CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS

CASO 1
Carrera Profesional: Ingeniera de Sistemas. Ciclo: VIII Docente: Ing. Johny Pretell C. Asignatura: Auditora de Sistemas. Semestre Acadmico: 2013 - 2

RIESGO = Probabilidad de la Amenaza * Impacto de la Amenaza

Probabilida d de Ocurrencia de la Amenaza

1 16 2 3 3 9 9 12 2 2 4 6 9 1 1 2 3 4 1 2 3 4 Valor de Impacto de la Amenaza 4 4 8

CALIFICACIN DEL RIESGO Riesgo Alto 12-16 Riesgo Medio 6-9 Riesgo Bajo 1-4 TIEMPO PARA LA ACCIN Riesgo Alto Accin Inmediata Riesgo Medio Menos de 2 meses Riesgo Bajo Menos de 6 meses

Caso de Estudio Aplicando Anlisis de Riesgos

La empresa Caribe S.A., se dedica al sector financiero, especficamente a otorgar prstamos al consumo, ha sufrido un marcado crecimiento en los ltimos aos. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la funcin TI de la empresa fuese adaptndose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se est operando. Para contar con una perfecta descripcin de la situacin actual y sus implicancias, han decidido contratar a una empresa consultora para que releve y evale cmo est operando y se est gestionando la funcin TI. Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones respecto a los procedimientos que se encuentran vigentes de hecho y cul es la estructura: El personal de TI son 12 personas, incluido un gerente de rea. A este gerente responden: un administrador de base de datos, dos personas de soporte tcnico, tres operadores, un administrador de usuarios, un administrador de telecomunicaciones y tres programadores. Si bien cada persona tiene asignado su cargo, en la prctica las posiciones se superponen, lo cual fue evaluado por el gerente como muy bueno, porque esto genera un conocimiento general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan. La estructura de hardware es la siguiente: dos servidores Windows NT, un servidor Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2 modems) Respecto al software se ha detectado: sistema operativo Windows NT, MS
1

CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS

Office, DBMS Oracle para Unix, Sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado TotalOne (del que se han adquirido tres mdulos: contable, personal y activo fijo) y una aplicacin desarrollada por la empresa de gestin de crditos. Del relevamiento, tambin surgi que, exceptuando el software que se encuentra en el servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con licencia de uso. Respecto al software que no tenan esta licencia se coment que dado que el entorno Linux es de software libre no es necesario contar con licencias de uso para el mismo. La adjudicacin de usuarios es realizada exclusivamente por el administrador de usuarios. El procedimiento es el siguiente: en un formulario pre-impreso y pre- numerado, en el cual el usuario llena cules son sus datos y cules son las aplicaciones y funciones a las cuales necesita tener acceso, luego se firma y se entrega al administrador. Este, en el correr del da, asigna usuario y contrasea y se la comunica al usuario para que pueda comenzar a trabajar. Todos los usuarios tienen acceso a e-mail e Internet. Para ello se ha definido un servidor de correo y un servidor de Internet, en el cual se encuentra totalmente actualizado un antivirus diariamente. Exceptuando esta opcin, solamente el gerente general cuenta con mdem en su computadora portable (el cual utiliza para acceder a la red corporativa) con la opcin de ingreso a Internet. Los PCs y el portable cuentan con antivirus los cuales se actualizan mensualmente. En una etapa pasada, el gerente anterior del centro de cmputo entenda que el personal de informtica no tena nada que hablar con el usuario, por lo que solamente se podan comunicar por un telfono especficamente dedicado a recibir solicitudes de los usuarios, y por ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de gerencia y dado los problemas generados por la situacin anterior, hoy da se cuenta con una poltica de puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD. Diariamente se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se realiza en doble copia las cuales se guardan en una caja fuerte ignfuga (a prueba de fuego) dentro del centro de cmputos. Los respaldos los realiza el ltimo programador que se retira en el da, acordando entre ellos quin ser cada da el encargado. No se ha identificado la existencia de un plan de contingencia. Sin embargo existe un contrato con un tercero, el cual proveer, en caso de un siniestro, un equipamiento con las mismas caractersticas que el existente y con un similar sistema operativo. El SIG desarrollado internamente ha sido idea de un programador, el cual hoy es el gerente. Dado el xito de esta aplicacin en la empresa, esta persona se asoci con otra persona creando la empresa Osoft, la cual comercializa el mismo en el mercado.

De acuerdo a la situacin detallada anteriormente, el prximo paso se encuentra orientado a la identificacin de posibles riesgos existentes no mitigados (no cubiertos y/o sin controles adecuados) y proponer soluciones alternativas para mitigarlos.
2

CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS

Por problemas contractuales la empresa consultora slo realiz el relevamiento y no puede realizar esta otra etapa propuesta, por lo cual Caribe S.A., ha decidido contratarlo a usted como profesional universitario para que pueda finalizar el trabajo. Se Pide: a) explicarle a los directivos qu es un riesgo informtico. b) identificar los posibles riesgos no mitigados (amenazas, impacto, nivel de riesgo) e indicar sus posibles soluciones.