Fallas fsicas de los equipos (averas) Riesgo por el personal de limpieza o personal externo Administracin inadecuada Entrenamiento inadecuado de usuarios Errores de configuracin y operacin del sistema. Falta de cuidado en el manejo de informacin. Mal uso de derechos de administracin. Mala administracin de passwords. Problemas con conexiones y electricidad Procesamiento de informacin inadecuado. Conocimiento insuficiente. Conexiones todava activas. Documentacin deficiente. Falta de backup. Faltas de herramientas utilizadas en los ordenadores. Deshonestidad y sabotaje. Prdida (extravo). Prdida de Laptops. Robo de claves. Robo de equipos. Vandalismo. Fraude. Uso sin autorizacin. Spoofing y sniffing LAN. Destruccin negligente de los datos. Retiro y/o ausencia intempestiva de personal. Entrada sin autorizaciones

PROBABILI DAD

2 2 2 1 2 1 1 2 1 1 1 1 3 1 1 2 1 1 1 2 2 1 1 2 1 3 2 1 2

Errores

008 009 010 011 012 013 014 015 016 017 018 019 020

021 022 Presenciale 023 024 s 025 027 028 029 030 031 032 Exterior Remotos 033

Exterior

026 Robo de informacin.

ambientes seguros. 034 Accesos no autorizados datos con corrupcin.

38

Seguridad y Auditoria de Sistemas de Informacin

TIPO

ID

AMENAZA

PROBABILI DAD

035 Infeccin de virus. Accesos no autorizados a datos con 036 modificacin. 037 Modificacin no autorizada. 038 Spoofing en WAN.
1 3 = = Menor probabilidad Mayor probabilidad

2 1 2 1

III. POSIBLES CONSECUENCIAS Y MEDIDAS EXISTENTES En el presente cuadro se listan los activos de la organizacin (Epensa), las amenazas que los afectan directamente y las consecuencias que puede traer consigo la materializacin de estas amenazas. Se describen tambin las salvaguardas o informacin referida a las medidas que ha tomado Epensa para mitigar estas consecuencias. Por ltimo se han evaluado estas medidas, indicando si son deficientes (d), mejorables (m) o eficientes (e).

NOMBRE DE ACTIVO VITAL AMENAZA

CONSECUENCIAS

SE PROTE GE?

COMO? MEDIDAS APLICADAS El personal cuenta con llaves de sus respectivas reas a las cuales pertenecen Las sub-reas pertenecientes al rea de sistemas mantienen al menos una persona al momento de realizar las limpiezas Existen cmaras de seguridad en cada rea El personal cuenta con una clave la cual es nica para cada usuario y se le advierte no compartir con nadie esta clave

ES EFECTIVA ?

01 Ambiente del rea de Sistemas Prdida de equipos y/o Entrada sin informacin / 03 autorizaciones Manipulacin de los 3 ambientes seguros. sistemas y/o modificaciones Riesgo por personal de 00 limpieza o personal 7 externo Dao de servidores, UPS, cableado, Interrupcin de sistemas. Paralizacin de los sistemas(Falta de sistemas) / Prdida de equipos y/o informacin Paralizacin de ciertas actividades de produccin

Si

Media

Si

Media

02 Robo de equipos. 5

Si

Media

02 Robo de claves. 4

Si

Media

39

Seguridad y Auditoria de Sistemas de Informacin NOMBRE DE ACTIVO VITAL AMENAZA 01 Mala administracin de 3 passwords SE COMO? PROTE MEDIDAS GE? APLICADAS El personal no respeta siempre y No comparte los passwords con compaeros ES EFECTIVA ? Baja

CONSECUENCIAS Paralizacin de una o mas PCs

02 Personal del rea de Sistemas Mal uso de los 00 Entrenamiento servidores de 9 inadecuado de usuarios produccin con los que cuenta la Organizacin 02 Robo de informacin 6 02 Deshonestidad y 1 sabotaje Paralizacin de los sistemas(Falta de sistemas) / Robo, modificacin de informacin

No

Baja

No

Baja

Si

Pliza de Seguro por deshonestidad Las contraseas de los servicios crticos solo es de conocimiento del rea de Redes y comunicaciones

Media

Divulgacin, 01 Mal uso de derechos de modificacin y robo de 2 administracin la informacin. Aumento de vulnerabilidades e inestabilidad del sistema / Incremento de riesgos en cada de servicios Demoras en los procesos por falta de conocimiento Demoras en la entrega de documentacin de alta importancia a las sedes en el centro de lima

Si

Media

Retiro / ausencia 03 intempestiva de 2 personal 01 Conocimiento 6 insuficiente

No

Dbil

Si

Capacitaciones constantes Se aplican ciertos mtodos de encriptacin para que la informacin no este disponible a personal no autorizado

Alta

03 Accesos no autorizados 6 datos con corrupcin.

Si

Alta

03 Sistema de Aire Acondicionado Las reas se encuentran protegidas 00 Incendios Si reforzando los cables 1 y posibles averas, adems cuentan con extintores 04 Pozo a tierra y Sistemas Elctricos Estabilizados, Extintores Perdida de 00 Inundacin funcionamiento de No 2 servidores, PCs, etc. Prdidas colosales del rea de sistemas y subrea como lo son servidores, ordenadores, informacin, etc. 00 Terremotos 3 Posible destruccin de las reas Si

Media

Baja alta

05 Suministros de energa Elctrica

40

Seguridad y Auditoria de Sistemas de Informacin NOMBRE DE ACTIVO VITAL AMENAZA Problemas con 01 conexiones y 4 electricidad 06 Cmaras de seguridad 02 Prdida (extravo). 2 Problemas internos y posibles manipulaciones de los servidores La organizacin cuenta con cmaras las cuales monitorean todas las reas de sistemas SE COMO? ES PROTE MEDIDAS EFECTIVA GE? APLICADAS ? La organizacin cuenta con UPS de una duracin de 40 Si Alta minutos para las respectivas precauciones

CONSECUENCIAS Descontinuad de los servidores de produccin por la ausencia de electricidad

Si

Media

07 Sistema de Telecomunicaciones Uso de IDS para la deteccin de Si intrusos en las Media redes Servidores centrales (Servidor de dominio, Terminal Services, Antivirus, antispam, 08 Firewall) Modificaciones en los controladores de Capacitaciones y dominio de la sentido de la 00 Administracin organizacin, Si responsabilidad del Media 8 inadecuada generando molestias, persona de redes y negando y permitiendo comunicaciones permisos a personas no autorizadas Se realiza monitoreo constante de las 01 Conexiones todava Posibles robos de Si actividades Media 7 activas informacin realizadas y quien las realiza Generacin de Problemas que pueden 03 Modificacin no llaves administradas existir con controles de Si Alta 7 autorizada por el jefe del rea acceso u otras servicios de sistemas 09 Servidor de base de datos Errores en las respectivas consultas Errores de 01 realizadas ala base de configuracin y N Baja 0 datos por parte del rea operacin del sistema de desarrollo para respectivos controles 10 Dispositivos de conectividad y soporte en comunicaciones 03 Spoofing y sniffing LAN 0 Suplantacin de identidades en la red 02 Prdida de Laptops. 3 Demoras para los procesos de backup, generando as perdidas de informacin 11 Ordenadores de escritorio 00 Error en el medio de 5 almacenamiento No Utilizacin de tecnologas (Tape backups) especializados ( Baja

Si

Media

41

Seguridad y Auditoria de Sistemas de Informacin NOMBRE DE ACTIVO VITAL AMENAZA SE COMO? PROTE MEDIDAS GE? APLICADAS El personal de soporte tcnico recibe capacitaciones Si constantes para asistir ante eventualidades de esta tipo. Se tiene instalado una solucin de Si antivirus a medida de negocio Mantenimientos constantes de los ordenadores ES EFECTIVA ?

CONSECUENCIAS

00 Fallas fsicas de los 6 equipos

Demoras en los procesos

Media

03 Infeccin de virus 5

Problemas con los ordenadores

Media

12 Herramientas de escritorio y desarrollo Faltas de herramientas 02 Disgusto de los utilizadas en los 0 usuarios finales ordenadores. 13 Servicio de correos e Intranet Perdidas de correos Errores de electrnicos generando 01 configuracin y confusiones con las 0 operacin del sistema actividades para cada responsable 14 Servicio de VPN para oficinas en centro del Per Mala administracin de 02 las oficinas del centro Uso sin autorizacin 9 del Per, generando fallas de conectividad. 03 Spoofing en WAN 8 Robo de informacin por suplantacin de usuarios

Si

Media

Si

Monitoreo constante de las aplicaciones de correo e internet

Media

Si

Si

Generacin de llaves administradas por el jefe del rea de sistemas La organizacin cuenta con IDS para la deteccin de intrusos

Alta

Alta

15 Aplicaciones de desarrollo de la empresa Desconocimiento de 01 Procesamiento de responsables de la 5 informacin inadecuado informacin 16 Data generada por los sistemas de informacin 00 Error de Backups 4 Perdidas de informacin de respaldo critica para la organizacin etc.

No

Baja

Si

La informacin es guarda en discos duros externos y se copia tambin a DVDs

Baja

17 Data generada por los usuarios Retrasos en los 03 Destruccin negligente procesos de, 1 de los datos. generacin de brechas en la organizacin 01 Falta de Backup 9 Paralizacin de los servidores en caso de un siniestro

Si

Generacin de backups Se realizan backups incrementales durante toda la semana

Baja

Si

Alta

18 Aplicaciones de desarrollo de la empresa Realizan los procesos 01 Documentacin de manera confusa o 8 deficiente lenta

No

Baja

42

Seguridad y Auditoria de Sistemas de Informacin NOMBRE DE ACTIVO VITAL AMENAZA 01 Falta de cuidado en el 1 manejo de informacin. SE PROTE GE? No COMO? MEDIDAS APLICADAS ES EFECTIVA ? Baja

CONSECUENCIAS

IV. CLCULO DE NIVELES DE VULNERABILIDAD Y RIESGOS En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho clculo se desarrollaron las siguientes operaciones:
PROBABILIDAD

DE OCURRENCIA: representan la probabilidad de que se materialicen las amenazas identificadas, en una escala del 1 al 3. Esto se evalu en el numeral 2.- Factores de Riesgo, teniendo en cuenta las medidas de seguridad existentes en Organizacin. de probabilidad de que se materialicen las amenazas, con respecto a la cantidad de amenazas identificadas para dicho activo. Esto es debido a que cada activo est afectado por un nmero diferente de amenazas posibles, de manera que este clculo sirve para obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo, independientemente de la cantidad de amenazas que lo afectan.
= 100

NIVEL DE VULNERABILIDAD: se calcula el porcentaje

Vulnerabilidad Ocurrencia
X

Probabilidad

de

Cantidad de Amenazas

NIVEL DE RIESGO: en este momento interviene el nivel

de importancia que refleja el nivel de impacto que puede tener La Institucin, si un incidente afecta a los activos, multiplicando al nivel de vulnerabilidad. De esta forma se obtiene el nivel de riesgo de cada activo con respecto a una amenaza. La suma de estos valores es el nivel de riesgo total que corresponde a cada activo.

43

Seguridad y Auditoria de Sistemas de Informacin

Riesgo

= Vulnerabilidad x

Impacto

NOMBRE DE ACTIVO IMPACTO

AMENAZA

PROBABILIDAD VULNERABIL RIESGO DE OCURRENCIA IDAD

033 007
01 Ambiente de rea sistemas 8

025 024 013

Entrada sin autorizaciones ambientes seguros. Riesgo por personal de limpieza o personal externo Robo de equipos. Robo de claves. Mala administracin de passwords Entrenamiento inadecuado de usuarios Robo de informacin Deshonestidad y sabotaje Mal uso de derechos de administracin Retiro / ausencia intempestiva de personal Conocimiento insuficiente Accesos no autorizados datos con modificacin

1 2 2 1 2

20 40 40 20 20 140

160 320 320 160 160 1120 114.4 228.8 228.8 114.4 228.8 114.4 114.4 1144 700 700 300 300 600 700 700

CANTIDAD DE AMENAZAS = 5

009 026 021


02

1 2 2 1 2 1 1 1 1 1

14.3 28.6 28.6 14.3 28.6 14.3 14.3 143 100 100 50 50 100

Personal del rea de Sistemas

012
8

032 016 036

CANTIDAD DE AMENAZAS =7 03 Sistema de Aire Acondicionado Pozo a tierra y Sistemas Elctricos Estabilizados Extintores Suministros de energa elctrica

7
6

001 Incendios
CANTIDAD DE AMENAZAS =1

002 Inundacin 003 Terremotos


CANTIDAD DE AMENAZAS =2 7

04

05

Problemas con conexiones y 014 electricidad


CANTIDAD DE AMENAZAS = 1

100 100

06

Cmaras de seguridad

Problemas internos y posibles 022 manipulaciones de los servidores


CANTIDAD DE AMENAZAS = 1

1 1

100 100 100 100

300 300 700 700 533.6 266.4 533.6

07 Telecomunicacio

Sistema de

030 Spoofing y sniffing LAN


7 CANTIDAD DE AMENAZAS = 1

nes Servidores centrales (Servidor de dominio, Terminal 08 Services, Antivirus, antispam, Firewall) Servidor de base de datos 09
10

008 Administracin inadecuada 017 Conexiones todava activas 037 Modificacin no autorizada
8 CANTIDAD DE AMENAZAS = 3

2 1 2

66.7 33.3 66.7

166.7 9 9

1333.6 1800 1800 450

Errores de configuracin y 010 operacin del sistema


CANTIDAD DE AMENAZAS = 1

2 1

200 200 50

023 Prdida de Laptops.

44

Seguridad y Auditoria de Sistemas de Informacin

NOMBRE DE ACTIVO IMPACTO

AMENAZA

PROBABILIDAD VULNERABIL RIESGO DE OCURRENCIA IDAD

Dispositivos de conectividad y soporte en comunicaciones


11

005

Error en el medio de almacenamiento

100 150 100 100 200

900 1350 400 400 800 500 500 1400 1400 700 350 1050 600 600 800 800 1200 400 1600 1050 350

CANTIDAD DE AMENAZAS = 2 4

Ordenadores de escritorio

006 Fallas fsicas de los grupos 035 Infeccin de virus


CANTIDAD DE AMENAZAS = 2

2 2

Herramientas de escritorio y 12 desarrollo


13

Faltas de herramientas 020 utilizadas en los ordenadores.


CANTIDAD DE AMENAZAS = 1

100 100

Servicio de correos e Intranet

010

Errores de configuracin y operacin del sistema

200 200

CANTIDAD DE AMENAZAS = 1

Servicio de VPN 14 para oficinas en centro del Per Aplicaciones de 15 desarrollo de la empresa Data generada 16 por los sistemas de informacin
17

029 Uso sin autorizacin


7

2 1

100 50 150

038 Spoofing en WAN


CANTIDAD DE AMENAZAS = 2

Procesamiento de informacin 015 inadecuado


CANTIDAD DE AMENAZAS = 1

1 1

100 100 100 100

004 Error de Backups


8 CANTIDAD DE AMENAZAS = 1

Data generada por los usuarios

Destruccin negligente de los 031 datos. 019 Falta de Backup


CANTIDAD DE AMENAZAS = 2

3 1 3 1

150 50 200 150 50

Documentacin de programas, hardware, sistemas, 18 procedimientos administrativos locales, manuales, etc.

018 Documentacin deficiente Falta de cuidado en el manejo 011 de informacin.


7 CANTIDAD DE AMENAZAS = 2

200

1400

V.

CONCLUSIONES En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho clculo se desarrollaron las siguientes operaciones: Niveles de Riesgo (R) y Vulnerabilidad (V) En el cuadro se listan los niveles de Riesgo y Vulnerabilidad para cada activo, considerando la importancia de 1 a 10, y 45

Seguridad y Auditoria de Sistemas de Informacin

sin tener en cuenta la importancia (es decir con un valor de 1). A la derecha los valores que observamos representan el nmero de los activos, ordenados en forma descendiente de acuerdo al riesgo y vulnerabilidad que corren dicho activos.
R% =

Valor del riesgo del activo X 100 Total del valor del nivel de riesgo

V%

Valor de la vulnerabilidad del activo

X 100 Total del valor del nivel de vulnerabilidad


ID ACTIVO ACTIVOS NIVEL DE RIESGO (R) VALOR NIVEL DE VULNERABILIDA D (V) R % VALOR V% 6.7 6.4 3.9 3.3 3.9 1.7 3.9 7.4 10.0 7.5 4.4 2.8 7.8 5.8 3.3 4.4 8.9 7.8 140 143 100 100 100 100 100 166.7 200 150 200 100 200 150 100 100 200 200 5.5 5.6 4.0 4.0 4.0 4.0 4.0 6.5 8.0 5.9 8.0 4.0 8.0 5.9 4.0 4.0 8.0 8.0

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18

Ambiente del rea de sistemas Personal del rea de sistemas Sistema de Aire Acondicionado Pozos a tierra y Sistema Elctrico Estabilizado Suministro de Energa Elctrica Cmaras de seguridad Sistema de Telecomunicaciones Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall). Servidor de base de datos Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point mdems.) Ordenadores de Escritorio Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) Servicio de correos e intranet, DNS Servicio de VPNs para oficinas en centro del Per Aplicaciones de desarrollo de la empresa Data generada por los Sistemas de Informacin Data generada por los Usuarios. Documentacin de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc

1200 1144 700 600 700 300 700 1333.6 1800 1350 800 500 1400 1050 600 800 1600 1400

46

Seguridad y Auditoria de Sistemas de Informacin

17977.6 100% 2549.7 100%

Activos por orden de Riesgo (R)


ACTIVOS RIESGO R%

09 Servidor de base de datos 17 Data generada por los Usuarios. Documentacin de programas, hardware, sistemas, 18 procedimientos administrativos locales, manuales, etc 13 Servicio de correos e intranet, DNS Dispositivos de conectividad y soporte en 10 comunicaciones (Cableado, switch, routers, access point mdems.) Servidores centrales (Servidor de Dominio, Terminal 08 Services, Antivirus, Antispam y Firewall). 01 Ambiente del rea de sistemas 02 Personal del rea de sistemas 14 Servicio de VPNs para oficinas en centro del Per 16 Data generada por los Sistemas de Informacin 11 Ordenadores de Escritorio 03 Sistema de Aire Acondicionado 05 Suministro de Energa Elctrica 07 Sistema de Telecomunicaciones 15 Aplicaciones de desarrollo de la empresa 04 Pozos a tierra y Sistema Elctrico Estabilizado Herramientas de Escritorio y Desarrollo (Programas 12 fuente, sistemas operativos)

1800 1600 1400 1400 1350 1333.6 1200 1144 1050 800 800 700 700 700 600 600 500

10 8.9 7.8 7.8 7.5 7.4 6.7 6.4 5.8 4.4 4.4 3.9 3.9 3.9 3.3 3.3 2.8

17977.6 100%

Activos por orden de Vulnerabilidad (V)


ACTIVOS 09 Servidor de base de datos 11 17 18 08 10 14 Ordenadores de Escritorio Data generada por los Usuarios. Documentacin de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall). Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point mdems.) Servicio de VPNs para oficinas en centro del Per 13 Servicio de correos e intranet, DNS
VALOR 200 200 200 200 200 166.7 150 150 V% 8.0 8.0 8.0 8.0 8.0 6.5 5.9 5.9

47

Seguridad y Auditoria de Sistemas de Informacin

02 01

Personal del rea de sistemas Ambiente del rea de sistemas

143 140 100 100 100 100 100 100 100 100 2549.7

5.6 5.5 4.0 4.0 4.0 4.0 4.0 4.0 4.0 4.0 100%

03 Sistema de Aire Acondicionado 04 Pozos a tierra y Sistema Elctrico Estabilizado 05 Suministro de Energa Elctrica 06 07 12 15 16 Cmaras de seguridad Sistema de Telecomunicaciones Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) Aplicaciones de desarrollo de la empresa Data generada por los Sistemas de Informacin

Anlisis de Impacto Aqu vemos un anlisis donde se tiene en cuenta el nivel de riesgo y el impacto con una ponderacin de 1 a 10. Se calcul el porcentaje de los riesgos y el porcentaje del impacto respectivamente.
I% =

Impacto X

100

Valor total del impacto Al calcular la diferencia entre estos porcentajes (Dif. de %) se obtiene el porcentaje que muestra cun sobrevaluados o menospreciados estn los activos de acuerdo a sus riesgos. A continuacin se calcula una cifra (Dif. de importancia) que representan los porcentajes anteriormente mencionados, de la siguiente manera: Para aplicar la diferencia de porcentajes al impacto actual, se multiplican.

Impacto. x Dif. de %

Este resultado no est en escala de 1 a 10, por lo que con una regla de tres simple, se centran los valores:

48

Seguridad y Auditoria de Sistemas de Informacin

100 % -----------------------------------impacto Impacto x Dif. de % ------------importancia)

10 puntos de

? (= Diferencia de

A este resultado se le suma (o resta de acuerdo al signo) al impacto actual, obteniendo el impacto que debera tener cada activo (impacto ideal), de acuerdo al nivel de riesgos encontrado. Impacto ideal = Impacto actual + Diferencia de impacto

49

Seguridad y Auditoria de Sistemas de Informacin

ACTIVOS

NIVEL DE RIESGO RIESGO R%

IMPACTO ACTUAL DIF. DE DIF. DE IMPACTO % IMPACTO IDEAL IMPACTO I % =R%-I%

01 Ambiente del rea de sistemas 02 Personal del rea de sistemas 03 Sistema de Aire Acondicionado 04 Pozos a tierra y Sistema Elctrico Estabilizado

1200 1144 700 600 700 300 700 1333.6 1800 1350 800 500 1400 1050 600 800 1600 1400

6.7 6.4 3.9 3.3 3.9 1.7 3.9 7.4 10.0 7.5 4.4 2.8 7.8 5.8 3.3 4.4 8.9 7.8

8 8 7 6 7 3 7 8 7 9 4 5 7 7 6 8 8 7

6.6 6.6 5.7 4.9 5.7 2.5 5.7 6.6 5.7 7.4 3.3 4.1 5.7 5.7 4.9 6.6 6.6 5.7

0.1 -0.2 -1.8 -1.6 -1.8 -0.8 -1.8 0.8 4.3 0.1 1.1 -1.3 2.1 0.1 -1.6 -2.2 2.3 2.1

0.01 -0.02 -0.13 -0.10 -0.13 -0.02 -0.13 0.07 0.30 0.01 0.04 -0.07 0.15 0.01 -0.10 -0.18 0.18 0.15

8.01 7.98 6.87 5.90 5.87 2.98 6.87 8.07 7.30 9.01 4.04 4.93 7.15 7.01 5.9 7.82 8.18 7.15

05 Suministro de Energa Elctrica 06 Cmaras de seguridad 07 Sistema de Telecomunicaciones Servidores centrales (Servidor de 08 Dominio, Terminal Services, Antivirus, Antispam y Firewall). 09 Servidor de base de datos Dispositivos de conectividad y soporte en comunicaciones 10 (Cableado, switch, routers, access point mdems.) 11 Ordenadores de Escritorio Herramientas de Escritorio y 12 Desarrollo (Programas fuente, sistemas operativos) 13 Servicio de correos e intranet, DNS Servicio de VPNs para oficinas en centro del Per Aplicaciones de desarrollo de la 15 empresa Data generada por los Sistemas de 16 Informacin 14 17 Data generada por los Usuarios. Documentacin de programas, hardware, sistemas, procedimientos 18 administrativos locales, manuales, etc

17977. 100 100 121.0 122 0.00 0.04 6 % % 4

50

Seguridad y Auditoria de Sistemas de Informacin

Valores Mximos, Mnimos y Reales Se muestran los valores mximos y mnimos de vulnerabilidad que pueden obtener los activos cuando las probabilidades son llevadas a puntos extremos. Este clculo es necesario para compararlos con los valores relevados que figuran en la tercera columna. Estos clculos se realizan sin tener en cuenta la influencia del impacto, es decir se representan exclusivamente las debilidades de cada activo, con las medidas de seguridad que actualmente existen en la institucin.
ACTIVOS
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 Ambiente del rea de sistemas Personal del rea de sistemas Sistema de Aire Acondicionado Pozos a tierra y Sistema Elctrico Estabilizado Suministro de Energa Elctrica Cmaras de seguridad Sistema de Telecomunicaciones Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall). Servidor de base de datos Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point mdems.) Ordenadores de Escritorio Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) Servicio de correos e intranet, DNS Servicio de VPNs para oficinas en centro del Per Aplicaciones de desarrollo de la empresa Data generada por los Sistemas de Informacin Data generada por los Usuarios. Documentacin de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc

MAXIMO (333) % 300 5.56 300 300 300 300 300 300 300 300 300 300 300 300 300 300 300 300 300 5400 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 100%

MINIMO (111) % 100 5.56 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 1800 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56 5.56

REAL (123) %
140 143 100 100 100 100 100 166.7 200 150 200 100 200 150 100 100 200 200 5.5 5.6 4.0 4.0 4.0 4.0 4.0 6.5 8.0 5.9 8.0 4.0 8.0 5.9 4.0 4.0 5.5 5.6

100% 2549.7 100%

51

Seguridad y Auditoria de Sistemas de Informacin

Porcentajes de Vulnerabilidades Descubiertas Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de vulnerabilidades descubiertas en La Institucin es de 47.22% (2549.7 puntos), considerando el nivel mximo de riesgos como el 100% (5400 puntos), y sabiendo que el porcentaje mnimo es de 33.3% (1800 puntos). Por esto podemos concluir que Epensa debera reducir en 19.18% el porcentaje de vulnerabilidades descubiertas, para as conseguir el nivel mnimo de riesgos posible. Porcentaje de vulnerabilidades descubiertas: Porcentaje de vulnerabilidad mnimo: Desviacin: 47.22% 33.33% 13.89%

El anlisis de riesgos realizado a La Empresa periodstica nacional Epensa constituye un anlisis inicial para el desarrollo de las polticas, y as cumplir con la implementacin de la normas ISO 17799. Es importante que una vez emitidas las polticas de seguridad y consolidada la estructura organizacional responsable de la seguridad de la informacin, se afinen los considerados de acuerdo con los objetivos de seguridad de Epensa. Este anlisis en particular involucra un cierto grado de incertidumbre, puesto que la calificacin de escenarios se basa en criterios cualitativos expresados por el personal de sistemas de la institucin y no datos estadsticos particulares de escenarios (relacin activo amenaza) similares ocurridos en Epensa. Sin embargo, los resultados permiten establecer un estado inicial de referencia sobre el cual comparar los riesgos en los escenarios identificados y que potencialmente pueden desarrollarse. Los resultados del anlisis indican que los activos que presentan mayor riesgo, son el Sistema Transaccional, Dispositivos de conectividad y soporte en comunicaciones, el Ambiente del rea de Informtica y los Servidores centrales (Dominio, Terminal Services, Antivirus, Desarrollo y Firewall) y de base de datos originados por un alto impacto que representara para la INSTITUCIN, una baja del Sub estado de confidencialidad, integridad y disponibilidad de dichos activos. El anlisis de los riesgos present como activos con mayor ndice vulnerabilidad es el servicio de base de datos de la empresa (09), Los datos generados por los usuarios (17), Documentacin de programas, hardware, sistemas,

52

Seguridad y Auditoria de Sistemas de Informacin

procedimientos, administrativos locales, manuales, etc. (18) y los servicios de correo, intranet y DNS (13).

53

Seguridad y Auditoria de Sistemas de Informacin

Opinin sobre la Infraestructura


Es comprensible el hecho que EPENSA no cuente con servidores especializados como lo son servidores UNIX o AS/400, esto no es debido a la falta de conocimiento sobre las herramientas tecnolgicas, si no por razones de presupuesto; EPENSA aun no se ha dado cuenta la importancia de las reas de TI y los servicios que estas brindan La empresa que cuenta con una infraestructura apropiada, con un centro de cmputo el cual cuenta con sistemas de seguridad para el cuidado de informacin, con bases de datos centralizada donde se almacena la informacin contando tambin con copias de respaldo, diferentes servidores que le permiten una mejor gestin de la informacin si bien es una infraestructura slida se han encontrado deficiencias que tendrn que ser mejoradas. Es alarmante la falta de control de acceso a las reas de sistemas. Aun cuando se tenga plena confianza en los empleados del rea, no se debe dejar que la informacin y los equipos informticos estn expuestos a robos o daos fsicos. Es preocupante que el jefe del rea de sistemas no haya contemplado algo tan bsico como la seguridad de acceso de personal. La Empresa trabaja activamente sobre su informacin, no solo en su sede central en lima, sino transfiriendo esa a sus otras sedes, en diversas provincias, cualquier prdida en el flujo de las comunicaciones es intolerable, por lo que debe ser evitada siempre. Actualmente existen diversos estndares y patrones para un cableado seguro y de calidad, as como las herramientas y materiales requeridos. Opinamos que la empresa debe contratar un servicio de consultora en redes, la cual indique la estructura de cableado, as como los materiales y servicios a adquirir de modo que toda su red interna sea correctamente estructurada, garantizando su correcta funcionalidad y ofreciendo la garantas respectivas ante una perdida de conectividad. La Empresa realiza mejoras en sus equipos para obtener un mejor desempeo de los mismos y mantener operativos sus servicios, evaluando siempre parmetros como el costo, el rendimiento y el beneficio que les pueda conllevar al momento de realizar estas mejoras. As mismo, no solo se contemplan los 54

Seguridad y Auditoria de Sistemas de Informacin

servicios al momento de realizar un cambio, sino tambin se evala la salud de sus empleados; caso por ejemplo cuando se realizo un cambio en los monitores de trabajo del personal de Diseo Grafico al evaluarse que los existentes producan cansancio en los ojos en muy corto tiempo. La Empresa no toman medidas con respecto a los tres mayores riesgos que son: la indagacin (Un mensaje puede ser ledo por un tercero, obteniendo la informacin que contenga), la suplantacin (Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legtimo) y la modificacin (Un tercero puede alterar el contenido de un mensaje).

55

Seguridad y Auditoria de Sistemas de Informacin

Observaciones
1. Falta de medidas de seguridad del cableado estructurado de las reas de TI El rea de sistemas no ha realizado la instalacin de canaletas para todo el recorrido del cableado de comunicaciones, aun se puede observar cables expuestos de los cuales se desconoce su origen y destino; asimismo muchos cables aun se encuentran mal ponchados. De acuerdo la ISO 17999:2005 en el dominio Seguridad Fsica y del Ambiente en los puntos seguridad del cableado y mantenimiento del equipo nos dice que el cableado de la energa y las telecomunicaciones que llevan la data deben protegerse contra intercepcin o dao y se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad, el cual garantiza a la organizacin minimizar el costo para adquirir nuevos cables y/o conectores RJ-45 para el respectivo cableado. Esto sucede debido a que personal del rea de soporte no cuenta con el conocimiento sobre las bases de cmo ponchar correctamente un cable bajo los estndares actuales y no considera que un cable expuesto pueda ocasionar algn tipo de problema en sus comunicaciones. Al estar el cable expuesto, este puede ser usado para interceptar informacin sensible de la Empresa; as tambin el realizar una mala instalacin de los conectores produce un rpido desgaste de los mismos y de los filamentos del cable al cual fueron instalados. Ver recomendacin Ver conclusin 2. Deficiente Inventario General de los equipos de infraestructura Epensa aun no cuenta con procedimientos adecuados que le permita un control actualizado de los inventarios de los nuevos equipos de cmputo que las diferentes reas de la empresa adquieren. De acuerdo al Cobit v4 en el dominio Adquirir e Implantar, en el control AI3 Adquirir y mantener infraestructura tecnolgica y en el objetivo AI3.2 Proteccin y disponibilidad del recurso de 56

Seguridad y Auditoria de Sistemas de Informacin

infraestructura hay una clusula que estipula que hay que realizar medidas de seguridad para proteger los recursos y una de esas medidas seria que las listas de inventario cubran todo el equipamiento de infraestructura, incluyendo mdems, controladores, terminales, lneas, equipos relacionados; lo cual tiene que ser constantemente monitoreado y evaluado. Esto es debido a que el jefe del rea de sistemas no ha designado formalmente a un trabajador la funcin o responsabilidad de actualizar los inventarios generales de la empresa. Esto genera un control inadecuado de los equipos de cmputo de la empresa, debido al inventario desactualizado con el que se cuenta. Cualquier acto de robo, sea este realizado por personas internas o externas a la empresa no ser notificado dentro de un periodo de tiempo adecuado, de modo que puedan tomarse las medidas adecuadas, sean estas denuncias policiales o seguimiento de las personas al momento del hurto. Ver recomendacin Ver conclusin 3. Falta de control de acceso a las zonas restringidas del rea de sistemas El rea de sistemas aun no cuenta con un control de acceso a zonas restringidas por parte de los empleados, siendo cualquier empleado capaz de ingresar libremente a las reas de sistemas (redes, servidores, desarrollo, soporte), haciendo uso de las llaves de las reas, las cuales se encuentran colgadas en una pared, indicando el rea a la cual pertenecen. De acuerdo a la norma ISO 17799 bajo el dominio de seguridad fsica y del entorno en el punto 9.1 fsico y ambientales, y en el subcontrol 9.1.2 control de las reas seguras de acceso fsico en el punto B dice: El acceso a las reas donde se procesa o almacena la informacin sensible debe ser controlada y restricta a las personas autorizadas solamente, como por ejemplo controles de autentificacin. Estos se deben utilizar para autorizar y validar todo el acceso. El jefe del rea de redes y comunicaciones confa plenamente en sus empleados y no ve necesario la implementacin de una poltica de control de acceso Esta falta permite que cualquier empleado tenga fcil acceso a cualquier zona importante de la empresa, obteniendo as facilidades para que sin autorizacin pueda tener acceso a informacin crtica de la empresa. 57

Seguridad y Auditoria de Sistemas de Informacin

Ver recomendacin Ver conclusin 4. Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones No se cuenta aun con medios de almacenamiento de informacin, que sirvan de respaldos fueras de las instalaciones para sus aplicaciones o procesos crticos, en caso existiese algn desastre. El auditado no ha precisado una fecha establecida en la cual se contara con este sitio alterno. De acuerdo al COBIT v4 en el dominio de Entregar y Dar Soporte (DS), en su objetivo detallado Almacenamiento de respaldos fuera de las instalaciones (DS 4.9) dice: Almacenar fuera de las instalaciones todos los medios de respaldo, documentacin y otros recursos de TI crticos, necesarios para la recuperacin de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administracin del sitio de almacenamiento externo a las instalaciones, debe apegarse a la poltica de clasificacin de datos y a las prcticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al menos una vez por ao, respecto al contenido, a la proteccin ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y peridicamente probar y renovar los datos archivados. No fue contemplado en el diseo un almacenamiento de respaldo offsite. La situacin descrita podra generar prdidas irreparables, as como tambin econmicas, para la organizacin ante una parada de sus servicios y/o prdida parcial o total de su informacin. Ver recomendacin Ver conclusin 5. Falta de licenciamiento de software para las computadoras de escritorio de Epensa EPENSA aun no cuenta con todas las licencias de los sistemas operativos que actualmente hacen uso sus computadoras de escritorio. De acuerdo a la norma ISO 17799:2005, en el dominio "Conformidad" y control "Derechos de propiedad intelectual" el cual 58

Seguridad y Auditoria de Sistemas de Informacin

indica que "Se debieran implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado." El rea de TI ha ido adquiriendo en el transcurso de los aos nuevas computadoras de escritorio, y al realizar dichas adquisiciones, no considero que el sistema operativo viniera pre instalado por lo que para poner en estado operativo dichas computadoras se vali de software no licenciado. La empresa puede obtener una sancin por parte de la entidad reguladora INDECOPI de acuerdo a las normas que dicha institucin posea para contra cualquier persona o institucin que vaya en contra de los derechos de propiedad intelectual. Ver recomendacin Ver conclusin

Conclusiones
Falta de medidas de seguridad del cableado estructurado de las reas de TI Epensa cuenta con un cableado estructurado en mal estado y deficiente, para la red LAN con la que cuenta, para los servidores y servicios de VPN cuenta con fibra ptica, la cual aun se mantiene en buen estado. Inventario General de los equipos de infraestructura EPENSA no considera lo importante que es realizar una lista de inventario que cubra todo el equipamiento de infraestructura, incluyendo mdems, controladores, terminales, lneas y equipos relacionados; al no realizar esto pierden el control sobre los activos que poseen dando lugar a que puedan ser victima de algn acto doloso por parte de los empleados. Falta de control de acceso a las zonas restringidas del rea de sistemas La falta de control de acceso del personal a las zonas del rea de sistemas es un riesgo de cada da, ya que, cualquier empleado puede ingresar, pudiendo ocasionar algn perjuicio a

59

Seguridad y Auditoria de Sistemas de Informacin

la organizacin como hurto de informacin sensible y de equipos informticos

Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones Se concluye que la Empresa EPENSA esta consiente de lo importante que es la informacin para su negocio, pero no ha sabido cuantificar el riesgo justamente para su activo ms crtico. Las alternativas de contingencia que han tomado sirven a la Empresa para que pueda continuar con sus operaciones ms no para que puedan reducir el riesgo al mnimo considerando que su activo ms valioso se encuentra centralizado. Falta de licenciamiento de software para las computadoras de escritorio de Epensa Se concluye de esta observacin encontrada, que Epensa debera lo antes posible regularizar su situacin para no entrar en un proceso legal ante las autoridades.

Recomendaciones
Falta de medidas de seguridad del cableado estructurado de las reas de TI Se sugiere al rea de soporte tcnico realizar un cableado con canaletas para todos los enlaces importantes que tenga la organizacin respetando los estndares definidos y supervisados por personal que conozca del tema o en el mejor de los casos contar con certificaciones para la respectiva infraestructura del cableado estructurado. Inventario General de los equipos de infraestructura Es recomendable asignar la funcin de toma y control de inventarios a una persona o grupo de personas especficas. Esto ayudara a garantizar un control adecuado de los equipos actuales de la empresa, el cual ser capaz de apoyar en la toma de medidas en casos de hurto.

60

Seguridad y Auditoria de Sistemas de Informacin

Falta de control de acceso a las zonas restringidas del rea de sistemas Es recomendable que las llaves de las oficinas sean guardadas y administradas por una persona que se responsabilice directamente por su seguridad, impidiendo de este modo que los empleados obtengan acceso directo a las zonas crticas de la empresa. Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones Recomendamos establecer un plan de almacenamiento de respaldo de los recursos y servicios de TI fuera de la organizacin. Este lugar fsico de respaldo debera estar alejado de la organizacin para que no sea propenso a los mismos desastres. Este plan debe ser implementado lo ms antes posible porque no se sabe en qu momento podra ocurrir un desastre. Tambin podr reanudar sus servicios rpidamente as como tambin evitar al 99.99% la prdida de informacin. Falta de licenciamiento de software para las computadoras de escritorio de Epensa Se recomienda a la empresa que regularice el licenciamiento faltante a travs de una poltica para mantener las condiciones de licencias apropiadas

Anexos
Deficiencias de Control Interno 1. Falta de sealizaciones de zonas seguras y salidas de emergencia. Actualmente el rea de desarrollo no cuenta con seales que indiquen las zonas seguras en casos de siniestro. Esta rea si dispone con una zona segura en casos de sismo, as como una salida de emergencia. No obstante sus ubicaciones no se encuentran debidamente sealizadas. En el ANEXO se puede observar claramente lo mencionado. 61

Seguridad y Auditoria de Sistemas de Informacin

De acuerdo al dominio establecido en la ISO 17799:2005 Seguridad Fsica y Ambiental en los puntos Asegurar las oficinas, habitaciones y medios y Proteccin contra amenazas externas e internas los cuales dicen: Se debiera disear y aplicar la seguridad fsica para las oficinas, habitaciones y medios y Se debiera asignar y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de desastres naturales o causados por el hombre respectivamente. Dentro de los planes de seguridad generales, no se incluy al rea de desarrollo en los inicios de la misma sino que se priorizo otras reas y oficinas. En su momento se solicit realizar las sealizaciones respectivas, sin embargo, no se realiz esto debido a factores econmicos. Actualmente la ubicacin de estas zonas seguras solo es conocida por el personal de la misma rea, ms no para personas externas a esta ni para cualquier otra que inicie sus labores en ella. En caso de un siniestro, sea este un incendio o terremoto puede ocasionar confusiones entre el personal. Se recomienda a la jefa del rea de Desarrollo tomar en cuanta esta observacin y tener en cuenta los estndares y regulaciones de sanidad y seguridad relevantes; el equipo de reemplazo y los medios de respaldo debieran ubicarse a una distancia segura para evitar el dao de un desastre que afecte el local principal, Sealizar las zonas seguras en casos de siniestros que pueden suceder en la capital; se debiera proporcionar equipo contra-incendios ubicado adecuadamente. 2. Falta de documentacin de restricciones de datos. No existe documentacin que indique las restricciones de datos ni la estructura que estos deben de seguir antes de ser registrados en la base de datos de la empresa, de modo que las aplicaciones desarrolladas se comuniquen correctamente con esta. Toda indicacin es realizada de forma puramente verbal Esta situacin va en contra al dominio del COBIT v4.0 Planear y organizar, en el objetivo de control general Administra la calidad, el cual dice, en su objetivo de control detallado Estndares de desarrollo y adquisicin: Adoptar y mantener estndares para todo el desarrollo y adquisicin que siguen el ciclo de vida, hasta el ltimo entregable e incluyen la aprobacin en puntos clave con base en criterios de aprobacin acordados. Los temas a considerar incluyen estndares de codificacin de software, normas de nomenclatura; formatos de archivos, estndares de diseo para esquemas y diccionario de 62

Seguridad y Auditoria de Sistemas de Informacin

datos; estndares para la interfaz de usuario; inter-operabilidad; eficiencia de desempeo de sistemas; escalabilidad; estndares para desarrollo y pruebas; validacin contra requerimientos; planes de pruebas; y pruebas unitarias, de regresin y de integracin. Un estndar a ser aplicado es el de manuales de desarrollo, entre los cuales debe incluir uno de estructura y restricciones de datos. No se dio prioridad a este aspecto ya que en sus inicios la urgencia por desarrollar aplicaciones criticas de negocio obligo a dejar este punto de lado. Despus, este aspecto fue olvidado, para confiar en la comunicacin verbal entre el personal de desarrollo. Esto incurre en modificaciones redundantes, demoras en el desarrollo de aplicaciones, as como errores pasados por alto, que en un futuro ocasionara retrasos en las actividades de los trabajadores. Se recomienda al jefe de desarrollo tomar las medidas del caso para estandarizar un conjunto de manuales de desarrollo, que sea aprobado por toda el rea de TI, de modo que se comprometan a mantenerlo actualizado, de modo que sea posible desarrollar aplicaciones de calidad, y sin errores en el ingreso de datos. 3. Revelaciones de usuarios y contraseas. Los usuarios no guardan discrecin sobre las cuentas de usuarios que manejan, dejando estas al descubierto en varias ocasiones, de modo que cualquier persona pueda verlas sin mayores problemas. Un ejemplo de esto se ve en notas adhesivas ubicadas en los monitores de las computadoras utilizadas por los usuarios. En el ANEXO se puede observar claramente lo mencionado Esta situacin va en contra al dominio del COBIT v4.0 Planear y organizar, en el objetivo de control general Definir los procesos, organizacin y relaciones de TI, el cual dice, en su objetivo de control detallado Propiedad de datos y sistemas: Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de informacin. Los propietarios toman decisiones sobre la clasificacin de la informacin y de los sistemas y sobre cmo protegerlos de acuerdo a esta clasificacin. Los usuarios no guardan discrecin sobre sus usuarios y contraseas debido a que no guardan conciencia sobre lo que pueden incurrir en caso de que otros usuarios tengan conocimiento de estas. Esto puede incurrir en ingresos a operaciones no asignadas, con la manipulacin de informacin respectiva, robos de informacin y 63

Seguridad y Auditoria de Sistemas de Informacin

alteraciones de las cuentas, ocasionando prdidas del acceso a la cuenta por parte del usuario original Se recomienda realizar un programa de concientizacin a los trabajadores sobre las medidas y prcticas de seguridad que deben seguir, el cual incluya temas como el manejo de sus cuentas de usuario, as como su importancia. 4. No existe una adecuada separacin entre las Redes de Telecomunicaciones y de Energa Elctrica Al realizar una inspeccin visual del rea de Sistemas, se pudo observar que los cables UTP que salan de las canaletas estaban junto a los cables elctricos. Se pudo observar tambin que estos cables se encuentran en algunos lugares entrelazados e incluso tomacorrientes y TOs (terminal outlet) defectuosos. En el ANEXO se puede observar claramente lo mencionado. De acuerdo la ISO 17999:2005 en el dominio Seguridad Fsica y del Ambiente, en el punto Seguridad del Cableado dice: Se deberan de separar los cables de energa de los de comunicaciones para evitar interferencias. Al realizar el bosquejo de la localizacin de equipos informticos, no se contemplo un diseo del cableado de telecomunicaciones. Esto ocasion que los cables UTP sean transportados a travs de canaletas y que estn cerca de los tomacorrientes. Al tener cerca los cables de energa elctrica y de telecomunicaciones, producirn interferencias e inestabilidad en la red. Se recomienda al rea de Sistemas seguir las buenas prcticas de los Estndares Internaciones de Cableado Estructurado como son: ANSI/TIA/EIA 569-B (Estndar para Edificios Comerciales, para Vas de Telecomunicaciones, Espacios y Barreras Contra fuegos). ANSI/TIA/EIA 570-A (Estndar para Cableado de Telecomunicaciones en Residencias u Oficinas). As se podrn evitar interferencias e inestabilidad en la red de telecomunicaciones 5. Falta de medidas de seguridad en cuanto a polticas de escritorio y de pantalla limpia

64

Seguridad y Auditoria de Sistemas de Informacin

En el rea de sistemas, los escritorios de las PCS se encuentran cargados con demasiados iconos y archivos los cuales se encuentran a la vista de todos y sin ninguna proteccin ya sean claves o passwords que permitan bloquear el acceso a la informacin existente en las PCS, tambin se dejan las PCS prendidas en todo momento y sin mecanismos de proteccin de pantalla y teclado que no permita a extraos el acceso a la informacin ocasionando un riego en cuanto a perdida de informacin perjudicial para la empresa. En el ANEXO se puede observar claramente lo mencionado. De a cuerdo a la establecido la ISO 17799 en sus buenas prcticas, en el dominio Control de Acceso el cual menciona que se debiera adoptar una poltica de escritorio limpio para papeles y medios de almacenaje removibles y una poltica de pantalla limpia para los medios de procesamiento de la informacin. Esto sucede debido a que el personal no tiene un conocimiento sobre seguridad Sobre polticas de escritorio y pantallas limpias segn el estndar de la ISO 17799. Poniendo en riesgo de esta manera los archivos de informacin de la organizacin lo cual es un activo que debe estar protegido. Se sugiere al a la jefatura del rea de sistemas concientizar al personal sobre la importancia de la informacin y de cmo controlar el acceso a la misma protegindola del acceso de terceros y su perdida. 6. Falta de seguridad en las instalaciones Despus de realizar un recorrido por la mayora de reas de la empresa EPENSA, se pudo observar que en el rea de Soporte se encuentran apiados los equipos (hardware) y varias cajas lo cual representa un peligro para todo el personal que trabaja en esta rea. En el ANEXO se puede observar claramente lo mencionado. De acuerdo a la norma ISO 17799:2005, en el dominio Seguridad fsica y ambiental y control reas Seguras; en la seccin de El trabajo en las reas seguras se especifica que el personal debe ser consciente de la existencia de actividad en reas seguras. El rea de Soporte fue diseada inicialmente sin planificar la expansin que la Empresa iba a tener ni considerar que en un punto en sus operaciones el rea se encontrara poblada de hardware en desuso o que presenten fallas. Las rumas de cajas, apiamiento de los equipos (hardware) malogrados los cuales ocasionan un serio peligro en caso de un 65

Seguridad y Auditoria de Sistemas de Informacin

terremoto o siniestro lo cual ocasionara que los recursos humanos (personal) sean lastimados o gravemente heridos. Se recomienda al rea de Soporte realizar una depuracin de los equipos malogrados o en desuso para as disminuir la cantidad de ellos, as como de manejar un mayor orden en los equipos.

66

You might also like