SEGURIDAD EN ENTORNOS DE TI
Enviado por Laliinky • 3 de Febrero de 2022 • Ensayo • 1.654 Palabras (7 Páginas) • 100 Visitas
[pic 1]
SEGURIDAD EN ENTORNOS
DE TI
[pic 2]
Alumna: Ana Luisa Vera Moran Prof. Arturo Corichi Guerrero Fecha: 06 Julio 2017
Introducción
Esta herramienta de análisis se utiliza como técnica para determinar cuáles son los riesgos que la auditoria debe cubrir de forma obligatoria, cuales dependen de la intención del ente y cuales son susceptibles de asumir.
Es un proceso para filtrar de los riesgos del negocio aquellos que por efectiva implementación por parte del ente son controlado, quedando a cargo de la auditoria los riesgos no controlados. Su inclusión en una matriz surge de la combinación de la importancia relativa del riesgo y de su grado de probabilidad de ocurrencia.
Hoy en día los sistemas de información son el alma de las organizaciones o empresas, dejando caer toda la responsabilidad sobre los sistemas, datos e información. Mismos que se pueden encontrar asechados por una serie de riesgos que son una amenaza constante para la organización.
Instrucciones
Desarrollar 3 ejemplos de los riesgos (Alto, Medio, Bajo) de cada uno de los 5 elementos que componen un sistema de cómputo (Hardware, Software, Datos, Procesos, Recursos Humanos), para posteriormente graficarlos en una matriz de riesgos.
Desarrollo
El proceso de análisis de riesgos requiere que el conjunto de riesgos pertenezca al mismo contexto organización y/o área, de tal forma que los resultados obtenidos permitan establecer controles tanto generales y específicos, por ello en este análisis se delimitara a la seguridad de la información del departamento de Mesa de Ayuda de la Empresa Shering&Ploug en la que laboro, dentro de esta área se utiliza un sistema de Help Desk por medio del cual se atienden los tickets de soporte de los usuarios de las diferentes áreas de la empresa; sin embargo existen muchas deficiencias, vulnerabilidades y riesgos en la seguridad del sistema y del proceso de soporte las cuales menciono a continuación:
Elementos | Alto | Medio | Bajo |
Hardware | El servidor del sistema de HelpDesk no se | El servidor del sistema de HelpDesk no cuenta | El servidor del sistema de HelpDesk solo |
encuentra dentro del site | con programación de respaldo periódico | cuenta con una tarjeta de red | |
Software | El sistema operativo no cuenta con actualizaciones desde que se instaló hace 3 años | El sistema de Help Desk no cuenta con licenciamiento correcto para el Servidor Websphere | No existen procesos de mantenimiento del sistema ni de depuración |
Datos | La cuenta de administración del sistema es conocida por todos y no existe ningún resguardo de ella | La información de los catálogos esta desactualizada y existen mucho problemas debido a ello | Los usuarios pueden acceder a los tickets de otros usuarios sin autorización |
Procesos | El sistema no cuenta con los roles correctos para el funcionamiento (Falta Rol de supervisor) | El personal de soporte comparte la información de los usuarios libremente | El sistema puede accederse a través de la extranet |
Recurso Humanos | El personal de soporte puede hacer uso de las contraseñas de usuarios | No existe reglas sobre el cuidado y uso de la información e los usuarios | El personal del área de soporte no cuenta con capacitación sobre el uso del sistema |
Así también se ha tenido que desarrollar las siguientes definiciones sobre los valores nominales de impacto, las cuales se basaron de acuerdo al nivel de afectación de la situación:
Nivel de impacto | Descripción |
Catastrófico | Perdida completa de información o material, afectando al sistema en su totalidad. |
Critico | Posibilidad de pérdida de información o material de forma moderada, la cual se debe dar pronta solución para que el sistema funcione. |
Moderado | Implica problemas no significativos, que se pueden solucionar sin afectar al sistema. |
Marginal | El impacto es leve en el funcionamiento del sistema. |
Despreciable | No existe influencia negativa, es decir no hay afectación al sistema. |
Para calificar la probabilidad se ha considerado el historial de incidentes del sistema de acuerdo a los 3 años que el sistema tiene uso; sin embargo, en algunos casos no existen evidencias de que las situaciones de vulnerabilidad se hayan presentado anteriormente, por lo que la evaluación fue evaluada de forma estimativa por los ingenieros de soporte.
Probabilidad | Descripción |
Cierto | Probabilidad muy alta |
Probable | Probabilidad alta |
Posible | Probabilidad media |
Improbable | Probabilidad baja |
Excepcional | Caso especialmente raro que ocurriera |
De acuerdo con las vulnerabilidades encontradas a continuación se definirá el riesgo de cada una detallando la causa raíz y su consecuencia.
N | Categoría | Descripción de la vulnerabilidad | Descripción del riesgo | Probabilidad | Impacto |
1 | Hardware | Saturación de almacenamiento del servidor | Que no se guardan, o no se pueden subir a sistema las evidencias de las responsivas de la transferencia de activo fijo. | Posible | Critico |
2 | Hardware | No se les de mantenimiento a los UPS regularmente antes de que comiencen a fallar las baterías. | No contar con UPS podría ocasionar perdidas de información cuando hay picos y variaciones de voltaje. | Improbable | Critico |
...