Área Informática y

Telecomunicaciones

PROBLEMÁTICA
IDENTIFICACIÓN DE RIEGOS E IMPACTOS

UNIDAD N° 1
RED TEAM: Riesgos, Vulnerabilidades y Amenazas

SEGURIDAD Y AUDITORÍA INFORMÁTICA

TIEA07
 “EMPRESA JETBLACK LTDA”

La empresa JETBLACK LTDA, dedicada al rubro de Servicio Generales Contables, Asesoría jurídica,
Área Tecnológica, Construcción y Edificación por más de 15 años en la Región Metropolitana donde
tiene su Casa Matriz, cuenta con 4 sucursales en la Región de Coquimbo en La Serena, Coquimbo,
Ovalle y Tongoy, cuenta con personal que se dividen en 3 categorías:

 Trabajadores de Planta (Contrato indefinido)

 Trabajadores a Contrata (Contrato plazo fijo por un año renovable)
 Trabajadores Honorarios (Contrato Plazo fijo según dure el Proyecto)

Cuenta con una dotación de 300 funcionarios aproximados con una rotación flotante de 100
funcionarios por año, estos son los trabajadores que tienen Contrato a Honorario.

Dentro de los departamentos más importantes por el manejo y flujo de información se pueden
mencionar:

 Departamento de Jurídico
 Departamento Contabilidad y Finanzas
 Departamento TI.

A continuación, se describe una breve reseña de lo que realizan estas áreas importantes de la
organización.

ÁREA JURÍDICA

Presta asesoría en aspectos centrales de la aplicación de la Ley, reglamento y normas relacionadas

con Contratos, Convenios, Proyectos, Ventas, Arriendos, Etc. Vela por el cumplimento de las leyes,
decretos y normas en el actuar propio de la Empresa.

SUS PRINCIPALES FUNCIONES SON:

• Elaborar y revisar la documentación de carácter legal de la institución (oficios,

resoluciones, convenios, contratos, etc.).
• Elaborar el registro diario de la normativa vinculada a Contratos y Proyectos, publicada
en el Diario Oficial.
• Asesorar a la Secretaría en asuntos legales en que tenga participación la institución.
• Atender consultas de las áreas técnicas de las áreas tecnológicas, contables y de
Edificación.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

2
ÁREA CONTABLE

El Departamento de Contabilidad se encarga de instrumentar y operar las políticas, normas,

sistemas y procedimientos necesarios para garantizar la exactitud y seguridad en la captación y
registro de las operaciones financieras, presupuestales y de consecución de metas de la entidad, a
efecto de suministrar información que coadyuve a la toma de decisiones, a promover la eficiencia
y eficacia del control de gestión, a la evaluación de las actividades y facilite la fiscalización de sus
operaciones, cuidando que dicha contabilización se realice con documentos comprobatorios y
justificativos originales, y vigilando la debida observancia de las leyes, normas y reglamentos
aplicables.

SUS PRINCIPALES FUNCIONES SON:

• Establecer y operar las medidas necesarias para garantizar que el sistema de contabilidad del
Centro este diseñado para que su operación facilite la fiscalización de los activos, pasivos, ingresos,
costos y gastos de la organización.

• Realizar las acciones necesarias para garantizar que el sistema contable del organismo, así como
las modificaciones que se generen por motivos de su actualización, cuenten con las autorizaciones
legales para su funcionamiento y operación.

• Llevar a cabo la contabilidad del Centro en los términos que establece la Ley de Presupuesto,
Contabilidad y Gasto Público.

• Emitir por escrito las principales políticas contables necesarias para asegurar que las cuentas se
operen bajo bases eficientes y consistentes, así como para la clara definición y asignación de
responsabilidades de funcionarios y empleados.

• Mantener actualizado el catálogo de cuentas y guía contabilizadora, de manera que éstos

satisfagan las necesidades institucionales y fiscalizadoras de información relativa a los activos,
pasivos, ingresos costos, gastos y avance en la ejecución de programas, recabando para el efecto,
las autorizaciones suficientes de las autoridades competentes.

• Registrar y controlar los recursos financieros provenientes del calendario financiero

presupuestal, los que otorgan las instituciones para el desarrollo de proyectos de investigación, así
como los ingresos de donativos provenientes de dependencias y entidades del sector público,
privado o social, identificando dentro de la contabilidad, los recursos aportados por instituciones
públicas y privadas, destinados a proyectos específicos.

• Elaborar, analizar y consolidar los Estados Financieros del Centro y de las Unidades Foráneas.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

3
ÁREA DE TÉCNOLOGIA

Es el pilar fundamental de la organización ya que es la encargada de sistematizar los servicios,

además de velar por la continuidad operativa y funcional de la organización.

SUS PRINCIPALES FUNCIONES SON:

• Desarrollo de Sistemas: Analizar, diseñar y desarrollar los sistemas informáticos y supervisar

aquellos que son de responsabilidad de contrapartes externas.

• Soporte técnico a usuarios: Prevenir, mantener y corregir hardware, software y la conectividad

institucional de las estaciones de trabajo de los funcionarios, de manera de poder brindar de forma
oportuna los productos Institucionales.

• Entrega de servicios electrónicos (PC, correos, internet, software, etc.): Administrar y asegurar la
disponibilidad de las redes, comunicación, servidores y estaciones de trabajo.

• Investigaciones e innovación de tecnología: Buscar y proponer nuevas herramientas o estándares

tecnológicos que aporten al desarrollo institucional en términos de mejoras en los procesos del
Servicio.

• Servicios Importantes con los que cuenta la Organización y son responsabilidad del Área: Servidor
Documental de Jurídico, Servidor de Sistema SAP, Servidor de Dominio, Servidor de Intranet y
Servidor de Correo.

EL ÁREA DE TECNOLOGÍA SE ENCUENTRA CONFORMADO POR:

 UNIDAD DE DESARROLLO

 Analizar, diseñar y desarrollar sistemas informáticos que requiera la Organización.

 Supervisar y participar en el desarrollo de sistemas informáticos que sean
responsabilidad de contrapartes externas.
 Supervisar y asesorar a la Jefatura del departamento en la adquisición y
contratación de productos y servicios informáticos, velando por su compatibilidad
y actualización tecnológica.

 UNIDAD DE SISTEMAS

 Administrar eficientemente las redes locales y extendidas, y servicios de

telecomunicaciones de la organización.
 Mantener la seguridad de la red de comunicaciones.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

4
  Administrar los servicios de Servidor Documental de Jurídico, Servidor de Sistema
SAP, Servidor de Dominio, Servidor de Intranet y Servidor de Correo, tanto el
hardware como el software.
 Respaldar información.

 UNIDAD DE SOPORTE

 Asegurar el mantenimiento tanto preventivo, como correctivo, del hardware y

software básico de la Organización.
 Entregar soporte técnico a los usuarios a local como en las oficinas regionales,
telefónico, a través de correo electrónico y/o en terreno.
 Recepción de fallas de hardware en servidores, PC e impresoras.
 Instalar aplicaciones desarrolladas por el servicio a todo equipo nuevo o reparado.

PROBLEMÁTICA

Dentro del constante crecimiento de la empresa y los avances tecnológicos la organización tiene
la gran responsabilidad de resguardar la información tanto digital como documental (Papel), ya
que en los últimos 4 meses han ocurridos 6 problemas graves para la organización de los cuales se
pueden mencionar la perdida de información importante por la mala manipulación de parte de
algunos funcionarios, el robo y venta de información, además de la eliminación de información de
funcionarios que fueron desvinculados el Presente año.

Pero el problemas más importante fue la infección del servidores Windows Server 2008, que
contenía el centro documental del departamento jurídico.

Dado los problemas presentados se ha conversado con el comité ejecutivo y con el área
responsable de los últimos acontecimientos graves y se ha decido crea la siguiente Unidad.

UNIDAD DE METODOLOGÍAS Y ESTÁNDARES

Su función principal debe considerar:

• Incorporar estándares de calidad asociados a Tecnologías de Información y Comunicación

que permitan realizar mejoras continuas en los procesos del Trabajo.
• Coordinar y velar por la Integridad, confidencialidad y disponibilidad.
• Evaluar e incorporar nuevas tecnologías e Infraestructura TI.
• Orientar metodológica y técnicamente la identificación, elaboración y evaluación de
proyectos informáticos.

Por lo cual es importante contar con 2 Profesionales del área de Informática para que orienten,
asesoren e implementen la unidad junto a los Encargados del Área de Tecnología.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

5
Para comenzar la Unidad requiere realizar la identificación de los Activos más importante de la
Organización con la finalidad de poder Generar una Matriz de Riego.

Se les pide a los profesionales (estudiantes) lo siguiente:

1.- Identificar y Enumerar los Activos más importante de la Organización para la

construcción de la Matriz de Riesgo.
2.- Identificar los Riesgos Informáticos que se encuentra expuesta la Organización.
3.- Identificar los tipos de Ataques a los que se encuentra Expuesta la Organización.
4.- Construir la de Matriz de Riesgo basada en cada activo Expuesto o Vulnerable
5.- Construir el vector de ataque, ruta o camino que utiliza un atacante para tener acceso
al activo objetivo de ataque.
6.- Realizar el Análisis de impacto de negocio según los posibles ataques a los que se
encuentra expuesta la organización
7.- Realizar el Plan de recuperación ante desastre
8.- Desarrollar estrategias de recuperación y continuidad del negocio
9.- Elaborar informe a la Gerencia, el cual debe considerar:

• Uso de formato institucional

• Introducción
• Identificación y enumeración de Activos de la Organización
• Identificación de los riesgos de los Activos a los cuales se expone
• Identificar y evaluar a los ataques que se expone la Organización
• Construcción de Matriz de Riesgo
• Construir el vector de ataque, ruta o camino que utiliza un atacante para tener
acceso al activo objetivo de ataque.
• Realizar el análisis de impacto de negocio
• Realizar el plan de recuperación ante desastre
• Desarrollar estrategias de recuperación y continuidad del negocio
• Conclusión
• Glosario

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

6
UNIDAD DE APRENDIZAJE 1: RED TEAM: Riesgos, Vulnerabilidades y Amenazas

APRENDIZAJES ESPERADOS

1 - Evalúa el efecto que tienen los ataques informáticos y la vulnerabilidad de seguridad sobre la
continuidad operacional y del negocio. (Integrada Competencia Genérica Pensamiento Crítico)

CRITERIOS DE EVALUACIÓN

1.1.1 Analizando riesgos sobre la infraestructura TI de la empresa.

1.1.2 Considerando las consecuencias de los ataques detectados.
1.1.3 Documentando los ataques existentes a la seguridad informática de la empresa.
1.1.4 Considerando los criterios de análisis establecidos y conceptos claves asociados.
1.1.5 Considerando la forma en que los supuestos determinan el propio punto de vista.

ACTIVIDAD 1: EXPLORACIÓN DE VULNERABILIDADES (ANÁLISIS DE RIESGOS)

Los estudiantes documentan grupalmente las vulnerabilidades detectadas y la evaluación de

riesgos de acuerdo con la asignación de una problemática que podrían generar un ataque
informático, generando la matriz de riesgos asociada y los posibles impactos para el negocio,
considerando la continuidad operativa en función de los resultados obtenidos.

Informática y Telecomunicaciones | Seguridad y Auditoría Informática

7