Evaluacion de La Seguridad Informatica

7/21/2019 Evaluacion de La Seguridad Informatica

http://slidepdf.com/reader/full/evaluacion-de-la-seguridad-informatica-56da70a195e19 1/35

EVALUACI ÓN DE L A SEGURI DAD

2013

INSTITUTO TECNOLOGICO DE PACHUCA



DIAGNOSTICO DE SEGURIDAD INFORMATICA

1

Contenido Fundamentos Teóricos ..........................................................................................................................................................................2

Glosario: ............................................................................................................................................................................................4

1 Recursos y Datos Críticos del Negocio ...............................................................................................................................................6

Situación Actual .................................................................................................................................................................................6

Encuestas .............................................................................................................................................................................................7

Graficas ............................................................................................................................................................................................... 12

Hardware y Software ........................................................................................................................................................................... 16

Software: ......................................................................................................................................................................................... 17

Criterio de Valoración de Activos ..................................................................................................................................................... 18

Identificación y clases de activos ..................................................................................................................................................... 18Resultado de la encuesta gestión de archivos ................................................................................................................................. 21

2 Seguridad Física y Soporte a Operaciones ...................................................................................................................................... 22

Adquisición, desarrollo y mantenimiento de los sistemas ................................................................................................................. 22

Gestión de comunicaciones y operaciones ...................................................................................................................................... 23

Estructura Organizacional ................................................................................................................................................................ 24

Situación Actual ............................................................................................................................................................................... 25

Seguridad e integración de la información. ..................................................................................................................................... 26

ESTADO ACTUAL DE LA EMPRESA: ............................................................................................................................................... 27

Evidencia Fotográfica .......................................................................................................................................................................... 29

RECOMENDACIONES: ...................................................................................................................................................................... 33

CONCLUSIONES PERSONALES: ......................................................................................................... ¡Error! Marcador no definido.




2

Fundamentos Teóricos

INTRODUCCION

La seguridad informática es una herramienta útil encargada de salvaguardar la información privilegiada de las sucursaleso tiendas OXXO y así de esa manera asegurar la integridad de su información, ya que se analizó las vulnerabilidades dela empresa en una de sus sucursales que se encuentra ubicada en la colonia santa julia Pachuca hidalgo y se evaluaronciertos criterios de su seguridad tanto física como en tecnologías de la información, así mismo se pudo visualizar que elpersonal con el que se cuenta dentro de dicha sucursal no cuenta con los conocimientos necesarios y adecuados encuestión de seguridad informática ya que se realzaron dichas encuestas al personal que se encuentra laborando dentrode la misma empresa y los resultados fueron de alguna manera los no esperados en cuestión de seguridad.

Por otra parte un integrante del cuerpo de trabajo de sucursal OXXO Santa Julia de nombre Armando Zúñiga Vázqueznos platicó sobre cómo opera la empresa y ciertos procesos críticos que pueden correr el riesgo de ataques contra lapropia empresa, en primer punto se comentó la falta de conocimiento informático cuando se realiza el corte de caja y elfaltante que arroja el resultado de una mala administración como una errónea seguridad, nos comentaba que el personalde seguridad privada cuando visita su sucursal a recoger el monto total se realizaba la contabilidad del dinero ahí mismoen las cajas del personal del OXXO a la vista del público y la tienda sigue operando a puertas abiertas mientras secontabiliza el dinero de las cajas.

De igual manera dentro de la tienda el empleado o personal de piso nos mostró sus cámaras de seguridad con las quecuentan para cualquier tipo de crimen que pueda presentarse y nos platicó un poco sobre la administración de la tiendaya que ellos no tienen directamente nada que ver con el manejo del dinero que se cuenta en la sucursal.




3

En otro punto la tienda como tal, cuenta con un personal encargado de dicha tienda que tiene la responsabilidad de quela tienda OXXO valla elevando sus ventas para poder así obtener ciertas ganancias, y no tener fallas que puedanrepercutir en su trabajo.

Por otra parte el personal con el que cuenta cada sucursal es de 3 empleados tales como Un encargado de caja, elsegundo un encargado de piso, y el tercero el propio supervisor.

De igual forma al realizar dicho análisis el personal encargado de caja nos comentó que su sistema es integro, quieredecir que dentro del sistema operativo con el que cuenta se encuentra su sistema de ventas , cuentan con una clave deacceso al sistema y un ID para realizar una venta, y dicha ID es una clave personal de cada empleado para la realización

de las ventas y se cuestionó al personal si esa clave de punto de venta tenia cambios periódicamente para no correralgún tipo de anomalía y crimen y así de esa manera no poner en riesgo la información, el resultado fue que no podíanellos cambiar sus claves de ventas, hasta que la propia empresa pudiese autorizarlo.

Para concluir el análisis se verifico que el personal de dicha tienda no contaba con internet abierto, quiere decir que ellosno podían accesar a internet no tienen el acceso de internet y solo ocupan internet propio de la empresa (integro) paraoperar su propio sistema con el que cuentan y si por cierta razón el equipo con el que cuentan mostraba errores o fallasen el equipo o del sistema, ellos mismo tiene la responsabilidad de comunicarse al Call Center para reportar las fallas yCall Center realizaba el mantenimiento o repacion del sistema desde su central manipulando las máquinas de la sucursalpor internet vía satelital.




4

Glosario:

Seguridad: Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en algúno alguien, sin embargo la seguridad se puede tomar en diversos sentidos según el are o campo a referirse.

Seguridad informática: La seguridad informática es una disciplina que se relaciona a diversas técnicas, aplicaciones ydispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios.

Certificado digital: Un certificado digital es un documento digital mediante el cual un tercero confiable da autoridad decertificación garantizando la vinculación entre la identidad de un sujeto o entidad y su clave pública, así mismo UnCertificado Digital tiene dos llaves que son usadas durante el cifrado.

Hacker: Un hacker es alguien o mejor dicho es una persona o usuario que descubre las debilidades de una computadorao de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado decomputadoras y términos de informática que pueden estar motivados por una multitud de razones, incluyendo fines delucro, protesta o por el desafío de las computadoras.

Tokens: Es un dispositivo para facilitar el proceso de autentificación y almacena claves criptográficas.

Amenazas: Las amenazas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho deafectarlo, desde virus hasta el propio internet en la actualidad es una amenaza.




5

Firewall: Es una aplicación o programa que bloquea la salida y la entrada de información a la Pc, básicamente se refiereal tipo de análisis que los paquetes se marcan con un determinado conjunto de banderas y puede presenciarse como untráfico normal en la red.




6

1 Recursos y Datos Críticos del Negocio

Situación Actual

La situación actual en la que se encuentra la empresa OXXO es una situación en la que no tienen o no cuentan con unbuen aspecto en cuestiones de seguridad ya que se encontraron diferentes vulnerabilidades dentro de la sucursalubicada en Av. El palmar #328 col: el palmar ya que en esta proyecto se evaluara y examinar de forma apropiada susvulnerabilidades es cuestión de seguridad y llevándose a cabo mediantes las fuentes de información apropiadas. Ya quelos empleados que se encuentran operando en dicha sucursal no están altamente capacitados en cuestiones deseguridad y muestran ciertos desconocimientos de ciertos puntos críticos de seguridad.




7

Encuestas




8




9




10




11




12

Graficas

En esta grafica de describe el nivel general de percepción que tienen los empleadosde la tienda OXXO con respecto a la información cuestionada en la encuestas.




13

Aquí se muestra si los empleados conocensobre las herramientas de seguridad en latienda.

Aquí se muestra si los empleados conocen sidisponen de conexión a internet, quienes ocomo.




14

Aquí se muestra si los empleados tienenconocimiento con respecto a las copias deseguridad de su base de datos.

Aquí se muestra si los empleados tienenconocimiento sobre quien se encarga de sussistemas de seguridad.




15

Aquí se muestra si los empleados conocensobre la existencia de un plan decontingencias para la tienda.

Aquí se muestra si los empleados saben sireciben cursos sobre sobre seguridad.




16

Hardware y SoftwareEquipo Tipo Cantidad Especificaciones

Computo Escritorio 2 Marca: IBM

Modelo:

Procesador: Intel ® Core ™ 2DUO CPU T7400 @2.16GHz 2.17GHZ

Memoria RAM: 1.99 GB

Sistema Operativo: WindowsXP

Disco Duro: 80 GB

Pantalla: 14.1 “




17

Software:

Tipo Cantidad Especificaciones

Sistema operativo

SGBD

2

1

Windows XP profesionalversión 2002 Service Pack3

Desarrollado por laempresa basado enMy SQL




18

Criterio de Valoración de Activos

La cadena Oxxo maneja un sistema de comisionistas, y no es una franquicia como comúnmente se piensa, para ser partede este sistema de comisiones hay que ser líder de tienda, tener un grupo de trabajo y solo se pide cubrir un perfil,realizar una capacitación y aprobar un examen. Cabe destacar que este sistema y sus requisitos varían dependiendo decada ciudad, inclusive hay ciudades que manejan directamente empleados de Oxxo.

De igual manera maneja sus bases de datos sus ventas sus contactos con los proveedores….

Identificación y clases de activos

El análisis de riesgos realizados en el entorno tecnológico pretende el conocimiento de las configuraciones y de lasdisposiciones topológicas de los activos de tecnologías que componen toda la infraestructura de respaldo de lainformación para la comunicación, el procesamiento, el tránsito y el almacenamiento.

Los activos son de tipo afectación-equipo y sin dejar de considerar también las sensibilidades de las informaciones queson manipuladas para ciertos empleados..

Los usuarios que las utilizan La infraestructura que les ofrece respaldo

Se debe conocer que se quiere proteger, donde y como asegurando que con los costos en las que se incurren seobtengan beneficios afectivos para esto se deberá identificar los recursos llamase hardware, software, información,accesorios y personal con que se cuenta y las amenazas a las que se está expuesto.




19

Tipo de riesgo-factor Escala-valor

Robo de hardware Alto

Robo de información Alto

Vandalismo Alto

Fallas en los equipos Medio

Equivocaciones Medio




20

Accesos No autorizados Medio

Fraude Medio

Virus informático Muy bajo




21

Resultado de la encuesta gestión de archivos

¿CREE QUE ES SEGURO?

Si la seguridad del sistema con el que se opera en la tienda es seguro se pueden hacer consultas para el personal quelabora la tienda para llevar un buen control de esta

Todos los proveedores cuentan con un número único para que no haya errores de ejecución en cuanto al recibimiento deproductos.

¿EL SISTEMA ES FLEXIBLE?

No el sistema con el que se cuenta no es flexible tiene muchos candados que solo los gerentes o asesores cuentan conclaves para poder manipularlo entonces a los que laboran diario en la tienda solo podemos maniobrar altas y bajas deproductos pero no podemos hacer cambios en las operaciones lógicas de la tienda

¿SU SISTEMA PUEDE MEJORAR EN CUANTO A SU SEGURIDAD?

Claro que si existen muchas reglas de seguridad que se siguen dentro de la operación de las cajas y el dinero que esmuy importante dentro de la tienda

Hay una clave de acceso para poder empezar a cobrar en las cajas que todos lo cajeros saben entonces esto hace que sialguien externo desea empezar el día en la caja no podrá abrirla




22

2 Seguridad Física y Soporte a Operaciones

Adquisición desarrollo y mantenimiento de los sistemas

El sistema trabaja un control general de área y los empleados del negocio son los que agiliza la comunicación entre ellosy se sabe si la función que desempeñan está bien realizada debido al monitoreo constante de la seguridad que puedaobtener dentro de sus equipos donde utilizan sus estadísticas de logros de ventas y crecimiento para un mejor servicio desu negocio a los clientes.

Mantenimiento del software……..

Una vez que se ha generado el código, comienzan las pruebas del programa. El proceso de pruebas se centra en losprocesos lógicos internos del software, asegurando que todas las sentencias se han comprobado, y en los procesosexternos funcionales; es decir, realizar las pruebas para la detección de errores y asegurar que la entrada definidaproduce resultados reales de acuerdo con los resultados requeridos.

El software indudablemente sufrirá cambios (una excepción posible es el software empotrado). Y se producirán cambiosporque se han encontrado errores, porque el software debe adaptarse para acoplarse a los cambios de su entornoexterno (por ejemplo: se requiere un cambio debido a un sistema operativo o dispositivo periférico nuevo), o porque se lerequiere mejoras funcionales o de rendimiento en cuestiones de la seguridad y el soporte y mantenimiento del software

vuelve a aplicar a cada una de las fases precedentes a un programa ya existente y no a uno nuevo.




23

Gestión de comunicaciones y operaciones

Esta área establece, ejecuta y monitorea los procesos y procedimientos a seguir de sus propias tiendas, con el fin de una

mejora en el servicio y sobretodo una amplia seguridad de dicha sucursal.

La parte de Sistemas se encarga de proveer soluciones de tecnología de acuerdo con las necesidades de la compañía encuestiones de su seguridad ya que se ha evaluado y analizado las vulnerabilidades que presentan en la compañía.




24

Estructura Organizacional

Director general

Gerentecomercial

Contador

Gerente de Producción

Empleado Empleado Empleado Empleado




25

Situación Actual

El estado de seguridad de la tienda OXXO Santa Julia es bueno en cuanto a la física puesto que cumple con todos losrequisitos necesarios que satisface las necesidades que tiene la tienda para proteger la integridad de todos los productosque vende.

La seguridad física también es buena en cuanto al resguardo de los equipos con que se cuentan están ocultos a la vistade los clientes y se cuenta con un sistema de cámaras de circuito cerrado el cual tiene una central que están siendomonitoreada las 24 horas del días los 365 días del año.

Condición actual de las aplicaciones en.

Software Descripción

Sistemas operativos Windows XP Service PACK 3

Gestión de base de datos Desarrollo propio de la empresa basado enMy SQL, con actualizaciones anuales.

Suites ofimáticas No cuenta con paquetería de oficina

Antivirus No cuenta con sistema antivirus

Cortafuegos No cuenta con cortafuegos




26

Seguridad e integración de la información.

Situación encontrada Impacto

En la sucursal al igual que todas las demás existe lapolítica de no introducir memorias USB y cualquierotro medio de almacenamiento masivo portable.

El equipo solo está disponible para hacer uso delsistema de ventas.

Alto

El Sistema de Gestión no cuenta con una protecciónde acceso, este solo se puede limitar por medio delsistema de login del sistema operativo.

Alto

La base de datos se encuentra en las mismasinstalaciones, dentro de uno de los 2 equipos conlos que cuenta la sucursal.

Alto

La sucursal no cuenta con salida a internet, solo sepueden comunicar entre las dos computadoras parala sincronización de la base de datos por medio deuna red interna.

Alto




27

ESTADO ACTUAL DE LA EMPRESA:El estado de seguridad de la tienda OXXO Santa Julia es aceptable en cuanto a la física puesto que cumple con todos

los requisitos necesarios para satisfacer las necesidades que tiene la tienda para proteger la integridad de todos los

productos que vende.

La seguridad física también es buena en cuanto al resguardo de los equipos con que se cuentan están ocultos a la vistade los clientes y se cuenta con un sistema de cámaras de circuito cerrado el cual tiene una central que están siendomonitoreada las 24 horas del días los 365 días del año.

EN CUANTO AL SISTEMA

¿CREE QUE ES SEGURO?

Si la seguridad del sistema con el que se opera en la tienda es seguro se pueden hacer consultas para el personal quelabora la tienda para llevar un buen control de esta

Todos los proveedores cuentan con un número único para que no haya errores de ejecución en cuanto al recibimiento deproductos.

¡EL SISTEMA ES FLEXIBLE?

No el sistema con el que se cuenta no es flexible tiene muchos candados que solo los gerentes o asesores cuentan conclaves para poder manipularlo entonces a los que laboran diario en la tienda solo podemos maniobrar altas y bajas deproductos pero no podemos hacer cambios en las operaciones lógicas de la tienda

¿SU SISTEMA PUEDE MEJORAR EN CUANTO A SU SEGURIDAD?




28

Claro que si existen muchas reglas de seguridad que se siguen dentro de la operación de las cajas y el dinero que esmuy importante dentro de la tienda

Hay una clave de acceso para poder empezar a cobrar en las cajas que todos lo cajeros saben entonces esto hace que

si alguien externo desea empezar el día en la caja no podrá abrirla

Y ahí es cuando se puede mejorar pues puede haber usuarios y cada quien puede tener su clave de acceso para evitarmalos entendidos en cuanto a el dinero o algunas perdidas de producto




29

Evidencia Fotográfica

Figura 1. Cámara de seguridad Figura 2. Especificaciones del sistema




30

Figura 3; Gabinete Figura 4; Routers y dispositivos de red

Figura 3.1; Gabinete 2




31

Figura 5. Monitor Figura 6. Cámara y monitor de seguridad




32

Figura 7. Dispositivos de red Figura 8. Dispositivos de red y cámara de seguridad




33

RECOMENDACIONES:

En base al análisis se puede dar estas recomendaciones aunque la seguridad que maneja la tienda oxxo Santa Juliavisitada es buena para las operaciones que realiza nosotros sugerimos lo siguiente:

Un sistema de registro que cuente con un id de empleado y un NIP personalizado que pueda cambiarse cada mes

Cuanto al sistema de venta se tendría que elaborar un sistema de registro para poder abrir las cajas y atender a losclientes, para cada uno de los cajeros

Un identificador táctil que reconozco al usuario en turno para evitar fraudes o malos manejos a la hora del comienzo desu turno y al final del mismo.

Contraseñas independientes para cada uno de los equipos del sistema de ventas.

En el primer término se recomendó que hay que ser cuidadosos con la información que se maneja dentro de la sucursal ylas computadoras, ya que los usuarios tienen que acostumbrarse a utilizar contraseñas.




34

Restringir la información y el acceso a sólo a personas no conocidas de la corporación y hacer lo mínimo que se pide alrealizar ciertas transferencias de pago.

La capacitación al personal en cuestión de seguridad informática ya que se cuenta con personal muy escaso deconocimientos de seguridad y no cuentan con el suficiente conocimiento del caso, para poder evitar así ciertos riesgos ensus tiendas.

Se recomienda, que los datos pueden almacenarse en una base de datos segura o buscar servicios de terceros quepuedan hacer un balance de carga de los servidores.

Además, se recomienda actualizar el software que esté util izando la empresa para todas sus sucursales y los sistemasoperativos que se manejen.

Usa antivirus y aplicaciones anti-malware tal vez esto pueda generar ciertos costos para la empresa y pueda utilizarrecursos en el sistema pero pensando en los riesgos que puedan a darse, sería un poco más efectivo que los equiposcontaran con un buen antivirus y así evitar ciertos problemas y sin en cambio saldría más contraproducente que ni unamaquina no tuviera ningún antivirus de protección por lo menos.

Que se pueda Activar un Firewall de su propio sistema y puede ser configurado totalmente para que la molestia decualquier tipo de riesgo, les resulte reconfortante a nivel de protección, ya que puedan modificar el sistema deprioridades, agregar excepciones y, si están en Windows que es el sistema operativo con el que trabajan sus equipos,puedan utilizar aplicaciones alternativas que te den más posibilidades aún.

Evaluacion de La Seguridad Informatica

Documents

Transcript of Evaluacion de La Seguridad Informatica