CASO de estudio

La empresa Atoland S.A. , empresa que se dedica al sector financiero, específicamente a otorgar
préstamos al consumo, ha sufrido un marcado crecimiento en los últimos años. De acuerdo a lo
expresado por la gerencia, este crecimiento explosivo ha generado que la función TI de la empresa
fuese adaptándose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les
genera miedos a los gerentes respecto a la manera en la cual se está operando.

Para contar con una perfecta descripción de la situación actual y sus implicancias, han decidido
contratar a una empresa consultora para que releve y evalúe cómo está operando y se está
gestionando la función TI.

Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones respecto a los
procedimientos que se encuentran vigentes de hecho y cuál es la estructura:

 El personal de TI son 12 personas, incluido un gerente de área. A este gerente responden:

un administrador de base de datos, dos personas de soporte técnico, tres operadores, un
administrador de usuarios, un administrador de telecomunicaciones y tres programadores.

 Si bien cada persona tiene asignado su cargo, en la práctica las posiciones se

superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto genera un
conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas
que se presentan.

 La estructura de hardware es la siguiente: dos servidores Windows Server 2003, un

servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2
módems).

 Respecto al software se ha detectado: sistema operativo Windows 7, MS Office, DBMS

Oracle para Unix, sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado
“TotalOne” (del que se han adquirido tres módulos: contable, personal y activo fijo) y una
aplicación desarrollada por la empresa de gestión de créditos.

 Del relevamiento, también surgió que, exceptuando el software que se encuentra en el

servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con
licencia de uso. Respecto al software que no tenían esta licencia se comentó que dado el
entorno Linux es de software libre no es necesario contar con licencias de uso para el
mismo.

 La adjudicación de usuarios es realizada exclusivamente por el administrador de usuarios.

El procedimiento es el siguiente: en un formulario pre-impreso pre-numerado, en el cual el
usuario llena cuáles son sus datos y cuáles son las aplicaciones y funciones a las cuales
necesita tener acceso, luego se firma y se entrega al administrador. Este, en el correr del
día, asigna usuario y contraseña y se la comunica al usuario para que pueda empezar a
trabajar.

 Todos los usuarios tienen acceso a e-mail e Internet. Para ello se ha definido un servidor
de correo y un servidor de internet, en el cual se encuentra totalmente actualizando un
 antivirus diariamente. Exceptuando esta opción, solamente el gerente general cuenta con
módem en su computadora portable (el cual utiliza para acceder a la red corporativa) con
la opción de ingreso a Internet.

 Los PCs y el portable cuentan con antivirus los cuales se actualizan mensualmente.

 En una etapa pasada, el gerente anterior del centro de cómputo entendía que el personal
de informática no tenía nada que hablar con el usuario, por lo que solamente se podían
comunicar por un teléfono específicamente dedicado a recibir solicitudes de los usuarios, y
por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de
gerencia y dado los problemas generados por la situación anterior, hoy día se cuenta con
una política de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD.

 Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El

respaldo se realiza en doble copias las cuales se guardan en una caja fuerte ignífuga (a
prueba de fuego) dentro del centro de cómputos. Los respaldos los realiza el último
programador que se retira en el día, acordando entre ellos quién será cada día el
encargado.

 No se ha identificado la existencia de un plan de contingencia. Sin embargo existe un

contrato con un tercero, el cual proveerá, en caso de un siniestro, un equipamiento con las
mismas características que el existente y con un similar sistema operativo.

 El SIG desarrollado internamente ha sido idea de un programador, el cual hoy es el

gerente. Dado el éxito de esta aplicación en la empresa, esta persona se asoció con otra
persona creando la empresa Osoft, la cual comercializa el mismo en el mercado.

 De acuerdo a la situación detallada anteriormente, el próximo paso se encuentra orientado

a la identificación de posibles riesgos existentes no mitigados (no cubiertos y/o sin
controles adecuados) y proponer soluciones alternativas para mitigarlos.

 Por problemas contractuales la empresa consultora sólo realizó el relevamiento y no

puede realizar esta otra etapa propuesta, por lo cual Atoland ha decidido contratarlo a
usted como profesional universitario para que pueda finalizar el trabajo.

Se pide:

a) Explicarle a los directivos qué es un riesgo informático.

b) Identificar los posibles riesgos para lo cual se debe realizar:
 Una lista de los activos
 Una lista de las amenazas
 Una lista de las vulnerabilidades