Auditoría de Sistemas Actividad 1.6
Enviado por Liliana Castro Salazar • 19 de Septiembre de 2017 • Informes • 672 Palabras (3 Páginas) • 53 Visitas
Auditoría de Sistemas Actividad 1.6[pic 1]
Amenaza, vulnerabilidad e impacto.
Amenaza: Es un agente capaz de explotar los fallos de seguridad que no son más que puntos débiles o vulnerabilidades en los SI/TI de la organización.
Vulnerabilidad: Cualquier debilidad en el sistema informático que pueda permitir a las amenazas causar daño y producir pérdidas a la organización.
Se dice que corresponden con fallos físicos o lógicos, defectos de ubicación, instalación y mantenimiento de equipos.
Las vulnerabilidades son propiciadas por la falta de uno o varios controles.
Impacto: Consecuencia de la ocurrencia o materialización de una amenaza. Se mide en el daño económico, de buen nombre o pérdidas humanas que pueda causar a la organización.
[pic 2]
A continuación se da un listado de vulnerabilidades encontrado en la empresa CHIKUNGUÑA S.A. se le pide que como ingeniero (a) profesional de control interno, diseñe el control necesario, identifique el impacto y los activos afectados en caso de que una amenaza llegara a aprovechar esta vulnerabilidad y la posible amenaza.
Vulnerabilidad | Amenaza | Impacto | Control |
No hay un control de acceso físico al cuarto de servidores de la empresa en la sede de Bucaramanga. | Personal no autorizado tenga acceso a los servidores y por ende tenga acceso a la información almacenada en los mismos. | Perdida de información y fallas en el sistema, disgusto de clientes y retraso en las labores de dicha empresa, vulnerabilidad de datos. | Instalar acceso biométrico al cuarto donde se encuentran los servidores dando solo ingreso al personal autorizado. |
No se cuenta con una copia de seguridad de la BD fuera de las instalaciones de la empresa. | La pérdida de información y falla de la base de datos y quedar nula sin posibilidad de recuperar. | Perdida de datos importantes, clientes y datos de la empresa que quizás nunca se podrán recuperar, pérdidas económicas. | Realizar copia de seguridad de base de datos y almacenarla en otro lugar diferente a las instalaciones de la empresa, con los cuidados que esto conlleva. |
No se realizan mantenimientos preventivos a los equipos de la empresa. | Que se dañen el día que más se necesitan los servidores o equipos y que tengan virus y pérdida de información, interrupciones en el servicio. | Equipos dañados sin posibilidad de arreglo y perdida de equipos de trabajo y computadores lentos. | Realizar mantenimientos preventivos y correctivos según sean necesarios, bien sean trimestralmente o mensualmente dependiendo del flujo de información y equipos que se manejar, contar con personal idóneo para realizar estas actividades. |
13 computadores de la empresa tienen desactivadas las actualizaciones automáticas del S.O. | No se dispone de las últimas actualizaciones por lo tanto hay problemas en vulnerabilidad en seguridad en que el sistemas puede presentar fallas en cualquier momento y perder la información que allí se almacena. | La falla de estos equipos seria la misma de sus 13 sin funcionar y la perdida de información que allí se almacena de igual forma hay retraso en mano de obra de las personas que lo utilizan hasta que no se realice su respectivo mantenimiento. | Activar las actualización automáticas del sistema y realizar las actualizaciones importante del sistema manteniéndolo actualizado para su flujo y manejo de información. |
Ausencia de documentación de la operación de las aplicaciones de desarrollo propio y de terceros. | No se dispone de documentación para poder realizar correcciones o actualizaciones o capacitación de personal al manejo de dichas aplicaciones. | No se podrían hacer correcciones de forma fácil, se dependería de personas terceras de la empresa y al cambio de personas se perdería el conocimiento del trabajo realizado por el anterior. | Empezar a realizar la documentación de la operación de las aplicaciones desarrolladas y solicitarle a los de desarrolladores que documenten el código y el manual de usuario para saber su configuración y manejo. |
...