auditoria textil 25-10-2006

28
UNIVERSIDAD NACIONAL DE INGENIERIA Facultad de Ingeniería Industrial y de Sistemas ALUMNOS : VERA OLIVERA, DAVID RIVERA PEREZ, CHRISTIAN CURSO : Auditoria de Sistemas PROFESOR : Ing. Carlos Trigo ESTUDIO DE EVALUACION DE RIESGOS DE LA EMPRESA TEXTIL SUMIT S.A.C.

Upload: api-3693824

Post on 07-Jun-2015

2.299 views

Category:

Documents


2 download

DESCRIPTION

Trabajo final de Auditoria

TRANSCRIPT

Page 1: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIA

Facultad de Ingeniería Industrial y de

Sistemas

ALUMNOS :VERA OLIVERA, DAVIDRIVERA PEREZ, CHRISTIAN

CURSO :

Auditoria de Sistemas

PROFESOR :Ing. Carlos Trigo

2006 - II

ESTUDIO DE EVALUACION DE RIESGOS DE LA EMPRESA TEXTIL

SUMIT S.A.C.

Page 2: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

INDICE

I. ANTECEDENTES DE LA EMPRESA

II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN

1. IDENTIFICACION DE ACTIVOS DE HARDWARE,

SOFTWARE Y REDES

2. IDENTIFICACION DE ACTIVOS PARA PERSONAS

3. IDENTIFICACION DE ACTIVOS PARA

PROCEDIMIENTOS

4. IDENTIFICACION DE ACTIVOS PARA DATOS

III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN

1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y

REDES

2. ANALISIS DE ACTIVOS DE PERSONAS

3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOS

4. ANALISIS DE ACTIVOS PARA DATOS

IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN

V. AUTORIZACIÓN

VI. IDENTIFICACIÓN DE AMENAZAS

VII.CATEGORIZACIÓN DE COMPONENTES

VIII. LISTA DE VULNERABILIDADES

IX. EVALUACIÓN DE RIESGOS

X. SALVAGUARDAS

XI. VULNERABILIDADES Y SALVAGUARDAS

Auditoria de Sistemas Pág. 1

Page 3: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS PARA LA EMPRESA

TEXTIL SUMIT S.A.C

I. ANTECEDENTES DE LA EMPRESA

SUMIT SAC es una empresa de confecciones parte de un Consorcio

Textil radicada en la ciudad de Lima que inicia sus operaciones en 1992,

con la intención de producir prendas de vestir en tejido de punto para

exportación. Las prendas que produce son a base de hilados de

algodón : Pima y Tanguis; así como mezclas con poliéster, de este modo

damos mas variedad al producto que ofrecemos. A la fecha cuenta con

tres plantas industriales. Tejeduría, con protección contra la

contaminación Tintorería ,con moderno equipo de laboratorio.

Confección, con producción flexible, ofreciendo variedad de diseños.

Cumplen individualmente y en detalle con las cantidades requeridas por

talla y color, en cada periodo de entrega, plazo, etc.) y adornados con

por ejemplo: bordado, appliqués y estampados.

Sumit es una empresa bien posicionada en el mercado peruano, que

cuenta con una sólida cartera de clientes obtenida gracias a su

puntualidad y eficiencia. Entre ellos están Oakley, Guess, Zara,

Marmaxx, Sara Lee, Esprit. Los 13 años que lleva en el mercado textil

peruano respaldan la calidad de los productos que ofrecen a sus

clientes. Sus productos se basan en la moda casual, ya sean t-shirts,

polos box, tanks, pantalones cortos y largos, todos en la calidad de

tejido de punto. Estan en capacidad de desarrollar cualquier

requerimiento solicitado por sus clientes: su Unidad de Desarrollo de

Producto está totalmente equipada y tiene profesionales de alta

competitividad. De igual manera llevan a cabo los artes diseñados en

las prendas (estampados, bordados o aplicaciones), así como lavados u

otros procesos que sean requeridos

Auditoria de Sistemas Pág. 2

Page 4: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN

1. IDENTIFICACION DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES

Hardware:

CANTIDAD

DISPOSITIVO

DESCRIPCIÓN FUNCION

1 SERVIDOR HP, 3Ghz, 80Gb Servidor de Datos1 SERVIDOR HP, 3Ghz, 80Gb Servidor de Correos1 SERVIDOR HP, 3Ghz, 60Gb Servidor Proxy

28 PC COMPATIBLE, 800 Mhz, 20Gb

Estaciones de trabajo, no tienen todos los DES

19 PC COMPATIBLE, 1000 Mhz, 40Gb

Estaciones de trabajo, no tienen todos los DES

15 PC COMPATIBLE, 1.2 GHz, 60Gb

Estaciones de trabajo, no tienen todos los DES

Software:

NOMBRE TIPONº DE

LICENCIASDESCRIPCIÓN

WINDOWS 2003 SERVER

SO 3Uso de sistema operativo de los servidores.

WINDOWS XP PROFESSIONAL

SO 10Uso de sistema operativo de la estación de trabajo.

MS SQL SERVER 2000

AP 2Manejador de Base de datos empresarial.

MS OFFICE 2003 AP 1Uso ofimática de la estación de trabajo.

MS VISUAL STUDIO .NET 2003

AP 1Uso de herramienta de desarrollo del sistema de la empresa.

NOD32 ANTIVIRUS SYSTEM

CS 1Protección de ataque de virus a las herramientas de trabajo a la estación de trabajo.

MOZILLA THUNDERBIRD

AP 0Uso de correo electrónico interno de la empresa.

INFORGEST AP 0Sistema integrado para los procesos de la empresa.

TOOLS AP 0Sistema para desarrollo y mantenimiento del ERP.

LECTRA AP 5El software que ayuda al proceso de moldaje.

SO: SISTEMA OPERATOAP: APLICACIÓNCS: COMPONENTE DE SEGURIDAD

Auditoria de Sistemas Pág. 3

Page 5: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Redes:

CANTIDAD DISPOSITIVO

DESCRIPCIÓN FUNCION

2 RouterZyxel, Interface UTP, 4

puertos.

Provee la conectividad de la LAN a Internet (Usan tecnología Ethernet, protocolo de red TCP/IP).

5 SwitchD-Link, Ethernet 10/100 Mbps, 16

puertos UTP.

Conecta los Routers con los otros switches y estaciones de trabajo.

2. IDENTIFICACION DE ACTIVOS PARA PERSONAS Personas que interactúan con la información de la empresa:

PERSONAS NUMERO DESCRIPCIÓNADMINISTRATIVOS 8 CONFIABLESEMPLEADOS 44 CONFIABLESDIGITADORES 10 NO CONFIABLES

3. IDENTIFICACION DE ACTIVOS PARA PROCEDIMIENTOS

Procedimiento Tipo RelaciónAlmacenada

como referencia

Almacenado en caso de

actualización

Documentación de las transacciones de venta.

PTN

Con los módulos de: Logística, Contabilidad y Ventas.

Área de Administración.

En el Área de Comercialización y el Área de Sistemas de la empresa.

Documentación de las transacciones de los inventarios de los avios, hilos y telas.

PTN

Con los módulos de: Venta, Compras, Contabilidad y Almacén.

Área de Administración.

En el Área de Logística y el Área de Sistemas de la empresa.

Documentación de las transacciones de caja contable.

PTN

Con los módulos de: Logística, RR. HH., Ventas y Compras.

Área de Administración.

En el Área de Contabilidad y el Área de Sistemas de la empresa.

Documentación de las fichas técnicas de prenda.

PTN

Con los módulos de: Almacén, Producción y Desarrollo.

Área de Administración.

En el Área de Producción y el Área de Sistemas de la empresa.

Documentación de las transacciones compra.

PTN

Con los módulos de: Logística, Contabilidad y Compras.

Área de Administración.

En el Área de Contabilidad y el Área de Sistemas de la empresa.

Documentación de los roles y las funciones de las autoridades

PSN

A todo el personal de la empresa SUMIT S.A.C.

Área de Administración.

En el Área de Administración y el Área de Recursos Humanos

Documentación de PSN A todo el Área de La comisión

Auditoria de Sistemas Pág. 4

Page 6: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

las reglas y políticas de las de empresa.

personal de la empresa SUMIT S.A.C.

Administración.encargada de la empresa.

Documentación del balance contable y estado de G/P por año.

PSNSolo al personal del Área Contable y Administración

Área de Administración.

En el Área de Contabilidad y el centro de cómputo de la empresa.

Administración y mantenimiento de los Sistemas Operativos.

PTIÁrea de Centro de Computo y Soporte Técnico

Área de Sistemas

Área de Sistemas

Administración y Mantenimiento de los sistemas y/o aplicativos.

PTIÁrea de Centro de Computo y Soporte Técnico

Área de Sistemas

Área de Sistemas

Vigilancia de las herramientas de trabajo.

PTI Soporte Técnico Soporte Técnico Área de Sistemas

PTI: PROCEDIMIENTOS CON TIPSN: PROCEDIMIENTOS STANDARES DEL NEGOCIOPTN: PROCEDIMIENTOS DE TRANSACCIONES DEL NEGOCIO

4. IDENTIFICACION DE ACTIVOS PARA DATOS

Nombre del Sistema : Módulo del Sistema de VentasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David VeraActivos de InformaciónInformación en ProcesamientoRecepción de Pedido de Clientes - Consulta al módulo de producción para atención de pedidoElaboración de Factura - Almacenamiento de factura Realizar Cobranzas a Clientes - Actualización de información de clientes y módulo de ventas Entrega de Pedidos a Clientes - Almacén despacha factura

Nombre del Sistema : Módulo del Sistema de ComprasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en ProcesamientoElaboración de Pedido a Proveedores - Consulta al módulo de almacén para elaborar requerimientoElaboración de Documentos de Pago – Almacenamiento de documento de pagoRealizar Pagos a Proveedores - Actualización de información de proveedores y módulo de compras Entrega de Pedidos a Almacén - Almacén despacha vale de recepción

Nombre del Sistema : Módulo del Sistema de ContabilidadFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David Vera Olivera

Auditoria de Sistemas Pág. 5

Page 7: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Activos de InformaciónInformación en AlmacenamientoConsulta de Módulos de Ventas y Compras - Cargado de documentos al módulo de contabilidad Validación de Información Ingresada con Balance General - Consulta de información en el módulo de contabilidadElaboración de Informes Contables y Financieros - Entrega de documentos a administrativos

Nombre del Sistema : Módulo del Sistema de ProducciónFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en ProcesamientoIngreso de Ficha Técnica de Producto - Cargado de datos al módulo de producción y desarrollo Generación de Documentos de Control de Producción – Consultas, cargado y actualización de módulo de producciónMonitoreo de Avance de los Productos del Pedido – Actualización de módulo de producción y demás relacionadosEntrega de Pedido a Almacén – Cargado de datos al módulo de almacén

III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN

1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES

Hardware: Por inoperatividad del hardware

DESCRIPCIÓNIMPACTO A LA RENTABILIDAD

Servidores ALTOEstaciones de trabajo MEDIODispositivos de E/S conectados a estaciones de trabajo

BAJO

Software: Por inoperatividad del software

NOMBRE DESCRIPCIÓNIMPACTO A LA RENTABILIDA

DWINDOWS 2003

SERVERUso de sistema operativo de los servidores.

ALTO

WINDOWS XP PROFESSIONAL

Uso de sistema operativo de la estación de trabajo.

MEDIO

MS SQL SERVER 2000Manejador de Base de datos empresarial.

MEDIO

MS OFFICE 2003Uso ofimática de la estación de trabajo.

BAJO

MS VISUAL STUDIO .NET 2003

Uso de herramienta de desarrollo del sistema de la empresa.

MEDIO

NOD32 ANTIVIRUS Protección de ataque de ALTO

Auditoria de Sistemas Pág. 6

Page 8: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

SYSTEMvirus a las herramientas de trabajo a la estación de trabajo.

MOZILLA THUNDERBIRDUso de correo electrónico interno de la empresa.

BAJO

INFORGESTSistema integrado para los procesos de la empresa.

ALTO

TOOLSSistema para desarrollo y mantenimiento del ERP.

MEDIO

LECTRAEl software que ayuda al proceso de moldaje.

MEDIO

Redes: Por inoperatividad del dispositivos de red

DISPOSITIVO

DESCRIPCIÓN

IMPACTO A LA

RENTABILIDAD

RouterProvee la conectividad de la LAN a Internet (Usan tecnología Ethernet, protocolo de red)

ALTO

SwitchConecta los Routers con los otros switches y estaciones de trabajo.

ALTO

2. ANALISIS DE ACTIVOS DE PERSONAS

Por malas practicas de Seguridad de la información:

PERSONAS DESCRIPCIÓNIMPACTO A LA RENTABILIDAD

Administradores Confiables MEDIOEmpleados Confiables MEDIODigitadores No Confiables ALTO

3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOSPor malas practicas en la ejecución de procedimientos que afectan el contenido de los documentos:

PROCEDIMIENTO RELACIÓNIMPACTO A LA RENTABILIDAD

Documentación de las transacciones de venta.

Con los módulos de: Logística, Contabilidad y Ventas.

ALTO

Documentación de las transacciones de los inventarios de los avios, hilos y telas.

Con los módulos de: Venta, Compras, Contabilidad y Almacén.

MEDIO

Documentación de las transacciones de caja contable.

Con los módulos de: Logística, RR. HH., Ventas y Compras.

ALTO

Documentación de las fichas técnicas

Con los módulos de: Almacén, Producción y

MEDIO

Auditoria de Sistemas Pág. 7

Page 9: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

de prenda. Desarrollo.Documentación de las transacciones compra.

Con los módulos de: Logística, Contabilidad y Compras.

MEDIO

Documentación de los roles y las funciones de las autoridades

A todo el personal de la empresa SUMIT S.A.C.

BAJO

Documentación de las reglas y políticas de las de empresa.

A todo el personal de la empresa SUMIT S.A.C.

BAJO

Documentación del balance contable y estado de G/P por año.

Solo al personal del Área Contable y Administración

ALTO

Administración y mantenimiento de los Sistemas Operativos.

Área de Centro de Computo y Soporte Técnico

MEDIO

Administración y Mantenimiento de los sistemas y/o aplicativos.

Área de Centro de Computo y Soporte Técnico

MEDIO

Vigilancia de las herramientas de trabajo.

Soporte Técnico MEDIO

4. ANALISIS DE ACTIVOS PARA DATOS

Por inoperatividad del sistema

Nombre del Sistema : Módulo del Sistema de VentasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David VeraActivos de InformaciónInformación en Procesamiento Clasificació

n de DatosImpacto a la Rentabilidad

Recepción de Pedido de Clientes - Consulta al módulo de producción para atención de pedido

Uso Interno ALTO

Elaboración de Factura - Almacenamiento de factura

Uso Interno ALTO

Realizar Cobranzas a Clientes - Actualización de información de clientes y módulo de ventas

Uso Interno ALTO

Entrega de Pedidos a Clientes - Almacén despacha factura

Uso Interno ALTO

Nombre del Sistema : Módulo del Sistema de ComprasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en Procesamiento Clasificació Impacto a la

Auditoria de Sistemas Pág. 8

Page 10: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

n de Datos RentabilidadElaboración de Pedido a Proveedores - Consulta al módulo de almacén para elaborar requerimiento

Uso Interno ALTO

Elaboración de Documentos de Pago – Almacenamiento de documento de pago

Uso Interno ALTO

Realizar Pagos a Proveedores - Actualización de información de proveedores y módulo de compras

Uso Interno ALTO

Entrega de Pedidos a Almacén - Almacén despacha vale de recepción

Uso Interno ALTO

Nombre del Sistema : Módulo del Sistema de ContabilidadFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David Vera OliveraActivos de InformaciónInformación en Almacenamiento Clasificació

n de DatosImpacto a la Rentabilidad

Consulta de Módulos de Ventas y Compras - Cargado de documentos al módulo de contabilidad

Uso Interno ALTO

Validación de Información Ingresada con Balance General - Consulta de información en el módulo de contabilidad

Uso Interno ALTO

Elaboración de Informes Contables y Financieros - Entrega de documentos a administrativos

Uso Interno ALTO

Nombre del Sistema : Módulo del Sistema de ProducciónFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en Procesamiento Clasificació

n de DatosImpacto a la Rentabilidad

Ingreso de Ficha Técnica de Producto - Cargado de datos al módulo de producción y desarrollo

Uso Interno ALTO

Generación de Documentos de Control de Producción – Consultas, cargado y actualización de módulo de producción

Uso Interno ALTO

Monitoreo de Avance de los Productos del Pedido – Actualización de módulo de producción y demás relacionados

Uso Interno ALTO

Entrega de Pedido a Almacén – Cargado de datos al módulo de almacén

Uso Interno ALTO

IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN

ACTIVOS DE INFORMACIÓNInformación de VentasInformación de Compras

Auditoria de Sistemas Pág. 9

Page 11: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Información de ContabilidadInformación de ProducciónInformación de LogísticaInformación de AlmacénInformación de RR. HH.

V. AUTORIZACIÓN

PUESTOS PLAZA NIVEL DE AUTORIZACIÓNAdministrativos 8 Confidencial, Uso Interno,

PublicaJefe de Almacén 1 Confidencial, Uso InternoJefe de Desarrollo 1 Confidencial, Uso InternoJefe de Producción 1 Confidencial, Uso InternoEmpleados 41 Uso InternoDigitadores 10 Uso InternoProveedores y Clientes 10 Publica

Confidencial: Relevante para el negocio y solo puede acceder a ella un grupo reservado de personas.Uso Interno: De uso para los miembros de la empresa.Publica: De uso para el publico externo a la empresa como por ejemplo clientes y proveedores.

VI. IDENTIFICACIÓN DE AMENAZAS

Identificación de todas las amenazas encontradas según el caso q podría ocurrir en cualquier momento a la empresa, en base al historial de la empresa.

Hardware:

ACTIVO AMENAZAS

SERVIDOR

Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.

Ataques deliberados al software: ataques de hackers: gusanos, troyanos, etc.

Fuerzas de la naturaleza: posible Incendio por desperfecto eléctrico, temblores de alto grado en épocas de movimientos sísmicos.

Fallas o errores técnicos de hardware.Actos deli-berados de robo.Obsolescencia tecnológica.

PC Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.

Ataques deliberados al software: ataques de ha-ckers: gusanos, troyanos, etc.

Fuerzas de la naturaleza: posible Incendio por desperfecto eléctrico.

Posible Temblores de alto grado en épocas de mo-vimientos sísmicos.

Fallas o errores técnicos de hardware.

Auditoria de Sistemas Pág. 10

Page 12: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Actos deliberados de robo. Obsolescencia tecnológica.

MAQUINARIAS

Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.

Fuerzas de la naturaleza: posible Incendio por desperfecto eléctrico, temblores de alto grado en épocas de movimientos sísmicos.

Fallas o errores técnicos de hardware: fallas de fábrica

Actos de fallas o error humano: fallas por uso. Actos deliberados de robo. Obsolescencia tecnológica.

Software:

ACTIVO AMENAZAS

SISTEMAS OPERATIVOS

Ataques deliberados al software: ataques de ha-ckers: gusanos, troyanos, etc.

Obsolescencia tecnológica.

ANTIVIRUS Obsolescencia tecnológica. Compromisos de propiedad intelectual.

SISTEMAS Y/O APLICATIVOS

Ataques deliberados al software: destrucción o daño de los sistemas de información.

Actos deliberados de espionaje o traspaso: acceso no autorizado y/o recolección de datos indebido.

Actos deliberados de sabotaje o vandalismo.

Red:

ACTIVO AMENAZAS

ROUTERS, SWITCHES

Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.

Fuerzas de la naturaleza: posible Incendio, tem-blores de alto grado en épocas de movimientos sísmicos.

Fallas o errores técnicos de hardware: fallas de fábrica

Actos deliberados de robo.

VII.CATEGORIZACIÓN DE COMPONENTESEn la tabla se muestra la categorización de los componentes, según los activos identificados con su clasificación de uso y las amenazas mas frecuentes encontradas en la empresa “SUMIT S.A.C.”

Categoriza-ción Compo-

nentes de Sis-temas

Inventario de Ac-tivos

Categoriza-ción

Identificación Amena-zas a los Activos Identi-

ficados

Auditoria de Sistemas Pág. 11

Page 13: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Hardware, Software y

Redes

Servidor a la Base de Da-tos Uso Interno

Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.

Servidor de Correos Confidencial

Acceso lógico no autorizado con co-rrupción o destrucción de informa-ción en tránsito mediante mails in-ternos (reducción de integridad de información: sabotaje inmaterial, vi-rus)

Servidor Proxy Uso Interno

Acceso lógico no autorizado al con-trol del tipo de tráfico que fluye a través de la red (es decir, correo electrónico, paginas web, archivos de ftp, etc) y supervisión de la segu-ridad en la red.

PC para la estación de tra-bajo Confidencial

Acceso lógico no autorizado pasivo (lectura)

Windows 2003 Server Confidencial Manteniendo del Sistema Operativo

Windows XP Professional Pública Manteniendo del Sistema Operativo

MS SQL Server 200 PúblicaAcceso no autorizado y/o recolección de datos indebida.

MS Office 2003 Pública Manteniendo del Sistema Operativo MS Visual Studio .Net

2003 Uso Interno Manteniendo el Sistema Inforgest

NOD32 Antivirus System PúblicaProbabilidad de no detectar los cra-cker, virus, etc.

Mozzilla Thunderbird Uso InternoAtaques con Virus, Gusanos, Troya-nos, por Hacker.

Inforgest ConfidencialAcceso no autorizado y/o recolección de datos indebida.

Tools Confidencial Manteniendo el Sistema Inforgest

LECTRA ConfidencialAcceso no autorizado y/o recolección de datos indebida.

Routers y Switches Confidencial Falla en Equipos.Intranet (tecnología Ether-

net, protocolo de red TCP/IP)

PúblicaSecuencia o entrega de la informa-ción en tránsito

Internet para algunos tra-bajadores Pública

Secuencia o entrega de la informa-ción en tránsito

Personas

Administrativos de la em-presa Confidencial

Confidencialidad del conocimiento del negocio

Empleados de estación de la empresa Pública

Confidencialidad del conocimiento del negocio

Digitadores Uso InternoConfidencialidad del conocimiento del negocio

Procedimien-tos

Documentación de las transacciones de venta. Uso Interno

Falla en la actualización de los docu-mentos de ventas, cuando se realiza una actualización del sistema.

Documentación de las transacciones de los in-

ventarios de los avios, hi-los y telas.

Pública

Falla en la actualización de los docu-mentos de inventario, cuando se realiza un movimiento del compra/venta, en la actualización del siste-ma.

Documentación de las transacciones de caja con-

table.Pública

Error en los flujos de caja automati-zados, con los recibos recibidos por caja.

Documentación de las fi-chas técnicas de prenda. Pública

Error en la actualización de datos técnicos de ficha de una prenda del sistema.

Documentación de las transacciones compra. Uso Interno

Falla en la actualización de los docu-mentos de compras, cuando se reali-za una actualización del sistema.

Documentación de los ro-les y las funciones de las

autoridadesConfidencial

Acceso no autorizado y/o modifica-ción de datos indebida.

Documentación de las re-glas y políticas de las de Pública

Acceso no autorizado y/o modifica-ción de datos indebida.

Auditoria de Sistemas Pág. 12

Page 14: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

empresa.Documentación del balan-ce contable y estado de

g/p por año.Confidencial

Error en los flujos de caja automati-zados, el estado de ganancia/perdi-da documentado.

Administración y manteni-miento de los Sistemas

Operativos.Uso Interno

Acceso lógico no autorizado inutiliza-ción por destrucción o robo (SW, procedimientos, etc.)

Administración y Mante-nimiento de los sistemas

y/o aplicativos.Uso Interno

Acceso lógico no autorizado con inu-tilización por destrucción o robo (SW, procedimientos, etc.)

Vigilancia de las herra-mientas de trabajo. Uso Interno

Acceso físico no autorizado con inu-tilización por destrucción o robo (HW, equipos, etc.)

Datos

Módulo del Sistema de Ventas Confidencial

Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.

Módulo del Sistema de Compras Confidencial

Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.

Módulo del Sistema de Contabilidad Confidencial

Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.

Módulo del Sistema de Producción Confidencial

Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito

VIII. LISTA DE VULNERABILIDADES

Software:

AMENAZAS VULNERABILIDAD

Ataques deliberados al software - Ataques de programas maliciosos al sistema operativo.

Actos de fallas o error humano

- Error en el ingreso de datos que pueden afectar la integri-dad de la información.

- Fallas en el sistema por inade-cuadas configuraciones.

Fallas o errores técnicos de software

- Fallas de la plataforma y base de datos corregidas en los parches.

Desviaciones en la calidad deproveedores de servicios

- Inoperatividad de algunos procesos informáticos por errores internos del sistema empresarial.

- Baja capacidad del sistema de satisfacer los requerimientos de los usuarios.

- Diseño de procesos informáticos no óptimos lo cual genera demora en algunos procesos del negocio.

Espionaje o Traspaso

- Programas maliciosos instalados remota o localmente (programas de control remoto, grabadores de lo tecleado en la PC, etc.) pueden comprometer la información confidencial de

Auditoria de Sistemas Pág. 13

Page 15: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

la empresa.- Mala cultura respecto a la

seguridad de la información por parte de los usuarios.

Personas:

AMENAZAS VULNERABILIDAD

Actos de fallas o error humano

- Error en el ingreso de datos que pueden afectar la integri-dad de la información.

- Fallas en el sistema por inadecuadas configuraciones.

Espionaje o Traspaso

- Personal que realiza servicios de terceros dentro de la empresa y que tienen acceso a información confidencial e interna de los sistemas.

Hardware:

- Servidor

AMENAZAS VULNERABILIDAD

Desviaciones en la calidad deproveedores de servicios

- Corte Súbito de Electricidad que afecte las operaciones en el sistema ERP.

Ataques deliberados al software- Ataques de Hackers, Ataques al

Servidor Interno (Intranet) usando Smurfing o Spoofing.

Fuerzas de la naturaleza

- Posible incendio por desperfecto eléctrico.

- Posibles temblores de alto grado en épocas de movimientos sísmicos.

Fallas o errores técnicos de hardware

- Fallas en hardware de fabrica

Actos de fallas o error humano - Fallas en hardware por su uso, inadecuadas configuraciones.

- PC:

AMENAZAS VULNERABILIDAD

Ataques deliberados al software - Ataques de Hackers: Gusanos, Troyanos, etc.

Fuerzas de la naturaleza

- Posible incendio por desperfecto eléctrico

- Posibles temblores de alto grado en épocas de movimientos sísmicos.

Auditoria de Sistemas Pág. 14

Page 16: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Fallas o errores técnicos de hardware

- Fallas en hardware de fábrica.- Fallas en hardware por su uso,

inadecuadas configuraciones.

- Red: Routers y Switches

AMENAZAS VULNERABILIDAD

Espionaje o Traspaso

- Monitoreo de Red usando Sniffers, Scanners de Red, Actividades de rastreo de IP pueden revelar información Uso Interno.

Ataques deliberados al software

- Posibilidad de Ataques con Virus, Gusanos, Troyanos, por Hacker a cualquiera de estos activos de Networking, a sus sistemas operativos, procesadores; lo que causaría fallas de funcionamiento de la red y la caída de la seguridad de la red.

Desviaciones en la calidad deproveedores de servicios

- Corte súbito de electricidad.

Fuerzas de la naturaleza

- Posible Incendio por desperfecto eléctrico

- Posible Temblores de alto grado en épocas de movimientos sísmicos.

Fallas o errores técnicos de hardware

- Falla en Equipos.

IX. EVALUACIÓN DE RIESGOS

Software:

DESCRIPCION AMENAZA

ImpactoFrecuencia

por ocurrencia

Frecuencia por ocurrencia

AnualAtaques de programas maliciosos al sistema operativo.

30,000.001 cada 2 meses

6

Error en el ingreso de datos que pueden afectar la integridad de la información.

10.002 cada semana

104

Fallas de la plataforma y base de datos corregidas en los parches.

25,000.00 2 cada año 2

Inoperatividad de algunos procesos informáticos por errores internos del

30,000.00 1 al mes 12

Auditoria de Sistemas Pág. 15

Page 17: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

sistema empresarial.Diseño de procesos informáticos no óptimos lo cual genera demora en algunos procesos del negocio.

5.00 10 al mes 120

Servidor:

DESCRIPCION AMENAZA

ImpactoFrecuencia

por ocurrencia

Frecuencia por ocurrencia

AnualPosible incendio por desperfecto eléctrico.

8,000.00 1 cada 3 años 0.33

Ataques de Hackers, ataques al Servidor Interno (Intranet) que aloja al Sistema ERP usando Smurfing o Spoofing.

40,000.001 vez cada 2

años0.5

Posibles temblores de alto grado en épocas de movimientos sísmicos.

8,000.001 vez cada 10

años0.1

Fallas en hardware de fabrica

4,000.001 vez cada 5

años0.2

Fallas en hardware por su uso, inadecuadas configuraciones.

2,000.001 vez cada 6

meses.2

PC:

DESCRIPCION AMENAZA

ImpactoFrecuencia

por ocurrencia

Frecuencia por ocurrencia

AnualAtaques de Hackers: Gusanos , Troyanos, etc.

1,000.00 1 por semana 52

Posible incendio por desperfecto eléctrico

35,000.001 vez cada 2

años0.5

Posibles temblores de alto grado en épocas de movimientos sísmicos.

35,00.001 vez cada 10

años0.1

Fallas en hardware de fabrica

10,000.001 vez cada 5

años0.2

Fallas en hardware por su uso, inadecuadas configuraciones.

3,000.001 vez cada 2

meses6

Red:

DESCRIPCION Impacto Frecuencia Frecuencia

Auditoria de Sistemas Pág. 16

Page 18: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

AMENAZApor

ocurrenciapor ocurrencia

AnualMonitoreo de Red usando Sniffers, Scanners de Red, Actividades de rastreo de IP pueden revelar información Uso Interno.

2,000.001 cada 6 meses

2

Posibilidad de Ataques con Virus, Gusanos, Troyanos, por Hacker a cualquiera de estos activos de Networking, a sus sistemas operativos, procesadores; lo que causaría fallas de funcionamiento de la red y la caída de la seguridad de la red.

300.001 vez por

mes.12

Corte súbito de Electricidad

30.00 1 vez por mes 12

Posible incendio por desperfecto eléctrico

450.001 vez cada 6

meses2

Posibles temblores de alto grado en épocas de movimientos sísmicos.

450.001 vez cada 10

años0.1

Falla en Equipos.300.00

1 vez cada 4 meses

3

X. SALVAGUARDAS

Se lista las salvaguardas siguientes:

Salvaguardas

Mantenimiento preventivo de instalaciones eléctricas.

Ubicación de extinguidores y detectores de humo en zonas po-tenciales de recarga eléctrica. Adquisición de un IDS.

Programa de Concientización a los usuarios sobre las implican-cias económicas y de imagen por esta naturaleza de fallas.

Designación de la labor de vigilancia de parches y actualizacio-nes para los softwares que maneja la empresa.

Estandarización de los procesos alternativos en caso de inope-ratividad del sistema para disminuir tiempos de corrección y actualización de información en el sistema.

Auditoria de Sistemas Pág. 17

Page 19: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

Alquilar un local usarlo de modo alterno en épocas cercanas a predicciones de desastres y un plan de salida del local oficial y de traslado de los activos.

Realizar un estudio de la calidad de los proveedores para tener una cartera de proveedores fiables.

Capacitación al personal encargado de las configuraciones.Instalación de Programas de Protección y Antivirus y actualiza-ciones oportunas.Adquisición de generador eléctrico y UPS’s.Capacitación al personal encargado de diseñar procesos infor-máticosPoseer equipos de reemplazo.

XI. VULNERABILIDADES Y SALVAGUARDAS

Vulnerabilidades Salvaguardas

Posible incendio por desperfecto eléctrico.

Mantenimiento preventivo de instalaciones eléctricas

Ubicación de extinguidores y detectores de humo en zonas potenciales de recarga eléctrica.

Ataques de Hackers, ataques al Servidor Interno (Intranet) que aloja al Sistema ERP usando Smurfing o Spoofing.

Adquisición de un IDS.

Error en el ingreso de datos que pueden afectar la integridad de la información.

Programa de Concientización a los usuarios sobre las implicancias económicas y de imagen por esta naturaleza de fallas.

Fallas de la plataforma y base de datos corregidas en los parches.

Designación de la labor de vigilancia de parches y actualizaciones para los softwares que maneja la empresa.

Inoperatividad de algunos procesos informáticos por errores internos del sistema empresarial.

Estandarización de los procesos alternativos en caso de inoperatividad del sistema para disminuir tiempos de corrección y actualización de información en el sistema.

Posibles temblores de alto grado en épocas de movimientos sísmicos.

Alquilar un local usarlo de modo alterno en épocas cercanas a predicciones de desastres y un plan de salida del local oficial y de traslado de los activos.

Fallas en hardware de fábrica.

Realizar un estudio de la calidad de los proveedores para tener una cartera de proveedores fiables.

Fallas en hardware por su uso, Capacitación al personal

Auditoria de Sistemas Pág. 18

Page 20: Auditoria Textil 25-10-2006

UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos

inadecuadas configuraciones.encargado de las configuraciones.

Ataques de Hackers: Gusanos , Troyanos, etc.

Instalación de Programas de Protección y Antivirus y actualizaciones oportunas.

Monitoreo de Red usando Sniffers, Scanners de Red, Actividades de rastreo de IP pueden revelar información uso Interno.

Adquisición de un IDS.

Ataques de programas maliciosos al sistema operativo.

Adquisición de un IDS. Instalación de Programas de

Protección y Antivirus y actualizaciones oportunas.

Corte súbito de electricidad Adquisición de generador

eléctrico y UPS’s.

Diseño de procesos informáticos no óptimos lo cual genera demora en algunos procesos del negocio.

Capacitación al personal encargado de diseñar procesos informáticos

Falla en equipos de red. Poseer equipos de reemplazo.Posibilidad de Ataques con Virus, Gusanos, Troyanos, por Hacker a cualquiera de estos activos de Networking, a sus sistemas operativos, procesadores; lo que causaría fallas de funcionamiento de la red y la caída de la seguridad de la red.

Adquisición de un IDS. Instalación de Programas de

Protección y Antivirus y actualizaciones oportunas.

Auditoria de Sistemas Pág. 19