Caso Práctico - Magerit

AUDITORIA Y SEGURIDAD EN INFORMÁTICA

INTEGRANTES:
NELSON COQCHI APAZA – 10200092
ZÚÑIGA ACHULLI HAROLD – 12200180
Procesos del negocio

Proceso Descripción
Ventas Ventas de baterías a clientes
finales o distribuidores

Gestión de Almacén Para el control de los productos de

inventario y el seguimiento

Servicio Post Venta Instalación de equipos , asesorías

técnicas y revisiones
Inventario Activo
Nombre Descripción Categoría
Computadoras para los
Computadora Físico
empleados por departamento
Impresora Una impresora ubicada para
Físico
cada departamento

Puntos de red para computadoras

Punto de red Físico
e impresoras en la empresa

Fax y Fotocopiadora Fax ubicado en departamentos Físico

Scanner Para uso de los empleados Físico

Módem para la conexión a
Módem Físico
internet
Sistema para registrar y administrar
Sistema de ventas Aplicación
las ventas de la empresa
Repositorio de datos con
Base de datos información de la empresa y Datos
clientes

Sistema de administración de la
Sistema Contable Aplicación
contabilidad de la empresa
ESTIMACION DE RIESGO

IMPACTO PROBABILIDAD SEVERIDAD

A: ALTO (3) A: PROBABLE(3) A: IMPORTANTE

M: MEDIO(2) M: POSIBLE(2) M: APRECIABLE

B: BAJO(1) B: POCO PROBABLE(1) B: BAJO

 Riesgo o amenaza Código Impacto Probabilidad Severidad

Existe riesgo de incendio

RC1 A M M
para las computadoras

COMPUTADORA
Riesgo de robo por la
RC2 B B B
zona de los locales

Riesgo de pérdida de
RC3 M M A
datos importantes

Existe riesgo de uso para

fines que no
RI1 M A M
corresponden al trabajo
de la empresa

IIMPRESORA
Riesgo de
malfuncionamiento
RI2 M M B
debido a mala
configuración
Existe riesgo de robo por
RI3 A M M
su libre acceso

Existe riesgo de daño a

RPR1 A M M
los puntos de red
PUNTO DE RED

Riesgo de
malfuncionamiento
RPR2 A B M
debido a mala
configuración
Existe riesgo de uso
indebido por dispositivos RPR3 B A B
ajenos a los de la empresa
 Riesgo de mal funcionamiento al ser
RFF1 A A A

FAX Y FOTOCOPIADORA
multifuncional
Problemas de funcionamiento
mediante usos que no son propios del RFF2 M B M
negocio.

Equipo inservible al caerse, si no se

encuentra ubicado en un lugar poco RFF3 B B B
transitado e inseguro

Problemas de funcionamiento
mediante usos que no son propios del RS1 B A B
negocio.

SCANNER
Riesgo a caerse si no se encuentra en
RS2 M A M
un lugar seguro.

Inoperatividad del equipo al no

RS3 M M A
contar con regulador de voltaje.

- RM1 M B M

Mal funcionamiento al no contar con

RM2 M M M
MODEM

regulador de voltaje.

Perdida del servicio de internet y/o

línea telefónica, por inoperatividad
del equipo al no contar con un RM3 M B A
módem de respaldo u otro modem
de otra compañía.
 Problemas de seguridad al no
contar con las actualizaciones del RSV1 A B B

SISTEMA DE VENTAS
sistema.

Problemas de funcionabilidad al RSV2

M B A
vencer la licencia

Multa por parte de INDECOPI al

usar software ilegal y/o no contar RSV3 M B A
con licencias originales

Servidor de base de datos

inoperativo ante la ausencia de un RBD1 M M A
regulador de voltaje

BASE DE DATOS
Robo de información por parte del
personal al no contar con políticas RBD2 B B B
de seguridad

Equipo vulnerable al no tener

actualizado el sistema operativo y
RBD3 M M A
el sistema gestor de base de
datos.

Problemas de seguridad al no
contar con las actualizaciones del RSC1 A B B
SISTEMA CONTABLE

sistema.

Problemas de funcionabilidad al
RSC2 M B A
vencer la licencia

Multa por parte de INDECOPI al

usar software ilegal y/o no contar RSC3 M B A
con licencias originales
Identificación y evaluación de
riesgos
Cód. Activo/ Recurso de Información
Riesgo Evaluación de Controles Prob. Imp. Severidad Tratamiento de Riesgo
Ref. Afectado

Existe riesgo de incendio Usar dispositivos

RC1 COMPUTADORA No existen controles 2 2 Moderado
para las computadoras reguladores de voltaje.
Riesgo de robo por la zona Contar con un servicio de
RC2 COMPUTADORA No existen controles 1 1 Bajo
de los locales seguridad
Gestión de acceso a
Riesgo de pérdida de datos
RC3 COMPUTADORA No existen controles 2 2 Alto información basado en
importantes
perfiles de usuarios
Uso de software que
Existe riesgo de uso para
mantenga un registro del
RI1 fines que no corresponden IMPRESORA No existen controles 3 3 Moderado
uso de las impresoras y
al trabajo de la empresa
genere reportes

Tener procedimientos
Riesgo de
documentados de las
RI2 malfuncionamiento debido IMPRESORA No existen controles 2 2 Bajo
configuraciones en el
a mala configuración
aspecto de redes

Existe riesgo de robo por su Contar con un servicio de

RI3 IMPRESORA No existen controles 2 2 Moderado
libre acceso seguridad

Existe riesgo de daño a los Monitoreo periódico de

RPR1 PUNTO DE RED No existen controles 2 2 Moderado
puntos de red los ítems en el inventario
 Riesgo de Tener procedimientos
RPR malfuncionamiento documentados de las
PUNTO DE RED No existen controles 1 1 Moderado
2 debido a mala configuraciones en el
configuración aspecto de redes

Existe riesgo de uso

Control de acceso a
RPR indebido por dispositivos
PUNTO DE RED No existen controles 3 3 Bajo internet mediante la
3 ajenos a los de la
infraestructura de red
empresa
Analizar los
requerimientos de la
Riesgo de mal
empresa y comprar
RFF1 funcionamiento al ser FAX Y No existen controles 3 3 Alto
productos que tengan
multifuncional FOTOCOPIADORA estándares de calidad
altos

Problemas de
funcionamiento Control de uso de los
RFF2 FAX Y No existen controles 1 1 Moderado
mediante usos que no elementos y regular de
son propios del negocio. FOTOCOPIADORA
acuerdo a los perfiles

Equipo inservible al Diseñar un plan acerca

caerse, si no se de la ubicación de los
RFF3 encuentra ubicado en FAX Y No existen controles 1 1 Bajo componentes de
un lugar poco transitado FOTOCOPIADORA hardware relacionados
e inseguro con tecnología.
 Problemas de
Control de uso de los
funcionamiento
No existen elementos y regular
RS1 mediante usos que no 3 3 Bajo
SCANNER controles de acuerdo a los
son propios del
perfiles
negocio.

Diseñar un plan
acerca de la
Riesgo a caerse si no se ubicación de los
No existen
RS2 encuentra en un lugar SCANNER 3 3 Moderado componentes de
controles
seguro. hardware
relacionados con
tecnología.

Inoperatividad del
Usar dispositivos
equipo al no contar No existen
RS3 SCANNER 2 2 Alto reguladores de
con regulador de controles
voltaje.
voltaje.
 Activo/ Recurso de
Cód. Severi
Riesgo Información Evaluación de Controles Prob. Imp. Tratamiento
Ref. dad
Afectado

1. Adquirir un regulador de voltaje, no solo para este equipo, sino para toda la
empresa. Con el fin de no dañar los aparatos e instalaciones.
Mal funcionamiento al no
RM2 No existen
contar con regulador de M M M
MODEM controles.
voltaje.

Perdida del servicio de 1. Contar con un modem de respaldo previamente configurado, para poder
internet y/o línea telefónica, reemplazarlo en caso el actual tenga inconvenientes.
RM3 por inoperatividad del equipo No existen
MODEM B M A
al no contar con un módem controles.
de respaldo u otro modem
de otra compañía.
1. Plantear políticas que nos permita tener el sistema actualizado, además de
los componentes de software de los cuales dependa, ejemplo.
Problemas de seguridad al no Actualización de la versión de Java.
SISTEMA DE No existen
contar con las M 2. Sistema de Antivirus actualizado con licencias originales.
RSV1 VENTAS controles. A B
actualizaciones del sistema.

1. Verificar cada cierto tiempo, la vigencia de la licencia del sistema de

RSV2 Problemas de funcionabilidad SISTEMA DE No existen ventas.
B M A 2. Establecer sistema de notificaciones ejemplo: google calendar
al vencer la licencia VENTAS controles.

1. Establecer políticas de seguridad, que permita que solo usuarios

Multa por parte de INDECOPI autorizados puedan instalar software de terceros con su respectiva licencia.
al usar software ilegal y/o no SISTEMA DE No existen 2. Establecer la verificación anual de los sistemas instalados, y verificar la
RSV3 B M A vigencia de las licencias.
contar con licencias VENTAS controles.
originales

1. almacenamiento remoto de copias de seguridad

Servidor de base de datos
No existen 2. almacenamiento interno de copias de seguridad
RBD1 inoperativo ante la ausencia BASE DE DATOS M M A
controles.
de un regulador de voltaje
Cód. Activo/ Recurso de Severida
Riesgo Evaluación de Controles Prob. Imp. Tratamiento
Ref. Información Afectado d

1. uso del servidor por personal calificado y autorizado

Robo de información por parte
RBD2 del personal al no contar con BASE DE DATOS No existen controles. B B A
políticas de seguridad

1. Implementación de firewall de base de datos (filtrar

Equipo vulnerable al no tener
actualizado el sistema
RBD3
operativo y el sistema gestor
de base de datos.
peticiones al sistema gestor de base de datos). Esto
permite bloquear las peticiones maliciosas y nos permite
llevar el monitoreo de las actividades como la
generación de bitácoras.
BASE DE DATOS No existen controles. M M A
Ejemplo de estos tenemos a:
. GreenSQL,
. Oracle Database Firewall

1. Plantear políticas que nos permita tener el sistema

actualizado, además de los componentes de software
Problemas de seguridad al no
de los cuales dependa, ejemplo. Actualización de la
RSC1 contar con las actualizaciones SISTEMA CONTABLE No existen controles. B A A
versión de Java.
del sistema.
2. Sistema de Antivirus actualizado con licencias originales.

1. Verificar cada cierto tiempo, la vigencia de la licencia

del sistema de ventas.
Problemas de funcionabilidad
RSC2 SISTEMA CONTABLE No existen controles. B M A 2. Establecer sistema de notificaciones ejemplo: google
al vencer la licencia
calendar

1. Establecer políticas de seguridad, que permita que solo

Multa por parte de INDECOPI
RSC3 al usar software ilegal y/o no
contar con licencias originales
usuarios autorizados puedan instalar software de terceros
con su respectiva licencia.
SISTEMA CONTABLE No existen controles. B M A
2. Establecer la verificación anual de los sistemas
instalados, y verificar la vigencia de las licencias.