auditoria
DESCRIPTION
trabajo de auditoriaTRANSCRIPT
Seguridad y Auditoria de Sistemas de InformaciónPlan de AuditoriaAuditoresBryson Egusquiza, Julio (AA)Chilque Truyenque, Antonio (AE)Espinoza Valderrama, José (AA)López Seminario, Julio (AA)Quiroz Quispe, Carlos (AA)Sam Murguía, Miguel (AA)Sánchez Castillo, Eduardo (AA)Veliz García, Roberto (AA)Zumaeta Carranza, Gustavo (AA)
AE: Auditor EncargadoAA: Auditor Asistente
Supervisor EncargadoIng. Martin Figueroa Revilla
Seguridad y Auditoria de Sistemas de Información
Contenido
Tabla de contenido
Contenido...........................................................................................................................2Objetivos............................................................................................................................3Plan de trabajo..................................................................................................................4Requerimiento de información..........................................................................................6
Visión.............................................................................................................................6Misión............................................................................................................................6Objetivo.........................................................................................................................6Logo de la Institución.....................................................................................................7Nombre Comercial.........................................................................................................7Dirección de la empresa................................................................................................7Organigrama del área de TI..........................................................................................8
Cuestionarios.....................................................................................................................9Otros Aspectos de Importancia.......................................................................................23
Comunicaciones...........................................................................................................23Equipos y Servicios.......................................................................................................27Servidores....................................................................................................................30Base de datos...............................................................................................................30Análisis de Riesgos.......................................................................................................33
Opinión sobre la Infraestructura.....................................................................................50Observaciones..................................................................................................................52Conclusiones....................................................................................................................55Recomendaciones............................................................................................................56Anexos.............................................................................................................................57
Deficiencias de Control Interno...................................................................................57
2
Seguridad y Auditoria de Sistemas de Información
Objetivos
El siguiente informe de auditoría realizará un control basado en buenas prácticas para
aspectos de infraestructura que mantiene Epensa, Empresa Periodística Nacional S.A..
Para este caso, se definen los siguientes objetivos:
1. Evaluar los aspectos de infraestructura de TI, los cuales puedan contribuir de la
mejor manera el logro de objetivos de la organización
2. Evaluar el plan de continuidad de negocio respecto a la infraestructura de los
servicios de TI, así como evaluar la administración del ambiente físico en cuanto a
la protección de los activos de TI.
3. Realizar una evaluación continua de TI para aspectos de gerencia de
comunicaciones y redes tanto físicas como lógicas y mejoras en las políticas de
control de la organización.
3
Seguridad y Auditoria de Sistemas de Información
Plan de trabajo
El plan de trabajo que seguirá el grupo auditor buscará evaluar el estado actual de la
organización con respecto a las buenas prácticas determinadas por el Cobit en su
Versión 4.0. En base a esto, el plan de trabajo ha sido dividido en las siguientes fases:
Monitoreo
Planeación y organización
Adquisición e Implementación
Entrega y Soporte
Estas fases se detallan a continuación en el siguiente esquema:
Luego de la verificación y análisis de la información obtenida, elaboramos nuestros
hallazgos que hacemos como parte de la evaluación de control interno y luego las
recomendaciones que a nuestro juicio podrían incrementar los niveles de seguridad,
4
Seguridad y Auditoria de Sistemas de Información
control, eficacia, eficiencia y calidad de servicios del Área de Informática, los sistemas
de procesamiento de datos de la institución y la instalación computarizada.
La documentación base que hemos utilizado ha sido proporcionada por la Dirección de
Informática y Estadística; así como, resultado de las entrevistas realizadas al encargado
de Sistemas, además de las inspecciones de verificación y comprobación que
efectuamos.
5
Seguridad y Auditoria de Sistemas de Información
Requerimiento de información
EMPRESA PERIODISTICA NACIONAL S.A., conocida generalmente como EPENSA, se
fundó en 1963 por Luis Banchero Rossi.
EPENSA es una corporación que edita los diarios Correo, Ojo, Ajá y el Bocón. Hoy en
día está bajo la conducción de los hermanos Luis y Carlos Agois
Epensa es una empresa dedicada a la edición de periódicos y revistas para varios
sectores sociales de la capital e interiores.
Visión
Ser una empresa multimedios con presencia en todas las regiones del país, con
colaboradores comprometidos con el líder, que lo acompañan a hacer realidad la
misión de Epensa
Misión
Dirigir una cadena de medios de comunicación para informar, entretener, educar y
servir con credibilidad, veracidad y objetividad.
Ser portavoz de las necesidades de la comunidad a través de su conocimiento
profundo de la realidad nacional, para promover el bienestar de la gran mayoría del
país.
Objetivo
Ser el más grande generador de contenidos informativos del Perú al más bajo costo
6
Seguridad y Auditoria de Sistemas de Información
Logo de la Institución
Nombre Comercial
Epensa
Dirección de la empresa
Jr. Jorge Salazar Ar #171 la Victoria – Lima
Empresa Periodística Nacional
7
Seguridad y Auditoria de Sistemas de Información
Razón Social: Empresa Periodistica Nacional S.A.. (EPENSA) Nombre Comercial: EPENSA RUC: 20100087945 Tipo De Empresa: Sociedad Anonima Actividad Económica: EDICION DE PERIODICOS Y REVISTAS Inicio De Actividades: 22-03-1962 Dirección Completa: Jr. Jorge Salazar Araoz #171 Santa Catalina Ubicación Geográfica: Lima / Lima / La Victoria Fax: 6908127 Teléfono: 6908080
Organigrama del área de TI
8
Seguridad y Auditoria de Sistemas de Información
Cuestionarios
Se realizaron los siguientes Cuestionarios respecto a infraestructura de TI para Epensa
ENTIDAD: EPENSA - Empresa Periodística Nacional S.A.NOMBRE DEL FUNCIONARIO: Erick Garayar CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones
Planear y Organizar¿Se cuenta con un plan de infraestructura tecnológica?
Contamos con Planes, mas no están documentados
¿Tiene usted un conocimiento de las tecnologías con las que cuenta su organización y como están
Si, si lo estoy, en estos momentos están planeando adquirir Servidores de la marca IBM, que por el momento no ha sido posible adquirirlos, por el hecho de que aun la empresa no ve la importancia del área de TI
¿Cuentan con planes de infraestructura de TI para la respectiva adquisición de nuevos componentes para la organización y planes de contingencia?
¿Qué planes?
El procedimiento es como cualquier otro, se realiza una orden la cual es evaluada por el jefe de Area y /o responsable y luego es enviada a contabilidad para ser evaluada
¿Se cuenta con procesos, políticas administrativas y procedimientos para las funciones de seguridad?
Mencione los más importantes
Si, contamos con políticas para lo que respecta seguridad de la información.Cuando enviamos la información en PDF de los formatos de los periódicos a las diferentes partes del centro del País, esta información es enviada encriptado.
¿Cree usted que se designa de manera correcta y justa las tareas de soporte para los requerimientos de TI?
En Epensa el personal es altamente calificado para asignarle las respectivas tareas de soporte de TI, esta es una área que no puede descansar es por eso que designamos a un personal el cual también puede dar soporte todo la noche.
¿Determinan prioridades para los recursos de TI?
¿Bajo qué criterio?
Si, dependiendo de los servidores y/op servicios los cuales se encuentren saturados o necesiten mayor capacidad de ”fierro” es mas ahora ultimo adquirimos una proliant HP para que sirva como servidor de cámaras, el cual lo estamos implementando
¿Cree usted que la estructura de TI con la que cuenta su organización es la más adecuada y satisface las necesidades de la organización?
Contamos con una solución de Windows server 2003, y muchos de nuestros servicios están sobre plataforma libre lo cual nos ha ahorrado gastos con respecto a licencias y a mi parecer esta solución es
9
Seguridad y Auditoria de Sistemas de Información
la más adecuada mas no la única que satisface ala organización
¿Todos los miembros del área de TI cuenta con roles definidos y responsabilidades de acuerdo a la experiencia y necesidad de cada una de estas actividades?
Si, cada miembro del área de redes, soporte y desarrollo tiene un cargo importante en Epensa, el cual motiva a nuestros miembros a ser participes del cambio y mejora del negocio.
¿Cree usted que la organización cuenta con la respectiva infraestructura y sistemas de información para salvaguardar los datos?
Se está implementando una nueva área para sistemas, pero por falta de apoyo económico de la misma empresa estos proyectos se encuentran algo olvidados.…¿con respecto al cableado?Usamos Cat5e para toda la organización y fibra óptica para los servidores y enlaces VPN con nuestras sucursales.…¿Cuentan con alguna estandarización sobre cables 568 o 568b?Sí, estamos en proceso de hacerlo, es mas estamos viendo la posibilidad de dar un curso de certificación CISCO para el área de soporte y redes.
¿Qué tan preparada cree usted que se encuentra su personal de TI para garantizar las funciones de TI?
Defina del 1 al 10Donde 1 es Pésimo y 10 es excelente
El personal es seleccionado por mi criterio, y hasta la fecha he podido encontrar personas muy capaces para realizar las tareas.9
¿Qué medidas, procedimientos y/o políticas se aplica con el personal de TI para garantizar la protección de los activos de información de la empresa?
La mas común que usamos es el envío de correos y para la seguridad de información hemos pasado de almacenar en discos( DVD) a una solución de HP como lo que es Tape BackUps
¿Siguen buenas prácticas o algunos tipos de ejercicio para lo que administración y recursos humanos de TI?¿Realizan evaluaciones permanentes al personal de TI?
¿Con que periodo?
Así es cada 3 meses se realiza una evaluación tanto de conocimientos como psicológica al personal de las respectivas aéreas de TI, no con el afán de asustarlos o poner en riesgo su trabajo, lo hacemos con el hecho de saber cómo se sienten al trabajar y si el trabajo está cumpliendo con las expectativas del personal.
¿Qué procedimientos y/o métodos aplica la organización para la mejora continua del negocio?
Capacitaciones constantes, adquisición de nuevas tecnologías, y bastante empeño y estudio para estar preparados para
10
Seguridad y Auditoria de Sistemas de Información
Detalle cualquier situación
Adquirir e Implementar
ENTIDAD: EPENSA - Empresa Periodística Nacional S.A.NOMBRE DEL FUNCIONARIO: Ing. Erick Garay, Geiner Gardin CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones y administrador de redes respectivamente
Cuestionario de Control Interno SÍ NOA. ANÁLISIS DE RIESGOS1. ¿Se verifica un seguimiento periódico del plan estratégico? x2. ¿Se inspecciona cuál es el posicionamiento de la compañía respecto a la
competencia?x
3. ¿Se efectúan reuniones habituales de la alta dirección para tratar asuntos estratégicos del negocio?
x
4. ¿Se examina la rentabilidad de las diversas unidades de negocio? x5. ¿Se analiza el riesgo de crédito? x6. ¿Se analiza el riesgo de obsolescencia de las existencias? x7. ¿Se analiza la rentabilidad de las inversiones en activos fijos? x8. ¿Se controla la actividad y los resultados de las delegaciones y/o filiales? x
Cuestionario de Control Interno SÍ NOB. CICLO DE COMPRAS, INVERSIONES, NÓMINAS Y PAGO1. ¿Está centralizada la función de compras? x2. ¿Existe control presupuestario de las compras? x3. ¿Están autorizadas las compras e inversiones previamente a su solicitud?
(en el caso de inversiones se analiza la suficiencia presupuestaria).x
4. ¿Existe una lista de proveedores autorizados? x5. ¿Se verifican las existencias compradas en cuanto a número y calidad? x6. ¿Se cotejan en recepción las unidades registradas con las pedidas? x7. ¿Se cotejan en recepción las unidades recibidas? x8. ¿Se cotejan las unidades indicadas en factura? x9. ¿Se revisa la introducción de existencias y la valoración en el sistema de
inventario permanente?x
10. ¿Se cotejan los precios con la plantilla pactada? x11. ¿Se autorizan las facturas y la fecha de pago antes de pasarlas a tesorería? x12. ¿Se comunica a contabilidad las facturas debidamente autorizadas? x13. ¿Se autoriza, suficientemente, la emisión de notas de cargo a los
proveedores en caso de discrepancias?x
14. ¿Se concilian las notas de cargo con la nota de abono emitida por el proveedor?
x
15. ¿Se verifica la entrada de existencias previamente a la autorización de una devolución?
x
11
Seguridad y Auditoria de Sistemas de Información
16. Al cierre, se registran las compras con facturas pendientes de recepción. x17. Al cierre, se analizan los gastos susceptibles del periodo contable por el
responsable de contabilidad.x
18. Semestralmente, se amortizan los elementos del inmovilizado. x19. ¿Se realiza inventario físico de existencias al cierre y rotativo de
inmovilizado?x
20. ¿Se analiza la obsolescencia de las existencias al cierre del ejercicio? x21. ¿Existe un criterio formalizado para distinguir las reparaciones de las
mejoras?x
22. ¿Se revisa la asistencia al puesto de trabajo previamente a la elaboración de la nómina y especialmente los finiquitos?
x
23. ¿Se autoriza el pago por persona independiente al preparador de la nómina?
x
24. ¿Las funciones de compra, pago y contabilidad están suficientemente segregadas o existen mecanismos de autorización que garanticen la independencia de funciones?
x
25. ¿Se cotejan por persona independiente las bases fiscales con los datos contables?
x
Cuestionario de Control Interno SÍ NOC. CICLO DE INGRESOS Y COBRO1. ¿Existe presupuesto de ventas? x2. ¿Los vendedores y directivos de venta no perciben su retribución en
función de objetivos de venta y rentabilidad?x
3. ¿Existe una tarifa oficial de precios y una política predefinida de descuentos y devoluciones?
x
4. ¿Se exige un nivel suficiente de autorización para separarse de las políticas preestablecidas en cuanto a precios y descuentos?
x
5. ¿Se autorizan las ventas por el nivel suficiente en función del riesgo crediticio derivado?
x
6. ¿Se analiza la concentración de crédito antes de aplazar una operación? x7. ¿Se comprueban las existencias pedidas por los clientes previamente a su
envío?x
8. ¿Se coteja el recibo emitido con la nota de pedido del cliente? x9. ¿Se comprueban los datos del cliente y se actualizan adecuadamente? x10. ¿Se mantiene un registro de cuentas a cobrar en función de la antigüedad
de los saldos?x
11. ¿Se autorizan adecuadamente los saneamientos de créditos por morosidad o descuentos?
x
12. ¿Se registran adecuadamente y se siguen los anticipos de clientes? x13. ¿Se cotejan por persona independiente las bases fiscales con los datos
contables?x
14. ¿Las funciones de venta, cobro y contabilidad se encuentran suficientemente segregadas?
x
12
Seguridad y Auditoria de Sistemas de Información
Cuestionario de Control Interno SÍ NOD. CICLO DE CONVERSIÓN1. ¿Se sigue un sistema de Inventario Permanente para existencias? x2. ¿Se utiliza un criterio aceptable para la valoración de las salidas de materias
primas?x
3. ¿Se utiliza un criterio aceptable para valorar los movimientos del Inventario Permanente de productos terminados?
x
4. ¿Se realiza un escandallo de producción para facilitar el cálculo de costes de producción?
5. ¿Se calcula el coste de los productos terminados en función de criterios históricos?
x
6. ¿Se realiza un inventario físico para contrastar las cifras del Inventario Permanente?
x
Cuestionario de Control Interno SÍ NOE. INVERSIÓN Y FINANCIACIÓN1. ¿Existe un presupuesto de tesorería? x2. ¿Las operaciones de inversión estratégica en otras compañías son
autorizadas por el consejo de administración?x
3. ¿Se realiza un seguimiento periódico de la cartera de inversiones financieras?
x
4. ¿Se monitorizan los riesgos derivados de la cartera de valores?5. ¿Se revisan los intereses contratados con las liquidaciones periódicas? x6. ¿Se analizan al cierre las periodificaciones de ingresos financieros? x7. ¿Se revisa la liquidación de intereses en las operaciones de crédito? x8. ¿Se revisa al cierre la clasificación de la deuda entre corto y largo plazo? x9. ¿Se autorizan por el consejo de administración la aprobación de
dividendos? x
Cuestionario de Control Interno SÍ NOF. TESORERÍA1. ¿El movimiento de caja se deja para importes mínimos? x2. ¿Existe un procedimiento de caja fija para los movimientos de caja? x3. ¿Se analizan al cierre los justificantes existentes en caja? x4. ¿Se arquea periódicamente la caja por personal independiente a la función
de tesorería?x
5. Los pagos se encuentran debidamente autorizados x6. ¿Se concilian periódicamente las cuentas corrientes bancarias, por personal
independiente a contabilidad y tesorería?x
7. ¿Se realiza un seguimiento de las diferencias detectadas en la conciliación? x8. ¿Se exige doble firma para disponer de fondos? x9. ¿Se autoriza suficientemente la apertura de nuevas cuentas corrientes? x10. ¿Se efectúa un control suficiente de las firmas autorizadas? x11. ¿Se revisa periódicamente la liquidación de intereses de las cuentas x
13
Seguridad y Auditoria de Sistemas de Información
corrientes?12. ¿Se revisa al cierre, las diferencias de conciliación con incidencia en
contabilidad y se informa a la misma?x
13. ¿Se controlan las cuentas inactivas? x
14
Seguridad y Auditoria de Sistemas de Información
CUESTIONARIO PARA AREAS USUARIAS
1. ¿Qué servicios del Área de Informática recibe usted? Es usuario de Red.............................................................. SI (x) NO ( ) Cuenta usted con servicio de Correo Electrónico ............. SI (x) NO ( ) Cuenta usted con Acceso a Internet ................................. SI (x) NO ( )
2. ¿Qué Sistemas informáticos utiliza ? Software de Oficina Sistemas Aplicativos
MS WorldMS ExcelAdobe InDesignAdobe Photoshop
3. ¿En un MES cuan frecuentes son las pérdidas del servicio informático que utiliza?
Es así en todos los servicios: Nunca 1 a 5 6 a 10 11 a +
Servicio de acceso a los Sistemas Aplicativos xServicio de correo electrónico xServicio de acceso a Internet xServicio de impresión Local y en red xServicio de disponibilidad de computadoras y periféricos
x
4. ¿Cuánto tiempo demora en arreglarse el problema o restablecerse el servicio?
Es así en todos los servicios: < 1 Hora 1 Hora > 1 Día
Servicio de acceso a los Sistemas Aplicativos xServicio de correo electrónico xServicio de acceso a Internet xServicio de impresión Local y en red xServicio de disponibilidad de computadoras y periféricos
x
5. ¿Cuándo realiza Usted requerimientos al Área de Informática, cuál es el tiempo de atención?
Es así en todos los servicios: < 1 Hora 1 Hora > 1 Día
Servicio de acceso a los Sistemas Aplicativos xServicio de Soporte de Software de Oficina xServicio de Soporte de manejo del sistema xServicio de correo electrónico xServicio de acceso a Internet x
15
Seguridad y Auditoria de Sistemas de Información
Servicio de impresión Local y en red xServicio de disponibilidad de computadoras y periféricos
x
6. ¿Cuándo realiza Usted requerimientos al Área de Informática, a que persona recurre?
Recurre normalmente al Jefe de Sistemas, mediante un documento con formato diseñado por esa área que nos entregaron para atender nuestros requerimientos.
7. ¿Cuál es el procedimiento de aceptación, cuando hay una modificación, cambio o un nuevo requerimiento atendido de sistema?
El procedimiento es siempre escrito y tiene que ser firmado y autorizado por el jefe de Sistemas
8. ¿Cubren sus necesidades de información los sistemas que utiliza del Área de Informática?
No las cubre ( ) Parcialmente ( ) La mayor parte (x) Todas ( )¿Por que?Por que no siempre toda la información que utilizo para mis artículos provienen de nuestros
sistemas, a veces recurro a mis conocidos en otros medios o al Internet.
9. ¿Hay disponibilidad del Área de Informática para atender sus requerimientos? Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)
Es así en todos los servicios: 1 2 3 4 5
Servicio de Soporte de Software de Oficina x
Servicio de Soporte de manejo del sistema x
Servicio de correo electrónico x
Servicio de acceso a Internet x
Servicio de impresión local o en red x
Servicio de disponibilidad de computadoras y periféricos
x
10. ¿Son entregados oportunamente los trabajos encargados al Área de Informática?Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)
Es así en todos los servicios: 1 2 3 4 5
Servicio de Soporte de Software de Oficina x
Servicio de Soporte de manejo del sistema x
Servicio de correo electrónico x
Servicio de acceso a Internet x
Servicio de disponibilidad de computadoras y periféricos
x
Requerimiento de nuevas aplicaciones x
16
Seguridad y Auditoria de Sistemas de Información
11. ¿Quién interviene de su departamento y/o oficina en el diseño de sistemas?
La persona autorizada que es el Jefe Editor
12. ¿Qué sistemas desearía que se incluyeran?Mas que incluyeran, me gustaría que lo mejoren, por que es muy lento y a veces no se entienden bien sus opciones
13. ¿Qué piensa de la seguridad en el manejo de la información proporcionada por los sistema que utiliza?
Nula ( ) Riesgosa ( ) Satisfactoria (x) Excelente ( ) Desconoce ( )¿Por que?Debido a que tengo entendido que no hace muchos meses, pudieron ingresar externamente a
nuestros servidores pero no pudieron acceder a la información.
14. ¿Existen fallas de exactitud en los procesos de información que Ud. utiliza? ¿Cuáles?
No, la información está bien respaldada por los sistemas. Pero demora
15. ¿Usted procesa la información o está a cargo del área de Informática, o alguna otra área?
No la proceso, pero ingreso mis artículos que voy publicando
16. ¿Tiene acceso Ud., al Manual de Usuario del Sistema que maneja? SI (x) NO ( )
17. ¿Es claro y objetivo el manual del usuario? SI ( ) NO (x)
18. ¿Qué opinión tiene del manual?Es muy técnico cuando los que la leemos no sabemos mucho de informática, sólo lo necesario.
17
Seguridad y Auditoria de Sistemas de Información
ENTIDAD: EMPRESA PERIODÍSTICA NACIONAL S.A. “EPENSA”
NOMBRE DEL FUNCIONARIO: ERICK GARAYARCARGO: Jefe del Área de Sistemas – Redes y Comunicaciones
NOMBRE DEL FUNCIONARIO: GEINER GARDINCARGO: Administrador de Redes
Entregar y dar soporte¿Está desarrollado algún marco de trabajo de continuidad de TI que soporte la continuidad de negocio?
SI (x) NO ( )
¿Se tienen plenamente identificados los eventos de interrupción de la continuidad de negocio?
SI ( ) NO (x)
¿Existen planes desarrollados de la continuidad de TI?
SI ( ) NO (x)
¿Se maneja algún tipo de rol o responsabilidad bajo este plan de continuidad de TI?
SI ( ) NO (x)
¿Se maneja algún criterio para identificar los recursos críticos de TI?
SI ( ) NO (x)
¿Existen procedimientos de control de cambios para asegurar que el plan de continuidad de TI se mantenga actualizado y maneje de manera continua el negocio?
SI ( ) NO (x)
¿Existe algún plan de pruebas para el plan de continuidad de TI?
SI ( ) NO (x)
¿Existe algún plan de entrenamiento a los trabajadores, indicando roles y responsabilidades en el plan de continuidad de TI?
SI ( ) NO (x)
¿Existen procedimientos distribución del plan de continuidad de TI?
SI ( ) NO (x)
¿Existe algún planeamiento de acciones a tomar mientras los servicios de TI se recuperan?
SI ( ) NO (x)
¿Existe almacenamiento de respaldo fuera de las instalaciones como documentación y /o recursos de TI?
No existe, pero planean implementarlo.
¿Existen revisiones post reanudación de los servicios de TI?
SI ( ) NO (x)
¿Se revisa y evalúa la posibilidad de un riesgo físico (acceso no autorizado, daño, robo) a los activos de TI?
SI ( ) NO (x)
18
Seguridad y Auditoria de Sistemas de Información
¿Se tienen identificadas las zonas de seguridad y ubicación de equipo critico?
SI ( ) NO (x), aun no se ha completado de identificar todas las zonas de seguridad.
¿Existe responsabilidad formal para el monitoreo de la seguridad física?
SI ( ) NO (x)
¿Existe responsabilidad formal para la resolución de incidentes de seguridad física?
SI ( ) NO (x)
¿Se cuenta con procedimientos para otorgar, limitar y revocar el acceso a determinadas áreas de la empresa?
SI ( ) NO (x)
¿Existe un monitoreo constante de toda persona que acceda a la empresa y de lo que realiza en ella?
SI ( ) NO (x), solo de algunos ambientes de la empresa.
¿Se posee alguna medida de protección contra factores ambientales que dañen la infraestructura?
SI ( ) NO (x)
¿Se cuenta con lineamientos para la instalación de equipos de comunicaciones así como para el de suministro de energía?
SI (x ) NO ( )
¿Se ha evaluado la infraestructura de la empresa por parte de entidades que garanticen que se cumplan las regulaciones para la seguridad y la salud?
SI (x) NO ( ), se siguen las indicaciones de defensa civil.
¿Se evaluó el riesgo al momento de diseñar el esquema del centro de datos?
SI ( ) NO (x)
¿Se han establecido procedimientos para monitorear la infraestructura de TI?
SI (x) NO ( ), se cuenta con un sistema de monitoreo para diversas áreas de la empresa.
¿Se realiza un mantenimiento preventivo de la infraestructura de TI?
SI ( ) NO (x)
¿Se tiene convenio con alguna empresa para ejecutar dicho mantenimiento?
SI ( ) NO (x)
¿Posee equipos proporcionados por terceros (alquilados, en concesión) que sean críticos para sus operaciones?
SI (x) NO ( )
19
Seguridad y Auditoria de Sistemas de Información
ENTIDAD: EMPRESA PERIODÍSTICA NACIONAL S.A. “EPENSA”
NOMBRE DEL FUNCIONARIO: ERICK GARAYARCARGO: Jefe del Área de Sistemas – Redes y Comunicaciones
NOMBRE DEL FUNCIONARIO: GEINER GARDINCARGO: Administrador de Redes
MONITOREO DEL PROCESO
1. Sabía UD., ¿Que el monitoreo del proceso asegura el logro de los objetivos establecidos para los procesos de TI?
Si, si sabía, se están monitoreando todos los procesos del área de TI de la empresa
2. Hay disponibles informes precisos en tiempo y forma
Si se tiene informes periódicos de sobre el estado de los procesos del área de TI
3. Los responsables de los procesos entendieron los KGI y KPI
No hubo un entendimiento claro de los procesos y los KGI y KPI
4. Las medidas de rendimiento en TIC incluyen criterios de aprendizaje económico, operacional, de usuarios y organizacional que aseguran la alineación con los objetivos de la organización y pueden ser conectados con los tableros de mando.
No se cuenta con criterios claros ni definidos para el aprendizaje operacional dando solo ciertas capacitaciones al usuario del área de TI
5. Los objetivos de los procesos están claramente entendidos y comunicados.
Si están claramente definidos y comunicados por la gerencia al personal del área de TI.
6. Existe un marco para definir e implementar requerimientos de informes de gobierno.
No cuenta con un marco de definido para obtener información del gobierno.
7. Se establece una base de conocimiento de rendimiento histórico.
Cuenta con archivos históricos de rendimiento.
EVALUAR LO ADECUADO DEL CONTROL INTERNO
1. La administración define claramente cuales componentes deben ser controladas.
Si existe una asignación de control para los componentes los cuales serán medidos y controlados.
2. Se comprenden claramente los controles internos, las
Si la asignación de roles está dada internamente y cada uno del personal del
20
Seguridad y Auditoria de Sistemas de Información
responsabilidades internas y su cumplimiento.
área de TI cumple con su función de control asignado.
3. La función de control interno existe, es competente y tiene autoridad, puede delegar según corresponda.
Cuenta con una función de control interno detallada pero se controla al personal interno de acuerdo a sus funciones y desempeño.
4. Existe un marco de control TIC adecuado
Si tiene un marco e control adecuado para evaluar el desempeño y control.
5. Se usa un proceso claro para reportar a tiempo las deficiencias de control
No cuenta con un proceso claro para reportar deficiencias de control basándose solo en resultados y desempeño.
6. Hay un compromiso de la administración de corregir los defectos encontrados
Si la alta gerencia está tratando de mejorar el proceso de control del área de TI
7. Riesgo y seguridad están alineados.
Si están alineados.
8. Existe un proceso interno para asegurar que se comparte información sobre los incidentes y sus soluciones.
Si cuentan con un proceso para intercambiar información sobre incidentes y soluciones.
OBTENCION DE ASEGURAMIENTO INDEPENDIENTE1. La Empresa cuenta con una
Certificación / Acreditación Independiente de Control y Seguridad de los servicios de TI.
No cuenta con ninguna certificación ni acreditación sobre control de seguridad de TI
2. Se cuenta con una Certificación / Acreditación Independiente de Control y Seguridad de proveedores externos de servicios.
No cuenta con ninguna certificación /acreditación sobre control y seguridad de proveedores externos.
3. Se ha hecho una evaluación independiente de la efectividad de los Servicios de TI.
Si se ha hecho evaluaciones sobre efectividad de los servicios de TI logrando obtener beneficios y mejoras.
4. Se ha hecho una evaluación independiente de la efectividad de proveedores externos de servicios.
No se ha hecho una evaluación sobre efectividad de proveedores externos.
5. Hay un aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales.
Existe un aseguramiento para el cumplimiento de las leyes y contratos hechos.
21
Seguridad y Auditoria de Sistemas de Información
6. Hay un aseguramiento Independiente del Cumpli-miento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios
Existe un cumplimiento de leyes y contratos con proveedores externos.
7. Existe competencia de la función de aseguramiento Independiente
No existe competencia de la función de aseguramiento.
8. Existe participación Proactiva de Auditoria
No cuentan con una participación de auditoría.
PROVEER AUDITORÍA INDEPENDIENTE1. Autoridades definen y apoyan un
plan de auditoría que provee independencia, responsabilidad y autoridad a la función de auditoria
No existe un plan de auditoría para el área de TI
2. El planeamiento y realización de las auditorias es pro-activa
Existe una planeación y realización es proactiva.
3. Existen herramientas y técnicas de soporte a la auditoria
No existe un soporte de auditoría.
4. Se establecen prácticas acordadas de auditoría entre la gestión y la auditoria para cerrar recomendaciones y estatus global.
No existen prácticas acordadas de auditoría.
5. Los auditores asesoran sobre el impacto en la performance de sus recomendaciones incluyendo costos, beneficios y riegos.
No hay auditores que asesoren al área de TI.
6. Se siguen las prácticas generalmente aceptadas de auditoría.
Siguen algunas prácticas para control y planeamiento basadas en auditorias.
7. Se usa planeamiento basado en riegos para definir las actividades a auditar inicial y cíclicamente.
No cuenta con un plan de riesgos para auditar.
22
Seguridad y Auditoria de Sistemas de Información
Otros Aspectos de Importancia
Como toda área de TI Epensa trata de mantenerse al día con las últimas tecnologías del
mercado, las cuales iremos describiendo a continuación
Comunicaciones
A nivel WAN, Epensa cuenta con 2 DNS los cuales le permiten una mayor
cobertura para mantenerse constante sin problemas de conectividad para toda
la organización, y contar con mayor rapidez respecto a la comunicaciones a
través de VPN’s en las diferentes partes del país.
Epensa cuenta con una red LAN estable la cual conecta a todos los ordenadores
de la institución a los servicios los cuales pueda brindar el área de TI.
Trabaja bajo una plataforma de WindowsServer 2003 la cual le da una mayor
flexibilidad para las cuentas y administración de la red; además de contar con
servicios de DNS y DHCP
Cuentan con un servicio de correo basado enOpenSource, el cual es el
openXchange
23
Seguridad y Auditoria de Sistemas de Información
Cuentan con servicios de Firewall e IDS basados en Linux los cuales son el
IPtables y el snort los cuales son herramientas las cuales han demostrador ser
muy eficaces para cumplir estas funciones
La red con la que cuenta Epensa no se encuentra realizado la operación de
subnetting, pero utilizan la red privada 192.168.x.x para las distintas areas las
cuales cuenta Epensa, un ejemplo es: Correo utiliza la dirección 192.168.3.2 –
192.168.168.3.255 y OJO usa la dirección 192.168.2.2 – 192.168.168.2.255.
La organización no cuenta con una estandarización con respecto al cableado
estructurado, pero se conoce que se encuentra todo con cable categoría 5e, y
para los servidores utilizan fibra óptica monomodo.
Cuenta con servidores proxy implementados para una mayor seguridad del
caso.
Cuentan con una conexión dedicada de 4 Mb y una de respaldo de 2 Mb
Speedy Business
A continuación podemos apreciar parte de la red de Epensa y como esta
constituida
24
Seguridad y Auditoria de Sistemas de Información
Foto, izquierda a derecha: Percy Rojas, Administrador de redes; Erik Garayar, Jefe de sistemas; y Geiner Gardín, Administrador de redes de EPENSA.
25
Seguridad y Auditoria de Sistemas de Información
26
Seguridad y Auditoria de Sistemas de Información
Equipos y Servicios
Epensa S.A cuenta con un Centro de Cómputo adecuado especialmente para contener
los servidores, equipos de red y equipos de telefonía.
El diseño del centro de cómputo cuenta con sistemas de seguridad apropiados
para resguardar la información de la empresa
.
Área de servidores
Operadores
Cuenta con una línea dedicada de 4 mb y una de 2mb SB para respaldo
27
Seguridad y Auditoria de Sistemas de Información
El servicio es brindado por Telefónica del Perú
El servicio de correo se encuentra montado sobre una distribución Linux
RedHat 5 Enterprise
Todo usuario perteneciente a Epensa cuentan con una dirección de correo
electrónico
En el siguiente grafico podemos apreciar la infraestructura para el envio de
correos
Transferencia de correo Electrónico
El servicio de VPN’s
Los aplicativos de la empresa se utilizan en la parte de finanzas, RRHH etc, los
cuales son producidos por la misma área de desarrollo
Epensa no cuenta con una solución holística como lo es SAP (por ejemplo)
La estructura de DNS de Epensa se encuentra de la siguiente manera
28
Seguridad y Auditoria de Sistemas de Información
29
Seguridad y Auditoria de Sistemas de Información
Lo cual hace más flexible para este tema, puesto que su Web esta alojada por
Telmex y los demás servicios se encuentran registrados en DNS’s de Telefónica
Servidores
Epensa S.A cuenta con servidores HP que cumplen las siguientes funciones:
Servidor de correo (OpenXchange)
Servidor FTP
Servidores de DHCP y DNS montados em Windows Server 2003
Servidor de firewall sobre uma plataforma Linux usando IPtables
Servidor de Proxy en Linx RedHat 5 Enterprise
Servidor HP de BackUps TapeBackUp
Base de datos
La base de datos de Epensa se encuentra centralizada en Lima la cual a su vez se
encuentra duplicada en otra habitación del mismo local de Epensa, Esta base de datos
se encuentra montada en Oracle 10G.
Las Bases de datos sucursales se conectan a través de un enlace VPN para una mayor
seguridad del caso.
Utilizan métodos de encriptación avanzados como AAA puesto que la información que
es enviada es crítica para la empresa, en este caso los periódicos en formato de PDF
para la respectiva impresión en diferentes partes del país.
30
Seguridad y Auditoria de Sistemas de Información
En lima se sigue un proceso de alta seguridad para lo que es respectivo
almacenamiento de la información (fotos. PDF, XLS, etc de Epensa)
31
Seguridad y Auditoria de Sistemas de Información
32
Seguridad y Auditoria de Sistemas de Información
Análisis de Riesgos
I. INTRODUCCION
El presente análisis de los riesgos fue desarrollado con el propósito de determinar cuáles de los activos de la organización Empresa periodística Nacional EPENSA” tienen mayor vulnerabilidad por la presencia tanto de factores externos o internos que puedan afectar, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo puede ser controlado.
Para generar esta información se realizaron las siguientes actividades:
a. Identificación de los activos de La Organización (Epensa) : se evaluaron los distintos activos físicos y de software de la organización, generando un inventario de aquellos que son considerados como vitales para su desenvolvimiento seguro.
b. Asignación de importancia a los activos: los activos fueron clasificados según el impacto que sufriría la organización si faltase o fallara tal activo.
c. Identificación de amenazas: acto seguido se listaron los factores de riesgo relevantes a los pueden verse sometidos cada uno de los activos arriba nombrados.
d. Descripción de consecuencias y salvaguardas: se generó una descripción de las consecuencias que podría sufrir La Institución si los activos son afectados por sus respectivas amenazas, detallando la manera en que se protege al activo contra ese ataque en particular, y puntualizando en qué grado son efectivas estas medidas.
e. Asignación de probabilidades de ocurrencia de las amenazas: teniendo en cuenta los datos arriba mencionados fue posible estimar la probabilidad de ocurrencia que cada una de las amenazas representaba con respecto a los activos listados, considerando para esta estimación las medidas tomadas por la institución para mitigar su acción.
f. Cálculo de niveles de vulnerabilidad y riesgo: una vez identificados los riesgos, se procedió a su análisis. Con toda la información recolectada, se determinó el nivel de vulnerabilidad que se asocia con cada activo listado.
g. Conclusiones: a partir de las actividades anteriormente descritas se pudo evaluar la situación actual de La Organización en relación a los incidentes
33
Seguridad y Auditoria de Sistemas de Información
que pueden afectarla, calculando las vulnerabilidades cubiertas y descubiertos, y un análisis sobre la escala de importancia de los activos.
h. Consecuencias: luego de identificar, estimar y cuantificar los riesgos, la unidad de riesgos de La Organización deben determinar los objetivos específicos de control y, con relación a ellos, establecer los procedimientos de control más convenientes, para enfrentarlos de la manera más eficaz y económica posible. En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican preocupaciones mayores. Por el contrario, los que se estiman de alta frecuencia deben merecer preferente atención. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.
II. ACTIVOS Y FACTORES DE RIESGOS
Presentamos los distintos activos reconocidos en Epensa, asignando un valor al impacto que tienen en la organización, ponderada en una escala del 1 al 10. Este impacto es un valor subjetivo que refleja el nivel de Impacto que puede tener La Organización si un incidente afecta a los activos, sin considerar las medidas de seguridad que existan sobre los mismos.
CATEGORIA ID DEFINICION DEL ACTIVO IMPACTO
Instalaciones 01 Ambiente del área de Sistemas 8
Personal 02 Personal del área de sistemas 8
Equipamiento auxiliar
03 Sistema de Aire Acondicionado 7
04 Pozos a tierra y Sistema Eléctrico Estabilizado 6
05 Suministro de Energía Eléctrica 7
06 Cámaras de seguridad 3
Servicio 07 Sistema de Telecomunicaciones 7
Equipos informáticos/Redes de comunicaciones
08 Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).
8
09 Servidor de base de datos 7
10Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)
9
11 Ordenadores de Escritorio 4
Aplicaciones 12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)
5
13 Servicio de correos e intranet, DNS 7
14 Servicio de VPN’s para oficinas en centro del Perú 7
34
Seguridad y Auditoria de Sistemas de Información
15 Aplicaciones de desarrollo de la empresa 6
Datos eInformación
16 Data generada por los Sistemas de Información 8
17 Data generada por los Usuarios. 8
Soporte de información
18 Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc.
7
*La ausencia del jefe del área de sistemas impactaría de gran manera al área de sistemas, por lo que no solo es jefe del área, sino del área de redes y comunicaciones y ala vez también de soporte técnico
1 = Menor impacto10 = Mayor impacto
A continuación se listan los factores de riesgo o amenazas que pueden afectar a dichos activos, indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 5. Esta probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la organización.
TIPO ID AMENAZA PROBABILIDAD
Accidentes 001 Incendios 1
002 Inundación 1
003 Terremotos 1
004 Error de backups 1
005 Error en el medio de almacenamiento 2
006 Fallas físicas de los equipos (averías) 2
007 Riesgo por el personal de limpieza o personal externo
2
Errores 008 Administración inadecuada 2
009 Entrenamiento inadecuado de usuarios 1
010 Errores de configuración y operación del sistema.
2
011 Falta de cuidado en el manejo de información.
1
012 Mal uso de derechos de administración. 1
013 Mala administración de passwords. 2
35
Seguridad y Auditoria de Sistemas de Información
TIPO ID AMENAZA PROBABILIDAD
014 Problemas con conexiones y electricidad 1
015 Procesamiento de información inadecuado. 1
016 Conocimiento insuficiente. 1
017 Conexiones todavía activas. 1
018 Documentación deficiente. 3
019 Falta de backup. 1
020Faltas de herramientas utilizadas en los
ordenadores.1
Exterior
Presenciales
021 Deshonestidad y sabotaje. 2
022 Pérdida (extravío). 1
023 Pérdida de Laptops. 1
024 Robo de claves. 1
025 Robo de equipos. 2
026 Robo de información. 2
027 Vandalismo. 1
028 Fraude. 1
029 Uso sin autorización. 2
030 Spoofing y sniffing LAN. 1
031 Destrucción negligente de los datos. 3
032Retiro y/o ausencia intempestiva de
personal.2
Exterior
Remotos033
Entrada sin autorizaciones ambientes
seguros.1
034Accesos no autorizados datos con
corrupción.2
035 Infección de virus. 2
36
Seguridad y Auditoria de Sistemas de Información
TIPO ID AMENAZA PROBABILIDAD
036 Accesos no autorizados a datos con modificación.
1
037 Modificación no autorizada. 2
038 Spoofing en WAN. 1
1 = Menor probabilidad3 = Mayor probabilidad
III. POSIBLES CONSECUENCIAS Y MEDIDAS EXISTENTES
En el presente cuadro se listan los activos de la organización (Epensa), las amenazas que los afectan directamente y las consecuencias que puede traer consigo la materialización de estas amenazas. Se describen también las salvaguardas o información referida a las medidas que ha tomado Epensa para mitigar estas consecuencias. Por último se han evaluado estas medidas, indicando si son deficientes (d), mejorables (m) o eficientes (e).
NOMBRE DE ACTIVO VITALCONSECUENCIAS ¿SE
PROTEGE?¿COMO?
MEDIDAS APLICADAS¿ES
EFECTIVA?AMENAZA01 Ambiente del Área de Sistemas
033 Entrada sin autorizaciones ambientes seguros.
Pérdida de equipos y/o información / Manipulación de los sistemas y/o modificaciones
Si
El personal cuenta con llaves de sus respectivas áreas a las cuales pertenecen
Media
007Riesgo por personal de limpieza o personal externo
Daño de servidores, UPS, cableado, Interrupción de sistemas.
Si
Las sub-áreas pertenecientes al área de sistemas mantienen al menos una persona al momento de realizar las limpiezas
Media
025 Robo de equipos.
Paralización de los sistemas(Falta de sistemas) / Pérdida de equipos y/o información
SiExisten cámaras de seguridad en cada área Media
024 Robo de claves.Paralización de ciertas actividades de producción
Si
El personal cuenta con una clave la cual es única para cada usuario y se le advierte no compartir con nadie esta clave
Media
013Mala administración de passwords
Paralización de una o mas PC’s No
El personal no respeta siempre y comparte los passwords con compañeros
Baja
02 Personal del Área de Sistemas
37
Seguridad y Auditoria de Sistemas de Información
NOMBRE DE ACTIVO VITALCONSECUENCIAS ¿SE
PROTEGE?¿COMO?
MEDIDAS APLICADAS¿ES
EFECTIVA?AMENAZA
009 Entrenamiento inadecuado de usuarios
Mal uso de los servidores de producción con los que cuenta la Organización
No Baja
026 Robo de información No Baja
021 Deshonestidad y sabotaje
Paralización de los sistemas(Falta de sistemas) / Robo, modificación de información
Si Póliza de Seguro por deshonestidad Media
012Mal uso de derechos de administración
Divulgación, modificación y robo de la información. Si
Las contraseñas de los servicios críticos solo es de conocimiento del área de Redes y comunicaciones
Media
032 Retiro / ausencia intempestiva de personal
Aumento de vulnerabilidades e inestabilidad del sistema / Incremento de riesgos en caída de servicios
No Débil
016 Conocimiento insuficiente Demoras en los procesos por falta de conocimiento Si Capacitaciones
constantes Alta
036 Accesos no autorizados datos con corrupción.
Demoras en la entrega de documentación de alta importancia a las sedes en el centro de lima
Si
Se aplican ciertos métodos de encriptación para que la información no este disponible a personal no autorizado
Alta
03 Sistema de Aire Acondicionado
001 Incendios
Pérdidas colosales del área de sistemas y sub-área como lo son servidores, ordenadores, información, etc.
Si
Las áreas se encuentran protegidas reforzando los cables y posibles averías, además cuentan con extintores
Media
04 Pozo a tierra y Sistemas Eléctricos Estabilizados, Extintores
002 InundaciónPerdida de funcionamiento de servidores, PCs, etc.
No Baja
003 Terremotos Posible destrucción de las áreas
Si alta
05 Suministros de energía Eléctrica
014 Problemas con conexiones y electricidad
Descontinuad de los servidores de producción por la ausencia de electricidad
Si
La organización cuenta con UPS de una duración de 40 minutos para las respectivas precauciones
Alta
06 Cámaras de seguridad
022 Pérdida (extravío).Problemas internos y posibles manipulaciones de los servidores
Si
La organización cuenta con cámaras las cuales monitorean todas las áreas de sistemas
Media
07 Sistema de Telecomunicaciones
38
Seguridad y Auditoria de Sistemas de Información
NOMBRE DE ACTIVO VITALCONSECUENCIAS ¿SE
PROTEGE?¿COMO?
MEDIDAS APLICADAS¿ES
EFECTIVA?AMENAZA
030 Spoofing y sniffing LAN Suplantación de identidades
en la redSi
Uso de IDS para la detección de intrusos en las redes Media
08 Servidores centrales (Servidor de dominio, Terminal Services, Antivirus, antispam, Firewall)
008 Administración inadecuada
Modificaciones en los controladores de dominio de la organización, generando molestias, negando y permitiendo permisos a personas no autorizadas
Si
Capacitaciones y sentido de la responsabilidad del persona de redes y comunicaciones
Media
017 Conexiones todavía activasPosibles robos de información Si
Se realiza monitoreo constante de las actividades realizadas y quien las realiza
Media
037 Modificación no autorizadaProblemas que pueden existir con controles de acceso u otras servicios
SiGeneración de llaves administradas por el jefe del área de sistemas
Alta
09 Servidor de base de datos
010 Errores de configuración y operación del sistema
Errores en las respectivas consultas realizadas ala base de datos por parte del área de desarrollo para respectivos controles
N Baja
10 Dispositivos de conectividad y soporte en comunicaciones
023 Pérdida de Laptops. No Baja
005 Error en el medio de almacenamiento
Demoras para los procesos de backup, generando así perdidas de información
SiUtilización de tecnologías (Tape backups) especializados (
Media
11 Ordenadores de escritorio
006 Fallas físicas de los equipos Demoras en los procesos Si
El personal de soporte técnico recibe capacitaciones constantes para asistir ante eventualidades de esta tipo.
Media
035 Infección de virusProblemas con los ordenadores Si
Se tiene instalado una solución de antivirus a medida de negocio
Media
12 Herramientas de escritorio y desarrollo
020 Faltas de herramientas utilizadas en los ordenadores.
Disgusto de los usuarios finales
SiMantenimientos constantes de los ordenadores
Media
13 Servicio de correos e Intranet
010 Errores de configuración y operación del sistema
Perdidas de correos electrónicos generando confusiones con las actividades para cada responsable
SiMonitoreo constante de las aplicaciones de correo e internet
Media
14 Servicio de VPN para oficinas en centro del Perú
39
Seguridad y Auditoria de Sistemas de Información
NOMBRE DE ACTIVO VITALCONSECUENCIAS ¿SE
PROTEGE?¿COMO?
MEDIDAS APLICADAS¿ES
EFECTIVA?AMENAZA
029 Uso sin autorización
Mala administración de las oficinas del centro del Perú, generando fallas de conectividad.
SiGeneración de llaves administradas por el jefe del área de sistemas Alta
038 Spoofing en WAN Robo de información por suplantación de usuarios
SiLa organización cuenta con IDS para la detección de intrusos
Alta
15 Aplicaciones de desarrollo de la empresa
015Procesamiento de información inadecuado
Desconocimiento de responsables de la información
No Baja
16 Data generada por los sistemas de información
004 Error de BackupsPerdidas de información de respaldo critica para la organización etc.
Si
La información es guarda en discos duros externos y se copia también a DVDs
Baja
17 Data generada por los usuarios
031
Destrucción negligente de los datos.
Retrasos en los procesos de, generación de brechas en la organización
Si Generación de backups Baja
019 Falta de Backup Paralización de los servidores en caso de un siniestro Si
Se realizan backups incrementales durante toda la semana
Alta
18 Aplicaciones de desarrollo de la empresa
018 Documentación deficiente Realizan los procesos de manera confusa o lenta No Baja
011 Falta de cuidado en el manejo de información. No Baja
IV. CÁLCULO DE NIVELES DE VULNERABILIDAD Y RIESGOS
En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones:
PROBABILIDAD DE OCURRENCIA: representan la probabilidad de que se materialicen las amenazas identificadas, en una escala del 1 al 3. Esto se evaluó en el numeral 2.- Factores de Riesgo, teniendo en cuenta las medidas de seguridad existentes en Organización.
NIVEL DE VULNERABILIDAD: se calcula el porcentaje de probabilidad de que se materialicen las amenazas, con respecto a la cantidad de amenazas identificadas para dicho activo. Esto es debido a que cada activo está afectado por un número diferente de amenazas posibles,
40
Seguridad y Auditoria de Sistemas de Información
de manera que este cálculo sirve para obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo, independientemente de la cantidad de amenazas que lo afectan.
Vulnerabilidad = Probabilidad de Ocurrencia X 100
Cantidad de Amenazas
NIVEL DE RIESGO: en este momento interviene el nivel de importancia que refleja el nivel de impacto que puede tener La Institución, si un incidente afecta a los activos, multiplicando al nivel de vulnerabilidad. De esta forma se obtiene el nivel de riesgo de cada activo con respecto a una amenaza. La suma de estos valores es el nivel de riesgo total que corresponde a cada activo.
Riesgo = Vulnerabilidad x Impacto
NOMBRE DE ACTIVO IMPACTO AMENAZA
PROBABILIDAD DE
OCURRENCIA
VULNERABILIDAD RIESGO
01Ambiente de área
sistemas8
033 Entrada sin autorizaciones ambientes seguros. 1 20 160
007 Riesgo por personal de limpieza o personal externo 2 40 320
025 Robo de equipos. 2 40 320024 Robo de claves. 1 20 160013 Mala administración de passwords 2 20 160
CANTIDAD DE AMENAZAS = 5 140 1120
02Personal del Área de
Sistemas8
009Entrenamiento inadecuado de usuarios 1 14.3 114.4
026 Robo de información 2 28.6 228.8021 Deshonestidad y sabotaje 2 28.6 228.8012 Mal uso de derechos de administración 1 14.3 114.4
032Retiro / ausencia intempestiva de personal 2 28.6 228.8
016 Conocimiento insuficiente 1 14.3 114.4
036Accesos no autorizados datos con modificación 1 14.3 114.4
CANTIDAD DE AMENAZAS =7 143 1144
03Sistema de Aire Acondicionado 7 001 Incendios 1 100 700
CANTIDAD DE AMENAZAS =1 100 700
04
Pozo a tierra y Sistemas Eléctricos
Estabilizados Extintores
6
002 Inundación 1 50 300
003 Terremotos 1 50 300CANTIDAD DE AMENAZAS =2 100 600
05Suministros de
energía eléctrica7
014Problemas con conexiones y electricidad 1 100 700
CANTIDAD DE AMENAZAS = 1 100 700
41
Seguridad y Auditoria de Sistemas de Información
NOMBRE DE ACTIVO IMPACTO AMENAZA
PROBABILIDAD DE
OCURRENCIA
VULNERABILIDAD RIESGO
06Cámaras de seguridad
3022
Problemas internos y posibles manipulaciones de los servidores 1 100 300
CANTIDAD DE AMENAZAS = 1 100 300
07Sistema de
Telecomunicaciones7
030 Spoofing y sniffing LAN 1 100 700
CANTIDAD DE AMENAZAS = 1 100 700
08
Servidores centrales (Servidor de
dominio, Terminal Services, Antivirus, antispam, Firewall)
8
008 Administración inadecuada 2 66.7 533.6
017 Conexiones todavía activas 1 33.3 266.4
037 Modificación no autorizada 2 66.7 533.6
CANTIDAD DE AMENAZAS = 3 166.7 1333.6
09Servidor de base de
datos 9010
Errores de configuración y operación del sistema 2 200 1800
CANTIDAD DE AMENAZAS = 1 200 1800
10
Dispositivos de conectividad y
soporte en comunicaciones
9
023 Pérdida de Laptops. 1 50 450005 Error en el medio de almacenamiento 2 100 900
CANTIDAD DE AMENAZAS = 2150 1350
11Ordenadores de
escritorio4
006 Fallas físicas de los grupos 2 100 400035 Infección de virus 2 100 400
CANTIDAD DE AMENAZAS = 2 200 800
12Herramientas de
escritorio y desarrollo
5020 Faltas de herramientas utilizadas en los
ordenadores. 1 100 500
CANTIDAD DE AMENAZAS = 1 100 500
13Servicio de correos e
Intranet7
010 Errores de configuración y operación del sistema 2 200 1400
CANTIDAD DE AMENAZAS = 1 200 1400
14Servicio de VPN para
oficinas en centro del Perú
7
029 Uso sin autorización 2 100 700
038 Spoofing en WAN 1 50 350
CANTIDAD DE AMENAZAS = 2 150 1050
15Aplicaciones de desarrollo de la
empresa6
015 Procesamiento de información inadecuado 1 100 600
CANTIDAD DE AMENAZAS = 1 100 600
16Data generada por
los sistemas de información
8004 Error de Backups 1 100 800
CANTIDAD DE AMENAZAS = 1100 800
17Data generada por
los usuarios8
031 Destrucción negligente de los datos. 3 150 1200019 Falta de Backup 1 50 400
CANTIDAD DE AMENAZAS = 2 200 1600
18
Documentación de programas,
hardware, sistemas, procedimientos administrativos
locales, manuales, etc.
7
018 Documentación deficiente 3 150 1050
011Falta de cuidado en el manejo de información. 1 50 350
CANTIDAD DE AMENAZAS = 2
200 1400
V. CONCLUSIONES
42
Seguridad y Auditoria de Sistemas de Información
En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones:
Niveles de Riesgo (R) y Vulnerabilidad (V)
En el cuadro se listan los niveles de Riesgo y Vulnerabilidad para cada activo, considerando la importancia de 1 a 10, y sin tener en cuenta la importancia (es decir con un valor de 1). A la derecha los valores que observamos representan el número de los activos, ordenados en forma descendiente de acuerdo al riesgo y vulnerabilidad que corren dicho activos.
R% = Valor del riesgo del activo X 100
Total del valor del nivel de riesgo
V% = Valor de la vulnerabilidad del activo X 100
Total del valor del nivel de vulnerabilidad
IDACTIVO
ACTIVOSNIVEL DE RIESGO (R)
NIVEL DE VULNERABILIDAD (V)
VALOR R % VALOR V %
01 Ambiente del Área de sistemas 1200 6.7 140 5.5
02 Personal del área de sistemas 1144 6.4 143 5.6
03 Sistema de Aire Acondicionado 700 3.9 100 4.0
04 Pozos a tierra y Sistema Eléctrico Estabilizado 600 3.3 100 4.0
05 Suministro de Energía Eléctrica 700 3.9 100 4.0
06 Cámaras de seguridad 300 1.7 100 4.0
07 Sistema de Telecomunicaciones 700 3.9 100 4.0
08Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).
1333.6 7.4 166.7 6.5
09 Servidor de base de datos 1800 10.0 200 8.0
10Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)
1350 7.5 150 5.9
11 Ordenadores de Escritorio 800 4.4 200 8.0
12Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)
500 2.8 100 4.0
13 Servicio de correos e intranet, DNS 1400 7.8 200 8.0
14 Servicio de VPN’s para oficinas en centro del Perú 1050 5.8 150 5.9
15 Aplicaciones de desarrollo de la empresa 600 3.3 100 4.0
43
Seguridad y Auditoria de Sistemas de Información
16 Data generada por los Sistemas de Información 800 4.4 100 4.0
17 Data generada por los Usuarios. 1600 8.9 200 8.0
18Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
1400 7.8 200 8.0
17977.6 100% 2549.7 100%
Activos por orden de Riesgo (R)
ACTIVOS RIESGO R %
09 Servidor de base de datos 1800 1017 Data generada por los Usuarios. 1600 8.9
18 Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
1400 7.8
13 Servicio de correos e intranet, DNS 1400 7.8
10 Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)
1350 7.5
08 Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).
1333.6 7.4
01 Ambiente del Área de sistemas 1200 6.702 Personal del área de sistemas 1144 6.414 Servicio de VPN’s para oficinas en centro del Perú 1050 5.816 Data generada por los Sistemas de Información 800 4.411 Ordenadores de Escritorio 800 4.403 Sistema de Aire Acondicionado 700 3.905 Suministro de Energía Eléctrica 700 3.907 Sistema de Telecomunicaciones 700 3.915 Aplicaciones de desarrollo de la empresa 600 3.304 Pozos a tierra y Sistema Eléctrico Estabilizado 600 3.3
12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)
500 2.8
17977.6 100%
Activos por orden de Vulnerabilidad (V)
ACTIVOS VALOR V %
09 Servidor de base de datos 200 8.0
11 Ordenadores de Escritorio 200 8.0
13 Servicio de correos e intranet, DNS 200 8.0
17 Data generada por los Usuarios. 200 8.0
18Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
200 8.0
44
Seguridad y Auditoria de Sistemas de Información
08 Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).
166.7 6.5
10Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)
150 5.9
14 Servicio de VPN’s para oficinas en centro del Perú 150 5.9
02 Personal del área de sistemas 143 5.6
01 Ambiente del Área de sistemas 140 5.5
03 Sistema de Aire Acondicionado 100 4.0
04 Pozos a tierra y Sistema Eléctrico Estabilizado 100 4.0
05 Suministro de Energía Eléctrica 100 4.0
06 Cámaras de seguridad 100 4.0
07 Sistema de Telecomunicaciones 100 4.0
12Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)
100 4.0
15 Aplicaciones de desarrollo de la empresa 100 4.0
16 Data generada por los Sistemas de Información 100 4.0
2549.7 100%
Análisis de Impacto
Aquí vemos un análisis donde se tiene en cuenta el nivel de riesgo y el impacto con una ponderación de 1 a 10. Se calculó el porcentaje de los riesgos y el porcentaje del impacto respectivamente.
I% = Impacto X 100
Valor total del impacto
Al calcular la diferencia entre estos porcentajes (Dif. de %) se obtiene el porcentaje que muestra cuán sobrevaluados o menospreciados están los activos de acuerdo a sus riesgos. A continuación se calcula una cifra (Dif. de importancia) que representan los porcentajes anteriormente mencionados, de la siguiente manera:
Para aplicar la diferencia de porcentajes al impacto actual, se multiplican.
Impacto. x Dif. de %
45
Seguridad y Auditoria de Sistemas de Información
Este resultado no está en escala de 1 a 10, por lo que con una regla de tres simple, se centran los valores:
100 % ------------------------------------ 10 puntos de impacto
Impacto x Dif. de % ------------- ? (= Diferencia de importancia)
A este resultado se le suma (o resta de acuerdo al signo) al impacto actual, obteniendo el impacto que debería tener cada activo (impacto ideal), de acuerdo al nivel de riesgos encontrado.
Impacto ideal = Impacto actual + Diferencia de impacto
46
Seguridad y Auditoria de Sistemas de Información
ACTIVOSNIVEL DE RIESGO IMPACTO
ACTUAL DIF. DE %
=R%-I%
DIF. DE IMPACT
O
IMPACTO IDEAL
RIESGO R % IMPACTO I %
01 Ambiente del Área de sistemas 1200 6.7 8 6.6 0.1 0.01 8.01
02 Personal del área de sistemas 1144 6.4 8 6.6 -0.2 -0.02 7.98
03 Sistema de Aire Acondicionado 700 3.9 7 5.7 -1.8 -0.13 6.87
04 Pozos a tierra y Sistema Eléctrico Estabilizado 600 3.3 6 4.9 -1.6 -0.10 5.90
05 Suministro de Energía Eléctrica 700 3.9 7 5.7 -1.8 -0.13 5.87
06 Cámaras de seguridad 300 1.7 3 2.5 -0.8 -0.02 2.98
07 Sistema de Telecomunicaciones 700 3.9 7 5.7 -1.8 -0.13 6.87
08Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).
1333.6 7.4 8 6.6 0.8 0.07 8.07
09 Servidor de base de datos 1800 10.0 7 5.7 4.3 0.30 7.30
10Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)
1350 7.5 9 7.4 0.1 0.01 9.01
11 Ordenadores de Escritorio 800 4.4 4 3.3 1.1 0.04 4.04
12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 500 2.8 5 4.1 -1.3 -0.07 4.93
13 Servicio de correos e intranet, DNS 1400 7.8 7 5.7 2.1 0.15 7.15
14 Servicio de VPN’s para oficinas en centro del Perú 1050 5.8 7 5.7 0.1 0.01 7.01
15 Aplicaciones de desarrollo de la empresa 600 3.3 6 4.9 -1.6 -0.10 5.9
16 Data generada por los Sistemas de Información 800 4.4 8 6.6 -2.2 -0.18 7.82
17 Data generada por los Usuarios. 1600 8.9 8 6.6 2.3 0.18 8.18
18Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
1400 7.8 7 5.7 2.1 0.15 7.15
17977.6 100% 122 100% 0.00 0.04 121.04
47
Seguridad y Auditoria de Sistemas de Información
Valores Máximos, Mínimos y Reales
Se muestran los valores máximos y mínimos de vulnerabilidad que pueden obtener los activos cuando las probabilidades son llevadas a puntos extremos. Este cálculo es necesario para compararlos con los valores relevados que figuran en la tercera columna. Estos cálculos se realizan sin tener en cuenta la influencia del impacto, es decir se representan exclusivamente las debilidades de cada activo, con las medidas de seguridad que actualmente existen en la institución.
ACTIVOSMAXIMO MINIMO REAL
(333) % (111) % (123) %01 Ambiente del Área de sistemas 300 5.56 100 5.56 140 5.5
02 Personal del área de sistemas 300 5.56 100 5.56 143 5.6
03 Sistema de Aire Acondicionado 300 5.56 100 5.56 100 4.0
04 Pozos a tierra y Sistema Eléctrico Estabilizado 300 5.56 100 5.56 100 4.0
05 Suministro de Energía Eléctrica 300 5.56 100 5.56 100 4.0
06 Cámaras de seguridad 300 5.56 100 5.56 100 4.0
07 Sistema de Telecomunicaciones 300 5.56 100 5.56 100 4.0
08Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).
300 5.56 100 5.56 166.7 6.5
09 Servidor de base de datos 300 5.56 100 5.56 200 8.0
10Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)
300 5.56 100 5.56 150 5.9
11 Ordenadores de Escritorio 300 5.56 100 5.56 200 8.0
12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 300 5.56 100 5.56 100 4.0
13 Servicio de correos e intranet, DNS 300 5.56 100 5.56 200 8.0
14 Servicio de VPN’s para oficinas en centro del Perú 300 5.56 100 5.56 150 5.9
15 Aplicaciones de desarrollo de la empresa 300 5.56 100 5.56 100 4.0
16 Data generada por los Sistemas de Información 300 5.56 100 5.56 100 4.0
17 Data generada por los Usuarios. 300 5.56 100 5.56 200 5.5
18Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc
300 5.56 100 5.56 200 5.6
5400 100% 1800 100% 2549.7 100%
48
Seguridad y Auditoria de Sistemas de Información
Porcentajes de Vulnerabilidades Descubiertas
Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de vulnerabilidades descubiertas en La Institución es de 47.22% (2549.7 puntos), considerando el nivel máximo de riesgos como el 100% (5400 puntos), y sabiendo que el porcentaje mínimo es de 33.3% (1800 puntos). Por esto podemos concluir que Epensa debería reducir en 19.18% el porcentaje de vulnerabilidades descubiertas, para así conseguir el nivel mínimo de riesgos posible.
Porcentaje de vulnerabilidades descubiertas: 47.22%
Porcentaje de vulnerabilidad mínimo: 33.33%
Desviación: 13.89%
El análisis de riesgos realizado a La Empresa periodística nacional “Epensa” constituye un análisis inicial para el desarrollo de las políticas, y así cumplir con la implementación de la normas ISO 17799. Es importante que una vez emitidas las políticas de seguridad y consolidada la estructura organizacional responsable de la seguridad de la información, se afinen los considerados de acuerdo con los objetivos de seguridad de Epensa. Este análisis en particular involucra un cierto grado de incertidumbre, puesto que la calificación de escenarios se basa en criterios cualitativos expresados por el personal de sistemas de la institución y no datos estadísticos particulares de escenarios (relación activo amenaza) similares ocurridos en Epensa. Sin embargo, los resultados permiten establecer un estado inicial de referencia sobre el cual comparar los riesgos en los escenarios identificados y que potencialmente pueden desarrollarse.
Los resultados del análisis indican que los activos que presentan mayor riesgo, son el Sistema Transaccional, Dispositivos de conectividad y soporte en comunicaciones, el Ambiente del Área de Informática y los Servidores centrales (Dominio, Terminal Services, Antivirus, Desarrollo y Firewall) y de base de datos originados por un alto impacto que representaría para la INSTITUCIÓN, una baja del Sub estado de confidencialidad, integridad y disponibilidad de dichos activos.
El análisis de los riesgos presentó como activos con mayor índice vulnerabilidad es el servicio de base de datos de la empresa (09), Los datos generados por los usuarios (17), Documentación de programas, hardware, sistemas, procedimientos, administrativos locales, manuales, etc. (18) y los servicios de correo, intranet y DNS (13).
49
Seguridad y Auditoria de Sistemas de Información
Opinión sobre la Infraestructura
Es comprensible el hecho que EPENSA no cuente con servidores especializados como lo son servidores UNIX o AS/400, esto no es debido a la falta de conocimiento sobre las herramientas tecnológicas, si no por razones de presupuesto; EPENSA aun no se ha dado cuenta la importancia de las áreas de TI y los servicios que estas brindan
La empresa que cuenta con una infraestructura apropiada, con un centro de cómputo el cual cuenta con sistemas de seguridad para el cuidado de información, con bases de datos centralizada donde se almacena la información contando también con copias de respaldo, diferentes servidores que le permiten una mejor gestión de la información si bien es una infraestructura sólida se han encontrado deficiencias que tendrán que ser mejoradas.
Es alarmante la falta de control de acceso a las áreas de sistemas. Aun cuando se tenga plena confianza en los empleados del área, no se debe dejar que la información y los equipos informáticos estén expuestos a robos o daños físicos. Es preocupante que el jefe del área de sistemas no haya contemplado algo tan básico como la seguridad de acceso de personal.
La Empresa trabaja activamente sobre su información, no solo en su sede central en lima, sino transfiriendo esa a sus otras sedes, en diversas provincias, cualquier pérdida en el flujo de las comunicaciones es intolerable, por lo que debe ser evitada siempre.Actualmente existen diversos estándares y patrones para un cableado seguro y de calidad, así como las herramientas y materiales requeridos. Opinamos que la empresa debe contratar un servicio de consultoría en redes, la cual indique la estructura de cableado, así como los materiales y servicios a adquirir de modo que toda su red interna sea correctamente estructurada, garantizando su correcta funcionalidad y ofreciendo la garantías respectivas ante una perdida de conectividad.
La Empresa realiza mejoras en sus equipos para obtener un mejor desempeño de los mismos y mantener operativos sus servicios, evaluando siempre parámetros como el costo, el rendimiento y el beneficio que les pueda conllevar al momento de realizar estas mejoras. Así mismo, no solo se contemplan los servicios al momento de realizar un cambio, sino también se evalúa la salud de sus empleados; caso por ejemplo cuando se realizo un cambio en los monitores de trabajo del personal de Diseño Grafico al evaluarse que los existentes producían cansancio en los ojos en muy corto tiempo.
50
Seguridad y Auditoria de Sistemas de Información
La Empresa no toman medidas con respecto a los tres mayores riesgos que son: la indagación (Un mensaje puede ser leído por un tercero, obteniendo la información que contenga), la suplantación (Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legítimo) y la modificación (Un tercero puede alterar el contenido de un mensaje).
51
Seguridad y Auditoria de Sistemas de Información
Observaciones
1. Falta de medidas de seguridad del cableado estructurado de las áreas de TI
El área de sistemas no ha realizado la instalación de canaletas para todo el recorrido del cableado de comunicaciones, aun se puede observar cables expuestos de los cuales se desconoce su origen y destino; asimismo muchos cables aun se encuentran mal ponchados.
De acuerdo la ISO 17999:2005 en el dominio Seguridad Física y del Ambiente en los puntos seguridad del cableado y mantenimiento del equipo nos dice que el cableado de la energía y las telecomunicaciones que llevan la data deben protegerse contra intercepción o daño y se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad, el cual garantiza a la organización minimizar el costo para adquirir nuevos cables y/o conectores RJ-45 para el respectivo cableado.
Esto sucede debido a que personal del área de soporte no cuenta con el conocimiento sobre las bases de cómo ponchar correctamente un cable bajo los estándares actuales y no considera que un cable expuesto pueda ocasionar algún tipo de problema en sus comunicaciones.
Al estar el cable expuesto, este puede ser usado para interceptar información sensible de la Empresa; así también el realizar una mala instalación de los conectores produce un rápido desgaste de los mismos y de los filamentos del cable al cual fueron instalados.
Ver recomendaciónVer conclusión
2. Deficiente Inventario General de los equipos de infraestructura
Epensa aun no cuenta con procedimientos adecuados que le permita un control actualizado de los inventarios de los nuevos equipos de cómputo que las diferentes áreas de la empresa adquieren.
De acuerdo al Cobit v4 en el dominio Adquirir e Implantar, en el control AI3 Adquirir y mantener infraestructura tecnológica y en el objetivo AI3.2 Protección y disponibilidad del recurso de infraestructura hay una cláusula que estipula que hay que realizar medidas de seguridad para proteger los recursos y una de esas medidas seria que las listas de inventario cubran todo el equipamiento de infraestructura, incluyendo módems, controladores, terminales, líneas, equipos relacionados; lo cual tiene que ser constantemente monitoreado y evaluado.
Esto es debido a que el jefe del área de sistemas no ha designado formalmente a un trabajador la función o responsabilidad de actualizar los inventarios generales de la empresa.
52
Seguridad y Auditoria de Sistemas de Información
Esto genera un control inadecuado de los equipos de cómputo de la empresa, debido al inventario desactualizado con el que se cuenta. Cualquier acto de robo, sea este realizado por personas internas o externas a la empresa no será notificado dentro de un periodo de tiempo adecuado, de modo que puedan tomarse las medidas adecuadas, sean estas denuncias policiales o seguimiento de las personas al momento del hurto.
Ver recomendaciónVer conclusión
3. Falta de control de acceso a las zonas restringidas del área de sistemas
El área de sistemas aun no cuenta con un control de acceso a zonas restringidas por parte de los empleados, siendo cualquier empleado capaz de ingresar libremente a las áreas de sistemas (redes, servidores, desarrollo, soporte), haciendo uso de las llaves de las áreas, las cuales se encuentran colgadas en una pared, indicando el área a la cual pertenecen.
De acuerdo a la norma ISO 17799 bajo el dominio de “seguridad física y del entorno” en el punto 9.1 físico y ambientales, y en el subcontrol 9.1.2 control de las áreas seguras de acceso físico en el punto B dice:
“El acceso a las áreas donde se procesa o almacena la información sensible debe ser controlada y restricta a las personas autorizadas solamente, como por ejemplo controles de autentificación. Estos se deben utilizar para autorizar y validar todo el acceso.”
El jefe del área de redes y comunicaciones confía plenamente en sus empleados y no ve necesario la implementación de una política de control de acceso
Esta falta permite que cualquier empleado tenga fácil acceso a cualquier zona importante de la empresa, obteniendo así facilidades para que sin autorización pueda tener acceso a información crítica de la empresa.
Ver recomendaciónVer conclusión
4. Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones
No se cuenta aun con medios de almacenamiento de información, que sirvan de respaldos fueras de las instalaciones para sus aplicaciones o procesos críticos, en caso existiese algún desastre. El auditado no ha precisado una fecha establecida en la cual se contara con este sitio alterno.
53
Seguridad y Auditoria de Sistemas de Información
De acuerdo al COBIT v4 en el dominio de Entregar y Dar Soporte (DS), en su objetivo detallado “Almacenamiento de respaldos fuera de las instalaciones” (DS 4.9) dice: “Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.”
No fue contemplado en el diseño un almacenamiento de respaldo offsite.
La situación descrita podría generar pérdidas irreparables, así como también económicas, para la organización ante una parada de sus servicios y/o pérdida parcial o total de su información.
Ver recomendaciónVer conclusión
5. Falta de licenciamiento de software para las computadoras de escritorio de Epensa
EPENSA aun no cuenta con todas las licencias de los sistemas operativos que actualmente hacen uso sus computadoras de escritorio.
De acuerdo a la norma ISO 17799:2005, en el dominio "Conformidad" y control "Derechos de propiedad intelectual" el cual indica que "Se debieran implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado."
El área de TI ha ido adquiriendo en el transcurso de los años nuevas computadoras de escritorio, y al realizar dichas adquisiciones, no considero que el sistema operativo viniera pre instalado por lo que para poner en estado operativo dichas computadoras se valió de software no licenciado.
La empresa puede obtener una sanción por parte de la entidad reguladora INDECOPI de acuerdo a las normas que dicha institución posea para contra cualquier persona o institución que vaya en contra de los derechos de propiedad intelectual.
Ver recomendación
54
Seguridad y Auditoria de Sistemas de Información
Ver conclusión
Conclusiones
Falta de medidas de seguridad del cableado estructurado de las áreas de TI
Epensa cuenta con un cableado estructurado en mal estado y deficiente, para la red LAN con la que cuenta, para los servidores y servicios de VPN cuenta con fibra óptica, la cual aun se mantiene en buen estado.
Inventario General de los equipos de infraestructura
EPENSA no considera lo importante que es realizar una lista de inventario que cubra todo el equipamiento de infraestructura, incluyendo módems, controladores, terminales, líneas y equipos relacionados; al no realizar esto pierden el control sobre los activos que poseen dando lugar a que puedan ser victima de algún acto doloso por parte de los empleados.
Falta de control de acceso a las zonas restringidas del área de sistemas
La falta de control de acceso del personal a las zonas del área de sistemas es un riesgo de cada día, ya que, cualquier empleado puede ingresar, pudiendo ocasionar algún perjuicio a la organización como hurto de información sensible y de equipos informáticos
Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones
Se concluye que la Empresa EPENSA esta consiente de lo importante que es la información para su negocio, pero no ha sabido cuantificar el riesgo justamente para su activo más crítico. Las alternativas de contingencia que han tomado sirven a la Empresa para que pueda continuar con sus operaciones más no para que puedan reducir el riesgo al mínimo considerando que su activo más valioso se encuentra centralizado.
Falta de licenciamiento de software para las computadoras de escritorio de Epensa
Se concluye de esta observación encontrada, que Epensa debería lo antes posible regularizar su situación para no entrar en un proceso legal ante las autoridades.
55
Seguridad y Auditoria de Sistemas de Información
Recomendaciones
Falta de medidas de seguridad del cableado estructurado de las áreas de TI
Se sugiere al área de soporte técnico realizar un cableado con canaletas para todos los enlaces importantes que tenga la organización respetando los estándares definidos y supervisados por personal que conozca del tema o en el mejor de los casos contar con certificaciones para la respectiva infraestructura del cableado estructurado.
Inventario General de los equipos de infraestructura
Es recomendable asignar la función de toma y control de inventarios a una persona o grupo de personas específicas. Esto ayudaría a garantizar un control adecuado de los equipos actuales de la empresa, el cual será capaz de apoyar en la toma de medidas en casos de hurto.
Falta de control de acceso a las zonas restringidas del área de sistemas
Es recomendable que las llaves de las oficinas sean guardadas y administradas por una persona que se responsabilice directamente por su seguridad, impidiendo de este modo que los empleados obtengan acceso directo a las zonas críticas de la empresa.
Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones
Recomendamos establecer un plan de almacenamiento de respaldo de los recursos y servicios de TI fuera de la organización. Este lugar físico de respaldo debería estar alejado de la organización para que no sea propenso a los mismos desastres. Este plan debe ser implementado lo más antes posible porque no se sabe en qué momento podría ocurrir un desastre. También podrá reanudar sus servicios rápidamente así como también evitará al 99.99% la pérdida de información.
Falta de licenciamiento de software para las computadoras de escritorio de Epensa
Se recomienda a la empresa que regularice el licenciamiento faltante a través de una política para mantener las condiciones de licencias apropiadas
56
Seguridad y Auditoria de Sistemas de Información
Anexos
Deficiencias de Control Interno
1. Falta de señalizaciones de zonas seguras y salidas de emergencia.
Actualmente el área de desarrollo no cuenta con señales que indiquen las zonas seguras en casos de siniestro. Esta área si dispone con una zona segura en casos de sismo, así como una salida de emergencia. No obstante sus ubicaciones no se encuentran debidamente señalizadas. En el ANEXO se puede observar claramente lo mencionado.
De acuerdo al dominio establecido en la ISO 17799:2005 “Seguridad Física y Ambiental” en los puntos “Asegurar las oficinas, habitaciones y medios y Protección contra amenazas externas e internas” los cuales dicen: Se debiera diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios y Se debiera asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre respectivamente.
Dentro de los planes de seguridad generales, no se incluyó al área de desarrollo en los inicios de la misma sino que se priorizo otras áreas y oficinas. En su momento se solicitó realizar las señalizaciones respectivas, sin embargo, no se realizó esto debido a factores económicos. Actualmente la ubicación de estas zonas seguras solo es conocida por el personal de la misma área, más no para personas externas a esta ni para cualquier otra que inicie sus labores en ella.
En caso de un siniestro, sea este un incendio o terremoto puede ocasionar confusiones entre el personal.
Se recomienda a la jefa del área de Desarrollo tomar en cuanta esta observación y tener en cuenta los estándares y regulaciones de sanidad y seguridad relevantes; el equipo de reemplazo y los medios de respaldo debieran ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal, Señalizar las zonas seguras en casos de siniestros que pueden suceder en la capital; se debiera proporcionar equipo contra-incendios ubicado adecuadamente.
2. Falta de documentación de restricciones de datos.
No existe documentación que indique las restricciones de datos ni la estructura que estos deben de seguir antes de ser registrados en la base de datos de la empresa, de modo que las aplicaciones desarrolladas se comuniquen correctamente con esta. Toda indicación es realizada de forma puramente verbal
Esta situación va en contra al dominio del COBIT v4.0 “Planear y organizar”, en el objetivo de control general “Administra la calidad”, el cual dice, en su objetivo de control detallado “Estándares de desarrollo y adquisición”:
57
Seguridad y Auditoria de Sistemas de Información
“Adoptar y mantener estándares para todo el desarrollo y adquisición que siguen el ciclo de vida, hasta el último entregable e incluyen la aprobación en puntos clave con base en criterios de aprobación acordados. Los temas a considerar incluyen estándares de codificación de software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de datos; estándares para la interfaz de usuario; inter-operabilidad; eficiencia de desempeño de sistemas; escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión y de integración”. Un estándar a ser aplicado es el de manuales de desarrollo, entre los cuales debe incluir uno de estructura y restricciones de datos.
No se dio prioridad a este aspecto ya que en sus inicios la urgencia por desarrollar aplicaciones criticas de negocio obligo a dejar este punto de lado. Después, este aspecto fue olvidado, para confiar en la comunicación verbal entre el personal de desarrollo.
Esto incurre en modificaciones redundantes, demoras en el desarrollo de aplicaciones, así como errores pasados por alto, que en un futuro ocasionaría retrasos en las actividades de los trabajadores.
Se recomienda al jefe de desarrollo tomar las medidas del caso para estandarizar un conjunto de manuales de desarrollo, que sea aprobado por toda el área de TI, de modo que se comprometan a mantenerlo actualizado, de modo que sea posible desarrollar aplicaciones de calidad, y sin errores en el ingreso de datos.
3. Revelaciones de usuarios y contraseñas.
Los usuarios no guardan discreción sobre las cuentas de usuarios que manejan, dejando estas al descubierto en varias ocasiones, de modo que cualquier persona pueda verlas sin mayores problemas. Un ejemplo de esto se ve en notas adhesivas ubicadas en los monitores de las computadoras utilizadas por los usuarios. En el ANEXO se puede observar claramente lo mencionado
Esta situación va en contra al dominio del COBIT v4.0 “Planear y organizar”, en el objetivo de control general “Definir los procesos, organización y relaciones de TI”, el cual dice, en su objetivo de control detallado “Propiedad de datos y sistemas”:
“Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los propietarios toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo a esta clasificación”.
Los usuarios no guardan discreción sobre sus usuarios y contraseñas debido a que no guardan conciencia sobre lo que pueden incurrir en caso de que otros usuarios tengan conocimiento de estas.
58
Seguridad y Auditoria de Sistemas de Información
Esto puede incurrir en ingresos a operaciones no asignadas, con la manipulación de información respectiva, robos de información y alteraciones de las cuentas, ocasionando pérdidas del acceso a la cuenta por parte del usuario original
Se recomienda realizar un programa de concientización a los trabajadores sobre las medidas y prácticas de seguridad que deben seguir, el cual incluya temas como el manejo de sus cuentas de usuario, así como su importancia.
4. No existe una adecuada separación entre las Redes de Telecomunicaciones y de Energía Eléctrica”
Al realizar una inspección visual del Área de Sistemas, se pudo observar que los cables UTP que salían de las canaletas estaban junto a los cables eléctricos. Se pudo observar también que estos cables se encuentran en algunos lugares entrelazados e incluso tomacorrientes y TO’s (terminal outlet) defectuosos. En el ANEXO se puede observar claramente lo mencionado.
De acuerdo la ISO 17999:2005 en el dominio Seguridad Física y del Ambiente, en el punto Seguridad del Cableado dice: “Se deberían de separar los cables de energía de los de comunicaciones para evitar interferencias”.
Al realizar el bosquejo de la localización de equipos informáticos, no se contemplo un diseño del cableado de telecomunicaciones. Esto ocasionó que los cables UTP sean transportados a través de canaletas y que estén cerca de los tomacorrientes.
Al tener cerca los cables de energía eléctrica y de telecomunicaciones, producirán interferencias e inestabilidad en la red.
Se recomienda al Área de Sistemas seguir las buenas prácticas de los Estándares Internaciones de Cableado Estructurado como son:
ANSI/TIA/EIA 569-B (Estándar para Edificios Comerciales, para Vías de Telecomunicaciones, Espacios y Barreras Contra fuegos).
ANSI/TIA/EIA 570-A (Estándar para Cableado de Telecomunicaciones en Residencias u Oficinas).
Así se podrán evitar interferencias e inestabilidad en la red de telecomunicaciones
5. Falta de medidas de seguridad en cuanto a políticas de escritorio y de pantalla limpia
En el área de sistemas, los escritorios de las PCS se encuentran cargados con demasiados iconos y archivos los cuales se encuentran a la vista de todos y sin ninguna protección ya sean claves o passwords que permitan bloquear el acceso a la información existente en las PCS, también se dejan las PCS prendidas en todo
59
Seguridad y Auditoria de Sistemas de Información
momento y sin mecanismos de protección de pantalla y teclado que no permita a extraños el acceso a la información ocasionando un riego en cuanto a perdida de información perjudicial para la empresa. En el ANEXO se puede observar claramente lo mencionado.
De a cuerdo a la establecido la ISO 17799 en sus buenas prácticas, en el dominio “Control de Acceso “ el cual menciona que se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información.
Esto sucede debido a que el personal no tiene un conocimiento sobre seguridad Sobre políticas de escritorio y pantallas limpias según el estándar de la ISO 17799.Poniendo en riesgo de esta manera los archivos de información de la organización lo cual es un activo que debe estar protegido.
Se sugiere al a la jefatura del área de sistemas concientizar al personal sobre la importancia de la información y de cómo controlar el acceso a la misma protegiéndola del acceso de terceros y su perdida.
6. Falta de seguridad en las instalaciones
Después de realizar un recorrido por la mayoría de áreas de la empresa EPENSA, se pudo observar que en el área de Soporte se encuentran apiñados los equipos (hardware) y varias cajas lo cual representa un peligro para todo el personal que trabaja en esta área. En el ANEXO se puede observar claramente lo mencionado.
De acuerdo a la norma ISO 17799:2005, en el dominio “Seguridad física y ambiental” y control “Áreas Seguras”; en la sección de “El trabajo en las áreas seguras” se especifica que “el personal debe ser consciente de la existencia de actividad en áreas seguras”.
El Área de Soporte fue diseñada inicialmente sin planificar la expansión que la Empresa iba a tener ni considerar que en un punto en sus operaciones el área se encontraría poblada de hardware en desuso o que presenten fallas.
Las rumas de cajas, apiñamiento de los equipos (hardware) malogrados los cuales ocasionan un serio peligro en caso de un terremoto o siniestro lo cual ocasionaría que los recursos humanos (personal) sean lastimados o gravemente heridos.
Se recomienda al Área de Soporte realizar una depuración de los equipos malogrados o en desuso para así disminuir la cantidad de ellos, así como de manejar un mayor orden en los equipos.
60