auditoria textil 25-10-2006
DESCRIPTION
Trabajo final de AuditoriaTRANSCRIPT
UNIVERSIDAD NACIONAL DE INGENIERIA
Facultad de Ingeniería Industrial y de
Sistemas
ALUMNOS :VERA OLIVERA, DAVIDRIVERA PEREZ, CHRISTIAN
CURSO :
Auditoria de Sistemas
PROFESOR :Ing. Carlos Trigo
2006 - II
ESTUDIO DE EVALUACION DE RIESGOS DE LA EMPRESA TEXTIL
SUMIT S.A.C.
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
INDICE
I. ANTECEDENTES DE LA EMPRESA
II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
1. IDENTIFICACION DE ACTIVOS DE HARDWARE,
SOFTWARE Y REDES
2. IDENTIFICACION DE ACTIVOS PARA PERSONAS
3. IDENTIFICACION DE ACTIVOS PARA
PROCEDIMIENTOS
4. IDENTIFICACION DE ACTIVOS PARA DATOS
III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN
1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y
REDES
2. ANALISIS DE ACTIVOS DE PERSONAS
3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOS
4. ANALISIS DE ACTIVOS PARA DATOS
IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN
V. AUTORIZACIÓN
VI. IDENTIFICACIÓN DE AMENAZAS
VII.CATEGORIZACIÓN DE COMPONENTES
VIII. LISTA DE VULNERABILIDADES
IX. EVALUACIÓN DE RIESGOS
X. SALVAGUARDAS
XI. VULNERABILIDADES Y SALVAGUARDAS
Auditoria de Sistemas Pág. 1
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS PARA LA EMPRESA
TEXTIL SUMIT S.A.C
I. ANTECEDENTES DE LA EMPRESA
SUMIT SAC es una empresa de confecciones parte de un Consorcio
Textil radicada en la ciudad de Lima que inicia sus operaciones en 1992,
con la intención de producir prendas de vestir en tejido de punto para
exportación. Las prendas que produce son a base de hilados de
algodón : Pima y Tanguis; así como mezclas con poliéster, de este modo
damos mas variedad al producto que ofrecemos. A la fecha cuenta con
tres plantas industriales. Tejeduría, con protección contra la
contaminación Tintorería ,con moderno equipo de laboratorio.
Confección, con producción flexible, ofreciendo variedad de diseños.
Cumplen individualmente y en detalle con las cantidades requeridas por
talla y color, en cada periodo de entrega, plazo, etc.) y adornados con
por ejemplo: bordado, appliqués y estampados.
Sumit es una empresa bien posicionada en el mercado peruano, que
cuenta con una sólida cartera de clientes obtenida gracias a su
puntualidad y eficiencia. Entre ellos están Oakley, Guess, Zara,
Marmaxx, Sara Lee, Esprit. Los 13 años que lleva en el mercado textil
peruano respaldan la calidad de los productos que ofrecen a sus
clientes. Sus productos se basan en la moda casual, ya sean t-shirts,
polos box, tanks, pantalones cortos y largos, todos en la calidad de
tejido de punto. Estan en capacidad de desarrollar cualquier
requerimiento solicitado por sus clientes: su Unidad de Desarrollo de
Producto está totalmente equipada y tiene profesionales de alta
competitividad. De igual manera llevan a cabo los artes diseñados en
las prendas (estampados, bordados o aplicaciones), así como lavados u
otros procesos que sean requeridos
Auditoria de Sistemas Pág. 2
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
1. IDENTIFICACION DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES
Hardware:
CANTIDAD
DISPOSITIVO
DESCRIPCIÓN FUNCION
1 SERVIDOR HP, 3Ghz, 80Gb Servidor de Datos1 SERVIDOR HP, 3Ghz, 80Gb Servidor de Correos1 SERVIDOR HP, 3Ghz, 60Gb Servidor Proxy
28 PC COMPATIBLE, 800 Mhz, 20Gb
Estaciones de trabajo, no tienen todos los DES
19 PC COMPATIBLE, 1000 Mhz, 40Gb
Estaciones de trabajo, no tienen todos los DES
15 PC COMPATIBLE, 1.2 GHz, 60Gb
Estaciones de trabajo, no tienen todos los DES
Software:
NOMBRE TIPONº DE
LICENCIASDESCRIPCIÓN
WINDOWS 2003 SERVER
SO 3Uso de sistema operativo de los servidores.
WINDOWS XP PROFESSIONAL
SO 10Uso de sistema operativo de la estación de trabajo.
MS SQL SERVER 2000
AP 2Manejador de Base de datos empresarial.
MS OFFICE 2003 AP 1Uso ofimática de la estación de trabajo.
MS VISUAL STUDIO .NET 2003
AP 1Uso de herramienta de desarrollo del sistema de la empresa.
NOD32 ANTIVIRUS SYSTEM
CS 1Protección de ataque de virus a las herramientas de trabajo a la estación de trabajo.
MOZILLA THUNDERBIRD
AP 0Uso de correo electrónico interno de la empresa.
INFORGEST AP 0Sistema integrado para los procesos de la empresa.
TOOLS AP 0Sistema para desarrollo y mantenimiento del ERP.
LECTRA AP 5El software que ayuda al proceso de moldaje.
SO: SISTEMA OPERATOAP: APLICACIÓNCS: COMPONENTE DE SEGURIDAD
Auditoria de Sistemas Pág. 3
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Redes:
CANTIDAD DISPOSITIVO
DESCRIPCIÓN FUNCION
2 RouterZyxel, Interface UTP, 4
puertos.
Provee la conectividad de la LAN a Internet (Usan tecnología Ethernet, protocolo de red TCP/IP).
5 SwitchD-Link, Ethernet 10/100 Mbps, 16
puertos UTP.
Conecta los Routers con los otros switches y estaciones de trabajo.
2. IDENTIFICACION DE ACTIVOS PARA PERSONAS Personas que interactúan con la información de la empresa:
PERSONAS NUMERO DESCRIPCIÓNADMINISTRATIVOS 8 CONFIABLESEMPLEADOS 44 CONFIABLESDIGITADORES 10 NO CONFIABLES
3. IDENTIFICACION DE ACTIVOS PARA PROCEDIMIENTOS
Procedimiento Tipo RelaciónAlmacenada
como referencia
Almacenado en caso de
actualización
Documentación de las transacciones de venta.
PTN
Con los módulos de: Logística, Contabilidad y Ventas.
Área de Administración.
En el Área de Comercialización y el Área de Sistemas de la empresa.
Documentación de las transacciones de los inventarios de los avios, hilos y telas.
PTN
Con los módulos de: Venta, Compras, Contabilidad y Almacén.
Área de Administración.
En el Área de Logística y el Área de Sistemas de la empresa.
Documentación de las transacciones de caja contable.
PTN
Con los módulos de: Logística, RR. HH., Ventas y Compras.
Área de Administración.
En el Área de Contabilidad y el Área de Sistemas de la empresa.
Documentación de las fichas técnicas de prenda.
PTN
Con los módulos de: Almacén, Producción y Desarrollo.
Área de Administración.
En el Área de Producción y el Área de Sistemas de la empresa.
Documentación de las transacciones compra.
PTN
Con los módulos de: Logística, Contabilidad y Compras.
Área de Administración.
En el Área de Contabilidad y el Área de Sistemas de la empresa.
Documentación de los roles y las funciones de las autoridades
PSN
A todo el personal de la empresa SUMIT S.A.C.
Área de Administración.
En el Área de Administración y el Área de Recursos Humanos
Documentación de PSN A todo el Área de La comisión
Auditoria de Sistemas Pág. 4
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
las reglas y políticas de las de empresa.
personal de la empresa SUMIT S.A.C.
Administración.encargada de la empresa.
Documentación del balance contable y estado de G/P por año.
PSNSolo al personal del Área Contable y Administración
Área de Administración.
En el Área de Contabilidad y el centro de cómputo de la empresa.
Administración y mantenimiento de los Sistemas Operativos.
PTIÁrea de Centro de Computo y Soporte Técnico
Área de Sistemas
Área de Sistemas
Administración y Mantenimiento de los sistemas y/o aplicativos.
PTIÁrea de Centro de Computo y Soporte Técnico
Área de Sistemas
Área de Sistemas
Vigilancia de las herramientas de trabajo.
PTI Soporte Técnico Soporte Técnico Área de Sistemas
PTI: PROCEDIMIENTOS CON TIPSN: PROCEDIMIENTOS STANDARES DEL NEGOCIOPTN: PROCEDIMIENTOS DE TRANSACCIONES DEL NEGOCIO
4. IDENTIFICACION DE ACTIVOS PARA DATOS
Nombre del Sistema : Módulo del Sistema de VentasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David VeraActivos de InformaciónInformación en ProcesamientoRecepción de Pedido de Clientes - Consulta al módulo de producción para atención de pedidoElaboración de Factura - Almacenamiento de factura Realizar Cobranzas a Clientes - Actualización de información de clientes y módulo de ventas Entrega de Pedidos a Clientes - Almacén despacha factura
Nombre del Sistema : Módulo del Sistema de ComprasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en ProcesamientoElaboración de Pedido a Proveedores - Consulta al módulo de almacén para elaborar requerimientoElaboración de Documentos de Pago – Almacenamiento de documento de pagoRealizar Pagos a Proveedores - Actualización de información de proveedores y módulo de compras Entrega de Pedidos a Almacén - Almacén despacha vale de recepción
Nombre del Sistema : Módulo del Sistema de ContabilidadFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David Vera Olivera
Auditoria de Sistemas Pág. 5
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Activos de InformaciónInformación en AlmacenamientoConsulta de Módulos de Ventas y Compras - Cargado de documentos al módulo de contabilidad Validación de Información Ingresada con Balance General - Consulta de información en el módulo de contabilidadElaboración de Informes Contables y Financieros - Entrega de documentos a administrativos
Nombre del Sistema : Módulo del Sistema de ProducciónFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en ProcesamientoIngreso de Ficha Técnica de Producto - Cargado de datos al módulo de producción y desarrollo Generación de Documentos de Control de Producción – Consultas, cargado y actualización de módulo de producciónMonitoreo de Avance de los Productos del Pedido – Actualización de módulo de producción y demás relacionadosEntrega de Pedido a Almacén – Cargado de datos al módulo de almacén
III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN
1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES
Hardware: Por inoperatividad del hardware
DESCRIPCIÓNIMPACTO A LA RENTABILIDAD
Servidores ALTOEstaciones de trabajo MEDIODispositivos de E/S conectados a estaciones de trabajo
BAJO
Software: Por inoperatividad del software
NOMBRE DESCRIPCIÓNIMPACTO A LA RENTABILIDA
DWINDOWS 2003
SERVERUso de sistema operativo de los servidores.
ALTO
WINDOWS XP PROFESSIONAL
Uso de sistema operativo de la estación de trabajo.
MEDIO
MS SQL SERVER 2000Manejador de Base de datos empresarial.
MEDIO
MS OFFICE 2003Uso ofimática de la estación de trabajo.
BAJO
MS VISUAL STUDIO .NET 2003
Uso de herramienta de desarrollo del sistema de la empresa.
MEDIO
NOD32 ANTIVIRUS Protección de ataque de ALTO
Auditoria de Sistemas Pág. 6
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
SYSTEMvirus a las herramientas de trabajo a la estación de trabajo.
MOZILLA THUNDERBIRDUso de correo electrónico interno de la empresa.
BAJO
INFORGESTSistema integrado para los procesos de la empresa.
ALTO
TOOLSSistema para desarrollo y mantenimiento del ERP.
MEDIO
LECTRAEl software que ayuda al proceso de moldaje.
MEDIO
Redes: Por inoperatividad del dispositivos de red
DISPOSITIVO
DESCRIPCIÓN
IMPACTO A LA
RENTABILIDAD
RouterProvee la conectividad de la LAN a Internet (Usan tecnología Ethernet, protocolo de red)
ALTO
SwitchConecta los Routers con los otros switches y estaciones de trabajo.
ALTO
2. ANALISIS DE ACTIVOS DE PERSONAS
Por malas practicas de Seguridad de la información:
PERSONAS DESCRIPCIÓNIMPACTO A LA RENTABILIDAD
Administradores Confiables MEDIOEmpleados Confiables MEDIODigitadores No Confiables ALTO
3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOSPor malas practicas en la ejecución de procedimientos que afectan el contenido de los documentos:
PROCEDIMIENTO RELACIÓNIMPACTO A LA RENTABILIDAD
Documentación de las transacciones de venta.
Con los módulos de: Logística, Contabilidad y Ventas.
ALTO
Documentación de las transacciones de los inventarios de los avios, hilos y telas.
Con los módulos de: Venta, Compras, Contabilidad y Almacén.
MEDIO
Documentación de las transacciones de caja contable.
Con los módulos de: Logística, RR. HH., Ventas y Compras.
ALTO
Documentación de las fichas técnicas
Con los módulos de: Almacén, Producción y
MEDIO
Auditoria de Sistemas Pág. 7
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
de prenda. Desarrollo.Documentación de las transacciones compra.
Con los módulos de: Logística, Contabilidad y Compras.
MEDIO
Documentación de los roles y las funciones de las autoridades
A todo el personal de la empresa SUMIT S.A.C.
BAJO
Documentación de las reglas y políticas de las de empresa.
A todo el personal de la empresa SUMIT S.A.C.
BAJO
Documentación del balance contable y estado de G/P por año.
Solo al personal del Área Contable y Administración
ALTO
Administración y mantenimiento de los Sistemas Operativos.
Área de Centro de Computo y Soporte Técnico
MEDIO
Administración y Mantenimiento de los sistemas y/o aplicativos.
Área de Centro de Computo y Soporte Técnico
MEDIO
Vigilancia de las herramientas de trabajo.
Soporte Técnico MEDIO
4. ANALISIS DE ACTIVOS PARA DATOS
Por inoperatividad del sistema
Nombre del Sistema : Módulo del Sistema de VentasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David VeraActivos de InformaciónInformación en Procesamiento Clasificació
n de DatosImpacto a la Rentabilidad
Recepción de Pedido de Clientes - Consulta al módulo de producción para atención de pedido
Uso Interno ALTO
Elaboración de Factura - Almacenamiento de factura
Uso Interno ALTO
Realizar Cobranzas a Clientes - Actualización de información de clientes y módulo de ventas
Uso Interno ALTO
Entrega de Pedidos a Clientes - Almacén despacha factura
Uso Interno ALTO
Nombre del Sistema : Módulo del Sistema de ComprasFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en Procesamiento Clasificació Impacto a la
Auditoria de Sistemas Pág. 8
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
n de Datos RentabilidadElaboración de Pedido a Proveedores - Consulta al módulo de almacén para elaborar requerimiento
Uso Interno ALTO
Elaboración de Documentos de Pago – Almacenamiento de documento de pago
Uso Interno ALTO
Realizar Pagos a Proveedores - Actualización de información de proveedores y módulo de compras
Uso Interno ALTO
Entrega de Pedidos a Almacén - Almacén despacha vale de recepción
Uso Interno ALTO
Nombre del Sistema : Módulo del Sistema de ContabilidadFecha de Evaluación : 10 de Octubre del 2006Evaluado por : David Vera OliveraActivos de InformaciónInformación en Almacenamiento Clasificació
n de DatosImpacto a la Rentabilidad
Consulta de Módulos de Ventas y Compras - Cargado de documentos al módulo de contabilidad
Uso Interno ALTO
Validación de Información Ingresada con Balance General - Consulta de información en el módulo de contabilidad
Uso Interno ALTO
Elaboración de Informes Contables y Financieros - Entrega de documentos a administrativos
Uso Interno ALTO
Nombre del Sistema : Módulo del Sistema de ProducciónFecha de Evaluación : 10 de Octubre del 2006Evaluado por : Christian RiveraActivos de InformaciónInformación en Procesamiento Clasificació
n de DatosImpacto a la Rentabilidad
Ingreso de Ficha Técnica de Producto - Cargado de datos al módulo de producción y desarrollo
Uso Interno ALTO
Generación de Documentos de Control de Producción – Consultas, cargado y actualización de módulo de producción
Uso Interno ALTO
Monitoreo de Avance de los Productos del Pedido – Actualización de módulo de producción y demás relacionados
Uso Interno ALTO
Entrega de Pedido a Almacén – Cargado de datos al módulo de almacén
Uso Interno ALTO
IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN
ACTIVOS DE INFORMACIÓNInformación de VentasInformación de Compras
Auditoria de Sistemas Pág. 9
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Información de ContabilidadInformación de ProducciónInformación de LogísticaInformación de AlmacénInformación de RR. HH.
V. AUTORIZACIÓN
PUESTOS PLAZA NIVEL DE AUTORIZACIÓNAdministrativos 8 Confidencial, Uso Interno,
PublicaJefe de Almacén 1 Confidencial, Uso InternoJefe de Desarrollo 1 Confidencial, Uso InternoJefe de Producción 1 Confidencial, Uso InternoEmpleados 41 Uso InternoDigitadores 10 Uso InternoProveedores y Clientes 10 Publica
Confidencial: Relevante para el negocio y solo puede acceder a ella un grupo reservado de personas.Uso Interno: De uso para los miembros de la empresa.Publica: De uso para el publico externo a la empresa como por ejemplo clientes y proveedores.
VI. IDENTIFICACIÓN DE AMENAZAS
Identificación de todas las amenazas encontradas según el caso q podría ocurrir en cualquier momento a la empresa, en base al historial de la empresa.
Hardware:
ACTIVO AMENAZAS
SERVIDOR
Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.
Ataques deliberados al software: ataques de hackers: gusanos, troyanos, etc.
Fuerzas de la naturaleza: posible Incendio por desperfecto eléctrico, temblores de alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware.Actos deli-berados de robo.Obsolescencia tecnológica.
PC Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.
Ataques deliberados al software: ataques de ha-ckers: gusanos, troyanos, etc.
Fuerzas de la naturaleza: posible Incendio por desperfecto eléctrico.
Posible Temblores de alto grado en épocas de mo-vimientos sísmicos.
Fallas o errores técnicos de hardware.
Auditoria de Sistemas Pág. 10
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Actos deliberados de robo. Obsolescencia tecnológica.
MAQUINARIAS
Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.
Fuerzas de la naturaleza: posible Incendio por desperfecto eléctrico, temblores de alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware: fallas de fábrica
Actos de fallas o error humano: fallas por uso. Actos deliberados de robo. Obsolescencia tecnológica.
Software:
ACTIVO AMENAZAS
SISTEMAS OPERATIVOS
Ataques deliberados al software: ataques de ha-ckers: gusanos, troyanos, etc.
Obsolescencia tecnológica.
ANTIVIRUS Obsolescencia tecnológica. Compromisos de propiedad intelectual.
SISTEMAS Y/O APLICATIVOS
Ataques deliberados al software: destrucción o daño de los sistemas de información.
Actos deliberados de espionaje o traspaso: acceso no autorizado y/o recolección de datos indebido.
Actos deliberados de sabotaje o vandalismo.
Red:
ACTIVO AMENAZAS
ROUTERS, SWITCHES
Desviaciones en la calidad de proveedores servi-cios: corte súbito de electricidad que afecte las operaciones.
Fuerzas de la naturaleza: posible Incendio, tem-blores de alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware: fallas de fábrica
Actos deliberados de robo.
VII.CATEGORIZACIÓN DE COMPONENTESEn la tabla se muestra la categorización de los componentes, según los activos identificados con su clasificación de uso y las amenazas mas frecuentes encontradas en la empresa “SUMIT S.A.C.”
Categoriza-ción Compo-
nentes de Sis-temas
Inventario de Ac-tivos
Categoriza-ción
Identificación Amena-zas a los Activos Identi-
ficados
Auditoria de Sistemas Pág. 11
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Hardware, Software y
Redes
Servidor a la Base de Da-tos Uso Interno
Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.
Servidor de Correos Confidencial
Acceso lógico no autorizado con co-rrupción o destrucción de informa-ción en tránsito mediante mails in-ternos (reducción de integridad de información: sabotaje inmaterial, vi-rus)
Servidor Proxy Uso Interno
Acceso lógico no autorizado al con-trol del tipo de tráfico que fluye a través de la red (es decir, correo electrónico, paginas web, archivos de ftp, etc) y supervisión de la segu-ridad en la red.
PC para la estación de tra-bajo Confidencial
Acceso lógico no autorizado pasivo (lectura)
Windows 2003 Server Confidencial Manteniendo del Sistema Operativo
Windows XP Professional Pública Manteniendo del Sistema Operativo
MS SQL Server 200 PúblicaAcceso no autorizado y/o recolección de datos indebida.
MS Office 2003 Pública Manteniendo del Sistema Operativo MS Visual Studio .Net
2003 Uso Interno Manteniendo el Sistema Inforgest
NOD32 Antivirus System PúblicaProbabilidad de no detectar los cra-cker, virus, etc.
Mozzilla Thunderbird Uso InternoAtaques con Virus, Gusanos, Troya-nos, por Hacker.
Inforgest ConfidencialAcceso no autorizado y/o recolección de datos indebida.
Tools Confidencial Manteniendo el Sistema Inforgest
LECTRA ConfidencialAcceso no autorizado y/o recolección de datos indebida.
Routers y Switches Confidencial Falla en Equipos.Intranet (tecnología Ether-
net, protocolo de red TCP/IP)
PúblicaSecuencia o entrega de la informa-ción en tránsito
Internet para algunos tra-bajadores Pública
Secuencia o entrega de la informa-ción en tránsito
Personas
Administrativos de la em-presa Confidencial
Confidencialidad del conocimiento del negocio
Empleados de estación de la empresa Pública
Confidencialidad del conocimiento del negocio
Digitadores Uso InternoConfidencialidad del conocimiento del negocio
Procedimien-tos
Documentación de las transacciones de venta. Uso Interno
Falla en la actualización de los docu-mentos de ventas, cuando se realiza una actualización del sistema.
Documentación de las transacciones de los in-
ventarios de los avios, hi-los y telas.
Pública
Falla en la actualización de los docu-mentos de inventario, cuando se realiza un movimiento del compra/venta, en la actualización del siste-ma.
Documentación de las transacciones de caja con-
table.Pública
Error en los flujos de caja automati-zados, con los recibos recibidos por caja.
Documentación de las fi-chas técnicas de prenda. Pública
Error en la actualización de datos técnicos de ficha de una prenda del sistema.
Documentación de las transacciones compra. Uso Interno
Falla en la actualización de los docu-mentos de compras, cuando se reali-za una actualización del sistema.
Documentación de los ro-les y las funciones de las
autoridadesConfidencial
Acceso no autorizado y/o modifica-ción de datos indebida.
Documentación de las re-glas y políticas de las de Pública
Acceso no autorizado y/o modifica-ción de datos indebida.
Auditoria de Sistemas Pág. 12
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
empresa.Documentación del balan-ce contable y estado de
g/p por año.Confidencial
Error en los flujos de caja automati-zados, el estado de ganancia/perdi-da documentado.
Administración y manteni-miento de los Sistemas
Operativos.Uso Interno
Acceso lógico no autorizado inutiliza-ción por destrucción o robo (SW, procedimientos, etc.)
Administración y Mante-nimiento de los sistemas
y/o aplicativos.Uso Interno
Acceso lógico no autorizado con inu-tilización por destrucción o robo (SW, procedimientos, etc.)
Vigilancia de las herra-mientas de trabajo. Uso Interno
Acceso físico no autorizado con inu-tilización por destrucción o robo (HW, equipos, etc.)
Datos
Módulo del Sistema de Ventas Confidencial
Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.
Módulo del Sistema de Compras Confidencial
Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.
Módulo del Sistema de Contabilidad Confidencial
Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito.
Módulo del Sistema de Producción Confidencial
Acceso lógico no autorizado con mo-dificación (inserción, repetición) de información en tránsito
VIII. LISTA DE VULNERABILIDADES
Software:
AMENAZAS VULNERABILIDAD
Ataques deliberados al software - Ataques de programas maliciosos al sistema operativo.
Actos de fallas o error humano
- Error en el ingreso de datos que pueden afectar la integri-dad de la información.
- Fallas en el sistema por inade-cuadas configuraciones.
Fallas o errores técnicos de software
- Fallas de la plataforma y base de datos corregidas en los parches.
Desviaciones en la calidad deproveedores de servicios
- Inoperatividad de algunos procesos informáticos por errores internos del sistema empresarial.
- Baja capacidad del sistema de satisfacer los requerimientos de los usuarios.
- Diseño de procesos informáticos no óptimos lo cual genera demora en algunos procesos del negocio.
Espionaje o Traspaso
- Programas maliciosos instalados remota o localmente (programas de control remoto, grabadores de lo tecleado en la PC, etc.) pueden comprometer la información confidencial de
Auditoria de Sistemas Pág. 13
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
la empresa.- Mala cultura respecto a la
seguridad de la información por parte de los usuarios.
Personas:
AMENAZAS VULNERABILIDAD
Actos de fallas o error humano
- Error en el ingreso de datos que pueden afectar la integri-dad de la información.
- Fallas en el sistema por inadecuadas configuraciones.
Espionaje o Traspaso
- Personal que realiza servicios de terceros dentro de la empresa y que tienen acceso a información confidencial e interna de los sistemas.
Hardware:
- Servidor
AMENAZAS VULNERABILIDAD
Desviaciones en la calidad deproveedores de servicios
- Corte Súbito de Electricidad que afecte las operaciones en el sistema ERP.
Ataques deliberados al software- Ataques de Hackers, Ataques al
Servidor Interno (Intranet) usando Smurfing o Spoofing.
Fuerzas de la naturaleza
- Posible incendio por desperfecto eléctrico.
- Posibles temblores de alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware
- Fallas en hardware de fabrica
Actos de fallas o error humano - Fallas en hardware por su uso, inadecuadas configuraciones.
- PC:
AMENAZAS VULNERABILIDAD
Ataques deliberados al software - Ataques de Hackers: Gusanos, Troyanos, etc.
Fuerzas de la naturaleza
- Posible incendio por desperfecto eléctrico
- Posibles temblores de alto grado en épocas de movimientos sísmicos.
Auditoria de Sistemas Pág. 14
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Fallas o errores técnicos de hardware
- Fallas en hardware de fábrica.- Fallas en hardware por su uso,
inadecuadas configuraciones.
- Red: Routers y Switches
AMENAZAS VULNERABILIDAD
Espionaje o Traspaso
- Monitoreo de Red usando Sniffers, Scanners de Red, Actividades de rastreo de IP pueden revelar información Uso Interno.
Ataques deliberados al software
- Posibilidad de Ataques con Virus, Gusanos, Troyanos, por Hacker a cualquiera de estos activos de Networking, a sus sistemas operativos, procesadores; lo que causaría fallas de funcionamiento de la red y la caída de la seguridad de la red.
Desviaciones en la calidad deproveedores de servicios
- Corte súbito de electricidad.
Fuerzas de la naturaleza
- Posible Incendio por desperfecto eléctrico
- Posible Temblores de alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware
- Falla en Equipos.
IX. EVALUACIÓN DE RIESGOS
Software:
DESCRIPCION AMENAZA
ImpactoFrecuencia
por ocurrencia
Frecuencia por ocurrencia
AnualAtaques de programas maliciosos al sistema operativo.
30,000.001 cada 2 meses
6
Error en el ingreso de datos que pueden afectar la integridad de la información.
10.002 cada semana
104
Fallas de la plataforma y base de datos corregidas en los parches.
25,000.00 2 cada año 2
Inoperatividad de algunos procesos informáticos por errores internos del
30,000.00 1 al mes 12
Auditoria de Sistemas Pág. 15
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
sistema empresarial.Diseño de procesos informáticos no óptimos lo cual genera demora en algunos procesos del negocio.
5.00 10 al mes 120
Servidor:
DESCRIPCION AMENAZA
ImpactoFrecuencia
por ocurrencia
Frecuencia por ocurrencia
AnualPosible incendio por desperfecto eléctrico.
8,000.00 1 cada 3 años 0.33
Ataques de Hackers, ataques al Servidor Interno (Intranet) que aloja al Sistema ERP usando Smurfing o Spoofing.
40,000.001 vez cada 2
años0.5
Posibles temblores de alto grado en épocas de movimientos sísmicos.
8,000.001 vez cada 10
años0.1
Fallas en hardware de fabrica
4,000.001 vez cada 5
años0.2
Fallas en hardware por su uso, inadecuadas configuraciones.
2,000.001 vez cada 6
meses.2
PC:
DESCRIPCION AMENAZA
ImpactoFrecuencia
por ocurrencia
Frecuencia por ocurrencia
AnualAtaques de Hackers: Gusanos , Troyanos, etc.
1,000.00 1 por semana 52
Posible incendio por desperfecto eléctrico
35,000.001 vez cada 2
años0.5
Posibles temblores de alto grado en épocas de movimientos sísmicos.
35,00.001 vez cada 10
años0.1
Fallas en hardware de fabrica
10,000.001 vez cada 5
años0.2
Fallas en hardware por su uso, inadecuadas configuraciones.
3,000.001 vez cada 2
meses6
Red:
DESCRIPCION Impacto Frecuencia Frecuencia
Auditoria de Sistemas Pág. 16
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
AMENAZApor
ocurrenciapor ocurrencia
AnualMonitoreo de Red usando Sniffers, Scanners de Red, Actividades de rastreo de IP pueden revelar información Uso Interno.
2,000.001 cada 6 meses
2
Posibilidad de Ataques con Virus, Gusanos, Troyanos, por Hacker a cualquiera de estos activos de Networking, a sus sistemas operativos, procesadores; lo que causaría fallas de funcionamiento de la red y la caída de la seguridad de la red.
300.001 vez por
mes.12
Corte súbito de Electricidad
30.00 1 vez por mes 12
Posible incendio por desperfecto eléctrico
450.001 vez cada 6
meses2
Posibles temblores de alto grado en épocas de movimientos sísmicos.
450.001 vez cada 10
años0.1
Falla en Equipos.300.00
1 vez cada 4 meses
3
X. SALVAGUARDAS
Se lista las salvaguardas siguientes:
Salvaguardas
Mantenimiento preventivo de instalaciones eléctricas.
Ubicación de extinguidores y detectores de humo en zonas po-tenciales de recarga eléctrica. Adquisición de un IDS.
Programa de Concientización a los usuarios sobre las implican-cias económicas y de imagen por esta naturaleza de fallas.
Designación de la labor de vigilancia de parches y actualizacio-nes para los softwares que maneja la empresa.
Estandarización de los procesos alternativos en caso de inope-ratividad del sistema para disminuir tiempos de corrección y actualización de información en el sistema.
Auditoria de Sistemas Pág. 17
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
Alquilar un local usarlo de modo alterno en épocas cercanas a predicciones de desastres y un plan de salida del local oficial y de traslado de los activos.
Realizar un estudio de la calidad de los proveedores para tener una cartera de proveedores fiables.
Capacitación al personal encargado de las configuraciones.Instalación de Programas de Protección y Antivirus y actualiza-ciones oportunas.Adquisición de generador eléctrico y UPS’s.Capacitación al personal encargado de diseñar procesos infor-máticosPoseer equipos de reemplazo.
XI. VULNERABILIDADES Y SALVAGUARDAS
Vulnerabilidades Salvaguardas
Posible incendio por desperfecto eléctrico.
Mantenimiento preventivo de instalaciones eléctricas
Ubicación de extinguidores y detectores de humo en zonas potenciales de recarga eléctrica.
Ataques de Hackers, ataques al Servidor Interno (Intranet) que aloja al Sistema ERP usando Smurfing o Spoofing.
Adquisición de un IDS.
Error en el ingreso de datos que pueden afectar la integridad de la información.
Programa de Concientización a los usuarios sobre las implicancias económicas y de imagen por esta naturaleza de fallas.
Fallas de la plataforma y base de datos corregidas en los parches.
Designación de la labor de vigilancia de parches y actualizaciones para los softwares que maneja la empresa.
Inoperatividad de algunos procesos informáticos por errores internos del sistema empresarial.
Estandarización de los procesos alternativos en caso de inoperatividad del sistema para disminuir tiempos de corrección y actualización de información en el sistema.
Posibles temblores de alto grado en épocas de movimientos sísmicos.
Alquilar un local usarlo de modo alterno en épocas cercanas a predicciones de desastres y un plan de salida del local oficial y de traslado de los activos.
Fallas en hardware de fábrica.
Realizar un estudio de la calidad de los proveedores para tener una cartera de proveedores fiables.
Fallas en hardware por su uso, Capacitación al personal
Auditoria de Sistemas Pág. 18
UNIVERSIDAD NACIONAL DE INGENIERIAFacultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
inadecuadas configuraciones.encargado de las configuraciones.
Ataques de Hackers: Gusanos , Troyanos, etc.
Instalación de Programas de Protección y Antivirus y actualizaciones oportunas.
Monitoreo de Red usando Sniffers, Scanners de Red, Actividades de rastreo de IP pueden revelar información uso Interno.
Adquisición de un IDS.
Ataques de programas maliciosos al sistema operativo.
Adquisición de un IDS. Instalación de Programas de
Protección y Antivirus y actualizaciones oportunas.
Corte súbito de electricidad Adquisición de generador
eléctrico y UPS’s.
Diseño de procesos informáticos no óptimos lo cual genera demora en algunos procesos del negocio.
Capacitación al personal encargado de diseñar procesos informáticos
Falla en equipos de red. Poseer equipos de reemplazo.Posibilidad de Ataques con Virus, Gusanos, Troyanos, por Hacker a cualquiera de estos activos de Networking, a sus sistemas operativos, procesadores; lo que causaría fallas de funcionamiento de la red y la caída de la seguridad de la red.
Adquisición de un IDS. Instalación de Programas de
Protección y Antivirus y actualizaciones oportunas.
Auditoria de Sistemas Pág. 19