Informe

Evaluación N°1
Asignatura: Seguridad y auditoria informática

Sección: 270

Nombre del docente: Javier Miles

Nombre de los integrantes del grupo: Carola Sanhueza, Álvaro Valenzuela y Daniel Olave

Contenido
Introducción................................................................................................................................................... 2
Desarrollo ...................................................................................................................................................... 3
Problema identificado ............................................................................................................................... 3
 Causas del problema ................................................................................................................................. 3
Origen del problema .................................................................................................................................. 3
Riesgos sobre la infraestructura TI de la empresa ................................................................................... 3
Activos ........................................................................................................................................................ 3
Niveles de riesgo ........................................................................................................................................ 4
Matriz de riesgo ......................................................................................................................................... 4
Ideas de resolución .................................................................................................................................... 4
Solución propuesta ..................................................................................... Error! Bookmark not defined.
Actividades a implementar ....................................................................................................................... 5
Conclusiones .................................................................................................................................................. 5
Referencias bibliográficas ............................................................................................................................. 5

Introducción
En este documento nos tocó analizar la situación de una empresa en base a su seguridad informática en
donde, dentro de los principales problemas a los que se enfrentaban era a un ataque informático en su
servidor Windows Serve 2008 y la filtración de su información de parte de sus extrabajadores.

El objetivo de este documento es identificar los problemas de esta empresa y dar una solución para que
estos no les vuelva a ocurrir. Identificando los riesgos importantes dentro de la organización y dar noción
de que se debe generar una escalabilidad simultanea entre el crecimiento de la empresa y la mejora en la
seguridad de su información digital, ya que al crecer como empresa y tener una cantidad importante de
información se vuelve un punto llamativo para personas maliciosas que se dediquen a lucrar o generar
daño al sustraer esta información.

|2
Desarrollo
Problema identificado

La empresa JETBACK LTDA tiene graves problemas de seguridad e integridad de su información, esto se
debe a que no existen procesos internos que monitoreen la seguridad de estos. Han ocurrido varios
incidentes relacionados a esta brecha de seguridad, ya sea por mal uso de parte de los empleados o por
motivos externos. Sin embargo, el incidente más grave ocurrió cuando se infectó uno de sus servidores
Windows Server 2008 que contenían información vital correspondiente a el departamento jurídico.

Causas del problema

1. El bajo dominio de las tecnologías específicas de la empresa como lo son sus servidores Windows
Server 2008, es una de las causas más importantes de este problema ya que estas tecnologías cuentan
con muchas características de seguridad las que permiten reducir los ciberataques, así como también
la perdida de información, pero él no aplicar estas medidas preventivas ocasiono problemas como lo
fue la infección de uno de los servidores.

2. Al no presentar un código de ética establecido que indique a sus empleados como deben actuar en lo
relacionado a principios apropiados para la empresa JETBACK LTDA, existe un gran riesgo de que se
pase a llevar su integridad, seguridad e imagen ya que los empleados pueden trabajar por cuenta
propia tomando las decisiones que a ellos le benefician, pero dejando de lado su importancia e impacto
para la empresa.

3. Sumado a lo dicho anteriormente, la empresa no cuenta con una estructura correcta para organizar
su información, provocando la incorrecta manipulación de archivos que son de carácter sensible
causando un desorden tanto para los trabajadores como para los documentos que maneja JETBACK
LTDA. Se dice que cualquier persona que sea trabajador, o que haya pertenecido a la empresa tiene
acceso a la documentación haciendo una mala manipulación de esta.

Origen del problema

El problema principal, el cual tiene que ver principalmente con la toma de decisiones dentro de la empresa,
fue el responsable de lo sucedido luego, como el ataque al servidor Windows server 2008 y las malas
acciones tomadas para sus empleados y/o exempleados. La empresa al no tomar buenas decisiones como
organización no lograron crear medidas para mejorar y perfeccionar su servidor Windows 2008 con
medidas optimas de seguridad según su crecimiento, como también así no tomar las medidas
correspondientes en cuanto a la selección e incorporación de sus empleados a la empresa.

Riesgos sobre la infraestructura TI de la empresa

Activos

• Departamento de Jurídico
• Departamento Contabilidad y Finanzas
• Departamento TI.
• Servidores (equipos)
|3
• Servidor (Windows Server 2008)
• Servidor Documental de Jurídico,
• Servidor de Sistema SAP
• Servidor de Dominio,
• Servidor de Intranet
• Servidor de Correo
• Redes de comunicación
Niveles de riesgo

Muy grave: Requiere medidas preventivas urgentes. No se debe iniciar el proyecto sin la aplicación de
medidas preventivas urgentes y sin acotar sólidamente el riesgo.

Importante: Medidas preventivas obligatorias. Se deben controlar fuertemente las variables de riesgo
durante el proyecto.

Apreciable: Estudiar económicamente si es posible introducir medidas preventivas para reducir el nivel de
riesgo. Si no fuera posible, mantener las variables controladas.

Marginal: Se vigilará, aunque no requiere medidas preventivas de partida.

Matriz de riesgo
Riesgo Probabilidad de que ocurra Impacto Nivel de riesgo

Corte de luz Media Muy alto Muy grave

Divulgación de la información Baja Alto Apreciable

Infiltración a los servidores Muy bajo Muy alto Importante

Perdida de información Muy bajo Muy alto Importante

Daño de equipos informáticos Media Baja Marginal

Interrupción de servicio de internet Media Medio Apreciable

Ciberataques Alto Alto Importante

Manipulación de la información Baja Muy alto Importante

Ideas de resolución

Para evitar que ocurran problemas como los estudiados se implementaran medidas preventivas tales como
la incorporación de métodos de seguridad dentro del servidor WS 2008, un sistema UPS para prevenir
posibles pérdidas de información y backup mensual en los principales servidores de la empresa.

|4
Actividades que implementar
1. Segmentar áreas de trabajo
2. Crear grupos de trabajo en Active Directory
3. Establecer privilegios de los grupos de trabajo
4. Implementar medidas de seguridad dentro del servidor WS 2008
5. Contratar servicio externo de almacenamiento
6. Programar backup mensuales en los servidores externos
7. Comprar e instalar UPS
8. Capacitar al personal

Recursos: Se estima que el tiempo de implementación total de la solución propuesta será de 6 meses y
estarán involucrados los encargados de áreas dentro de la empresa y los trabajadores que requieran
capacitación.

Conclusiones
A modo de conclusión, primeramente, analizamos el problema en todas sus aristas para de esta forma
tomar decisiones que de verdad ayudaran a la empresa, también nos dimos cuenta de que la empresa
contaba con muchos activos los cuales podían representar un riesgo grande a la empresa en el caso de
que fallaran, por ende, generamos una lista de ideas de resolución que se podrían ejecutar para evitar
este tipo de riesgos y que no afecten a la productividad en la organización en un futuro.

Como último punto generamos soluciones para evitar todo tipo de filtrado o robo de información,
ataques a su servidor, etc. Entre las cuales la más principal es generar cambios en la estructura de la
empresa segmentando las áreas de trabajo, los cuales se encargarán de gestionar, capacitar y contratar
personal, este punto es para nosotros uno de los más importantes, ya que es la base de donde se
comienza a potenciar una organización y el cuidado de la información.

Referencias bibliográficas
Ministerio de Hacienda y Administraciones Públicas, (2012). MAGERIT – versión 3.0 Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información. Recuperado de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri
t.html#.XPVKe4hKiUk

|5