Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ESTUDIO DE EVALUACION DE
RIESGOS DE LA EMPRESA TEXTIL
SUMIT S.A.C.
ALUMNOS :
VERA OLIVERA, DAVID
RIVERA PEREZ, CHRISTIAN
CURSO :
Auditoria de Sistemas
PROFESOR :
Ing. Carlos Trigo
2006 - II
UNIVERSIDAD NACIONAL DE INGENIERIA
Facultad de Ingeniería Industrial y de Sistemas Estudio de Evaluación de Riesgos
INDICE
I. ANTECEDENTES DE LA EMPRESA
II. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
1. IDENTIFICACION DE ACTIVOS DE HARDWARE, SOFTWARE Y
REDES
2. IDENTIFICACION DE ACTIVOS PARA PERSONAS
3. IDENTIFICACION DE ACTIVOS PARA PROCEDIMIENTOS
4. IDENTIFICACION DE ACTIVOS PARA DATOS
III. ANALISIS PONDERADO DE ACTIVOS DE INFORMACIÓN
1. ANALISIS DE ACTIVOS DE HARDWARE, SOFTWARE Y REDES
2. ANALISIS DE ACTIVOS DE PERSONAS
3. ANALISIS DE ACTIVOS PARA PROCEDIMIENTOS
4. ANALISIS DE ACTIVOS PARA DATOS
IV. CLASIFICACION DE ACTIVOS DE INFORMACIÓN
V. AUTORIZACIÓN
VI. IDENTIFICACIÓN DE AMENAZAS
VII. CATEGORIZACIÓN DE COMPONENTES
VIII. LISTA DE VULNERABILIDADES
IX. EVALUACIÓN DE RIESGOS
X. SALVAGUARDAS
XI. VULNERABILIDADES Y SALVAGUARDAS
I. ANTECEDENTES DE LA EMPRESA
Sumit es una empresa bien posicionada en el mercado peruano, que cuenta con
una sólida cartera de clientes obtenida gracias a su puntualidad y eficiencia.
Entre ellos están Oakley, Guess, Zara, Marmaxx, Sara Lee, Esprit. Los 13 años
que lleva en el mercado textil peruano respaldan la calidad de los productos que
ofrecen a sus clientes. Sus productos se basan en la moda casual, ya sean t-
shirts, polos box, tanks, pantalones cortos y largos, todos en la calidad de tejido
de punto. Estan en capacidad de desarrollar cualquier requerimiento solicitado
por sus clientes: su Unidad de Desarrollo de Producto está totalmente equipada y
tiene profesionales de alta competitividad. De igual manera llevan a cabo los
artes diseñados en las prendas (estampados, bordados o aplicaciones), así como
lavados u otros procesos que sean requeridos
Hardware:
Software:
Nº DE
NOMBRE TIPO DESCRIPCIÓN
LICENCIAS
Uso de sistema operativo de los
WINDOWS 2003 SERVER SO 3
servidores.
WINDOWS XP Uso de sistema operativo de la
SO 10
PROFESSIONAL estación de trabajo.
Manejador de Base de datos
MS SQL SERVER 2000 AP 2
empresarial.
Uso ofimática de la estación de
MS OFFICE 2003 AP 1
trabajo.
MS VISUAL STUDIO .NET Uso de herramienta de desarrollo
AP 1
2003 del sistema de la empresa.
Protección de ataque de virus a las
NOD32 ANTIVIRUS
CS 1 herramientas de trabajo a la
SYSTEM
estación de trabajo.
Uso de correo electrónico interno
MOZILLA THUNDERBIRD AP 0
de la empresa.
Sistema integrado para los procesos
INFORGEST AP 0
de la empresa.
Sistema para desarrollo y
TOOLS AP 0
mantenimiento del ERP.
El software que ayuda al proceso
LECTRA AP 5
de moldaje.
Redes:
sistemas y/o
Técnico
aplicativos.
Vigilancia de las
herramientas de PTI Soporte Técnico Soporte Técnico Área de Sistemas
trabajo.
IMPACTO A LA
DESCRIPCIÓN
RENTABILIDAD
Servidores ALTO
Estaciones de trabajo MEDIO
Dispositivos de E/S conectados a
BAJO
estaciones de trabajo
IMPACTO A LA
NOMBRE DESCRIPCIÓN
RENTABILIDAD
Uso de sistema operativo de los
WINDOWS 2003 SERVER ALTO
servidores.
WINDOWS XP Uso de sistema operativo de la
MEDIO
PROFESSIONAL estación de trabajo.
Manejador de Base de datos
MS SQL SERVER 2000 MEDIO
empresarial.
Uso ofimática de la estación de
MS OFFICE 2003 BAJO
trabajo.
Uso de herramienta de
MS VISUAL STUDIO .NET
desarrollo del sistema de la MEDIO
2003
empresa.
Protección de ataque de virus a
NOD32 ANTIVIRUS SYSTEM las herramientas de trabajo a la ALTO
estación de trabajo.
Uso de correo electrónico
MOZILLA THUNDERBIRD BAJO
interno de la empresa.
Sistema integrado para los
INFORGEST ALTO
procesos de la empresa.
Sistema para desarrollo y
TOOLS MEDIO
mantenimiento del ERP.
El software que ayuda al
LECTRA MEDIO
proceso de moldaje.
IMPACTO A LA
DISPOSITIVO DESCRIPCIÓN
RENTABILIDAD
IMPACTO A LA
PERSONAS DESCRIPCIÓN
RENTABILIDAD
Administradores Confiables MEDIO
Empleados Confiables MEDIO
Digitadores No Confiables ALTO
IMPACTO A LA
PROCEDIMIENTO RELACIÓN
RENTABILIDAD
Con los módulos de:
Documentación de las
Logística, Contabilidad y ALTO
transacciones de venta.
Ventas.
Documentación de las
Con los módulos de:
transacciones de los
Venta, Compras, MEDIO
inventarios de los avios,
Contabilidad y Almacén.
hilos y telas.
Documentación de las Con los módulos de:
transacciones de caja Logística, RR. HH., ALTO
contable. Ventas y Compras.
Documentación de las Con los módulos de:
fichas técnicas de Almacén, Producción y MEDIO
prenda. Desarrollo.
Con los módulos de:
Documentación de las
Logística, Contabilidad y MEDIO
transacciones compra.
Compras.
Documentación de los
A todo el personal de la
roles y las funciones de BAJO
empresa SUMIT S.A.C.
las autoridades
Documentación de las
A todo el personal de la
reglas y políticas de las BAJO
empresa SUMIT S.A.C.
de empresa.
Documentación del Solo al personal del Área
balance contable y Contable y ALTO
estado de G/P por año. Administración
Administración y Área de Centro de
mantenimiento de los Computo y Soporte MEDIO
Sistemas Operativos. Técnico
Administración y Área de Centro de MEDIO
Mantenimiento de los Computo y Soporte
sistemas y/o Técnico
aplicativos.
Vigilancia de las
herramientas de Soporte Técnico MEDIO
trabajo.
contabilidad
Validación de Información Ingresada con
Balance General - Consulta de información en Uso Interno ALTO
el módulo de contabilidad
Elaboración de Informes Contables y
Financieros - Entrega de documentos a Uso Interno ALTO
administrativos
ACTIVOS DE INFORMACIÓN
Información de Ventas
Información de Compras
Información de Contabilidad
Información de Producción
Información de Logística
Información de Almacén
Información de RR. HH.
V. AUTORIZACIÓN
Hardware:
ACTIVO AMENAZAS
Desviaciones en la calidad de proveedores servicios: co
rte súbito de electricidad que afecte las operaciones.
Ataques deliberados al software: ataques de hackers:
gusanos, troyanos, etc.
Fuerzas de la naturaleza: p
osible Incendio por desperfecto eléctrico, temblores de
SERVIDOR alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware.
Obsolescencia tecnológica.
Desviaciones en la calidad de proveedores servicios:
corte súbito de electricidad que afecte las operacio-
nes.
Ataques deliberados al software: ataques de hackers:
gusanos, troyanos, etc.
Fuerzas de la naturaleza: posible Incendio por desper-
PC
fecto eléctrico.
Posible Temblores de alto grado en épocas de movi-
mientos sísmicos.
Fallas o errores técnicos de hardware.
Actos deliberados de robo.
Obsolescencia tecnológica.
Desviaciones en la calidad de proveedores servicios:
corte súbito de electricidad que afecte las operacio-
nes.
Fuerzas de la naturaleza: posible Incendio por desper-
MAQUINARIAS fecto eléctrico, temblores de alto grado en épocas de
movimientos sísmicos.
Fallas o errores técnicos de hardware: fallas de fábrica
Actos de fallas o error humano: fallas por uso.
Actos deliberados de robo.
Obsolescencia tecnológica.
Software:
ACTIVO AMENAZAS
SISTEMAS Ataques deliberados al software: ataques de hackers:
Obsolescencia tecnológica.
ANTIVIRUS Compromisos de propiedad intelectual.
Ataques deliberados al software: destrucción o daño
de los sistemas de información.
SISTEMAS Y/O Actos deliberados de espionaje o traspaso: acceso no
APLICATIVOS autorizado y/o recolección de datos indebido.
Actos deliberados de sabotaje o vandalismo.
Red:
ACTIVO AMENAZAS
Desviaciones en la calidad de proveedores servicios:
corte súbito de electricidad que afecte las operacio-
nes.
ROUTERS, SWITCHES Fuerzas de la naturaleza: posible Incendio, temblores
de alto grado en épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware: fallas de fábrica
Actos deliberados de robo.
Categorización
Inventario de Acti- Identificación Amenazas a
Componentes de Categorización
vos los Activos Identificados
Sistemas
Software:
AMENAZAS VULNERABILIDAD
- Ataques de programas maliciosos al
Ataques deliberados al software
sistema operativo.
- Error en el ingreso de datos que
pueden afectar la integridad de la
Actos de fallas o error humano información.
- Fallas en el sistema por inadecua-
das configuraciones.
- Fallas de la plataforma y base de
Fallas o errores técnicos de software
datos corregidas en los parches.
Personas:
AMENAZAS VULNERABILIDAD
- Error en el ingreso de datos que
pueden afectar la integridad de la
Actos de fallas o error humano información.
- Fallas en el sistema por
inadecuadas configuraciones.
- Personal que realiza servicios de
terceros dentro de la empresa y
Espionaje o Traspaso que tienen acceso a información
confidencial e interna de los
sistemas.
Hardware:
- Servidor
AMENAZAS VULNERABILIDAD
- Corte Súbito de Electricidad que
Desviaciones en la calidad de
afecte las operaciones en el
proveedores de servicios
sistema ERP.
- Ataques de Hackers, Ataques al
Ataques deliberados al software Servidor Interno (Intranet) usando
Smurfing o Spoofing.
- Posible incendio por desperfecto
eléctrico.
Fuerzas de la naturaleza
- Posibles temblores de alto grado en
épocas de movimientos sísmicos.
Fallas o errores técnicos de hardware - Fallas en hardware de fabrica
- Fallas en hardware por su uso, ina-
Actos de fallas o error humano
decuadas configuraciones.
- PC:
AMENAZAS VULNERABILIDAD
- Ataques de Hackers: Gusanos,
Ataques deliberados al software
Troyanos, etc.
- Posible incendio por desperfecto
eléctrico
Fuerzas de la naturaleza
- Posibles temblores de alto grado en
épocas de movimientos sísmicos.
- Fallas en hardware de fábrica.
Fallas o errores técnicos de
- Fallas en hardware por su uso,
hardware
inadecuadas configuraciones.
AMENAZAS VULNERABILIDAD
- Monitoreo de Red usando Sniffers,
Scanners de Red, Actividades de
Espionaje o Traspaso rastreo de IP pueden revelar
información Uso Interno.
- Posibilidad de Ataques con Virus,
Gusanos, Troyanos, por Hacker a
cualquiera de estos activos de
Networking, a sus sistemas
Ataques deliberados al software
operativos, procesadores; lo que
causaría fallas de funcionamiento
de la red y la caída de la seguridad
de la red.
Desviaciones en la calidad de - Corte súbito de electricidad.
proveedores de servicios
- Posible Incendio por desperfecto
eléctrico
Fuerzas de la naturaleza - Posible Temblores de alto grado en
épocas de movimientos sísmicos.
Fallas o errores técnicos de - Falla en Equipos.
hardware
Software:
Servidor:
PC:
Red:
X. SALVAGUARDAS
Salvaguardas
Vulnerabilidades
Salvaguardas
• Mantenimiento preventivo de
instalaciones eléctricas
Posible incendio por desperfecto eléctrico. • Ubicación de extinguidores y
detectores de humo en zonas
potenciales de recarga eléctrica.
Ataques de Hackers, ataques al Servidor
Interno (Intranet) que aloja al Sistema ERP • Adquisición de un IDS.
usando Smurfing o Spoofing.
• Programa de Concientización a los
Error en el ingreso de datos que pueden usuarios sobre las implicancias
afectar la integridad de la información. económicas y de imagen por esta
naturaleza de fallas.
• Designación de la labor de vigilancia
Fallas de la plataforma y base de datos de parches y actualizaciones para
corregidas en los parches. los softwares que maneja la
empresa.
• Estandarización de los procesos
alternativos en caso de
Inoperatividad de algunos procesos
inoperatividad del sistema para
informáticos por errores internos del sistema
disminuir tiempos de corrección y
empresarial.
actualización de información en el
sistema.
• Alquilar un local usarlo de modo
alterno en épocas cercanas a
Posibles temblores de alto grado en épocas de
predicciones de desastres y un plan
movimientos sísmicos.
de salida del local oficial y de
traslado de los activos.
• Realizar un estudio de la calidad de
Fallas en hardware de fábrica. los proveedores para tener una
cartera de proveedores fiables.
Fallas en hardware por su uso, inadecuadas • Capacitación al personal encargado
configuraciones. de las configuraciones.
• Instalación de Programas de
Ataques de Hackers: Gusanos , Troyanos, etc. Protección y Antivirus y
actualizaciones oportunas.
Monitoreo de Red usando Sniffers, Scanners de
Red, Actividades de rastreo de IP pueden • Adquisición de un IDS.
revelar información uso Interno.
• Adquisición de un IDS.
Ataques de programas maliciosos al sistema • Instalación de Programas de
operativo. Protección y Antivirus y
actualizaciones oportunas.