auditoria

Seguridad y Auditoria de Sistemas de InformaciónPlan de AuditoriaAuditoresBryson Egusquiza, Julio (AA)Chilque Truyenque, Antonio (AE)Espinoza Valderrama, José (AA)López Seminario, Julio (AA)Quiroz Quispe, Carlos (AA)Sam Murguía, Miguel (AA)Sánchez Castillo, Eduardo (AA)Veliz García, Roberto (AA)Zumaeta Carranza, Gustavo (AA)

AE: Auditor EncargadoAA: Auditor Asistente

Supervisor EncargadoIng. Martin Figueroa Revilla

Seguridad y Auditoria de Sistemas de Información

Contenido

Tabla de contenido

Contenido...........................................................................................................................2Objetivos............................................................................................................................3Plan de trabajo..................................................................................................................4Requerimiento de información..........................................................................................6

Visión.............................................................................................................................6Misión............................................................................................................................6Objetivo.........................................................................................................................6Logo de la Institución.....................................................................................................7Nombre Comercial.........................................................................................................7Dirección de la empresa................................................................................................7Organigrama del área de TI..........................................................................................8

Cuestionarios.....................................................................................................................9Otros Aspectos de Importancia.......................................................................................23

Comunicaciones...........................................................................................................23Equipos y Servicios.......................................................................................................27Servidores....................................................................................................................30Base de datos...............................................................................................................30Análisis de Riesgos.......................................................................................................33

Opinión sobre la Infraestructura.....................................................................................50Observaciones..................................................................................................................52Conclusiones....................................................................................................................55Recomendaciones............................................................................................................56Anexos.............................................................................................................................57

Deficiencias de Control Interno...................................................................................57

2


Objetivos

El siguiente informe de auditoría realizará un control basado en buenas prácticas para

aspectos de infraestructura que mantiene Epensa, Empresa Periodística Nacional S.A..

Para este caso, se definen los siguientes objetivos:

1. Evaluar los aspectos de infraestructura de TI, los cuales puedan contribuir de la

mejor manera el logro de objetivos de la organización

2. Evaluar el plan de continuidad de negocio respecto a la infraestructura de los

servicios de TI, así como evaluar la administración del ambiente físico en cuanto a

la protección de los activos de TI.

3. Realizar una evaluación continua de TI para aspectos de gerencia de

comunicaciones y redes tanto físicas como lógicas y mejoras en las políticas de

control de la organización.

3


Plan de trabajo

El plan de trabajo que seguirá el grupo auditor buscará evaluar el estado actual de la

organización con respecto a las buenas prácticas determinadas por el Cobit en su

Versión 4.0. En base a esto, el plan de trabajo ha sido dividido en las siguientes fases:

Monitoreo

Planeación y organización

Adquisición e Implementación

Entrega y Soporte

Estas fases se detallan a continuación en el siguiente esquema:

Luego de la verificación y análisis de la información obtenida, elaboramos nuestros

hallazgos que hacemos como parte de la evaluación de control interno y luego las

recomendaciones que a nuestro juicio podrían incrementar los niveles de seguridad,

4


control, eficacia, eficiencia y calidad de servicios del Área de Informática, los sistemas

de procesamiento de datos de la institución y la instalación computarizada.

La documentación base que hemos utilizado ha sido proporcionada por la Dirección de

Informática y Estadística; así como, resultado de las entrevistas realizadas al encargado

de Sistemas, además de las inspecciones de verificación y comprobación que

efectuamos.

5


Requerimiento de información

EMPRESA PERIODISTICA NACIONAL S.A., conocida generalmente como EPENSA, se

fundó en 1963 por Luis Banchero Rossi.

EPENSA es una corporación que edita los diarios Correo, Ojo, Ajá y el Bocón. Hoy en

día está bajo la conducción de los hermanos Luis y Carlos Agois

Epensa es una empresa dedicada a la edición de periódicos y revistas para varios

sectores sociales de la capital e interiores.

Visión

Ser una empresa multimedios con presencia en todas las regiones del país, con

colaboradores comprometidos con el líder, que lo acompañan a hacer realidad la

misión de Epensa

Misión

Dirigir una cadena de medios de comunicación para informar, entretener, educar y

servir con credibilidad, veracidad y objetividad.

Ser portavoz de las necesidades de la comunidad a través de su conocimiento

profundo de la realidad nacional, para promover el bienestar de la gran mayoría del

país.

Objetivo

Ser el más grande generador de contenidos informativos del Perú al más bajo costo

6


Logo de la Institución

Nombre Comercial

Epensa

Dirección de la empresa

Jr. Jorge Salazar Ar #171 la Victoria – Lima

Empresa Periodística Nacional

7


Razón Social: Empresa Periodistica Nacional S.A.. (EPENSA) Nombre Comercial: EPENSA RUC: 20100087945 Tipo De Empresa: Sociedad Anonima Actividad Económica: EDICION DE PERIODICOS Y REVISTAS Inicio De Actividades: 22-03-1962 Dirección Completa: Jr. Jorge Salazar Araoz #171 Santa Catalina Ubicación Geográfica: Lima / Lima / La Victoria Fax: 6908127 Teléfono: 6908080

Organigrama del área de TI

8


Cuestionarios

Se realizaron los siguientes Cuestionarios respecto a infraestructura de TI para Epensa

ENTIDAD: EPENSA - Empresa Periodística Nacional S.A.NOMBRE DEL FUNCIONARIO: Erick Garayar CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones

Planear y Organizar¿Se cuenta con un plan de infraestructura tecnológica?

Contamos con Planes, mas no están documentados

¿Tiene usted un conocimiento de las tecnologías con las que cuenta su organización y como están

Si, si lo estoy, en estos momentos están planeando adquirir Servidores de la marca IBM, que por el momento no ha sido posible adquirirlos, por el hecho de que aun la empresa no ve la importancia del área de TI

¿Cuentan con planes de infraestructura de TI para la respectiva adquisición de nuevos componentes para la organización y planes de contingencia?

¿Qué planes?

El procedimiento es como cualquier otro, se realiza una orden la cual es evaluada por el jefe de Area y /o responsable y luego es enviada a contabilidad para ser evaluada

¿Se cuenta con procesos, políticas administrativas y procedimientos para las funciones de seguridad?

Mencione los más importantes

Si, contamos con políticas para lo que respecta seguridad de la información.Cuando enviamos la información en PDF de los formatos de los periódicos a las diferentes partes del centro del País, esta información es enviada encriptado.

¿Cree usted que se designa de manera correcta y justa las tareas de soporte para los requerimientos de TI?

En Epensa el personal es altamente calificado para asignarle las respectivas tareas de soporte de TI, esta es una área que no puede descansar es por eso que designamos a un personal el cual también puede dar soporte todo la noche.

¿Determinan prioridades para los recursos de TI?

¿Bajo qué criterio?

Si, dependiendo de los servidores y/op servicios los cuales se encuentren saturados o necesiten mayor capacidad de ”fierro” es mas ahora ultimo adquirimos una proliant HP para que sirva como servidor de cámaras, el cual lo estamos implementando

¿Cree usted que la estructura de TI con la que cuenta su organización es la más adecuada y satisface las necesidades de la organización?

Contamos con una solución de Windows server 2003, y muchos de nuestros servicios están sobre plataforma libre lo cual nos ha ahorrado gastos con respecto a licencias y a mi parecer esta solución es

9


la más adecuada mas no la única que satisface ala organización

¿Todos los miembros del área de TI cuenta con roles definidos y responsabilidades de acuerdo a la experiencia y necesidad de cada una de estas actividades?

Si, cada miembro del área de redes, soporte y desarrollo tiene un cargo importante en Epensa, el cual motiva a nuestros miembros a ser participes del cambio y mejora del negocio.

¿Cree usted que la organización cuenta con la respectiva infraestructura y sistemas de información para salvaguardar los datos?

Se está implementando una nueva área para sistemas, pero por falta de apoyo económico de la misma empresa estos proyectos se encuentran algo olvidados.…¿con respecto al cableado?Usamos Cat5e para toda la organización y fibra óptica para los servidores y enlaces VPN con nuestras sucursales.…¿Cuentan con alguna estandarización sobre cables 568 o 568b?Sí, estamos en proceso de hacerlo, es mas estamos viendo la posibilidad de dar un curso de certificación CISCO para el área de soporte y redes.

¿Qué tan preparada cree usted que se encuentra su personal de TI para garantizar las funciones de TI?

Defina del 1 al 10Donde 1 es Pésimo y 10 es excelente

El personal es seleccionado por mi criterio, y hasta la fecha he podido encontrar personas muy capaces para realizar las tareas.9

¿Qué medidas, procedimientos y/o políticas se aplica con el personal de TI para garantizar la protección de los activos de información de la empresa?

La mas común que usamos es el envío de correos y para la seguridad de información hemos pasado de almacenar en discos( DVD) a una solución de HP como lo que es Tape BackUps

¿Siguen buenas prácticas o algunos tipos de ejercicio para lo que administración y recursos humanos de TI?¿Realizan evaluaciones permanentes al personal de TI?

¿Con que periodo?

Así es cada 3 meses se realiza una evaluación tanto de conocimientos como psicológica al personal de las respectivas aéreas de TI, no con el afán de asustarlos o poner en riesgo su trabajo, lo hacemos con el hecho de saber cómo se sienten al trabajar y si el trabajo está cumpliendo con las expectativas del personal.

¿Qué procedimientos y/o métodos aplica la organización para la mejora continua del negocio?

Capacitaciones constantes, adquisición de nuevas tecnologías, y bastante empeño y estudio para estar preparados para

10


Detalle cualquier situación

Adquirir e Implementar

ENTIDAD: EPENSA - Empresa Periodística Nacional S.A.NOMBRE DEL FUNCIONARIO: Ing. Erick Garay, Geiner Gardin CARGO: Jefe del Área de Sistemas – Redes y Comunicaciones y administrador de redes respectivamente

Cuestionario de Control Interno SÍ NOA. ANÁLISIS DE RIESGOS1. ¿Se verifica un seguimiento periódico del plan estratégico? x2. ¿Se inspecciona cuál es el posicionamiento de la compañía respecto a la

competencia?x

3. ¿Se efectúan reuniones habituales de la alta dirección para tratar asuntos estratégicos del negocio?

x

4. ¿Se examina la rentabilidad de las diversas unidades de negocio? x5. ¿Se analiza el riesgo de crédito? x6. ¿Se analiza el riesgo de obsolescencia de las existencias? x7. ¿Se analiza la rentabilidad de las inversiones en activos fijos? x8. ¿Se controla la actividad y los resultados de las delegaciones y/o filiales? x

Cuestionario de Control Interno SÍ NOB. CICLO DE COMPRAS, INVERSIONES, NÓMINAS Y PAGO1. ¿Está centralizada la función de compras? x2. ¿Existe control presupuestario de las compras? x3. ¿Están autorizadas las compras e inversiones previamente a su solicitud?

(en el caso de inversiones se analiza la suficiencia presupuestaria).x

4. ¿Existe una lista de proveedores autorizados? x5. ¿Se verifican las existencias compradas en cuanto a número y calidad? x6. ¿Se cotejan en recepción las unidades registradas con las pedidas? x7. ¿Se cotejan en recepción las unidades recibidas? x8. ¿Se cotejan las unidades indicadas en factura? x9. ¿Se revisa la introducción de existencias y la valoración en el sistema de

inventario permanente?x

10. ¿Se cotejan los precios con la plantilla pactada? x11. ¿Se autorizan las facturas y la fecha de pago antes de pasarlas a tesorería? x12. ¿Se comunica a contabilidad las facturas debidamente autorizadas? x13. ¿Se autoriza, suficientemente, la emisión de notas de cargo a los

proveedores en caso de discrepancias?x

14. ¿Se concilian las notas de cargo con la nota de abono emitida por el proveedor?

x

15. ¿Se verifica la entrada de existencias previamente a la autorización de una devolución?

x

11


16. Al cierre, se registran las compras con facturas pendientes de recepción. x17. Al cierre, se analizan los gastos susceptibles del periodo contable por el

responsable de contabilidad.x

18. Semestralmente, se amortizan los elementos del inmovilizado. x19. ¿Se realiza inventario físico de existencias al cierre y rotativo de

inmovilizado?x

20. ¿Se analiza la obsolescencia de las existencias al cierre del ejercicio? x21. ¿Existe un criterio formalizado para distinguir las reparaciones de las

mejoras?x

22. ¿Se revisa la asistencia al puesto de trabajo previamente a la elaboración de la nómina y especialmente los finiquitos?

x

23. ¿Se autoriza el pago por persona independiente al preparador de la nómina?

x

24. ¿Las funciones de compra, pago y contabilidad están suficientemente segregadas o existen mecanismos de autorización que garanticen la independencia de funciones?

x

25. ¿Se cotejan por persona independiente las bases fiscales con los datos contables?

x

Cuestionario de Control Interno SÍ NOC. CICLO DE INGRESOS Y COBRO1. ¿Existe presupuesto de ventas? x2. ¿Los vendedores y directivos de venta no perciben su retribución en

función de objetivos de venta y rentabilidad?x

3. ¿Existe una tarifa oficial de precios y una política predefinida de descuentos y devoluciones?

x

4. ¿Se exige un nivel suficiente de autorización para separarse de las políticas preestablecidas en cuanto a precios y descuentos?

x

5. ¿Se autorizan las ventas por el nivel suficiente en función del riesgo crediticio derivado?

x

6. ¿Se analiza la concentración de crédito antes de aplazar una operación? x7. ¿Se comprueban las existencias pedidas por los clientes previamente a su

envío?x

8. ¿Se coteja el recibo emitido con la nota de pedido del cliente? x9. ¿Se comprueban los datos del cliente y se actualizan adecuadamente? x10. ¿Se mantiene un registro de cuentas a cobrar en función de la antigüedad

de los saldos?x

11. ¿Se autorizan adecuadamente los saneamientos de créditos por morosidad o descuentos?

x

12. ¿Se registran adecuadamente y se siguen los anticipos de clientes? x13. ¿Se cotejan por persona independiente las bases fiscales con los datos

contables?x

14. ¿Las funciones de venta, cobro y contabilidad se encuentran suficientemente segregadas?

x

12


Cuestionario de Control Interno SÍ NOD. CICLO DE CONVERSIÓN1. ¿Se sigue un sistema de Inventario Permanente para existencias? x2. ¿Se utiliza un criterio aceptable para la valoración de las salidas de materias

primas?x

3. ¿Se utiliza un criterio aceptable para valorar los movimientos del Inventario Permanente de productos terminados?

x

4. ¿Se realiza un escandallo de producción para facilitar el cálculo de costes de producción?

5. ¿Se calcula el coste de los productos terminados en función de criterios históricos?

x

6. ¿Se realiza un inventario físico para contrastar las cifras del Inventario Permanente?

x

Cuestionario de Control Interno SÍ NOE. INVERSIÓN Y FINANCIACIÓN1. ¿Existe un presupuesto de tesorería? x2. ¿Las operaciones de inversión estratégica en otras compañías son

autorizadas por el consejo de administración?x

3. ¿Se realiza un seguimiento periódico de la cartera de inversiones financieras?

x

4. ¿Se monitorizan los riesgos derivados de la cartera de valores?5. ¿Se revisan los intereses contratados con las liquidaciones periódicas? x6. ¿Se analizan al cierre las periodificaciones de ingresos financieros? x7. ¿Se revisa la liquidación de intereses en las operaciones de crédito? x8. ¿Se revisa al cierre la clasificación de la deuda entre corto y largo plazo? x9. ¿Se autorizan por el consejo de administración la aprobación de

dividendos? x

Cuestionario de Control Interno SÍ NOF. TESORERÍA1. ¿El movimiento de caja se deja para importes mínimos? x2. ¿Existe un procedimiento de caja fija para los movimientos de caja? x3. ¿Se analizan al cierre los justificantes existentes en caja? x4. ¿Se arquea periódicamente la caja por personal independiente a la función

de tesorería?x

5. Los pagos se encuentran debidamente autorizados x6. ¿Se concilian periódicamente las cuentas corrientes bancarias, por personal

independiente a contabilidad y tesorería?x

7. ¿Se realiza un seguimiento de las diferencias detectadas en la conciliación? x8. ¿Se exige doble firma para disponer de fondos? x9. ¿Se autoriza suficientemente la apertura de nuevas cuentas corrientes? x10. ¿Se efectúa un control suficiente de las firmas autorizadas? x11. ¿Se revisa periódicamente la liquidación de intereses de las cuentas x

13


corrientes?12. ¿Se revisa al cierre, las diferencias de conciliación con incidencia en

contabilidad y se informa a la misma?x

13. ¿Se controlan las cuentas inactivas? x

14


CUESTIONARIO PARA AREAS USUARIAS

1. ¿Qué servicios del Área de Informática recibe usted? Es usuario de Red.............................................................. SI (x) NO ( ) Cuenta usted con servicio de Correo Electrónico ............. SI (x) NO ( ) Cuenta usted con Acceso a Internet ................................. SI (x) NO ( )

2. ¿Qué Sistemas informáticos utiliza ? Software de Oficina Sistemas Aplicativos

MS WorldMS ExcelAdobe InDesignAdobe Photoshop

3. ¿En un MES cuan frecuentes son las pérdidas del servicio informático que utiliza?

Es así en todos los servicios: Nunca 1 a 5 6 a 10 11 a +

Servicio de acceso a los Sistemas Aplicativos xServicio de correo electrónico xServicio de acceso a Internet xServicio de impresión Local y en red xServicio de disponibilidad de computadoras y periféricos

x

4. ¿Cuánto tiempo demora en arreglarse el problema o restablecerse el servicio?

Es así en todos los servicios: < 1 Hora 1 Hora > 1 Día

Servicio de acceso a los Sistemas Aplicativos xServicio de correo electrónico xServicio de acceso a Internet xServicio de impresión Local y en red xServicio de disponibilidad de computadoras y periféricos

x

5. ¿Cuándo realiza Usted requerimientos al Área de Informática, cuál es el tiempo de atención?

Es así en todos los servicios: < 1 Hora 1 Hora > 1 Día

Servicio de acceso a los Sistemas Aplicativos xServicio de Soporte de Software de Oficina xServicio de Soporte de manejo del sistema xServicio de correo electrónico xServicio de acceso a Internet x

15


Servicio de impresión Local y en red xServicio de disponibilidad de computadoras y periféricos

x

6. ¿Cuándo realiza Usted requerimientos al Área de Informática, a que persona recurre?

Recurre normalmente al Jefe de Sistemas, mediante un documento con formato diseñado por esa área que nos entregaron para atender nuestros requerimientos.

7. ¿Cuál es el procedimiento de aceptación, cuando hay una modificación, cambio o un nuevo requerimiento atendido de sistema?

El procedimiento es siempre escrito y tiene que ser firmado y autorizado por el jefe de Sistemas

8. ¿Cubren sus necesidades de información los sistemas que utiliza del Área de Informática?

No las cubre ( ) Parcialmente ( ) La mayor parte (x) Todas ( )¿Por que?Por que no siempre toda la información que utilizo para mis artículos provienen de nuestros

sistemas, a veces recurro a mis conocidos en otros medios o al Internet.

9. ¿Hay disponibilidad del Área de Informática para atender sus requerimientos? Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)

Es así en todos los servicios: 1 2 3 4 5

Servicio de Soporte de Software de Oficina x

Servicio de Soporte de manejo del sistema x

Servicio de correo electrónico x

Servicio de acceso a Internet x

Servicio de impresión local o en red x

Servicio de disponibilidad de computadoras y periféricos

x

10. ¿Son entregados oportunamente los trabajos encargados al Área de Informática?Nunca (1), Rara vez (2), Ocasionalmente (3), Generalmente (4) y Siempre (5)

Es así en todos los servicios: 1 2 3 4 5

Servicio de Soporte de Software de Oficina x

Servicio de Soporte de manejo del sistema x

Servicio de correo electrónico x

Servicio de acceso a Internet x

Servicio de disponibilidad de computadoras y periféricos

x

Requerimiento de nuevas aplicaciones x

16


11. ¿Quién interviene de su departamento y/o oficina en el diseño de sistemas?

La persona autorizada que es el Jefe Editor

12. ¿Qué sistemas desearía que se incluyeran?Mas que incluyeran, me gustaría que lo mejoren, por que es muy lento y a veces no se entienden bien sus opciones

13. ¿Qué piensa de la seguridad en el manejo de la información proporcionada por los sistema que utiliza?

Nula ( ) Riesgosa ( ) Satisfactoria (x) Excelente ( ) Desconoce ( )¿Por que?Debido a que tengo entendido que no hace muchos meses, pudieron ingresar externamente a

nuestros servidores pero no pudieron acceder a la información.

14. ¿Existen fallas de exactitud en los procesos de información que Ud. utiliza? ¿Cuáles?

No, la información está bien respaldada por los sistemas. Pero demora

15. ¿Usted procesa la información o está a cargo del área de Informática, o alguna otra área?

No la proceso, pero ingreso mis artículos que voy publicando

16. ¿Tiene acceso Ud., al Manual de Usuario del Sistema que maneja? SI (x) NO ( )

17. ¿Es claro y objetivo el manual del usuario? SI ( ) NO (x)

18. ¿Qué opinión tiene del manual?Es muy técnico cuando los que la leemos no sabemos mucho de informática, sólo lo necesario.

17


ENTIDAD: EMPRESA PERIODÍSTICA NACIONAL S.A. “EPENSA”

NOMBRE DEL FUNCIONARIO: ERICK GARAYARCARGO: Jefe del Área de Sistemas – Redes y Comunicaciones

NOMBRE DEL FUNCIONARIO: GEINER GARDINCARGO: Administrador de Redes

Entregar y dar soporte¿Está desarrollado algún marco de trabajo de continuidad de TI que soporte la continuidad de negocio?

SI (x) NO ( )

¿Se tienen plenamente identificados los eventos de interrupción de la continuidad de negocio?

SI ( ) NO (x)

¿Existen planes desarrollados de la continuidad de TI?

SI ( ) NO (x)

¿Se maneja algún tipo de rol o responsabilidad bajo este plan de continuidad de TI?

SI ( ) NO (x)

¿Se maneja algún criterio para identificar los recursos críticos de TI?

SI ( ) NO (x)

¿Existen procedimientos de control de cambios para asegurar que el plan de continuidad de TI se mantenga actualizado y maneje de manera continua el negocio?

SI ( ) NO (x)

¿Existe algún plan de pruebas para el plan de continuidad de TI?

SI ( ) NO (x)

¿Existe algún plan de entrenamiento a los trabajadores, indicando roles y responsabilidades en el plan de continuidad de TI?

SI ( ) NO (x)

¿Existen procedimientos distribución del plan de continuidad de TI?

SI ( ) NO (x)

¿Existe algún planeamiento de acciones a tomar mientras los servicios de TI se recuperan?

SI ( ) NO (x)

¿Existe almacenamiento de respaldo fuera de las instalaciones como documentación y /o recursos de TI?

No existe, pero planean implementarlo.

¿Existen revisiones post reanudación de los servicios de TI?

SI ( ) NO (x)

¿Se revisa y evalúa la posibilidad de un riesgo físico (acceso no autorizado, daño, robo) a los activos de TI?

SI ( ) NO (x)

18


¿Se tienen identificadas las zonas de seguridad y ubicación de equipo critico?

SI ( ) NO (x), aun no se ha completado de identificar todas las zonas de seguridad.

¿Existe responsabilidad formal para el monitoreo de la seguridad física?

SI ( ) NO (x)

¿Existe responsabilidad formal para la resolución de incidentes de seguridad física?

SI ( ) NO (x)

¿Se cuenta con procedimientos para otorgar, limitar y revocar el acceso a determinadas áreas de la empresa?

SI ( ) NO (x)

¿Existe un monitoreo constante de toda persona que acceda a la empresa y de lo que realiza en ella?

SI ( ) NO (x), solo de algunos ambientes de la empresa.

¿Se posee alguna medida de protección contra factores ambientales que dañen la infraestructura?

SI ( ) NO (x)

¿Se cuenta con lineamientos para la instalación de equipos de comunicaciones así como para el de suministro de energía?

SI (x ) NO ( )

¿Se ha evaluado la infraestructura de la empresa por parte de entidades que garanticen que se cumplan las regulaciones para la seguridad y la salud?

SI (x) NO ( ), se siguen las indicaciones de defensa civil.

¿Se evaluó el riesgo al momento de diseñar el esquema del centro de datos?

SI ( ) NO (x)

¿Se han establecido procedimientos para monitorear la infraestructura de TI?

SI (x) NO ( ), se cuenta con un sistema de monitoreo para diversas áreas de la empresa.

¿Se realiza un mantenimiento preventivo de la infraestructura de TI?

SI ( ) NO (x)

¿Se tiene convenio con alguna empresa para ejecutar dicho mantenimiento?

SI ( ) NO (x)

¿Posee equipos proporcionados por terceros (alquilados, en concesión) que sean críticos para sus operaciones?

SI (x) NO ( )

19


ENTIDAD: EMPRESA PERIODÍSTICA NACIONAL S.A. “EPENSA”

NOMBRE DEL FUNCIONARIO: ERICK GARAYARCARGO: Jefe del Área de Sistemas – Redes y Comunicaciones

NOMBRE DEL FUNCIONARIO: GEINER GARDINCARGO: Administrador de Redes

MONITOREO DEL PROCESO

1. Sabía UD., ¿Que el monitoreo del proceso asegura el logro de los objetivos establecidos para los procesos de TI?

Si, si sabía, se están monitoreando todos los procesos del área de TI de la empresa

2. Hay disponibles informes precisos en tiempo y forma

Si se tiene informes periódicos de sobre el estado de los procesos del área de TI

3. Los responsables de los procesos entendieron los KGI y KPI

No hubo un entendimiento claro de los procesos y los KGI y KPI

4. Las medidas de rendimiento en TIC incluyen criterios de aprendizaje económico, operacional, de usuarios y organizacional que aseguran la alineación con los objetivos de la organización y pueden ser conectados con los tableros de mando.

No se cuenta con criterios claros ni definidos para el aprendizaje operacional dando solo ciertas capacitaciones al usuario del área de TI

5. Los objetivos de los procesos están claramente entendidos y comunicados.

Si están claramente definidos y comunicados por la gerencia al personal del área de TI.

6. Existe un marco para definir e implementar requerimientos de informes de gobierno.

No cuenta con un marco de definido para obtener información del gobierno.

7. Se establece una base de conocimiento de rendimiento histórico.

Cuenta con archivos históricos de rendimiento.

EVALUAR LO ADECUADO DEL CONTROL INTERNO

1. La administración define claramente cuales componentes deben ser controladas.

Si existe una asignación de control para los componentes los cuales serán medidos y controlados.

2. Se comprenden claramente los controles internos, las

Si la asignación de roles está dada internamente y cada uno del personal del

20


responsabilidades internas y su cumplimiento.

área de TI cumple con su función de control asignado.

3. La función de control interno existe, es competente y tiene autoridad, puede delegar según corresponda.

Cuenta con una función de control interno detallada pero se controla al personal interno de acuerdo a sus funciones y desempeño.

4. Existe un marco de control TIC adecuado

Si tiene un marco e control adecuado para evaluar el desempeño y control.

5. Se usa un proceso claro para reportar a tiempo las deficiencias de control

No cuenta con un proceso claro para reportar deficiencias de control basándose solo en resultados y desempeño.

6. Hay un compromiso de la administración de corregir los defectos encontrados

Si la alta gerencia está tratando de mejorar el proceso de control del área de TI

7. Riesgo y seguridad están alineados.

Si están alineados.

8. Existe un proceso interno para asegurar que se comparte información sobre los incidentes y sus soluciones.

Si cuentan con un proceso para intercambiar información sobre incidentes y soluciones.

OBTENCION DE ASEGURAMIENTO INDEPENDIENTE1. La Empresa cuenta con una

Certificación / Acreditación Independiente de Control y Seguridad de los servicios de TI.

No cuenta con ninguna certificación ni acreditación sobre control de seguridad de TI

2. Se cuenta con una Certificación / Acreditación Independiente de Control y Seguridad de proveedores externos de servicios.

No cuenta con ninguna certificación /acreditación sobre control y seguridad de proveedores externos.

3. Se ha hecho una evaluación independiente de la efectividad de los Servicios de TI.

Si se ha hecho evaluaciones sobre efectividad de los servicios de TI logrando obtener beneficios y mejoras.

4. Se ha hecho una evaluación independiente de la efectividad de proveedores externos de servicios.

No se ha hecho una evaluación sobre efectividad de proveedores externos.

5. Hay un aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales.

Existe un aseguramiento para el cumplimiento de las leyes y contratos hechos.

21


6. Hay un aseguramiento Independiente del Cumpli-miento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios

Existe un cumplimiento de leyes y contratos con proveedores externos.

7. Existe competencia de la función de aseguramiento Independiente

No existe competencia de la función de aseguramiento.

8. Existe participación Proactiva de Auditoria

No cuentan con una participación de auditoría.

PROVEER AUDITORÍA INDEPENDIENTE1. Autoridades definen y apoyan un

plan de auditoría que provee independencia, responsabilidad y autoridad a la función de auditoria

No existe un plan de auditoría para el área de TI

2. El planeamiento y realización de las auditorias es pro-activa

Existe una planeación y realización es proactiva.

3. Existen herramientas y técnicas de soporte a la auditoria

No existe un soporte de auditoría.

4. Se establecen prácticas acordadas de auditoría entre la gestión y la auditoria para cerrar recomendaciones y estatus global.

No existen prácticas acordadas de auditoría.

5. Los auditores asesoran sobre el impacto en la performance de sus recomendaciones incluyendo costos, beneficios y riegos.

No hay auditores que asesoren al área de TI.

6. Se siguen las prácticas generalmente aceptadas de auditoría.

Siguen algunas prácticas para control y planeamiento basadas en auditorias.

7. Se usa planeamiento basado en riegos para definir las actividades a auditar inicial y cíclicamente.

No cuenta con un plan de riesgos para auditar.

22


Otros Aspectos de Importancia

Como toda área de TI Epensa trata de mantenerse al día con las últimas tecnologías del

mercado, las cuales iremos describiendo a continuación

Comunicaciones

A nivel WAN, Epensa cuenta con 2 DNS los cuales le permiten una mayor

cobertura para mantenerse constante sin problemas de conectividad para toda

la organización, y contar con mayor rapidez respecto a la comunicaciones a

través de VPN’s en las diferentes partes del país.

Epensa cuenta con una red LAN estable la cual conecta a todos los ordenadores

de la institución a los servicios los cuales pueda brindar el área de TI.

Trabaja bajo una plataforma de WindowsServer 2003 la cual le da una mayor

flexibilidad para las cuentas y administración de la red; además de contar con

servicios de DNS y DHCP

Cuentan con un servicio de correo basado enOpenSource, el cual es el

openXchange

23


Cuentan con servicios de Firewall e IDS basados en Linux los cuales son el

IPtables y el snort los cuales son herramientas las cuales han demostrador ser

muy eficaces para cumplir estas funciones

La red con la que cuenta Epensa no se encuentra realizado la operación de

subnetting, pero utilizan la red privada 192.168.x.x para las distintas areas las

cuales cuenta Epensa, un ejemplo es: Correo utiliza la dirección 192.168.3.2 –

192.168.168.3.255 y OJO usa la dirección 192.168.2.2 – 192.168.168.2.255.

La organización no cuenta con una estandarización con respecto al cableado

estructurado, pero se conoce que se encuentra todo con cable categoría 5e, y

para los servidores utilizan fibra óptica monomodo.

Cuenta con servidores proxy implementados para una mayor seguridad del

caso.

Cuentan con una conexión dedicada de 4 Mb y una de respaldo de 2 Mb

Speedy Business

A continuación podemos apreciar parte de la red de Epensa y como esta

constituida

24


Foto, izquierda a derecha: Percy Rojas, Administrador de redes; Erik Garayar, Jefe de sistemas; y Geiner Gardín, Administrador de redes de EPENSA.

25


26


Equipos y Servicios

Epensa S.A cuenta con un Centro de Cómputo adecuado especialmente para contener

los servidores, equipos de red y equipos de telefonía.

El diseño del centro de cómputo cuenta con sistemas de seguridad apropiados

para resguardar la información de la empresa

.

Área de servidores

Operadores

Cuenta con una línea dedicada de 4 mb y una de 2mb SB para respaldo

27


El servicio es brindado por Telefónica del Perú

El servicio de correo se encuentra montado sobre una distribución Linux

RedHat 5 Enterprise

Todo usuario perteneciente a Epensa cuentan con una dirección de correo

electrónico

En el siguiente grafico podemos apreciar la infraestructura para el envio de

correos

Transferencia de correo Electrónico

El servicio de VPN’s

Los aplicativos de la empresa se utilizan en la parte de finanzas, RRHH etc, los

cuales son producidos por la misma área de desarrollo

Epensa no cuenta con una solución holística como lo es SAP (por ejemplo)

La estructura de DNS de Epensa se encuentra de la siguiente manera

28


29


Lo cual hace más flexible para este tema, puesto que su Web esta alojada por

Telmex y los demás servicios se encuentran registrados en DNS’s de Telefónica

Servidores

Epensa S.A cuenta con servidores HP que cumplen las siguientes funciones:

Servidor de correo (OpenXchange)

Servidor FTP

Servidores de DHCP y DNS montados em Windows Server 2003

Servidor de firewall sobre uma plataforma Linux usando IPtables

Servidor de Proxy en Linx RedHat 5 Enterprise

Servidor HP de BackUps TapeBackUp

Base de datos

La base de datos de Epensa se encuentra centralizada en Lima la cual a su vez se

encuentra duplicada en otra habitación del mismo local de Epensa, Esta base de datos

se encuentra montada en Oracle 10G.

Las Bases de datos sucursales se conectan a través de un enlace VPN para una mayor

seguridad del caso.

Utilizan métodos de encriptación avanzados como AAA puesto que la información que

es enviada es crítica para la empresa, en este caso los periódicos en formato de PDF

para la respectiva impresión en diferentes partes del país.

30


En lima se sigue un proceso de alta seguridad para lo que es respectivo

almacenamiento de la información (fotos. PDF, XLS, etc de Epensa)

31


32


Análisis de Riesgos

I. INTRODUCCION

El presente análisis de los riesgos fue desarrollado con el propósito de determinar cuáles de los activos de la organización Empresa periodística Nacional EPENSA” tienen mayor vulnerabilidad por la presencia tanto de factores externos o internos que puedan afectar, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos, y considerando el grado en que el riesgo puede ser controlado.

Para generar esta información se realizaron las siguientes actividades:

a. Identificación de los activos de La Organización (Epensa) : se evaluaron los distintos activos físicos y de software de la organización, generando un inventario de aquellos que son considerados como vitales para su desenvolvimiento seguro.

b. Asignación de importancia a los activos: los activos fueron clasificados según el impacto que sufriría la organización si faltase o fallara tal activo.

c. Identificación de amenazas: acto seguido se listaron los factores de riesgo relevantes a los pueden verse sometidos cada uno de los activos arriba nombrados.

d. Descripción de consecuencias y salvaguardas: se generó una descripción de las consecuencias que podría sufrir La Institución si los activos son afectados por sus respectivas amenazas, detallando la manera en que se protege al activo contra ese ataque en particular, y puntualizando en qué grado son efectivas estas medidas.

e. Asignación de probabilidades de ocurrencia de las amenazas: teniendo en cuenta los datos arriba mencionados fue posible estimar la probabilidad de ocurrencia que cada una de las amenazas representaba con respecto a los activos listados, considerando para esta estimación las medidas tomadas por la institución para mitigar su acción.

f. Cálculo de niveles de vulnerabilidad y riesgo: una vez identificados los riesgos, se procedió a su análisis. Con toda la información recolectada, se determinó el nivel de vulnerabilidad que se asocia con cada activo listado.

g. Conclusiones: a partir de las actividades anteriormente descritas se pudo evaluar la situación actual de La Organización en relación a los incidentes

33


que pueden afectarla, calculando las vulnerabilidades cubiertas y descubiertos, y un análisis sobre la escala de importancia de los activos.

h. Consecuencias: luego de identificar, estimar y cuantificar los riesgos, la unidad de riesgos de La Organización deben determinar los objetivos específicos de control y, con relación a ellos, establecer los procedimientos de control más convenientes, para enfrentarlos de la manera más eficaz y económica posible. En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican preocupaciones mayores. Por el contrario, los que se estiman de alta frecuencia deben merecer preferente atención. Entre estos extremos se encuentran casos que deben ser analizados cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.

II. ACTIVOS Y FACTORES DE RIESGOS

Presentamos los distintos activos reconocidos en Epensa, asignando un valor al impacto que tienen en la organización, ponderada en una escala del 1 al 10. Este impacto es un valor subjetivo que refleja el nivel de Impacto que puede tener La Organización si un incidente afecta a los activos, sin considerar las medidas de seguridad que existan sobre los mismos.

CATEGORIA ID DEFINICION DEL ACTIVO IMPACTO

Instalaciones 01 Ambiente del área de Sistemas 8

Personal 02 Personal del área de sistemas 8

Equipamiento auxiliar

03 Sistema de Aire Acondicionado 7

04 Pozos a tierra y Sistema Eléctrico Estabilizado 6

05 Suministro de Energía Eléctrica 7

06 Cámaras de seguridad 3

Servicio 07 Sistema de Telecomunicaciones 7

Equipos informáticos/Redes de comunicaciones

08 Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).

8

09 Servidor de base de datos 7

10Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)

9

11 Ordenadores de Escritorio 4

Aplicaciones 12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)

5

13 Servicio de correos e intranet, DNS 7

14 Servicio de VPN’s para oficinas en centro del Perú 7

34


15 Aplicaciones de desarrollo de la empresa 6

Datos eInformación

16 Data generada por los Sistemas de Información 8

17 Data generada por los Usuarios. 8

Soporte de información

18 Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc.

7

*La ausencia del jefe del área de sistemas impactaría de gran manera al área de sistemas, por lo que no solo es jefe del área, sino del área de redes y comunicaciones y ala vez también de soporte técnico

1 = Menor impacto10 = Mayor impacto

A continuación se listan los factores de riesgo o amenazas que pueden afectar a dichos activos, indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 5. Esta probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la organización.

TIPO ID AMENAZA PROBABILIDAD

Accidentes 001 Incendios 1

002 Inundación 1

003 Terremotos 1

004 Error de backups 1

005 Error en el medio de almacenamiento 2

006 Fallas físicas de los equipos (averías) 2

007 Riesgo por el personal de limpieza o personal externo

2

Errores 008 Administración inadecuada 2

009 Entrenamiento inadecuado de usuarios 1

010 Errores de configuración y operación del sistema.

2

011 Falta de cuidado en el manejo de información.

1

012 Mal uso de derechos de administración. 1

013 Mala administración de passwords. 2

35



014 Problemas con conexiones y electricidad 1

015 Procesamiento de información inadecuado. 1

016 Conocimiento insuficiente. 1

017 Conexiones todavía activas. 1

018 Documentación deficiente. 3

019 Falta de backup. 1

020Faltas de herramientas utilizadas en los

ordenadores.1

Exterior

Presenciales

021 Deshonestidad y sabotaje. 2

022 Pérdida (extravío). 1

023 Pérdida de Laptops. 1

024 Robo de claves. 1

025 Robo de equipos. 2

026 Robo de información. 2

027 Vandalismo. 1

028 Fraude. 1

029 Uso sin autorización. 2

030 Spoofing y sniffing LAN. 1

031 Destrucción negligente de los datos. 3

032Retiro y/o ausencia intempestiva de

personal.2

Exterior

Remotos033

Entrada sin autorizaciones ambientes

seguros.1

034Accesos no autorizados datos con

corrupción.2

035 Infección de virus. 2

36



036 Accesos no autorizados a datos con modificación.

1

037 Modificación no autorizada. 2

038 Spoofing en WAN. 1

1 = Menor probabilidad3 = Mayor probabilidad

III. POSIBLES CONSECUENCIAS Y MEDIDAS EXISTENTES

En el presente cuadro se listan los activos de la organización (Epensa), las amenazas que los afectan directamente y las consecuencias que puede traer consigo la materialización de estas amenazas. Se describen también las salvaguardas o información referida a las medidas que ha tomado Epensa para mitigar estas consecuencias. Por último se han evaluado estas medidas, indicando si son deficientes (d), mejorables (m) o eficientes (e).

NOMBRE DE ACTIVO VITALCONSECUENCIAS ¿SE

PROTEGE?¿COMO?

MEDIDAS APLICADAS¿ES

EFECTIVA?AMENAZA01 Ambiente del Área de Sistemas

033 Entrada sin autorizaciones ambientes seguros.

Pérdida de equipos y/o información / Manipulación de los sistemas y/o modificaciones

Si

El personal cuenta con llaves de sus respectivas áreas a las cuales pertenecen

Media

007Riesgo por personal de limpieza o personal externo

Daño de servidores, UPS, cableado, Interrupción de sistemas.

Si

Las sub-áreas pertenecientes al área de sistemas mantienen al menos una persona al momento de realizar las limpiezas

Media

025 Robo de equipos.

Paralización de los sistemas(Falta de sistemas) / Pérdida de equipos y/o información

SiExisten cámaras de seguridad en cada área Media

024 Robo de claves.Paralización de ciertas actividades de producción

Si

El personal cuenta con una clave la cual es única para cada usuario y se le advierte no compartir con nadie esta clave

Media

013Mala administración de passwords

Paralización de una o mas PC’s No

El personal no respeta siempre y comparte los passwords con compañeros

Baja

02 Personal del Área de Sistemas

37



PROTEGE?¿COMO?


EFECTIVA?AMENAZA

009 Entrenamiento inadecuado de usuarios

Mal uso de los servidores de producción con los que cuenta la Organización

No Baja

026 Robo de información No Baja

021 Deshonestidad y sabotaje

Paralización de los sistemas(Falta de sistemas) / Robo, modificación de información

Si Póliza de Seguro por deshonestidad Media

012Mal uso de derechos de administración

Divulgación, modificación y robo de la información. Si

Las contraseñas de los servicios críticos solo es de conocimiento del área de Redes y comunicaciones

Media

032 Retiro / ausencia intempestiva de personal

Aumento de vulnerabilidades e inestabilidad del sistema / Incremento de riesgos en caída de servicios

No Débil

016 Conocimiento insuficiente Demoras en los procesos por falta de conocimiento Si Capacitaciones

constantes Alta

036 Accesos no autorizados datos con corrupción.

Demoras en la entrega de documentación de alta importancia a las sedes en el centro de lima

Si

Se aplican ciertos métodos de encriptación para que la información no este disponible a personal no autorizado

Alta

03 Sistema de Aire Acondicionado

001 Incendios

Pérdidas colosales del área de sistemas y sub-área como lo son servidores, ordenadores, información, etc.

Si

Las áreas se encuentran protegidas reforzando los cables y posibles averías, además cuentan con extintores

Media

04 Pozo a tierra y Sistemas Eléctricos Estabilizados, Extintores

002 InundaciónPerdida de funcionamiento de servidores, PCs, etc.

No Baja

003 Terremotos Posible destrucción de las áreas

Si alta

05 Suministros de energía Eléctrica

014 Problemas con conexiones y electricidad

Descontinuad de los servidores de producción por la ausencia de electricidad

Si

La organización cuenta con UPS de una duración de 40 minutos para las respectivas precauciones

Alta

06 Cámaras de seguridad

022 Pérdida (extravío).Problemas internos y posibles manipulaciones de los servidores

Si

La organización cuenta con cámaras las cuales monitorean todas las áreas de sistemas

Media

07 Sistema de Telecomunicaciones

38



PROTEGE?¿COMO?


EFECTIVA?AMENAZA

030 Spoofing y sniffing LAN Suplantación de identidades

en la redSi

Uso de IDS para la detección de intrusos en las redes Media

08 Servidores centrales (Servidor de dominio, Terminal Services, Antivirus, antispam, Firewall)

008 Administración inadecuada

Modificaciones en los controladores de dominio de la organización, generando molestias, negando y permitiendo permisos a personas no autorizadas

Si

Capacitaciones y sentido de la responsabilidad del persona de redes y comunicaciones

Media

017 Conexiones todavía activasPosibles robos de información Si

Se realiza monitoreo constante de las actividades realizadas y quien las realiza

Media

037 Modificación no autorizadaProblemas que pueden existir con controles de acceso u otras servicios

SiGeneración de llaves administradas por el jefe del área de sistemas

Alta

09 Servidor de base de datos

010 Errores de configuración y operación del sistema

Errores en las respectivas consultas realizadas ala base de datos por parte del área de desarrollo para respectivos controles

N Baja

10 Dispositivos de conectividad y soporte en comunicaciones

023 Pérdida de Laptops. No Baja

005 Error en el medio de almacenamiento

Demoras para los procesos de backup, generando así perdidas de información

SiUtilización de tecnologías (Tape backups) especializados (

Media

11 Ordenadores de escritorio

006 Fallas físicas de los equipos Demoras en los procesos Si

El personal de soporte técnico recibe capacitaciones constantes para asistir ante eventualidades de esta tipo.

Media

035 Infección de virusProblemas con los ordenadores Si

Se tiene instalado una solución de antivirus a medida de negocio

Media

12 Herramientas de escritorio y desarrollo

020 Faltas de herramientas utilizadas en los ordenadores.

Disgusto de los usuarios finales

SiMantenimientos constantes de los ordenadores

Media

13 Servicio de correos e Intranet

010 Errores de configuración y operación del sistema

Perdidas de correos electrónicos generando confusiones con las actividades para cada responsable

SiMonitoreo constante de las aplicaciones de correo e internet

Media

14 Servicio de VPN para oficinas en centro del Perú

39



PROTEGE?¿COMO?


EFECTIVA?AMENAZA

029 Uso sin autorización

Mala administración de las oficinas del centro del Perú, generando fallas de conectividad.

SiGeneración de llaves administradas por el jefe del área de sistemas Alta

038 Spoofing en WAN Robo de información por suplantación de usuarios

SiLa organización cuenta con IDS para la detección de intrusos

Alta

15 Aplicaciones de desarrollo de la empresa

015Procesamiento de información inadecuado

Desconocimiento de responsables de la información

No Baja

16 Data generada por los sistemas de información

004 Error de BackupsPerdidas de información de respaldo critica para la organización etc.

Si

La información es guarda en discos duros externos y se copia también a DVDs

Baja

17 Data generada por los usuarios

031

Destrucción negligente de los datos.

Retrasos en los procesos de, generación de brechas en la organización

Si Generación de backups Baja

019 Falta de Backup Paralización de los servidores en caso de un siniestro Si

Se realizan backups incrementales durante toda la semana

Alta

18 Aplicaciones de desarrollo de la empresa

018 Documentación deficiente Realizan los procesos de manera confusa o lenta No Baja

011 Falta de cuidado en el manejo de información. No Baja

IV. CÁLCULO DE NIVELES DE VULNERABILIDAD Y RIESGOS

En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones:

PROBABILIDAD DE OCURRENCIA: representan la probabilidad de que se materialicen las amenazas identificadas, en una escala del 1 al 3. Esto se evaluó en el numeral 2.- Factores de Riesgo, teniendo en cuenta las medidas de seguridad existentes en Organización.

NIVEL DE VULNERABILIDAD: se calcula el porcentaje de probabilidad de que se materialicen las amenazas, con respecto a la cantidad de amenazas identificadas para dicho activo. Esto es debido a que cada activo está afectado por un número diferente de amenazas posibles,

40


de manera que este cálculo sirve para obtener un porcentaje de probabilidades equilibrado por igual para cualquier activo, independientemente de la cantidad de amenazas que lo afectan.

Vulnerabilidad = Probabilidad de Ocurrencia X 100

Cantidad de Amenazas

NIVEL DE RIESGO: en este momento interviene el nivel de importancia que refleja el nivel de impacto que puede tener La Institución, si un incidente afecta a los activos, multiplicando al nivel de vulnerabilidad. De esta forma se obtiene el nivel de riesgo de cada activo con respecto a una amenaza. La suma de estos valores es el nivel de riesgo total que corresponde a cada activo.

Riesgo = Vulnerabilidad x Impacto

NOMBRE DE ACTIVO IMPACTO AMENAZA

PROBABILIDAD DE

OCURRENCIA

VULNERABILIDAD RIESGO

01Ambiente de área

sistemas8

033 Entrada sin autorizaciones ambientes seguros. 1 20 160

007 Riesgo por personal de limpieza o personal externo 2 40 320

025 Robo de equipos. 2 40 320024 Robo de claves. 1 20 160013 Mala administración de passwords 2 20 160

CANTIDAD DE AMENAZAS = 5 140 1120

02Personal del Área de

Sistemas8

009Entrenamiento inadecuado de usuarios 1 14.3 114.4

026 Robo de información 2 28.6 228.8021 Deshonestidad y sabotaje 2 28.6 228.8012 Mal uso de derechos de administración 1 14.3 114.4

032Retiro / ausencia intempestiva de personal 2 28.6 228.8

016 Conocimiento insuficiente 1 14.3 114.4

036Accesos no autorizados datos con modificación 1 14.3 114.4

CANTIDAD DE AMENAZAS =7 143 1144

03Sistema de Aire Acondicionado 7 001 Incendios 1 100 700

CANTIDAD DE AMENAZAS =1 100 700

04

Pozo a tierra y Sistemas Eléctricos

Estabilizados Extintores

6

002 Inundación 1 50 300

003 Terremotos 1 50 300CANTIDAD DE AMENAZAS =2 100 600

05Suministros de

energía eléctrica7

014Problemas con conexiones y electricidad 1 100 700


41


NOMBRE DE ACTIVO IMPACTO AMENAZA

PROBABILIDAD DE

OCURRENCIA

VULNERABILIDAD RIESGO

06Cámaras de seguridad

3022

Problemas internos y posibles manipulaciones de los servidores 1 100 300


07Sistema de

Telecomunicaciones7

030 Spoofing y sniffing LAN 1 100 700


08

Servidores centrales (Servidor de

dominio, Terminal Services, Antivirus, antispam, Firewall)

8

008 Administración inadecuada 2 66.7 533.6

017 Conexiones todavía activas 1 33.3 266.4

037 Modificación no autorizada 2 66.7 533.6

CANTIDAD DE AMENAZAS = 3 166.7 1333.6

09Servidor de base de

datos 9010

Errores de configuración y operación del sistema 2 200 1800


10

Dispositivos de conectividad y

soporte en comunicaciones

9

023 Pérdida de Laptops. 1 50 450005 Error en el medio de almacenamiento 2 100 900

CANTIDAD DE AMENAZAS = 2150 1350

11Ordenadores de

escritorio4

006 Fallas físicas de los grupos 2 100 400035 Infección de virus 2 100 400


12Herramientas de

escritorio y desarrollo

5020 Faltas de herramientas utilizadas en los

ordenadores. 1 100 500


13Servicio de correos e

Intranet7

010 Errores de configuración y operación del sistema 2 200 1400


14Servicio de VPN para

oficinas en centro del Perú

7

029 Uso sin autorización 2 100 700

038 Spoofing en WAN 1 50 350


15Aplicaciones de desarrollo de la

empresa6

015 Procesamiento de información inadecuado 1 100 600


16Data generada por

los sistemas de información

8004 Error de Backups 1 100 800

CANTIDAD DE AMENAZAS = 1100 800

17Data generada por

los usuarios8

031 Destrucción negligente de los datos. 3 150 1200019 Falta de Backup 1 50 400


18

Documentación de programas,

hardware, sistemas, procedimientos administrativos

locales, manuales, etc.

7

018 Documentación deficiente 3 150 1050

011Falta de cuidado en el manejo de información. 1 50 350

CANTIDAD DE AMENAZAS = 2

200 1400

V. CONCLUSIONES

42


En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los que incurre cada activo vital identificado. Para esto se tiene en cuenta el nivel de importancia asignado a cada uno y la probabilidad de ocurrencia de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes operaciones:

Niveles de Riesgo (R) y Vulnerabilidad (V)

En el cuadro se listan los niveles de Riesgo y Vulnerabilidad para cada activo, considerando la importancia de 1 a 10, y sin tener en cuenta la importancia (es decir con un valor de 1). A la derecha los valores que observamos representan el número de los activos, ordenados en forma descendiente de acuerdo al riesgo y vulnerabilidad que corren dicho activos.

R% = Valor del riesgo del activo X 100

Total del valor del nivel de riesgo

V% = Valor de la vulnerabilidad del activo X 100

Total del valor del nivel de vulnerabilidad

IDACTIVO

ACTIVOSNIVEL DE RIESGO (R)

NIVEL DE VULNERABILIDAD (V)

VALOR R % VALOR V %

01 Ambiente del Área de sistemas 1200 6.7 140 5.5

02 Personal del área de sistemas 1144 6.4 143 5.6

03 Sistema de Aire Acondicionado 700 3.9 100 4.0

04 Pozos a tierra y Sistema Eléctrico Estabilizado 600 3.3 100 4.0

05 Suministro de Energía Eléctrica 700 3.9 100 4.0

06 Cámaras de seguridad 300 1.7 100 4.0

07 Sistema de Telecomunicaciones 700 3.9 100 4.0

08Servidores centrales (Servidor de Dominio, Terminal Services, Antivirus, Antispam y Firewall).

1333.6 7.4 166.7 6.5

09 Servidor de base de datos 1800 10.0 200 8.0


1350 7.5 150 5.9

11 Ordenadores de Escritorio 800 4.4 200 8.0

12Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)

500 2.8 100 4.0

13 Servicio de correos e intranet, DNS 1400 7.8 200 8.0

14 Servicio de VPN’s para oficinas en centro del Perú 1050 5.8 150 5.9

15 Aplicaciones de desarrollo de la empresa 600 3.3 100 4.0

43


16 Data generada por los Sistemas de Información 800 4.4 100 4.0

17 Data generada por los Usuarios. 1600 8.9 200 8.0

18Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc

1400 7.8 200 8.0

17977.6 100% 2549.7 100%

Activos por orden de Riesgo (R)

ACTIVOS RIESGO R %

09 Servidor de base de datos 1800 1017 Data generada por los Usuarios. 1600 8.9

18 Documentación de programas, hardware, sistemas, procedimientos administrativos locales, manuales, etc

1400 7.8

13 Servicio de correos e intranet, DNS 1400 7.8

10 Dispositivos de conectividad y soporte en comunicaciones (Cableado, switch, routers, access point módems.)

1350 7.5


1333.6 7.4

01 Ambiente del Área de sistemas 1200 6.702 Personal del área de sistemas 1144 6.414 Servicio de VPN’s para oficinas en centro del Perú 1050 5.816 Data generada por los Sistemas de Información 800 4.411 Ordenadores de Escritorio 800 4.403 Sistema de Aire Acondicionado 700 3.905 Suministro de Energía Eléctrica 700 3.907 Sistema de Telecomunicaciones 700 3.915 Aplicaciones de desarrollo de la empresa 600 3.304 Pozos a tierra y Sistema Eléctrico Estabilizado 600 3.3

12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)

500 2.8

17977.6 100%

Activos por orden de Vulnerabilidad (V)

ACTIVOS VALOR V %

09 Servidor de base de datos 200 8.0

11 Ordenadores de Escritorio 200 8.0

13 Servicio de correos e intranet, DNS 200 8.0

17 Data generada por los Usuarios. 200 8.0


200 8.0

44



166.7 6.5


150 5.9

14 Servicio de VPN’s para oficinas en centro del Perú 150 5.9

02 Personal del área de sistemas 143 5.6

01 Ambiente del Área de sistemas 140 5.5

03 Sistema de Aire Acondicionado 100 4.0

04 Pozos a tierra y Sistema Eléctrico Estabilizado 100 4.0

05 Suministro de Energía Eléctrica 100 4.0

06 Cámaras de seguridad 100 4.0

07 Sistema de Telecomunicaciones 100 4.0

12Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos)

100 4.0

15 Aplicaciones de desarrollo de la empresa 100 4.0

16 Data generada por los Sistemas de Información 100 4.0

2549.7 100%

Análisis de Impacto

Aquí vemos un análisis donde se tiene en cuenta el nivel de riesgo y el impacto con una ponderación de 1 a 10. Se calculó el porcentaje de los riesgos y el porcentaje del impacto respectivamente.

I% = Impacto X 100

Valor total del impacto

Al calcular la diferencia entre estos porcentajes (Dif. de %) se obtiene el porcentaje que muestra cuán sobrevaluados o menospreciados están los activos de acuerdo a sus riesgos. A continuación se calcula una cifra (Dif. de importancia) que representan los porcentajes anteriormente mencionados, de la siguiente manera:

Para aplicar la diferencia de porcentajes al impacto actual, se multiplican.

Impacto. x Dif. de %

45


Este resultado no está en escala de 1 a 10, por lo que con una regla de tres simple, se centran los valores:

100 % ------------------------------------ 10 puntos de impacto

Impacto x Dif. de % ------------- ? (= Diferencia de importancia)

A este resultado se le suma (o resta de acuerdo al signo) al impacto actual, obteniendo el impacto que debería tener cada activo (impacto ideal), de acuerdo al nivel de riesgos encontrado.

Impacto ideal = Impacto actual + Diferencia de impacto

46


ACTIVOSNIVEL DE RIESGO IMPACTO

ACTUAL DIF. DE %

=R%-I%

DIF. DE IMPACT

O

IMPACTO IDEAL

RIESGO R % IMPACTO I %

01 Ambiente del Área de sistemas 1200 6.7 8 6.6 0.1 0.01 8.01

02 Personal del área de sistemas 1144 6.4 8 6.6 -0.2 -0.02 7.98

03 Sistema de Aire Acondicionado 700 3.9 7 5.7 -1.8 -0.13 6.87

04 Pozos a tierra y Sistema Eléctrico Estabilizado 600 3.3 6 4.9 -1.6 -0.10 5.90

05 Suministro de Energía Eléctrica 700 3.9 7 5.7 -1.8 -0.13 5.87

06 Cámaras de seguridad 300 1.7 3 2.5 -0.8 -0.02 2.98

07 Sistema de Telecomunicaciones 700 3.9 7 5.7 -1.8 -0.13 6.87


1333.6 7.4 8 6.6 0.8 0.07 8.07

09 Servidor de base de datos 1800 10.0 7 5.7 4.3 0.30 7.30


1350 7.5 9 7.4 0.1 0.01 9.01

11 Ordenadores de Escritorio 800 4.4 4 3.3 1.1 0.04 4.04

12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 500 2.8 5 4.1 -1.3 -0.07 4.93

13 Servicio de correos e intranet, DNS 1400 7.8 7 5.7 2.1 0.15 7.15

14 Servicio de VPN’s para oficinas en centro del Perú 1050 5.8 7 5.7 0.1 0.01 7.01

15 Aplicaciones de desarrollo de la empresa 600 3.3 6 4.9 -1.6 -0.10 5.9

16 Data generada por los Sistemas de Información 800 4.4 8 6.6 -2.2 -0.18 7.82

17 Data generada por los Usuarios. 1600 8.9 8 6.6 2.3 0.18 8.18


1400 7.8 7 5.7 2.1 0.15 7.15

17977.6 100% 122 100% 0.00 0.04 121.04

47


Valores Máximos, Mínimos y Reales

Se muestran los valores máximos y mínimos de vulnerabilidad que pueden obtener los activos cuando las probabilidades son llevadas a puntos extremos. Este cálculo es necesario para compararlos con los valores relevados que figuran en la tercera columna. Estos cálculos se realizan sin tener en cuenta la influencia del impacto, es decir se representan exclusivamente las debilidades de cada activo, con las medidas de seguridad que actualmente existen en la institución.

ACTIVOSMAXIMO MINIMO REAL

(333) % (111) % (123) %01 Ambiente del Área de sistemas 300 5.56 100 5.56 140 5.5

02 Personal del área de sistemas 300 5.56 100 5.56 143 5.6

03 Sistema de Aire Acondicionado 300 5.56 100 5.56 100 4.0

04 Pozos a tierra y Sistema Eléctrico Estabilizado 300 5.56 100 5.56 100 4.0

05 Suministro de Energía Eléctrica 300 5.56 100 5.56 100 4.0

06 Cámaras de seguridad 300 5.56 100 5.56 100 4.0

07 Sistema de Telecomunicaciones 300 5.56 100 5.56 100 4.0


300 5.56 100 5.56 166.7 6.5

09 Servidor de base de datos 300 5.56 100 5.56 200 8.0


300 5.56 100 5.56 150 5.9

11 Ordenadores de Escritorio 300 5.56 100 5.56 200 8.0

12 Herramientas de Escritorio y Desarrollo (Programas fuente, sistemas operativos) 300 5.56 100 5.56 100 4.0

13 Servicio de correos e intranet, DNS 300 5.56 100 5.56 200 8.0

14 Servicio de VPN’s para oficinas en centro del Perú 300 5.56 100 5.56 150 5.9

15 Aplicaciones de desarrollo de la empresa 300 5.56 100 5.56 100 4.0

16 Data generada por los Sistemas de Información 300 5.56 100 5.56 100 4.0

17 Data generada por los Usuarios. 300 5.56 100 5.56 200 5.5


300 5.56 100 5.56 200 5.6

5400 100% 1800 100% 2549.7 100%

48


Porcentajes de Vulnerabilidades Descubiertas

Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de vulnerabilidades descubiertas en La Institución es de 47.22% (2549.7 puntos), considerando el nivel máximo de riesgos como el 100% (5400 puntos), y sabiendo que el porcentaje mínimo es de 33.3% (1800 puntos). Por esto podemos concluir que Epensa debería reducir en 19.18% el porcentaje de vulnerabilidades descubiertas, para así conseguir el nivel mínimo de riesgos posible.

Porcentaje de vulnerabilidades descubiertas: 47.22%

Porcentaje de vulnerabilidad mínimo: 33.33%

Desviación: 13.89%

El análisis de riesgos realizado a La Empresa periodística nacional “Epensa” constituye un análisis inicial para el desarrollo de las políticas, y así cumplir con la implementación de la normas ISO 17799. Es importante que una vez emitidas las políticas de seguridad y consolidada la estructura organizacional responsable de la seguridad de la información, se afinen los considerados de acuerdo con los objetivos de seguridad de Epensa. Este análisis en particular involucra un cierto grado de incertidumbre, puesto que la calificación de escenarios se basa en criterios cualitativos expresados por el personal de sistemas de la institución y no datos estadísticos particulares de escenarios (relación activo amenaza) similares ocurridos en Epensa. Sin embargo, los resultados permiten establecer un estado inicial de referencia sobre el cual comparar los riesgos en los escenarios identificados y que potencialmente pueden desarrollarse.

Los resultados del análisis indican que los activos que presentan mayor riesgo, son el Sistema Transaccional, Dispositivos de conectividad y soporte en comunicaciones, el Ambiente del Área de Informática y los Servidores centrales (Dominio, Terminal Services, Antivirus, Desarrollo y Firewall) y de base de datos originados por un alto impacto que representaría para la INSTITUCIÓN, una baja del Sub estado de confidencialidad, integridad y disponibilidad de dichos activos.

El análisis de los riesgos presentó como activos con mayor índice vulnerabilidad es el servicio de base de datos de la empresa (09), Los datos generados por los usuarios (17), Documentación de programas, hardware, sistemas, procedimientos, administrativos locales, manuales, etc. (18) y los servicios de correo, intranet y DNS (13).

49


Opinión sobre la Infraestructura

Es comprensible el hecho que EPENSA no cuente con servidores especializados como lo son servidores UNIX o AS/400, esto no es debido a la falta de conocimiento sobre las herramientas tecnológicas, si no por razones de presupuesto; EPENSA aun no se ha dado cuenta la importancia de las áreas de TI y los servicios que estas brindan

La empresa que cuenta con una infraestructura apropiada, con un centro de cómputo el cual cuenta con sistemas de seguridad para el cuidado de información, con bases de datos centralizada donde se almacena la información contando también con copias de respaldo, diferentes servidores que le permiten una mejor gestión de la información si bien es una infraestructura sólida se han encontrado deficiencias que tendrán que ser mejoradas.

Es alarmante la falta de control de acceso a las áreas de sistemas. Aun cuando se tenga plena confianza en los empleados del área, no se debe dejar que la información y los equipos informáticos estén expuestos a robos o daños físicos. Es preocupante que el jefe del área de sistemas no haya contemplado algo tan básico como la seguridad de acceso de personal.

La Empresa trabaja activamente sobre su información, no solo en su sede central en lima, sino transfiriendo esa a sus otras sedes, en diversas provincias, cualquier pérdida en el flujo de las comunicaciones es intolerable, por lo que debe ser evitada siempre.Actualmente existen diversos estándares y patrones para un cableado seguro y de calidad, así como las herramientas y materiales requeridos. Opinamos que la empresa debe contratar un servicio de consultoría en redes, la cual indique la estructura de cableado, así como los materiales y servicios a adquirir de modo que toda su red interna sea correctamente estructurada, garantizando su correcta funcionalidad y ofreciendo la garantías respectivas ante una perdida de conectividad.

La Empresa realiza mejoras en sus equipos para obtener un mejor desempeño de los mismos y mantener operativos sus servicios, evaluando siempre parámetros como el costo, el rendimiento y el beneficio que les pueda conllevar al momento de realizar estas mejoras. Así mismo, no solo se contemplan los servicios al momento de realizar un cambio, sino también se evalúa la salud de sus empleados; caso por ejemplo cuando se realizo un cambio en los monitores de trabajo del personal de Diseño Grafico al evaluarse que los existentes producían cansancio en los ojos en muy corto tiempo.

50


La Empresa no toman medidas con respecto a los tres mayores riesgos que son: la indagación (Un mensaje puede ser leído por un tercero, obteniendo la información que contenga), la suplantación (Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legítimo) y la modificación (Un tercero puede alterar el contenido de un mensaje).

51


Observaciones

1. Falta de medidas de seguridad del cableado estructurado de las áreas de TI

El área de sistemas no ha realizado la instalación de canaletas para todo el recorrido del cableado de comunicaciones, aun se puede observar cables expuestos de los cuales se desconoce su origen y destino; asimismo muchos cables aun se encuentran mal ponchados.

De acuerdo la ISO 17999:2005 en el dominio Seguridad Física y del Ambiente en los puntos seguridad del cableado y mantenimiento del equipo nos dice que el cableado de la energía y las telecomunicaciones que llevan la data deben protegerse contra intercepción o daño y se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad, el cual garantiza a la organización minimizar el costo para adquirir nuevos cables y/o conectores RJ-45 para el respectivo cableado.

Esto sucede debido a que personal del área de soporte no cuenta con el conocimiento sobre las bases de cómo ponchar correctamente un cable bajo los estándares actuales y no considera que un cable expuesto pueda ocasionar algún tipo de problema en sus comunicaciones.

Al estar el cable expuesto, este puede ser usado para interceptar información sensible de la Empresa; así también el realizar una mala instalación de los conectores produce un rápido desgaste de los mismos y de los filamentos del cable al cual fueron instalados.

Ver recomendaciónVer conclusión

2. Deficiente Inventario General de los equipos de infraestructura

Epensa aun no cuenta con procedimientos adecuados que le permita un control actualizado de los inventarios de los nuevos equipos de cómputo que las diferentes áreas de la empresa adquieren.

De acuerdo al Cobit v4 en el dominio Adquirir e Implantar, en el control AI3 Adquirir y mantener infraestructura tecnológica y en el objetivo AI3.2 Protección y disponibilidad del recurso de infraestructura hay una cláusula que estipula que hay que realizar medidas de seguridad para proteger los recursos y una de esas medidas seria que las listas de inventario cubran todo el equipamiento de infraestructura, incluyendo módems, controladores, terminales, líneas, equipos relacionados; lo cual tiene que ser constantemente monitoreado y evaluado.

Esto es debido a que el jefe del área de sistemas no ha designado formalmente a un trabajador la función o responsabilidad de actualizar los inventarios generales de la empresa.

52


Esto genera un control inadecuado de los equipos de cómputo de la empresa, debido al inventario desactualizado con el que se cuenta. Cualquier acto de robo, sea este realizado por personas internas o externas a la empresa no será notificado dentro de un periodo de tiempo adecuado, de modo que puedan tomarse las medidas adecuadas, sean estas denuncias policiales o seguimiento de las personas al momento del hurto.


3. Falta de control de acceso a las zonas restringidas del área de sistemas

El área de sistemas aun no cuenta con un control de acceso a zonas restringidas por parte de los empleados, siendo cualquier empleado capaz de ingresar libremente a las áreas de sistemas (redes, servidores, desarrollo, soporte), haciendo uso de las llaves de las áreas, las cuales se encuentran colgadas en una pared, indicando el área a la cual pertenecen.

De acuerdo a la norma ISO 17799 bajo el dominio de “seguridad física y del entorno” en el punto 9.1 físico y ambientales, y en el subcontrol 9.1.2 control de las áreas seguras de acceso físico en el punto B dice:

“El acceso a las áreas donde se procesa o almacena la información sensible debe ser controlada y restricta a las personas autorizadas solamente, como por ejemplo controles de autentificación. Estos se deben utilizar para autorizar y validar todo el acceso.”

El jefe del área de redes y comunicaciones confía plenamente en sus empleados y no ve necesario la implementación de una política de control de acceso

Esta falta permite que cualquier empleado tenga fácil acceso a cualquier zona importante de la empresa, obteniendo así facilidades para que sin autorización pueda tener acceso a información crítica de la empresa.


4. Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones

No se cuenta aun con medios de almacenamiento de información, que sirvan de respaldos fueras de las instalaciones para sus aplicaciones o procesos críticos, en caso existiese algún desastre. El auditado no ha precisado una fecha establecida en la cual se contara con este sitio alterno.

53


De acuerdo al COBIT v4 en el dominio de Entregar y Dar Soporte (DS), en su objetivo detallado “Almacenamiento de respaldos fuera de las instalaciones” (DS 4.9) dice: “Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad del negocio. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de negocio y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la empresa. La gerencia de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.”

No fue contemplado en el diseño un almacenamiento de respaldo offsite.

La situación descrita podría generar pérdidas irreparables, así como también económicas, para la organización ante una parada de sus servicios y/o pérdida parcial o total de su información.


5. Falta de licenciamiento de software para las computadoras de escritorio de Epensa

EPENSA aun no cuenta con todas las licencias de los sistemas operativos que actualmente hacen uso sus computadoras de escritorio.

De acuerdo a la norma ISO 17799:2005, en el dominio "Conformidad" y control "Derechos de propiedad intelectual" el cual indica que "Se debieran implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado."

El área de TI ha ido adquiriendo en el transcurso de los años nuevas computadoras de escritorio, y al realizar dichas adquisiciones, no considero que el sistema operativo viniera pre instalado por lo que para poner en estado operativo dichas computadoras se valió de software no licenciado.

La empresa puede obtener una sanción por parte de la entidad reguladora INDECOPI de acuerdo a las normas que dicha institución posea para contra cualquier persona o institución que vaya en contra de los derechos de propiedad intelectual.

Ver recomendación

54


Ver conclusión

Conclusiones

Falta de medidas de seguridad del cableado estructurado de las áreas de TI

Epensa cuenta con un cableado estructurado en mal estado y deficiente, para la red LAN con la que cuenta, para los servidores y servicios de VPN cuenta con fibra óptica, la cual aun se mantiene en buen estado.

Inventario General de los equipos de infraestructura

EPENSA no considera lo importante que es realizar una lista de inventario que cubra todo el equipamiento de infraestructura, incluyendo módems, controladores, terminales, líneas y equipos relacionados; al no realizar esto pierden el control sobre los activos que poseen dando lugar a que puedan ser victima de algún acto doloso por parte de los empleados.

Falta de control de acceso a las zonas restringidas del área de sistemas

La falta de control de acceso del personal a las zonas del área de sistemas es un riesgo de cada día, ya que, cualquier empleado puede ingresar, pudiendo ocasionar algún perjuicio a la organización como hurto de información sensible y de equipos informáticos

Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones

Se concluye que la Empresa EPENSA esta consiente de lo importante que es la información para su negocio, pero no ha sabido cuantificar el riesgo justamente para su activo más crítico. Las alternativas de contingencia que han tomado sirven a la Empresa para que pueda continuar con sus operaciones más no para que puedan reducir el riesgo al mínimo considerando que su activo más valioso se encuentra centralizado.

Falta de licenciamiento de software para las computadoras de escritorio de Epensa

Se concluye de esta observación encontrada, que Epensa debería lo antes posible regularizar su situación para no entrar en un proceso legal ante las autoridades.

55


Recomendaciones

Falta de medidas de seguridad del cableado estructurado de las áreas de TI

Se sugiere al área de soporte técnico realizar un cableado con canaletas para todos los enlaces importantes que tenga la organización respetando los estándares definidos y supervisados por personal que conozca del tema o en el mejor de los casos contar con certificaciones para la respectiva infraestructura del cableado estructurado.

Inventario General de los equipos de infraestructura

Es recomendable asignar la función de toma y control de inventarios a una persona o grupo de personas específicas. Esto ayudaría a garantizar un control adecuado de los equipos actuales de la empresa, el cual será capaz de apoyar en la toma de medidas en casos de hurto.

Falta de control de acceso a las zonas restringidas del área de sistemas

Es recomendable que las llaves de las oficinas sean guardadas y administradas por una persona que se responsabilice directamente por su seguridad, impidiendo de este modo que los empleados obtengan acceso directo a las zonas críticas de la empresa.

Inexistente Almacenamiento de Respaldo de los recursos y servicios de TI fuera de las instalaciones

Recomendamos establecer un plan de almacenamiento de respaldo de los recursos y servicios de TI fuera de la organización. Este lugar físico de respaldo debería estar alejado de la organización para que no sea propenso a los mismos desastres. Este plan debe ser implementado lo más antes posible porque no se sabe en qué momento podría ocurrir un desastre. También podrá reanudar sus servicios rápidamente así como también evitará al 99.99% la pérdida de información.

Falta de licenciamiento de software para las computadoras de escritorio de Epensa

Se recomienda a la empresa que regularice el licenciamiento faltante a través de una política para mantener las condiciones de licencias apropiadas

56


Anexos

Deficiencias de Control Interno

1. Falta de señalizaciones de zonas seguras y salidas de emergencia.

Actualmente el área de desarrollo no cuenta con señales que indiquen las zonas seguras en casos de siniestro. Esta área si dispone con una zona segura en casos de sismo, así como una salida de emergencia. No obstante sus ubicaciones no se encuentran debidamente señalizadas. En el ANEXO se puede observar claramente lo mencionado.

De acuerdo al dominio establecido en la ISO 17799:2005 “Seguridad Física y Ambiental” en los puntos “Asegurar las oficinas, habitaciones y medios y Protección contra amenazas externas e internas” los cuales dicen: Se debiera diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios y Se debiera asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre respectivamente.

Dentro de los planes de seguridad generales, no se incluyó al área de desarrollo en los inicios de la misma sino que se priorizo otras áreas y oficinas. En su momento se solicitó realizar las señalizaciones respectivas, sin embargo, no se realizó esto debido a factores económicos. Actualmente la ubicación de estas zonas seguras solo es conocida por el personal de la misma área, más no para personas externas a esta ni para cualquier otra que inicie sus labores en ella.

En caso de un siniestro, sea este un incendio o terremoto puede ocasionar confusiones entre el personal.

Se recomienda a la jefa del área de Desarrollo tomar en cuanta esta observación y tener en cuenta los estándares y regulaciones de sanidad y seguridad relevantes; el equipo de reemplazo y los medios de respaldo debieran ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal, Señalizar las zonas seguras en casos de siniestros que pueden suceder en la capital; se debiera proporcionar equipo contra-incendios ubicado adecuadamente.

2. Falta de documentación de restricciones de datos.

No existe documentación que indique las restricciones de datos ni la estructura que estos deben de seguir antes de ser registrados en la base de datos de la empresa, de modo que las aplicaciones desarrolladas se comuniquen correctamente con esta. Toda indicación es realizada de forma puramente verbal

Esta situación va en contra al dominio del COBIT v4.0 “Planear y organizar”, en el objetivo de control general “Administra la calidad”, el cual dice, en su objetivo de control detallado “Estándares de desarrollo y adquisición”:

57


“Adoptar y mantener estándares para todo el desarrollo y adquisición que siguen el ciclo de vida, hasta el último entregable e incluyen la aprobación en puntos clave con base en criterios de aprobación acordados. Los temas a considerar incluyen estándares de codificación de software, normas de nomenclatura; formatos de archivos, estándares de diseño para esquemas y diccionario de datos; estándares para la interfaz de usuario; inter-operabilidad; eficiencia de desempeño de sistemas; escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas; y pruebas unitarias, de regresión y de integración”. Un estándar a ser aplicado es el de manuales de desarrollo, entre los cuales debe incluir uno de estructura y restricciones de datos.

No se dio prioridad a este aspecto ya que en sus inicios la urgencia por desarrollar aplicaciones criticas de negocio obligo a dejar este punto de lado. Después, este aspecto fue olvidado, para confiar en la comunicación verbal entre el personal de desarrollo.

Esto incurre en modificaciones redundantes, demoras en el desarrollo de aplicaciones, así como errores pasados por alto, que en un futuro ocasionaría retrasos en las actividades de los trabajadores.

Se recomienda al jefe de desarrollo tomar las medidas del caso para estandarizar un conjunto de manuales de desarrollo, que sea aprobado por toda el área de TI, de modo que se comprometan a mantenerlo actualizado, de modo que sea posible desarrollar aplicaciones de calidad, y sin errores en el ingreso de datos.

3. Revelaciones de usuarios y contraseñas.

Los usuarios no guardan discreción sobre las cuentas de usuarios que manejan, dejando estas al descubierto en varias ocasiones, de modo que cualquier persona pueda verlas sin mayores problemas. Un ejemplo de esto se ve en notas adhesivas ubicadas en los monitores de las computadoras utilizadas por los usuarios. En el ANEXO se puede observar claramente lo mencionado

Esta situación va en contra al dominio del COBIT v4.0 “Planear y organizar”, en el objetivo de control general “Definir los procesos, organización y relaciones de TI”, el cual dice, en su objetivo de control detallado “Propiedad de datos y sistemas”:

“Proporcionar al negocio los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información. Los propietarios toman decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo a esta clasificación”.

Los usuarios no guardan discreción sobre sus usuarios y contraseñas debido a que no guardan conciencia sobre lo que pueden incurrir en caso de que otros usuarios tengan conocimiento de estas.

58


Esto puede incurrir en ingresos a operaciones no asignadas, con la manipulación de información respectiva, robos de información y alteraciones de las cuentas, ocasionando pérdidas del acceso a la cuenta por parte del usuario original

Se recomienda realizar un programa de concientización a los trabajadores sobre las medidas y prácticas de seguridad que deben seguir, el cual incluya temas como el manejo de sus cuentas de usuario, así como su importancia.

4. No existe una adecuada separación entre las Redes de Telecomunicaciones y de Energía Eléctrica”

Al realizar una inspección visual del Área de Sistemas, se pudo observar que los cables UTP que salían de las canaletas estaban junto a los cables eléctricos. Se pudo observar también que estos cables se encuentran en algunos lugares entrelazados e incluso tomacorrientes y TO’s (terminal outlet) defectuosos. En el ANEXO se puede observar claramente lo mencionado.

De acuerdo la ISO 17999:2005 en el dominio Seguridad Física y del Ambiente, en el punto Seguridad del Cableado dice: “Se deberían de separar los cables de energía de los de comunicaciones para evitar interferencias”.

Al realizar el bosquejo de la localización de equipos informáticos, no se contemplo un diseño del cableado de telecomunicaciones. Esto ocasionó que los cables UTP sean transportados a través de canaletas y que estén cerca de los tomacorrientes.

Al tener cerca los cables de energía eléctrica y de telecomunicaciones, producirán interferencias e inestabilidad en la red.

Se recomienda al Área de Sistemas seguir las buenas prácticas de los Estándares Internaciones de Cableado Estructurado como son:

ANSI/TIA/EIA 569-B (Estándar para Edificios Comerciales, para Vías de Telecomunicaciones, Espacios y Barreras Contra fuegos).

ANSI/TIA/EIA 570-A (Estándar para Cableado de Telecomunicaciones en Residencias u Oficinas).

Así se podrán evitar interferencias e inestabilidad en la red de telecomunicaciones

5. Falta de medidas de seguridad en cuanto a políticas de escritorio y de pantalla limpia

En el área de sistemas, los escritorios de las PCS se encuentran cargados con demasiados iconos y archivos los cuales se encuentran a la vista de todos y sin ninguna protección ya sean claves o passwords que permitan bloquear el acceso a la información existente en las PCS, también se dejan las PCS prendidas en todo

59


momento y sin mecanismos de protección de pantalla y teclado que no permita a extraños el acceso a la información ocasionando un riego en cuanto a perdida de información perjudicial para la empresa. En el ANEXO se puede observar claramente lo mencionado.

De a cuerdo a la establecido la ISO 17799 en sus buenas prácticas, en el dominio “Control de Acceso “ el cual menciona que se debiera adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información.

Esto sucede debido a que el personal no tiene un conocimiento sobre seguridad Sobre políticas de escritorio y pantallas limpias según el estándar de la ISO 17799.Poniendo en riesgo de esta manera los archivos de información de la organización lo cual es un activo que debe estar protegido.

Se sugiere al a la jefatura del área de sistemas concientizar al personal sobre la importancia de la información y de cómo controlar el acceso a la misma protegiéndola del acceso de terceros y su perdida.

6. Falta de seguridad en las instalaciones

Después de realizar un recorrido por la mayoría de áreas de la empresa EPENSA, se pudo observar que en el área de Soporte se encuentran apiñados los equipos (hardware) y varias cajas lo cual representa un peligro para todo el personal que trabaja en esta área. En el ANEXO se puede observar claramente lo mencionado.

De acuerdo a la norma ISO 17799:2005, en el dominio “Seguridad física y ambiental” y control “Áreas Seguras”; en la sección de “El trabajo en las áreas seguras” se especifica que “el personal debe ser consciente de la existencia de actividad en áreas seguras”.

El Área de Soporte fue diseñada inicialmente sin planificar la expansión que la Empresa iba a tener ni considerar que en un punto en sus operaciones el área se encontraría poblada de hardware en desuso o que presenten fallas.

Las rumas de cajas, apiñamiento de los equipos (hardware) malogrados los cuales ocasionan un serio peligro en caso de un terremoto o siniestro lo cual ocasionaría que los recursos humanos (personal) sean lastimados o gravemente heridos.

Se recomienda al Área de Soporte realizar una depuración de los equipos malogrados o en desuso para así disminuir la cantidad de ellos, así como de manejar un mayor orden en los equipos.

60

auditoria

Documents

institucin y

los sistemas

informtica y estadstica

verificacin y anlisis

educar y servir

eficiencia y calidad

veracidad y objetividad

control interno y luego