UNIVERSIDAD NACIONAL DE JUJUY

FACULTAD DE INGENIERA

AUDITORA INFORMTICA
2017

TRABAJO PRCTICO N 1

Nombre: Ximena Denisse

Estrada Jancko
UNIVERSIDAD NACIONAL DE JUJUY - FACULTAD DE INGENIERA
INGENIERA INFORMTICA LICENCIATURA EN SISTEMAS
AUDITORA INFORMTICA SEGURIDAD EN SISTEMAS

TRABAJO PRCTICO N 1

1. Identifique el/los objetivo/s (parmetro/s) de seguridad que se ven

afectados en los siguientes casos. Justifique su respuesta
a. Notebook sin antivirus.
- Integridad, A travs de la intrusin de virus llega a daar la
integridad del computador.
- Disponibilidad, El virus infectado en el notebook a causa de la
falta de antivirus podra afectar a la operatividad del software
ponerlo lento y no poder tener la informacin al instante adems
afectara al hardware del mismo.
- Confidencialidad, El virus entrara al notebook por falta de
antivirus y adems a informacin afectando la confidencialidad
de la misma.
b. Demora excesiva en la actualizacin de la informacin del
servidor.
Disponibilidad, ya que no se tendra la informacin al instante para
poder ser consultada o procesada.
c. Un banco prestigioso difunde informacin del estado de cuentas
de sus clientes de forma accidental.
Confidencialidad, la informacin de los clientes y sus cuentas solo
puede ser vista por personas autorizadas.
d. Se cargan datos errneos sobre estadsticas en la base de datos
Integridad los datos serian errneos e incoherentes.
e. Fallo del suministro elctrico en horarios pico
Disponibilidad, El hardware dejara de funcionar o fallara a falta
de la electricidad.
f. No existe un procedimiento escrito para realizar back-up y por
lo cual se llevan a cabo de manera espordica.
Integridad, La informacin puede perderse si no se realizan copias
de seguridad continuamente.
Disponibilidad, Si el sistema falla y no se ha hecho una copia de
seguridad la informacin actualizada no estara disponible en el
momento.
g. No existen restricciones para el acceso de personas al centro de
cmputos.
Integridad, Por falta de restricciones en el acceso la informacin o
datos corren un gran riesgo de ser alteradas o eliminadas.
Confidencialidad, Cualquier persona podra llegar a ver la
informacin ya que no hay ningn tipo de restriccin en el acceso.

2
 Disponibilidad, afectara a la disponibilidad ya que los datos
podran afectarse modificandolos o en su caso eliminndolos.
h. La red de comunicaciones suele caer o ponerse lenta despus de
las 10 de la maana.
Disponibilidad, la informacin o datos no estn disponibles en
cualquier momento para su consulta o procesamiento ya que no hay
buena comunicacin despus de las 10 de la maana.
i. Todas las pc cuentan con los perifricos de entrada listos para
usarse.
Confidencialidad, la informacin no est protegida ya que hay
acceso total a los puertos de entrada y la informacin puede ser
robada fcilmente.
j. El personal encargado del ingreso de datos suelen dejar sus
terminales desatendidas cada vez que van a buscar nueva
informacin.
Integridad, la informacion de los terminales estn desprotegidos
sin ningun operador y podran sufrir algun cambio.
Confidencialidad, la informacion esta expuesta a ser vista por
personas ajenas.
2. Que busca proteger la seguridad lgica?
La seguridad lgica se encarga de salvaguardar y controlar la informacin
que es generada por los sistemas, el software de desarrollo y los programas
de aplicacin.
3. Qu tipo de seguridad previene los riesgos?
Seguridad Activa, ya que este previene y detecta los riesgos antes de que
suceda.
4. Una vez producido los daos Qu tipo de seguridad se encarga de
corregirlos?
Seguridad Pasiva, una vez ocurrido el dao este se encarga de minimizar la
repercusin producidar por algun incidente.
5. Qu se necesita determinar en un anlisis de riesgo?
Qu se necesita proteger?
De qu debo protegerlo?
En qu grado se necesita proteger?
6. Si una empresa necesita realizar un anlisis de riesgo Cmo debera
definirse en el alcance?
Se trata de alcanzar el menor grado de inseguridad, este es variable y
depender del tipo de sistema del que se trate.
7. El aire acondicionado y la oficina donde se encuentras las notebooks del
personal Pueden considerarse como activos de informacin? Por qu?
La informacin que es fundamental e importante para la empresa u
organizacin y es lo que debe protegerse. El aire acondicionado es necesario
pero no se considerara como un activo de informacion en cambio las
notebook son las herramientas de la empresa y si se considerara una activo
3
 de informacion.
8. Si los activos se pueden valorar de manera econmica Qu escala de
valoracin se podra utilizar?
Se utiliza una escala cuantitativa pero generalmente no es posible o genera
un esfuerzo excesivo por lo que se utilizan escalas cualitativas, como por
ejemplo: bajo, medio, alto o rangos numricos de 0 a 10.
9. Para qu deben ser homogneos los criterios de valoracin para los
activos?
Deben ser homogneos para que se puedan comparar los valores al final del
proceso.
10. A qu parmetros puede afectar una amenaza?
A la confidencialidad, disponibilidad e integridad.
11. Cmo se puede eliminar un riesgo? Es viable?
Se elimina el riesgo pero normalmente se lo hace eliminando al activo que lo
genera y por eso esta opcin no es viable.

12. Anlisis de riesgos

A continuacin se muestran las tablas necesarias para realizar un anlisis de

riesgos.

Tabla 1. Disponibilidad
Valor Criterio
0 No aplica / No es relevante
1 Debe estar disponible al menos el 10% del tiempo
2 Debe estar disponible al menos el 50% del tiempo
3 Debe estar disponible al menos el 99% del tiempo

Tabla 2. Integridad
Valor Criterio
0 No aplica / No es relevante
No es relevante los errores que tenga o la informacin que
1
falte
2 Tiene que estar correcto y completo al menos en un 50%
3 Tiene que estar correcto y completo al menos en un 95%

Tabla 3. Confidencialidad
Valor Criterio
0 No aplica / No es relevante
Daos muy bajos, el incidente no trascendera del rea
1
afectada
Los daos seran relevantes, el incidente implicara a otras
2
reas
Los daos seran catastrficos, la reputacin y la imagen de la
3
organizacin se veran comprometidas

Tabla 4. Probabilidad de ocurrencia de amenazas

Valor Criterio
4
 10% Ocurre una vez cada 10 aos
20% Ocurre una vez cada 5 aos
40% Ocurre una al ao
60% Ocurre una vez al mes
80% Ocurre una vez a la semana
100% Ocurre varias veces a la semana

13. Realice la identificacin de los activos de informacin en base al

siguiente enunciado

La empresa TecnoInfo S.A. se dedica al desarrollo, soporte tcnico, y

consultora de sistemas. Cuenta con personal capacitado en cada rea. Los
empleados son de planta permanente, subcontratados y pasantes. La empresa
cuenta con varios servidores, PCs de escritorio y notebook todas conectadas
mediante una red y estn a disposicin de los empleados para realizar su
trabajo. Se cuenta con aplicaciones de gestin, de ofimtica, una base de
datos, y un sistema de control de versiones. La empresa posee varias oficinas
en el mismo domicilio. Tambin cuenta con informacin en papel como ser
expedientes e informes de contabilidad.

Use la siguiente tabla para la identificacin de los activos

ID Nombre Descripcin Responsable Tipo Ubicacin

1 Personal Personal de Gerente de Personal Oficinas
fijo planta fijo personal
2 Personal Personal de Gerente de Personal Oficinas
contratado contrato personal
3 Personal Personal Gerente de Personal Oficinas
pasante pasante personal
4 Servidores Servidores de la Adm de Servidor Sala de S.
empresa Servidores (fsico)
TecnoInfor S.A.
5 Equipo de PCs de Departamento de Hardware Oficina de
escritorio escritorio informtica personal
6 Equipo Equipos Departamento de Hardware Oficina de
informtico porttiles informtica personal
portable
7 Ap de Aplicaciones de Personal Software Notebook y
gestin gestion Administrativo PCs
8 Ap de Of Ofimatica Personal Software Notebook y
PCs
9 Inf. papel Informes en Directores Servicios Oficinas
papeles

14. En base a los activos identificados en el punto anterior realice la valoracin

de los activos de informacin en el siguiente cuadro. Asigne los valores de
confidencialidad, integridad y disponibilidad segn su propio criterio en

5
 base a los valores del punto 12. Obtenga el valor total como la suma de los
valores de los tres parmetros.

Tabla 5. Valoracin de activos

Tipo Activo Confidencialid Integrida Disponibilid Valo
ad d ad r
total
Planta
2 2 3 7
fijo
Personal Contrata
2 2 3 7
do
Pasante 2 1 2 5
Servidore
3 3 3 9
s
Hardware
PC 3 3 3 9
Porttiles 3 3 2 8
de
3 3 3 9
Software Gestin
Ofimtica 1 2 2 5
Documentaci en papel
3 3 3 9
n

15. Llene la siguiente tabla con los activos encontrados en la

correspondiente columna. En base a la tabla 4 del punto 12 complete la
segunda fila asignando a su criterio la probabilidad de que acurran las
amenazas mencionadas.

Tabla 6. Riesgos

informac
Valor del

suminist
Inundaci

elctrico

Divulgac
Falla del

autoriza

humano
Errores
Acceso

Riesgo
in de
activo

Fuego

Virus

Robo
in
no
n

do
ro

Probabilidad 10
20% 40% 40% 80% 60% 20% 40%
de amenaza %
Activos
Planta fijo 7 0.7 1.4 2.8 2.8 5.6 4.2 1.4 2.8 2.7
Contratado 7 0.7 1.4 2.8 2.8 5.6 4.2 1.4 2.8 2.7
Pasante 5 0.5 1.0 2.0 2.0 4.0 3.0 1.0 2.0 1.9
Servidores 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
PC 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
Porttiles 8 0.8 1.6 3.2 3.2 6.4 4.8 1.6 3.2 3.1
de Gestin 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5
Ofimtica 5 0.5 1.0 2.0 2.0 4.0 3.0 1.0 2.0 1.9
en papel 9 0.9 1.8 3.6 3.6 7.2 5.4 1.8 3.6 3.5

16. Complete la ltima columna de la tabla 6 teniendo en cuenta que el valor

del riesgo al que est expuesto cada activo se calcula de la siguiente
manera:

Riesgo = valor del activo * probabilidad de amenaza

Se tomar como valor del riesgo para el activo el valor promedio que

6
 arrojen los valores individuales de cada amenaza.

17. En base a los resultados obtenidos, explique cmo tratara cada uno de
los riesgos (transferirlo, eliminarlo, mitigarlo, asumirlo). Justifique cada
respuesta.

Activo:
Personal de planta fijo, contratado y pasantes
Accin:
Transferirlo, pasarlo a la aseguradora para cubrir los daos y perjuicios que
este pueda provocar.

Activo:
Servidores
Accin:
Mitigarlo, contratando servicios de almacenamiento en la nube para que la
disponibilidad no sea afectada.

Activo:
PCs y porttiles
Accin:
Mitigarlo, evitar el riesgo agregando ms activos para evitar el retraso del
trabajo en la empresa o tener equipos de respaldo para ese tipo de
situaciones.

Activo:
Aplicaciones de gestin y ofimtica
Accin:
Mitigarlo, Evitar el riesgo teniendo un encargado de realizar los controles
necesarios y estar disponible en cuanto exista algn problema

Activo:
Documentos en papel
Accin:
Mitigarlo, Evitar el riesgo teniendo cuidado y resguardndolo en un lugar
donde se tenga el menor riesgo.