1. ADMINISTRACIÓN DEL RIESGO EN INFORMÁTICA.
Presentado por:
Carolina Tovar González
María Nela Ortega
ACTIVIDAD.
1. Realice un resumen de los artículos publicados:
• Cómo evaluar y detectar los riesgos informáticos en la empresa
• ¿Qué es y por qué hacer un Análisis de Riesgos?
2. Descargue y complete la matriz de evaluación del riesgo empresarial, para ello
debe tomar la situación de la empresa donde labora o en su defecto sobre una
organización que conozca o donde haya trabajado.
3. Seleccioné alguno de los casos publicados en el artículo: Los principales casos de
pérdida de datos y robo de información de 2013, consulte información adicional sobre el
caso seleccionado que le permita conocer más a fondo lo que sucedió. Redacte un escrito
de 20 líneas donde analice los hechos, que errores se cometieron, las perdidas, costos
para la empresa y las acciones o estrategias que se deben implementar para que no se
repitan estas fugas de información.
2. 1. Cómoevaluarydetectarlosriesgosinformáticosenlaempresa.
Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando
y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así
pues, podemos estimar el riesgo a que el sistema está sujeto. El riesgo se puede mitigar
por medio de las salvaguardas o contramedidas desplegadas para proteger el sistema.
La evaluación de los riesgos y detección de los problemas informáticos es esencial para
que nos demos cuenta de cuál es el coste económico del que hablamos. Cuando una
empresa compra ordenadores, estos pasan a convertirse en un activo del negocio,
teniendo un coste económico. Al igual que el resto de maquinaria, los ordenadores se van
amortizando y pierden valor, pero este proceso puede verse acelerado si no se les presta
la debida atención en mantenimiento informático.
1.Identificandoelvalordelosbienesinformáticos:Esnecesarioevaluarque,sihayequiposinformáticos
ennuestronegocio,necesariamentehablaremosdeunriesgoeconómicoparalaempresa,yaqueimplica
una inversión en términosde tiempo,mano de obra ydinero.Pero no sólo hablamosaquíde hardware,
sinodetodaeláreainformáticadelaempresa.
En función del volumen del negocio y la inversión, habría que contabilizar económicamente de forma
pormenorizadacuáleselvalordelainversióneninformáticaytecnologíasITydecidirquépodemoshacer
para evitar que en un momento dado tuviera que hacer frente a esos gastos y si podríamos reducirlos
mediantemantenimientoinformático.
2. Analizando losriesgos informáticos: Una vez calculado elprecio de losbienesde equipo que estánen
juego, es importante analizar todos los orígenes de los problemas informáticos, que en una gran
organizaciónpuedentenerunainmensavariedaddefuentes.
Desconocimientodelosusuariossobrelasbuenasprácticasdeseguridadonline.
Evaluacióndelriesgodesufrirataquesinformáticosdeterceros.
Evaluacióndelriesgodequelosequiposresulteninfectadosporvirus.
Tiempodevidadelosequiposinformáticosyotrosdispositivos.
Prácticasencuantoacopiasdeseguridad.
Protocolodeactuaciónanteproblemasinformáticos(Plandecontingenciainformático).
alvalordelosbienesdeequipo.
3. 3. Reduciendo los riesgos informáticos: El presupuesto destinado a informática debe orientarse a las
necesidades de la organización. Habrá gastos que son variables e imprescindibles, pero otros en cambio
noestán contemplados,o son imprevistosquepodríanevitarseaplicando lastécnicasdemantenimiento
predictivoypreventivoadecuadas.
Para tomar estas medidas,la empresa también debe tener en cuenta cuánto está dispuesta a invertir en
mantenimiento informático para reducir esos riesgos al mínimo. No todas las tareas serán de carácter
económico; algunas sólo consistirán en el seguimiento de una serie de buenas prácticas que deberán
seguirtodoslosmiembrosdelaorganización,asícomounapolíticadeseguridadparalaredinformática.
¿Qué es y por qué hacer un Análisis de Riesgos?
Un Sistema de Gestión de Seguridad de la Información (SGSI) implica que la organización ha
estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel
de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también
organizativos y legales) para aquellos riesgos que superan dicho nivel, ha documentado las
políticas y procedimientos relacionados y ha entrado en un proceso continuo de revisión y
mejora de todo el sistema.
El objetivo de la gestión de riesgos es reducir diferentes riesgos relativos a un ámbito
preseleccionado a un nivel aceptado por la sociedad. Puede referirse a numerosos tipos
de amenazas causadas por el medio ambiente, la tecnología, los seres humanos, las
organizaciones y la política.
Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de
un punto común: la identificación de activos de información, es decir todos aquellos
recursos involucrados en la gestión de la información, que va desde datos y hardware
hasta documentos escritos y el recurso humano. Sobre estos activos de información es
que hace la identificación de las amenazas o riesgos y las vulnerabilidades
Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo,
transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la
empresa la medida de control puede ser aceptarlo, es decir, ser consciente de que el
riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza
importante para la seguridad de la información se puede tomar la decisión de transferir o
mitigar el riesgo.
La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados
sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o
simplemente evitar que se presenten. Esta gestión debe mantener el equilibrio entre el
costo que tiene una actividad de control, la importancia del activo de información para los
procesos de la empresa y el nivel de criticidad del riesgo.
4. 2. Matriz de evaluación del riesgo empresarial
Nombre de la organización: IETA – Instituto de Estudios Técnicos Aeronáuticos
Descripción y trayectoria: Compañía del sector educativo, con una trayectoria de 25 años en la industria aeronáutica.
Dedicada a la capacitación y formación de jóvenes bachilleres, con edades que oscilan entre los 16 y 30 años, en diversos programas
educativos, enfocados en la reparación y mantenimiento de aviones en general.
Su mayor sistema de información, esta enfocado en el resguardo de notas de calificaciones, con todo el historial de cada uno de los
aprendices que han hecho parte de la Institución. (Archivo histórico, desde la primera promoción de graduandos).
Matriz de evaluación del riesgo empresarial
Tipos de riesgos
Valoración del
riesgo (1-5)
Descripción del riesgo Medidas preventivas y/o correctivas
Datos
4
Bastante personal tiene acceso a la misma información.
Intervención de manos inescrupulosas.
Delegar encargados y asignar permisos específicos según
las tareas o labores que cada empleado desempañara.
Hardware 5
Fallos en el equipo, malas conexiones e instalaciones o
alquiler de maquinaria de poca calidad.
Contratar y estabilizar la compañía proveedora de
maquinaria, muebles y cómputo, así mismo fidelizar al
encargado de mantenimiento de los equipos.
Software
5
Cambios constantes de los sistemas de información; y re
digitación de datos ocasiona un amplio índice de error
de transcripción.
Estandarizar un software efectivo, y evitar el traslado de
la información de forma manual, de esta manera el
índice de error humano se reducirá a un 90 %.
Documentos 3
No establecer procedimientos de recepción,
diligenciamiento, consulta y disposición final de los
documentos y archivos.
Parametrizar procesos del archivo documental por
dependencias, forjar un manual de operación para el
mismo objetivo.
Recursos Humanos 4
típicamente el personal es descuidado con las
contraseñas y no instalan, ni reportan la no presencia de
antivirus. Además la alta rotación del personal genera
que un número considerable de personas tengan
contacto con el sistema, generando vulnerabilidad al
mismo.
Establecer desde el área de sistemas e informática los
datos de acceso para casa usuario; adicional realizar
jornadas cada cierto tiempo para actualizar, instalar o
retirar los programas (antivirus).
otros 2 Desastres naturales (Incendios, terremotos)
Formalizar dentro de la compañía un comité de
seguridad industrial que parametrice un plan de
emergencias y evacuación.
Valoración de riesgo: Teniendo en cuenta que 1 es lo más bajo y 5 es lo más alto.
5. 3. Los principales casos de pérdida de datos y robo de información de 2013.
Adobe: 38 millones de cuentas afectadas:
La empresa de "software" Adobe revelo que 38 millones es el número de usuarios afectados por
una serie de ataques de piratas informáticos, que hizo público el pasado día 3 de octubre de 2013,
aunque sus estimaciones iniciales fijaron en 2,9 millones de cuentas vulneradas, ya dio a conocer la
cifra real. Adobe, que tiene entre su lista de productos más conocidos el formato PDF, el sistema
Flash y el editor fotográfico Photoshop, indicó que las identidades de 38 millones de usuarios y sus
contraseñas habían quedado expuestas a los "hackers" y por tanto la compañía procedió a
informar mediante correos electrónicos a las víctimas de esta invasión de sus sistemas, al tiempo
que cambio todas las contraseñas que consideró que habían sido corrompidas en el incidente. Los
datos de tarjetas de crédito no fueron extraídos de los sistemas de Adobe, según su propia
investigación.
Como acciones adobe, reinició las contraseñas de los usuarios; se comprometió a enviar una
notificación a los clientes por e-mail, con instrucciones para cambiar la clave. Igualmente, la
compañía notificará a los clientes de quienes cree que se robó información de tarjetas de crédito y
débito.
La empresa asegura que la información está encriptada y que no creen que los atacantes hayan
podido descifrar los números de las tarjetas, sin embargo, ya notificó a los bancos que procesan los
pagos de Adobe para tratar de ayudar a proteger las cuentas de los clientes. Todavía no hay una
solución definida a la vulnerabilidad, así que la recomendación para correr menos riesgos, es
instalar el Flash Player 10.1 RC o directamente deshabilitar Flash. Y en cuanto a Reader y Acrobat,
no usar ninguno (para leer PDF, puedes usar Foxit) o borrar, cambiar el nombre o bloquear el
acceso al archivo authplay.dll.
Links Consultados:
http://www.psafe.com/es/blog/grandes-ataques-hackers-empresas-gobiernos/
http://www.gadae.com/blog/como-evaluar-y-detectar-los-riesgos-informaticos-en-la-empresa/
http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/
http://sophosiberia.es/los-principales-casos-de-perdida-de-datos-y-robo-de-informacion-de-2013/
http://economia.elpais.com/economia/2013/10/30/agencias/1383158152_548164.ht
http://www.siliconnews.es/2013/10/29/confirmado-38-millones-de-cuentas-afectadas-en-el-
ciberataque-adobe/