You are on page 1of 25

Universidad Tecnológica Nacional

Facultad Regional Córdoba
Carrera: Ing. en Sistemas de Información Asignatura: Consultoría de Seguridad TI

UNIVERSIDAD TECNOLÓGICA NACIONAL
Facultad Regional Córdoba
Departamento de Ingeniería en Sistemas

Asignatura: CSSITI2010 Curso: 5K3 Profesores: • Antonelli, Horacio Eduardo (Asociado) • Spesso, Aldo Jorge (Adjunto) • Carrizo, Blanca Rosa (JTP)

Trabajo Práctico Integrador
Tema: “Evaluar y Administrar los Riesgos de TI”

Grupo Nº: 17 Integrantes: Apellido y Nombre Ávila, Nicolás Blanco, Rodolfo Ariel González, Daniel Liébana, Gabriel Ernesto Macias, Ramiro Ticera, Pablo Velazco, Diego Legajo 46900 47677 47597 40860 43508 40429 Curso 5K3 5K3 5K3 5K3 5K3 5K3 5K3 e-mail nicolasavila@gmail.com rodolfoarielblanco@hotmail.com dadogonzalez@yahoo.com gabriel.liebana@gmail.com jjrmac@gmail.com tissera.pablo@gmail.com diegovelasco5@gmail.com
1

Universidad Tecnológica Nacional
Facultad Regional Córdoba
Carrera: Ing. en Sistemas de Información Asignatura: Consultoría de Seguridad TI

TABLA DE CONTENIDOS
INTRODUCCIÓN .............................................................................................................................3 DESARROLLO..................................................................................................................................4 ANÁLISIS DE LA PROBLEMÁTICA........................................................................................4 IRREGULARIDADES Y DEFICIENCIAS ..............................................................................13 RESPONSABILIDAD .................................................................................................................14 MATRIZ RACI ............................................................................................................................15 CONCLUSIONES........................................................................................................................17 RECOMENDACIONES..............................................................................................................20 BIBLIOGRAFÍA..............................................................................................................................25

2

estableciendo quién es responsable de qué.I en este escenario. respecto de la documentación del marco Cobit. Para concluir con e informe se mencionan recomendaciones pertinentes a la mejora de la Seguridad TI. También se analizarán los aspectos más importantes de la profesión de auditor informático y su entorno de trabajo así como las técnicas utilizadas por los mismos en el desarrollo de su función. tecnología utilizadas y servicios asociados para su desarrollo y mantenimiento óptimo. La función de Auditoría de SI/TI tiene la responsabilidad de la evaluación de la cobertura de los riesgos inherentes a los procesos de la información así como de la evaluación de esos procesos. Ello requiere. En esta asignatura se introduce a los alumnos en los conceptos básicos relacionados con la importancia de la información para las organizaciones./T. Allí se detallará. En el caso de estudio analizado: Tibo. Con todo esto se genera un matriz RACI. dentro de un marco de riesgos controlados. y a la Administración de Riesgos. sistemas. donde se sintetizan los defectos. Se realiza un listado de irregularidades y deficiencias.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. se propone un análisis de la problemática de la organización partiendo del punto de vista de la seguridad. Siguiendo con el análisis. Las cuestiones relacionadas con la seguridad y las irregularidades halladas. se apliquen a los Sistemas y Tecnologías de la Información. 3 . se lleva a cabo una evaluación de la administración de riesgos de TI. según lo que Cobit indica en esta área. sus métodos de gestión y establecimiento de objetivos de control sobre los procesos de la información y el papel de la Auditoría de S. en materia de riesgos de TI. a las cuales luego se le asignan las responsabilidades por parte del personal. que igual que para el resto de los activos de la empresa los requisitos de eficacia y eficiencia. como medio para la consecución de los objetivos de las organizaciones. se vuelcan en conclusiones del análisis. en Sistemas de Información Asignatura: Consultoría de Seguridad TI INTRODUCCIÓN Las organizaciones actuales han sufriendo un cambio importante en sus procesos de negocio al considerar a la información como un recurso de importancia estratégica. esbozando lo encontrado en esta materia. los puntos correspondientes a garantizar la seguridad de los sistemas.I.

Por otro lado se evidencia la falta de alineación de la seguridad con los requerimientos del negocio. en Sistemas de Información Asignatura: Consultoría de Seguridad TI DESARROLLO ANÁLISIS DE LA PROBLEMÁTICA DS5. A pesar de esta proyección. Lo anteriormente expuesto marca una clara brecha entre los requerimientos y estrategias de negocio y la administración de la seguridad de TI. priorizando el proyecto We-BOP y relegando a un segundo plano la seguridad. Garantizar la Seguridad de los Sistemas DS5. el CEO decide hacer una reunión con todos los involucrados postergando la reunión de Seguridad del Comité de Auditoría del Consejo de Dirección. y nuevas arquitecturas Cliente / Servidor. en el plano del e-comerce. Y cuando en algún momento se elevó una solicitud para incorporar un Senior CISO. la estructura de IT actual no acompaña las pretensiones de la empresa. no estando alineados y produciendo vulnerabilidades y amenazas. Las señales de advertencia respecto de la calidad del servicio no fueron detectadas por el CEO sino una vez informado por el Defensor del Consumidor que había un reclamo forma. 4 . Así es que TIBO ha puesto en marcha nuevos proyectos. sin contemplar una administración de la seguridad de TI que acompañe en forma robusta esta expansión. de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. También es muy obvia al momento de definir procedimientos y estrategias de TI.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. la decisión del Comité Ejecutivo fue que TIBO estaba bien así y podía ser obviada. Por ejemplo: el área de TI tomó por su cuenta la decisión de subcontratar el servicio de We-BOP. Al observar esta situación no es difícil concluir que la administración de la seguridad TI no está siendo considerada por los niveles más altos de la organización. Y cuando el problema ya había “explotado”.1 Administración de seguridad TI Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización. sobre todo en el ámbito de la web. en el hecho de que la única persona encargada de administrar la seguridad de TI (Ida Doano) no tiene participación en la reunión por carecer del nivel y el perfil para dicha reunión. por su base en las minutas de reunión y a que son definidos a nivel de cada proyecto particular. considerando nuevas plataformas y horizontes para no perder mercado. Esto ha producido que las prioridades se den a aquello que haga que TIBO esté a la altura de las circunstancias y los desafíos del mercado financiero actual a como dé lugar. reaccionando en forma insuficiente a las vulnerabilidades y amenazas. como por ejemplo We-BOP. Análisis del caso: TIBO es una empresa que ha reaccionado a la fuerte competencia.

desarrollo y mantenimiento) deben ser identificables de manera única. aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. El hecho de que se está migrando hacia una arquitectura Cliente / Servidor.3 Administración de Identidad Asegurar que todos los usuarios (internos. Podemos concluir que existe una política de seguridad muy desactualizada. Análisis del caso: La seguridad está basada en un procedimiento de larga data. La seguridad aún se gestiona en modo reactivo y el banco ha solicitado ayudas puntuales y asesoramiento a terceros. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. personal. y no hay una comunicación fluida de la misma como consecuencia de la falta de un gerente de Seguridad y de administración de seguridad TI. ya que la mayoría de la gente de TI era del entorno de mainframe. este tipo de autenticación tiene como inconveniente que se debe instalar software de autenticación en el servidor e implementar el software de autenticación en todos los equipos o dispositivos móviles del usuario. Análisis del caso: La autenticación de usuarios basada en Tokens está sustentada por una política de seguridad de amplio cumplimiento. el mantenimiento actualizado de todos los equipos móviles que vayan apareciendo con el software de autenticación. realizar la autenticación y habilitar los derechos de acceso.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. Permitir que el usuario se identifique a través de mecanismos de autenticación. Se despliegan técnicas efectivas en coste y procedimientos rentables. externos y temporales) y su actividad en sistemas de TI (aplicación de negocio. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario. Comunicar las políticas u procedimientos de seguridad a los interesados y a los usuarios. riesgos y cumplimientos de seguridad de TI completo. puede dificultar. pero no poseía las habilidades ni capacidades de desarrollo. El personal tiende a ser laxo respecto de las reglas de seguridad. 5 . Asegurar que el plan está implementado en las políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios. Sin embargo. el cual está basado a su vez en el tradicional sistema de administración de seguridad de mainframes. en Sistemas de Información Asignatura: Consultoría de Seguridad TI DS5. teniendo en consideración la infraestructura de TI y la cultura de seguridad. y se mantienen actualizados para establecer la identificación del usuario. y también generar puntos débiles en ese tipo de conexión.2 Plan de Seguridad de TI Trasladar lo requerimientos de negocio. entorno de TI. operación de sistemas. software y hardware. TI había planificado el We-BOP. DS5. Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario.

emisión. Si bien este punto es cubierto por un grupo de gente y las tareas son realizadas. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados. Análisis del caso: Para la tarea de administración de cuentas de usuarios TIBO tiene el pequeño grupo de soporte administrativo a la seguridad que fue mencionado en el punto anterior y se encarga de la gestión de cuentas de usuario. Análisis del caso: No se identifican instancias de revisión de la política de seguridad. en Sistemas de Información Asignatura: Consultoría de Seguridad TI Existe un pequeño grupo de soporte administrativo a la seguridad que gestiona los nuevos empleados. Estos procedimientos deben aplicarse a todos los usuarios.4 Administración de Cuentas del Usuario Garantizar que la solicitud. ya que es él quien conoce que tipo de restricciones deben tener sus empleados de acuerdo a los procedimientos y reglas de negocio propias del área. para casos normales y de emergencia. Vigilancia y Monitoreo de la Seguridad Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. modificación y cierre de cuentas de usuario y de los privilegios relacionados. incluyendo administradores (usuarios privilegiados). lo genera una falta de responsables de los datos y de los privilegios otorgados. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. No existe un Gerente de Seguridad dedicado. Faltando disparadores para este análisis no se puede actuar proactivamente identificando riesgos y amenazas antes de que estos se vuelvan realidad. Una función de ingreso al sistema (login) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. No existe tampoco 6 . usuarios externos e internos. suspensión. las bajas y los cambios de derechos de acceso. DS5. ni mecanismos que disparen un tratamiento integral de esta materia. Pero carece de un procedimiento a nivel gerencial y de aprobación. sean tomados en cuenta por un conjunto de procedimientos de la gerencia de cuentas de usuario. falta una documentación apropiada de procesos que sostengan y justifiquen la administración de cuentas de usuarios y sus privilegios.5 Pruebas. aunque el administrador de seguridad es el responsable de la asignación y gestión de privilegios. DS5. Este procedimiento sería adecuado siempre y cuando los derechos de acceso sean solicitados por el gerente de los usuarios. establecimiento. Los derechos y obligaciones relativos al acceso a los sistemas e información de la empresa deben acordarse contractualmente para todos los tipos de usuarios.

Garantizar que la tecnología va a responder confiablemente al diverso conjunto de situaciones que puede enfrentar.7 habla de la tecnología de seguridad. en Sistemas de Información Asignatura: Consultoría de Seguridad TI un procedimiento interno ni un proveedor externo que audite y ponga a prueba periódicamente la integridad del mecanismo ya instalado sino que tan solo se requiere a estos medios para resolver factores puntuales que sugieren "nuevas" medidas a tomar. TIBO ha escatimado no solo en la dirección de sus aspectos de seguridad.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. El punto DS5. Análisis del caso: TIBO no trabaja con soluciones de seguridad propietarias. En materia de seguridad. DS5. no existe un análisis proactivo que permita no solo identificar los riesgos potenciales sino trabajar en su plan de mitigación.7 Protección de la Tecnología de Seguridad Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria. pero que no debe hacer perder de vista el control de que los mecanismos instalados funcionen correctamente transformando lo que en ellos se ha invertido en un beneficio para la organización. la innovación es un factor importante. 7 . sino en mecanismos de prueba de la infraestructura (tecnología) y mecanismos (procedimientos) existentes.5. acción y contingencia. es algo que solo podemos hacer mediante pruebas y asesorías. pero más que esto habla de "garantizar" su solidez. Esto no solo puede significar que una amenaza que se vuelve realidad no sea manejada de forma correcta sino que incluso no sea detectada con celeridad o en lo absoluto.6 Definición de Incidente de Seguridad Definir claramente y comunicar las características de incidentes de seguridad potenciales para que puedan ser clasificados propiamente y tratados por el proceso de gestión de incidentes y problemas. En el caso no se encuentran herramientas para suponer que TIBO haya puesto a prueba sus mecanismos de seguridad y la forma en que estos reaccionan a ataques. DS5. Ambos escenarios seguramente significarán para TIBO pérdidas superiores a las que podría afrontar si conociese a su enemigo y estuviese preparado para combatirlo de la mejor forma. Análisis del caso: Cómo se expresó en el punto DS5. Sumado a esto podemos encontrar referencia en el caso al hecho de que las alertas de Firewall habían sido ignoradas. esto nos dice que hay mucho en tecnología que podría aplicar aún a los mecanismos de seguridad.

(A modo de ejemplo. uso y archivo de llaves criptográficas estén implantadas.. 8 . Análisis del caso: El acceso al mainframe se otorga por un sistema de administración de seguridad. certificación. no se utilizan herramientas de seguridad propietarias.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. Análisis del caso: Si bien en el caso parece defenderse el estado de este punto en la frase "(.. La seguridad UNIX esta provista por el sistema operativo del Host. Los cortafuegos son instalados y gestionados por el proveedor de IT_Net. correo basura). Detección y Corrección de Software Malicioso Poner medidas preventivas.)". spyware. gusanos..) La autenticación de usuarios basada en tokens está sustentada por una política de seguridad de amplio cumplimiento (. puesto que no tiene ningún proceso periódico instaurado para revisar el cumplimiento permanente de medidas tan importantes cómo esta..)el personal suele ser laxo respecto de las medidas de seguridad(.. con lo cual podemos entender que hay aspectos que no se están aplicando de la forma correcta. en el mismo párrafo se admite que "(. DS5.)".. detectivas y correctivas (en especial contar con parches de seguridad y control de virus actualizados) en toda la organización para proteger los sistemas de la información y a la tecnología contra malware (virus.. revocación. distribución..)" lo sea permanentemente. almacenamiento... no se evidencia que existan mecanismos que controlen que "(. cambio. como un servicio contratado. destrucción. TIBO solo se hubiese enterado de esto al momento de la auditoría.8 Administración de Llaves Criptográficas Determinar que las políticas y procedimientos para organizar la generación.. setear una clave igual a la que acaba de expirar) Más allá de esto. captura.9 Prevención. para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas. Es decir. en Sistemas de Información Asignatura: Consultoría de Seguridad TI DS5. interpretamos que el equipo de auditoría en este caso identificó que las políticas se cumplen. pero si no fuese así.) la política de seguridad de amplio cumplimiento (..

9 . También están reclamando mayor conectividad remota y flujos de trabajo automatizados para ser mas efectivos en una red de Agencias reducidas. la infraestructura de red esta envejeciendo y al limite de su capacidad. La conectividad del sistema operativo esta provista por IT_Net. DS5. Todas son aplicaciones en tiempo real. En términos generales. cortafuegos. prueba de recepción y no repudio del origen. prueba de envío. que es una red virtual privada (VPN). provista por el proveedor de telecomunicaciones de la empresa. Ti tiene servers endurecidos. todo el trabajo es tratado con alta prioridad. establece las responsabilidades generales y la importancia de la privacidad y seguridad de los datos del banco. Análisis del caso: Operaciones esta bien organizada. es simple pero no muy actualizada.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. firewalls. Hay turnos cubriendo operaciones las 24 horas del día. con un pequeño grupo nocturno que gestiona los procesos de batch nocturnos. Generalmente. y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y hacia las redes. Ha pasado por varias fusiones locales y como resultado tiene un entorno complejo con servicios compartidos de IT que son difíciles de integrar. encriptación y una VPN.11 Intercambio de Datos Sensitivos Transacciones de datos sensibles se intercambian solo a través de una ruta o medio con controles para proporcionar autenticidad de contenido. con buena disciplina y procedimientos estrictos. Hay una pequeña Mesa de Ayuda. en Sistemas de Información Asignatura: Consultoría de Seguridad TI DS5. Análisis del caso: La política de seguridad. utilizada mayoritariamente para ocasionales consultas de usuarios y restauración de contraseñas. con procesos nocturnos de actualización. segmentación de redes. Están protestando por el rendimiento y el soporte de los sistemas centrales y promoviendo la celebración de SLAs y la reconstrucción de los mismos por ser prácticamente obsoletos. dispositivos de seguridad.10 Seguridad de la Red Uso de técnicas de seguridad y procedimientos de administración asociados (por ejemplo. La autenticación de usuarios basada en Tokens esta sustentada por una política de seguridad de amplio cumplimiento.

Análisis del caso: En el caso TIBO no se hace mención alguna de la administración de riesgos de TI. en Sistemas de Información Asignatura: Consultoría de Seguridad TI PO9.1 Marco de Trabajo de Administración de Riesgos Establecer un marco de trabajo de administración de riesgos de TI que esté alineado al marco de trabajo de administración de riesgos de la organización. 10 . los niveles de tolerancia y apetito de la administración de riesgos no están alineados con el marco de administración de riesgo empresarial. No se establece un principio de clasificación de los riesgos. En definitiva. Uso de riesgo similares. En este sentido la administración de riesgos de TI en TIBO no se ajusta a los objetivos de gestión del riesgo de la empresa. La contratación del proveedor sin haber hecho una licitación o averiguación de antecedentes. necesarias para ser competitivos en el mercado de e-banking. Aumento en la facturación del proveedor. Evaluar y Administrar los Riesgos de TI PO9. Por lo cual pueden verse los siguientes problemas en TIBO por la ausencia de un plan de gestión de riesgos para el proyecto We-BOP: El proveedor de Singapur no cumple con los requisitos mínimos para desarrollar el sistema pactado. Personal del área de TI sin capacitación en nuevas tecnologías. intentando esbozar una determinación jerárquica de los riesgos basada en los requerimientos del negocio. Por otra parte en TIBO no se encuentran definidos escalas estándares para la evaluación de riesgos de TI. Aumento en los reclamos de los clientes.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. Sobrecarga de tareas del personal designado para la seguridad. el CEO y el director de TI. Falta de comunicación entre la gerencia general. y que estén alineados con la administración del riesgo empresarial. que abarquen su impacto y probabilidad. en este caso. de ningún tipo. Falta de compromiso de la dirección con los recursos necesarios para TI.

Análisis del caso: En TIBO no está conformado un acuerdo entre las partes interesadas acerca de los principales eventos y su impacto. cuando los datos apropiados probablemente no existirán. a partir de la ausencia total de un criterio o criterios de clasificación. Registrar y mantener los riesgos relevantes en un registro de riesgos. ni del marco de tiempo (inminente. No están identificados los posibles eventos que podrían afectar negativamente a los objetivos u operaciones de la empresa considerando los resultados de auditorías anteriores. o cuantitativamente. de sociedad comercial. Esto incluye la determinación del contexto interno y externo de cada los cuales se evalúan los riesgos. lejos plazo). improbable). probable. regulatorios.2 Establecer un marco de trabajo de administración Establecer el contexto en el cual el marco de trabajo de evaluación de riesgos se aplica para garantizar resultados apropiados. Determinar la naturaleza del impacto y mantener esta información. en Sistemas de Información Asignatura: Consultoría de Seguridad TI PO9. incluyendo aspectos de negocio. Análisis del caso: En TIBO no se evalúan cualitativamente los riesgos en función de su impacto (catastrófico. para cada uno de los eventos seleccionados. No se asignan prioridades a los riesgos. tecnológicos. PO9. a corto plazo.3 Identificación de Eventos Identificar eventos (una amenaza importante y realista que explota una vulnerabilidad aplicable y significativa) con un impacto potencial negativo sobre las metas u operaciones de la empresa. crítico. legales. las inspecciones Además falta la determinación de los posibles impactos negativos que son relevantes e importantes para la empresa. de recursos humanos y operativos. ni se habla de su probabilidad (muy probable.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. 11 . marginal). Además no se llevan a cabo actividades de evaluación de riesgos teniendo en cuenta el contexto los procesos de administración de TI que se ven afectados.

Análisis del caso: En TIBO. Análisis del caso: Por descrito en los puntos anteriores.4 Evaluación de Riesgos e TI Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados. El proceso de respuesta a riesgos debe identificar estrategias tales como evitar. no es posible determinar la probabilidad de los riesgos identificados.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos. En este sentido. 12 . por categoría y con base en el portafolio. incluyendo la identificación de costos. costo probable y beneficio de una o varias de las opciones alineadas con los objetivos estratégicos y en consonancia con la cultura de administración de riesgos aceptada por la empresa.5 Respuesta a los Riesgos Desarrollar y mantener un proceso de respuesta a riesgos diseñado para asegurar que controles efectivos en costo mitigan la exposición en forma continua. La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual. Tampoco se establece una planificación de las actividades a llevar acabo para este tipo de administración. No existen acciones recomendadas de respuesta a los riesgos en la empresa. Análisis del caso: Para el caso. identificadas como necesarias. reducir.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. en este caso. PO9. no puede determinarse un plan de respuesta a los riesgos. no puede determinarse una estrategia para mitigar los mismos. Obtener la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo residual. Monitorear la ejecución de los planes y reportar cualquier desviación a la alta dirección. determinar responsabilidades y considerar los niveles de tolerancia a riesgos. y asegurarse de que las acciones comprometidas están a cargo del dueño/s de los procesos afectados. compartir o aceptar riesgos. PO9. de acuerdo su importancia. al no realizarse una evaluación de riesgos. en Sistemas de Información Asignatura: Consultoría de Seguridad TI PO9. es imposible desarrollar un plan de acción de riesgos con respuestas a riesgos priorizados. usando métodos cualitativos y cuantitativos. Con esto no es factible evaluar el impacto sobre el negocio de los riesgos. ya que los mismos no han sido acordados por los interesados. debido a que no existe un plan de riesgos válido. beneficios y la responsabilidad de la ejecución.

en Sistemas de Información Asignatura: Consultoría de Seguridad TI IRREGULARIDADES Y DEFICIENCIAS Irregularidad/Deficiencia Administración de Seguridad TI no alineada a los 1 Requerimientos del Negocio. No se identifican las necesidades de seguridad. Desempeño escaso e ineficiente de las tareas criticas. No se da soporte correcto al Registro de Sesiones de Usuario. Rango de acción en las aplicaciones ilimitado. acción y contingencia. Facilidad al ingreso de programas maliciosos externos en el SI empresarial. Acceso no autorizado a Sistemas sensibles. Imposibilidad de crear planes de mitigación. 2 Ausencia de un Plan de Seguridad formal y actualizado. como así tampoco los riesgos informáticos que enfrenta la empresa. Contraseñas por defecto no cambiadas. como lo reclama un sistema financiero. 6 Incidentes de Seguridad TI Sin Definir 7 Protección Insuficiente de la Tecnología de Seguridad 8 Administración de Claves es Incompleta 9 Prevención y Detección Software Malicioso por Agente Externo 10 Inexistencia de un Senior CISO 11 Personal no calificado para ciertas tareas críticas de seguridad 13 . detección y control de amenazas de malware. las posibles consecuencias. 3 Ineficiente Administración de Cuentas de Usuario 4 Adquisición de servicios de proveedores externos sin evaluar su plan de seguridad Inexistencia de mecanismos proactivos para la 5 revisión y monitoreo de amenazas o riesgos de seguridad TI. Imposibilidad de establecer un rastreo de Registro de Usuario. Seguridad vulnerable en las Aplicaciones.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. contra amenazas desconocidas. Dificultad en la generación de estadísticas sobre ataques externos. Asignar personal sin el nivel ni el perfil para tratar los temas de seguridad adecuadamente. Conflictos entre los empleados por estar en un cargo de alto riesgo por no saber sobre asuntos de seguridad con profundidad. Efectos Ausencia de identificación y estructuración de los activos de información del negocio. Imposibilidad para formular de políticas de seguridad TI acordes al negocio. El proveedor no cumple con los requisitos mínimos para desarrollar el sistema pactado. por supuesto no se puede definir así. Modificación de los datos. Propensión a la falla general de Sistema de Seguridad de TI. No pueden crearse reglas y procedimientos a implementarse para afrontar los riesgos identificados. Pérdida del control sobre las medidas de prevención. Problemas en la definición de Roles de Usuario.

Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. en Sistemas de Información Asignatura: Consultoría de Seguridad TI RESPONSABILIDAD Irregularidad/Deficiencia Responsables CEO: John Mitchel COO: Erik Guldentops CFO: Roger Debreceny Board Member: Roger Lux Senior VP Venta Mayorista: Roger Lux Senior VP Venta al Público: Wim Van Grembergen Director TI: Steven De Haes Comité de Auditoría CFO: Roger Debreceny COO: Erik Guldentops Director TI: Steven De Haes Comité de Auditoría COO: Erik Guldentops Director TI: Steven De Haes Administrador Seguridad: Ida Doano Comité de Auditoría COO: Erik Guldentops Director TI: Steven De Haes Comité de Auditoría Director TI: Steven De Haes Comité de Auditoría CFO: Roger Debreceny COO: Erik Guldentops Director TI: Steven De Haes COO: Erik Guldentops Director TI: Steven De Haes Comité de Auditoría Director TI: Steven De Haes Administrador Seguridad: Ida Doano Comité de Auditoría COO: Erik Guldentops Director TI: Steven De Haes CEO: John Mitchel COO: Erik Guldentops CFO: Roger Debreceny Director TI: Steven De Haes COO: Erik Guldentops Director TI: Steven De Haes Comité de Auditoría 1 Administración de Seguridad TI no alineada a los Requerimientos del Negocio 2 Ausencia de un Plan de Seguridad formal y actualizado 3 Ineficiente Administración de Cuentas de Usuario 4 Adquisición de servicios de proveedores externos sin evaluar su plan de seguridad Inexistencia de mecanismos proactivos para la revisión y monitoreo de amenazas o riesgos de seguridad TI Incidentes de Seguridad TI Sin Definir 5 6 7 Protección Insuficiente de la Tecnología de Seguridad 8 Administración de Claves de forma Incompleta 9 Prevención y Detección Software Malicioso realizado por Extra-Corporativo 10 Inexistencia de un Senior CISO 11 Personal no calificado para muchas tareas críticas de seguridad 14 .

Senior VP Venta al Público. 3) El COO es responsable de la comprensión de los objetivos de cada proceso de negocio con relevancia. el Director del Negocio es quien rinde cuentas por el funcionamiento de los procesos de negocio relevantes. negocio es C)) Asesorar el riesgo con los eventos Evaluar y seleccionar respuestas a riesgos Priorizar y Planear actividades de control Aprobar y asegurar fondos para planes de acción de riesgos Mantener y Monitorear un plan de acción de riesgos R R R R C R C R R Se ni o PV en R I A/C A/C I I R I C A R I C A R I R I I Observaciones 1) CEO. COO. también se informan los cambios al Administrador de Seguridad y al Comité de Auditoría. en Sistemas de Información Asignatura: Consultoría de Seguridad TI MATRIZ RACI ta Ma yo ris ta nta al Bo Pú a rd bl i Me co mb Di r ec e rs tor de lN eg Di oc re c io Ad tor mi de ni s TI tra do rd Op eS e ra eg ció uri nd da Eq el d ui p Ne os go de ci o Tr ab Co ajo mi té de de TI Au di t orí a rV P Ve CO O Se CE O CF O ni o rV Determinar la alineación de la administración de riesgos (ej. 2) CEO. 15 . Evaluar el riesgo) Entender los objetivos de negocio estratégicos relevantes Entender los objetivos de los procesos de negocio relevantes Identificar los objetivos internos de TI y establecer el contexto del riesgo Identificar eventos asociados con objetivos (algunos eventos están orientados a negocio (negocio es A). CFO. en el ámbito del Comité Ejecutivo.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. el Director de Negocio es informado sobre las decisiones de este grupo. COO y Director del Negocio. comprender y definir los objetivos estratégicos del negocio. Senior VP Venta al Público y Board Members son responsables de priorizar. CFO. Aquí. algunos están orientados a TI (TI es A. es informado por el Grupo de Estrategia de Negocio. Además. El Director de TI es el nodo que rinde cuentas ya su vez es consultado en materia de administración y riesgos. Por último. Senior VP Venta al Público y Senior VP Venta al Público son consultados. En este aspecto. son los responsable de las escasas decisiones que se toman en materia de riesgos. en este sentido. el Director de TI. en lo referente a los objetivos que intervienen en el funcionamiento de los procesos de negocio relevantes. y a su vez es consultado acerca de los objetivos respecto a los procesos de negocio de envergadura. esto se construye en las reuniones del Grupo de Estrategia de Negocio. Por otra parte.

en Sistemas de Información Asignatura: Consultoría de Seguridad TI 4) Siguiendo la perspectiva del análisis.b) 4. la organización no incorpora una Administración de Riesgos de TI. 6) El CEO es responsable de la derivación de fondos para combatir los riesgos de TI. con las características requeridas de formalidad. El Administrador de Seguridad. Por otra parte el Director de TI. es decir las que relacionadas a los siguientes puntos: 4. A su vez el Comité de Auditoria es informado sobre el plan de las actividades de control. Eventos relacionados a Objetivos y Riesgos de TI Asesoramiento del Riesgo con los Eventos.c) 4.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing.a) 4. 5) El área Operaciones del Negocio se responsabiliza del priorizar y planear las actividades de control de TI de TI. 7) El Administrador de Seguridad. es a quien se informa sobre el presupuesto para los proyectos relacionados a perseguir los riesgos relacionados a la seguridad de TI. Selección y Evaluación de Respuesta a Riesgos. mientras que el Director de TI es quien rinde cuenta respecto de los controles aplicados. es el responsable de las actividades de mantenimiento y monitoreo del plan de acción de riesgos TI. 16 . oportunidad y conformidad. rinde cuenta acerca del destino de los fondos que se emiten con el objetivo de cubrir riesgos de TI. En este sentido. Por lo que no se encuentran establecidos roles y responsabilidades en los aspectos centrales de la Administración de Riesgos de TI. se puede decir que el Director de TI responde por esta causa y que el COO y el Comité de Auditoría son informados sobre estas actividades de monitoreo.d) Objetivos Internos y Contexto del Riesgo de TI.

Autenticación y Acceso a) Los Sistemas de Información no están correctamente protegidos para evitar el acceso no autorizado o uso. f) No se investiga la actividad de acceso que no es compatible con las políticas y los procedimientos de seguridad establecidos de la organización.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. e) La Estrategia de Seguridad no está basada en un análisis formal de los riesgos. b) El cumplimiento de las líneas de base de seguridad no se revisa regularmente. e) Las condiciones de acceso de terceros a las instalaciones de la organización de TI. en Sistemas de Información Asignatura: Consultoría de Seguridad TI CONCLUSIONES El resultado de las observaciones se dividirá en puntos a los cuáles se dirige el análisis: 1) Administrar las medidas de seguridad a) No existe Plan de Seguridad estratégico y táctico establecido en una Política de Seguridad. no están basadas en un contrato formal. g) Las responsabilidades de seguridad de los gerentes y empleados en todos los niveles no están claramente definidas en las descripciones de su trabajo. d) No se realiza una revisión periódica de la Estrategia de Seguridad. c) Los mecanismos de autenticación para el acceso lógico de los usuarios. h) No se establece un marco de administración para iniciar y controlar la aplicación de seguridad de la información dentro de la organización. 2) Identificación. como así tampoco se adaptan a las necesidades actuales de la organización. 17 . f) La alta dirección no está vinculada con la Estrategia de Seguridad. d) Las empresas externas pueden tener acceso a sistemas de información. b) Las responsabilidades en la preparación. mantenimiento y aprobación del Plan de Seguridad no se encuentran formalizadas. no son adecuados. c) No existe la definición de un proceso de comunicación la Política de Seguridad establecida.

expedir. 5) Clasificación de datos a) No existe un proceso claramente articulado. c) La organización no determina las directrices para la creación de contraseñas de calidad para las cuenta de usuario. b) La administración no es informada de todas las violaciones de seguridad importantes. 18 . internas y externas. b) Las violaciones de seguridad inminentes no son reportadas de inmediato a todos las partes interesadas. 4) Vigilancia de la Seguridad a) Los fallos de seguridad y las acciones llevadas a cabo. no se les proporciona una formación inicial. en Sistemas de Información Asignatura: Consultoría de Seguridad TI 3) Gestión de Cuentas de Usuario a) No se establecen procedimientos para garantizar las medidas oportunas para establecer.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. 6) Reportes Violaciones y Actividad de Seguridad a) No se siguen las causas de las excepciones de seguridad. suspender y cerrar cuentas de usuario. 7) Manejo de Incidentes a) Los incidentes de seguridad reportados no son revisados de inmediato por un equipo con la suficiente experiencia. no se resumen en un registro. d) Los contratos de outsourcing no abordan la necesidad de que el prestador cumpla con todas las políticas normas y procedimientos relacionadas con la seguridad. acerca de la seguridad informática y su sensibilidad. al no llevarse registros adecuados de la actividad de seguridad. para establecer un propietario para cada componente de TI en la organización. b) Cuando los empleados reciben sus cuentas. c) Los propietarios no tienen suficiente autoridad y conocimientos para comprender el valor de los activos de su propiedad. b) No existe una reclasificación de la información basada en el cambio de sensibilidad en los datos.

9) Arquitecturas de Firewall y de Conexiones con Redes Públicas a) La política del firewall de la organización no se revisa. b) El diseño de seguridad no es lo suficientemente fuerte. 19 .Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. en caso de que sea puesto a disposición de personas no autorizadas. como para resistir la exposición. c) No se utiliza una autenticación fuerte para la administración del firewall. audita y actualiza con la periodicidad necesaria. b) El tráfico de red relativo a la administración del sistema firewall no es asegurado en la forma correcta. en Sistemas de Información Asignatura: Consultoría de Seguridad TI 8) Protección de las Funciones de Seguridad a) No puede determinarse que todo el hardware relacionado con la función de seguridad sea a prueba de manipulaciones.

los controles y procedimientos de seguridad para los sistemas de información y red sin el contrato entre las partes. en Sistemas de Información Asignatura: Consultoría de Seguridad TI RECOMENDACIONES DS5. Implementar el plan de seguridad TI. Monitorear la implementación del plan de seguridad TI. 20 . La seguridad de acceso de terceros deben ser definidos por contrato y la dirección de administración y los requisitos de confidencialidad. Garantizar la Seguridad de los Sistemas 1) Administrar las medidas de seguridad La seguridad de TI deben gestionarse de tal manera que las medidas de seguridad estén alineadas a los requerimientos del negocio. Alinear los procedimientos de seguridad TI a las otras políticas y procedimientos. Esos mecanismos deben evitar el personal no autorizado. emisión. Actualizar el plan de seguridad de TI para reflejar los cambios en la configuración TI.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. 2) Identificación. Un procedimiento de aprobación formal esboza la concesión de privilegios de acceso sobre datos o el sistema propietario. Los procedimientos también deberían estar en su lugar para mantener mecanismos de autenticación y de acceso efectivos. Acuerdos de externalización en los riesgos. Esto incluye: Trasladar la evaluación de riesgos a planes de seguridad TI. 3) Gestión de Cuentas de Usuario La administración debe establecer procedimientos para garantizar acciones oportunas relacionadas con requerimiento. Autenticación y Acceso El acceso lógico y el uso de los recursos informáticos de TI deben estar restringidos por la aplicación de una adecuada identificación. autenticación y mecanismos de autorización. conexiones dial-up y otro sistema (red) de puerta de entrada a los recursos informáticos y reducir al mínimo la necesidad el inicio de sesión múltiple a usuarios autorizados. Evaluar el impacto de los cambios requeridos en la seguridad TI. enlazando a los usuarios y recursos con las reglas de acceso. establecimiento. suspensión y cancelación de cuentas de usuario.

7) Manejo de Incidentes La administración debe establecer una capacidad de manejo en incidentes de seguridad informática para hacer frente a incidentes de seguridad. dirigidas tanto a la seguridad y como al cumplimiento de la legislación pertinente. en Sistemas de Información Asignatura: Consultoría de Seguridad TI 4) Vigilancia de la Seguridad La administración de la seguridad informática debe garantizar que la actividad de seguridad se registra. revisada y aumentado apropiadamente sobre una base regular para identificar y resolver incidentes relacionados con la actividad no autorizada. proporcionando una plataforma centralizada con la suficiente habilidad y equipada con instalaciones de comunicación rápida y segura. El sistema de clasificación debería incluir criterios para la gestión de intercambio de información entre las organizaciones. eficaz y oportuna a incidentes de seguridad. informada. La evidencia de la aprobación del propietario y la disposición de datos debe ser mantenida. y cuando los programas y los archivos se van a mantener.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. 6) Reportes Violaciones y Actividad de Seguridad La administración de la seguridad informática debe garantizar que la violación y la actividad de seguridad es registrada. Los propietarios deben determinar la disposición y el intercambio de datos. basada en los cambios sensibles. archivar o eliminar. Las políticas deben ser definidas para apoyar a la reclasificación de datos. Incluso los datos que necesitan "sin protección" deben exigir una decisión formal que lo designen. El acceso lógico a los recursos informáticos información de rendición de cuentas (la seguridad y otros registros) debe ser autorizado basada en el principio de privilegios mínimos o en una "necesidad de conocimiento". y cualquier indicio de violación de la seguridad inminente es reportado inmediatamente a todos los que puedan estar interesadas (interna y externamente) y actuar en consecuencia en el momento oportuno. Las responsabilidades de manejo de incidentes y procedimientos deben ser establecidas para garantizar una respuesta adecuada. 21 . 5) Clasificación de datos La administración debe poner en práctica procedimientos para garantizar que todos los datos se clasifican en función de la sensibilidad de una decisión formal explícita del titular de los datos según el esquema de clasificación de datos.

la administración debe establecer un marco adecuado de medidas de control preventivas. en Sistemas de Información Asignatura: Consultoría de Seguridad TI 8) Prevención. detectivas y correctivas.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. El negocio y la administración de TI. acceso no autorizado a los recursos internos y controlar cualquier aplicación y los flujos de administración de la infraestructura en ambas direcciones. 9) Arquitecturas de Firewall y de Conexiones con Redes Públicas Si existe la conexión a Internet o a otras redes públicas. y de respuestas a ocurrencia y reportes. 22 . como los virus informáticos o troyanos. los firewalls adecuados deben ser estar operativos para la protección contra la denegación de servicios. deben asegurar que los procedimientos se establecen en toda la organización para proteger sistemas de información y tecnología de los virus informáticos. Los procedimientos han de incorporar protección contra virus. respuesta a ocurrencia y reportes. Detección y Corrección de Software Malicioso En cuanto a software malintencionado. detección.

y los especialistas de TI dirigir la selección de los controles. las consecuencias y la probabilidad de amenaza.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. las auditorías anteriores y otras evaluaciones. de la tecnológiá. Los elementos esenciales de riesgo incluyen los activos tangibles e intangibles. así como en forma recurrente. para los nuevos proyectos. resulta en medidas cuantitativas y/o cualitativas. las responsabilidades y las competencias requeridas. el valor de los activos. El proceso debe prever para la evaluación de riesgos tanto el nivel global y el nivel específico de sistema. El proceso de identificación de riesgos debe incluir una clasificación cualitativa y. las amenazas. las protecciones. de riesgo el área examinada. la metodología que se adoptará para las evaluación de riesgos. 23 . debe ser efectuada por un método estructurado y asesores calificados en riesgo. y con transversalidad. La evaluación del riesgo debe considerar riesgos del negocio. en el caso apropiado. formando una base para determinar cómo deben ser administrados los riesgos a un nivel aceptable. la planificación estratégica. inspecciones e incidentes identificados. en Sistemas de Información Asignatura: Consultoría de Seguridad TI PO9. La administración debe dirigir la identificación de la solución en la mitigación de riesgos y participar en la identificación de vulnerabilidades. La capacidad de aceptación del riesgo de la organización también debe ser evaluada. las vulnerabilidades. de regulaciones legales. 4) Medición de Riesgos Se propone garantizar que la información del análisis e identificación de riesgos. Los especialistas en seguridad deben dirigir la identificación de amenazas. La administración debe garantizar que se produzcan evaluaciones posteriores y que la información de la evaluación de riesgos sea actualizada con los resultados de las auditorías. La calidad de la evaluación de riesgos. cuantitativa de los riesgos y debe obtener información del intercambio de ideas con la administración. de socios comerciales y de los recursos humanos. 3) Identificación de Riesgos Es necesario centrarse en el examen de los elementos esenciales del riesgo y la relación causa-efecto entre ellos. Tal marco debería incorporar una evaluación regular de los riesgos relacionados a la información relevante para el logro de los objetivos de negocio. Evaluar y Administrar los Riesgos de TI 1) Evaluación de Riesgos del Negocio La administración debe establecer un marco sistemático de evaluación del riesgo. 2) Enfoque de la evaluación de riesgos La administración debe establecer un método de evaluación general que defina alcance y límites.

tratamiento de medidas contradictorias y supervisar la eficacia continua de todas las medidas de control. 6) Aceptación del riesgo El enfoque de evaluación de riesgos debe certificar la aceptación formal del riesgo residual. corrección y medidas de recuperación. El sistema de control también debe mantener un equilibrio para prevención. en función de la identificación y medición de riesgos. la administración debe comunicar el propósito de las medidas de control. para asegurar que los controles de costo-efectivos y medidas de seguridad mitigan la exposición a los riesgos en forma permanente. pasivos contractualmente negociados y autoasegurados. El plan de acción de riesgos debe identificar la estrategia de riesgo en términos de cobertura de riesgos. en Sistemas de Información Asignatura: Consultoría de Seguridad TI 5) Plan de Acción de Riesgo Es necesario definir un plan de acción de riesgo. mitigación o su aceptación. 8) Compromiso en Evaluación de Riesgos La administración debe fomentar la evaluación de riesgos como una herramienta importante para dar información en el diseño e implementación de controles internos. 24 . El riesgo residual debe ser compensado con una cobertura de seguro adecuada. detección. política organizacional. y la costo-efectividad de la aplicación de protecciones y controles. 7) Selección de Protección En un sistema de control y protección razonable. la incertidumbre incorporada en la evaluación del riesgo en sí mismo. los controles con el mayor retorno de la inversión (ROI) y que proporcionan resultados rápidos deben recibir prioridad. apropiado y proporcional.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing. Además. en la definición del plan estratégico de TI y en los mecanismos de seguimiento y evaluación.

IT Governance Using Cobit and VAL IT. IT Governanc Institute. Valor para la Empresa: Buen Gobierno de las Inversiones en TI. 46 p. 209 p. en Sistemas de Información Asignatura: Consultoría de Seguridad TI BIBLIOGRAFÍA IT Governance Institute. 2006. 2007. 25 . Estados Unidos.Universidad Tecnológica Nacional Facultad Regional Córdoba Carrera: Ing.1. Cobit 4. Estados Unidos. VAL IT. 94 p. Estados Unidos. 2007.