Área Informática y

Telecomunicaciones

PROBLEMÁTICA
IDENTIFICACIÓN DE RIEGOS E IMPACTOS

UNIDAD N° 1
RED TEAM: Riesgos, Vulnerabilidades y Amenazas

SEGURIDAD Y AUDITORÍA INFORMÁTICA

TIEA07
 “EMPRESA JETBLACK LTDA”

La empresa JETBLACK LTDA, dedicada al rubro de Servicio Generales Contables, Asesoría jurídica,
Área Tecnológica, Construcción y Edificación por más de 15 años en la Región Metropolitana
donde tiene su Casa Matriz, cuenta con 4 sucursales en la Región de Coquimbo en La Serena,
Coquimbo, Ovalle y Tongoy, cuenta con personal que se dividen en 3 categorías:

 Trabajadores de Planta (Contrato indefinido)

 Trabajadores a Contrata (Contrato plazo fijo por un año renovable)
 Trabajadores Honorarios (Contrato Plazo fijo según dure el Proyecto)

Cuenta con una dotación de 300 funcionarios aproximados con una rotación flotante de 100
funcionarios por año, estos son los trabajadores que tienen Contrato a Honorario.

Dentro de los departamentos más importantes por el manejo y flujo de información se pueden
mencionar:

 Departamento de Jurídico
 Departamento Contabilidad y Finanzas
 Departamento TI.

A continuación, se describe una breve reseña de lo que realizan estas áreas importantes de la
organización.

ÁREA JURÍDICA

Presta asesoría en aspectos centrales de la aplicación de la Ley, reglamento y normas

relacionadas
con Contratos, Convenios, Proyectos, Ventas, Arriendos, Etc.Vela por el cumplimento de las leyes,
decretos y normas en el actuar propio de la Empresa.

SUS PRINCIPALES FUNCIONES SON:

• Elaborar y revisar la documentación de carácter legal de la institución (oficios,

resoluciones, convenios, contratos, etc.).
• Elaborar el registro diario de la normativa vinculada a Contratos y Proyectos, publicada
en el Diario Oficial.
• Asesorar a la Secretaría en asuntos legales en que tenga participación la institución.
• Atender consultas de las áreas técnicas de las áreas tecnológicas, contables y de
Edificación.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

2
ÁREA CONTABLE

El Departamento de Contabilidad se encarga de instrumentar y operar las políticas, normas,

sistemas y procedimientos necesarios para garantizar la exactitud y seguridad en la captación y
registro de las operaciones financieras, presupuestales y de consecución de metas de la entidad,
a
efecto de suministrar información que coadyuve a la toma de decisiones, a promover la eficiencia
y eficacia del control de gestión, a la evaluación de las actividades y facilite la fiscalización de sus
operaciones, cuidando que dicha contabilización se realice con documentos comprobatorios y
justificativos originales, y vigilando la debida observancia de las leyes, normas y reglamentos
aplicables.

SUS PRINCIPALES FUNCIONES SON:

• Establecer y operar las medidas necesarias para garantizar que el sistema de contabilidad del
Centro este diseñado para que su operación facilite la fiscalización de los activos, pasivos,
ingresos, costos y gastos de la organización.

• Realizar las acciones necesarias para garantizar que el sistema contable del organismo, así como
las modificaciones que se generen por motivos de su actualización, cuenten con las
autorizaciones legales para su funcionamiento y operación.

• Llevar a cabo la contabilidad del Centro en los términos que establece la Ley de Presupuesto,
Contabilidad y Gasto Público.

• Emitir por escrito las principales políticas contables necesarias para asegurar que las cuentas se
operen bajo bases eficientes y consistentes, así como para la clara definición y asignación de
responsabilidades de funcionarios y empleados.

• Mantener actualizado el catálogo de cuentas y guía contabilizadora, de manera que éstos

satisfagan las necesidades institucionales y fiscalizadoras de información relativa a los activos,
pasivos, ingresos costos, gastos y avance en la ejecución de programas, recabando para el efecto,
las autorizaciones suficientes de las autoridades competentes.

• Registrar y controlar los recursos financieros provenientes del calendario financiero

presupuestal, los que otorgan las instituciones para el desarrollo de proyectos de investigación,
así como los ingresos de donativos provenientes de dependencias y entidades del sector público,
privado o social, identificando dentro de la contabilidad, los recursos aportados por instituciones
públicas y privadas, destinados a proyectos específicos.

• Elaborar, analizar y consolidar los Estados Financieros del Centro y de las Unidades Foráneas.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

3
ÁREA DE TÉCNOLOGIA

Es el pilar fundamental de la organización ya que es la encargada de sistematizar los servicios,

además de velar por la continuidad operativa y funcional de la organización.

SUS PRINCIPALES FUNCIONES SON:

• Desarrollo de Sistemas: Analizar, diseñar y desarrollar los sistemas informáticos y supervisar

aquellos que son de responsabilidad de contrapartes externas.

• Soporte técnico a usuarios: Prevenir, mantener y corregir hardware, software y la conectividad

institucional de las estaciones de trabajo de los funcionarios, de manera de poder brindar de
forma oportuna los productos Institucionales.

• Entrega de servicios electrónicos (PC, correos, internet, software, etc.): Administrar y asegurar
la disponibilidad de las redes, comunicación, servidores y estaciones de trabajo.

• Investigaciones e innovación de tecnología: Buscar y proponer nuevas herramientas o

estándares tecnológicos que aporten al desarrollo institucional en términos de mejoras en los
procesos del Servicio.

• Servicios Importantes con los que cuenta la Organización y son responsabilidad del Área:
Servidor Documental de Jurídico, Servidor de Sistema SAP, Servidor de Dominio, Servidor de
Intranet y Servidor de Correo.

EL ÁREA DE TECNOLOGÍA SE ENCUENTRA CONFORMADO POR:

 UNIDAD DE DESARROLLO

 Analizar, diseñar y desarrollar sistemas informáticos que requiera la Organización.

 Supervisar y participar en el desarrollo de sistemas informáticos que sean
responsabilidad de contrapartes externas.
 Supervisar y asesorar a la Jefatura del departamento en la adquisición y
contratación de productos y servicios informáticos, velando por su compatibilidad
y actualización tecnológica.

 UNIDAD DE SISTEMAS

 Administrar eficientemente las redes locales y extendidas, y servicios de

telecomunicaciones de la organización.
 Mantener la seguridad de la red de comunicaciones.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

4
  Administrar los servicios de Servidor Documental de Jurídico, Servidor de Sistema
SAP, Servidor de Dominio, Servidor de Intranet y Servidor de Correo, tanto el
hardware como el software.
 Respaldar información.

 UNIDAD DE SOPORTE

 Asegurar el mantenimiento tanto preventivo, como correctivo, del hardware y

software básico de la Organización.
 Entregar soporte técnico a los usuarios a local como en las oficinas regionales,
telefónico, a través de correo electrónico y/o en terreno.
 Recepción de fallas de hardware en servidores, PC e impresoras.
 Instalar aplicaciones desarrolladas por el servicio a todo equipo nuevo o reparado.

PROBLEMÁTICA

Dentro del constante crecimiento de la empresa y los avances tecnológicos la organización tiene
la gran responsabilidad de resguardar la información tanto digital como documental (Papel), ya
que en los últimos 4 meses han ocurridos 6 problemas graves para la organización de los cuales
se
pueden mencionar la perdida de información importante por la mala manipulación de parte de
algunos funcionarios, el robo y venta de información, además de la eliminación de información
de funcionarios que fueron desvinculados el Presente año.

Pero el problemas más importante fue la infección del servidores Windows Server 2008, que
contenía el centro documental del departamento jurídico.

Dado los problemas presentados se ha conversado con el comité ejecutivo y con el área
responsable de los últimos acontecimientos graves y se ha decido crea la siguiente Unidad.

UNIDAD DE METODOLOGÍAS Y ESTÁNDARES

Su función principal debe considerar:

• Incorporar estándares de calidad asociados a Tecnologías de Información y

Comunicación
que permitan realizar mejoras continuas en los procesos del Trabajo.
• Coordinar y velar por la Integridad, confidencialidad y disponibilidad.
• Evaluar e incorporar nuevas tecnologías e Infraestructura TI.
• Orientar metodológica y técnicamente la identificación, elaboración y evaluación de
proyectos informáticos.

Por lo cual es importante contar con 2 Profesionales del área de Informática para que orienten,
asesoren e implementen la unidad junto a los Encargados del Área de Tecnología.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

5
Para comenzar la Unidad requiere realizar la identificación de los Activos más importante de la
Organización con la finalidad de poder Generar una Matriz de Riego.

Se les pide a los profesionales (estudiantes) lo siguiente:

1.- Identificar y Enumerar los Activos más importante de la Organización para la construcción
de la Matriz de Riesgo.
Activos de información
 Implementación de software
 Pérdida de negocio
 Nuevos competidores
 Daños de software
 Base de datos
Activos físicos
 Escritorios
Hardware de TI
 Notebooks
 Equipos de acceso inalámbrico
 Cableado estructurado
 Celulares

2.- Identificar los Riesgos Informáticos que se encuentra expuesta la Organización.

 Suplantación de identidad
 Acceso no autorizado a información digitalizada
 Infección por malware
 Fugas de información

3.- Identificar los tipos de Ataques a los que se encuentra Expuesta la Organización.
 Denegación del servicio,
 Phishing, técnicas de suplantación de identidad para obtener información de las víctimas.
 Address Spoofing: robo de identidad a nivel de equipamiento.
 Session Hijacking: robo de identidad a nivel de usuario.
 Manipulación de paquetes/protocolos: cambio de paquetes de comunicación entre
equipos
 Modificación de datos de registro (logs): alteración del registro de eventos con el objeto
de ocultar actividades no autorizadas o maliciosas

4.- Construir la de Matriz de Riesgo basada en cada activo Expuesto o Vulnerable

CAUSAS RIESGOS DESCRIPCIÓN EFECTOS
Implementación de No se ha Falta de capacitación Mal manejo de
software implementado software

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

6
 adecuadamente por
dirigente
Pérdida de negocio Desacuerdo con Poca comprensión en Pérdida de sindicatos
sindicatos información recibida (clientes)
por los dirigentes
Nuevos competidores Pérdida de negocios Presentación de un Sindicato adquiere
online por la competencia mejor software otro software
Daños de software Pérdida importante Sistema vulnerable Pérdida de dinero
de material de
trabajo
Base de datos Pérdida importante Mal uso del aplicativo Aplicación inutilizable
de información

5.- Construir el vector de ataque, ruta o camino que utiliza un atacante para tener acceso
al activo objetivo de ataque.

Agentes de Vectores de Debilidades de

amenaza ataque seguridad Impactos técnicos Impacto al negocio
considerar los modificación del Las app. no Puede se debe considerar
usuarios que valor de un siempre verifican comprometer el valor del
tienen acceso a parámetro que se que el usuario información negocio y de las
internet refiere tiene permiso de referida por funciones de la
directamente a un acceso. parámetros y al app expuestas.
objeto del sistema atacante se le
por otro objeto no facilita acceder a
autorizado. datos de este tipo.

6.- Realizar el Análisis de impacto de negocio según los posibles ataques a los que se encuentra
expuesta la organización
Escenario de Causas Efectos P I R Acción Control de riesgo
falla o pérdida
Software  Error Desconfiguración M A A Capacitar al Monitoreo diario
humano de la App. personal
 Mal uso

Base de datos  Ataque Todas las A A A Sellar puertos. Monitoreo diario /

externo funciones Acceso restringido backup diario
asociadas con el físico a la red.
software
WEB server  Acceso no Impacto en el B A A Asegurar que los Monitoreo diario /
autorizado desempeño activos de Control de acceso
adecuado del información los
activo utilicen solo
personal admitido
Base de datos  Falla de Falla o daño en B A A Backup de Monitoreo diario /
software los discos duros emergencia. backup diario
de la bbdd

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

7
P: prioridad I: impacto R: rigor
A: alto M: media B: bajo

7.- Realizar el Plan de recuperación ante desastre

A fin de que el plan provea una capacidad real de recuperación, dentro de las pruebas se incluye
los siguientes objetivos:
Procedimientos de acciones inmediatas en caso de desastre.
Procedimientos para evaluación de daños y restauración del sitio.
Validar los procedimientos y estrategias del plan.
Demostrar tiempos de recuperación de una aplicación crítica.
Demostrar rendimientos de sistema y aplicación actuales versus el rendimiento anterior.

8.- Desarrollar estrategias de recuperación y continuidad del negocio

Estrategias preventivas
Estrategias de recuperación
Estrategias de restauración
Estrategias de manejo de crisis

9.- Elaborar informe a la Gerencia, el cual debe considerar:

• Uso de formato institucional

• Introducción
• Identificación y enumeración de Activos de la Organización
• Identificación de los riesgos de los Activos a los cuales se expone
• Identificar y evaluar a los ataques que se expone la Organización
• Construcción de Matriz de Riego
• Construir el vector de ataque, ruta o camino que utiliza un atacante para tener
acceso al activo objetivo de ataque.
• Realizar el análisis de impacto de negocio
• Realizar el plan de recuperación ante desastre
• Desarrollar estrategias de recuperación y continuidad del negocio
• Conclusión
• Glosario

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

8
UNIDAD DE APRENDIZAJE 1: RED TEAM: Riesgos, Vulnerabilidades y Amenazas

APRENDIZAJES ESPERADOS

1 - Evalúa el efecto que tienen los ataques informáticos y la vulnerabilidad de seguridad sobre la
continuidad operacional y del negocio. (Integrada Competencia Genérica Pensamiento Crítico)

CRITERIOS DE EVALUACIÓN

1.1.1 Analizando riesgos sobre la infraestructura TI de la empresa.

1.1.2 Considerando las consecuencias de los ataques detectados.
1.1.3 Documentando los ataques existentes a la seguridad informática de la empresa.
1.1.4 Considerando los criterios de análisis establecidos y conceptos claves asociados.
1.1.5 Considerando la forma en que los supuestos determinan el propio punto de vista.

ACTIVIDAD 1: EXPLORACIÓN DE VULNERABILIDADES (ANÁLISIS DE RIESGOS)

Los estudiantes documentan grupalmente las vulnerabilidades detectadas y la evaluación de

riesgos de acuerdo con la asignación de una problemática que podrían generar un ataque
informático, generando la matriz de riesgos asociada y los posibles impactos para el negocio,
considerando la continuidad operativa en función de los resultados obtenidos.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

9