Anlisis de Riesgos de la Seguridad de la

Informacin para el Estudio Contable Salinas

Responsables: -
-
-

2017
Dedicatoria: A la experiencia terrenal
que nos permite estar vivos, a todos
aquellos que permiten este proceso de
realizacin de sueos.
 INTRODUCCIN
Hoy en da los sistemas de informacin son el alma de organizaciones, empresas y
entidades, el grado de responsabilidad reposa en los sistemas, datos e informacin
encaminados al logro de los objetivos internos, estos se pueden mejorar y mantener
teniendo una adecuada sistematizacin y documentacin.

El tratamiento de la informacin abarca aspectos que van desde el manejo de

documentos en medio fsico como el proceso de almacenaje y recuperacin conocido
tambin como proceso de gestin documental, hasta los sistemas de informacin que
tenga la organizacin o sistemas externos a los que est obligada a reportar
informacin, pasando por aspectos tan importantes como la forma de almacenamiento
de los datos digitales, modelos de respaldo de informacin y planes de contingencia
o de continuidad del negocio, si existen, claro est, incluyendo adems los sistemas
fsicos de proteccin y accesibilidad a sitios o reas restringidas.

Es por esto que los activos de informacin han pasado a formar parte de la actividad
cotidiana de organizaciones e individuos; los equipos de cmputo almacenan
informacin, la procesan y la transmiten a travs de redes y canales de comunicacin,
abriendo nuevas posibilidades y facilidades a los usuarios, pero se deben considerar
nuevos paradigmas en estos modelos tecnolgicos y tener muy claro que no existen
sistemas cien por ciento seguros, porque el costo de la seguridad total es muy alto
(aunque en la realidad no es alcanzable idealmente), y las organizaciones no estn
preparadas para hacer este tipo de inversin.

Se tiene la falsa percepcin de que la seguridad de la informacin es una tarea

imposible de aplicar, en realidad, con esfuerzo, el conocimiento necesario y el apoyo
constante de las directivas se puede alcanzar un nivel de seguridad razonable, capaz
de satisfacer las expectativas de seguridad propias.

El Estudio Contable Salinas es una entidad en crecimiento que debe involucrar dentro
de sus procesos buenas prcticas encaminadas a la proteccin de la informacin;
razn por la cual es necesario el desarrollo del anlisis de riesgo de la seguridad de
la informacin aplicado a cada uno de los activos de informacin.
 MARCO REFERENCIAL

Antecedentes

Partiendo de la necesidad de determinar el estado de seguridad de la informacin

mediante un diagnstico en el Estudio Contable Salinas y en vista de que actualmente
se tiene una estructura institucional con la dotacin y tecnologa necesaria para
desarrollarlas, se plantea realizar el anlisis de riesgos a partir de la revisin de
algunos antecedentes en la materia.

Muchos de los planteamientos y problemas en seguridad informtica se encaminan a

protegerse contra accesos no autorizados, pero este es un problema sencillo de
resolver, ya que durante aos se han desarrollado y perfeccionado algoritmos
matemticos para el cifrado de datos, para el intercambio seguro de informacin, para
garantizar el correcto funcionamiento del software, que se ha traducido en
herramientas capaces de proporcionar soluciones rpidas y sencillas a problemas
tcnicos de seguridad. Desafortunadamente, no es suficiente simplemente arreglar los
errores o eliminar las fallas tcnicas de seguridad.

El problema va mucho ms all. La Seguridad Informtica es un problema cultural, en

el que el usuario juega un rol protagnico. La metodologa para el aseguramiento de
entornos informatizados - MAEI2, resalta la importancia de tener una metodologa
clara para realizar un anlisis de riesgos e identificar claramente vulnerabilidades,
riesgos y amenazas presentes en los activos de informacin, ser gestionados y que
permita optimizar los procesos organizacionales.

Marco terico
Seguridad de la Informacin
Se podra definir como seguridad de la informacin a un estado especfico de la misma
sin importar su formato, que nos indica un nivel o un determinado grado de seguridad
de informacin, por ejemplo, que est libre de peligro, dao o riesgo, o por el contrario
que es vulnerable y puede ser objeto de materializacin de una amenaza. Las
vulnerabilidades, el peligro o el dao de la misma es todo aquello que pueda afectar
su funcionamiento directo y la esencia en s de la informacin, o en su defecto los
resultados que se obtienen de la consulta, administracin o procesamiento de ella.
Marco Conceptual

El activo ms importante que tiene una organizacin es la informacin y, por lo tanto,

deben existir lineamientos claros que permitan su aseguramiento sin dejar de lado la
seguridad fsica aplicada a los equipos donde se encuentra almacenada.

Dichos lineamientos o tcnicas estn dadas por la seguridad lgica y aspectos de la

seguridad fsica que permite la creacin de barreras y procedimientos que resguardan
la informacin y permiten el acceso a ella nica y exclusivamente a personal
autorizado.

Hoy en da existe en el mercado gran variedad de dispositivos electrnicos mviles

como netbooks, computadores porttiles, tabletas, smartphones etc., convirtindose
en blanco de posibles ataques y bsquedas de debilidades entre ellas, fraude
electrnico, robo de identidad, denegacin de servicios entre muchos otros.

La gestin de la seguridad debe ser planteada tanto en la parte lgica como fsica a
travs de los planes de contingencia, polticas de seguridad y aplicacin de
normativas.

Caractersticas de un Sistema Seguro:

Confidencialidad: Los componentes del sistema sern accesibles slo por

aquellos usuarios autorizados.
Integridad: Los componentes del sistema slo pueden ser creados y modificados por
los usuarios autorizados.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del
sistema cuando as lo deseen. De nada sirve la informacin si se encuentra intacta en
el sistema, pero los usuarios no pueden acceder a ella La disponibilidad tambin se
entiende como la capacidad de un sistema para recuperarse rpidamente en caso de
ocurrencia de algn problema.
Planteamiento del Problema
El Estudio Contable Salinas, no tiene un sistema de seguridad de la informacin que
permita la gestin de vulnerabilidades, riesgos y amenazas a las que normalmente se
ve expuesta la informacin presente en cada uno de los procesos internos, no se
tienen estandarizados controles que lleven a mitigar delitos informtico o amenaza a
los que estn expuestos los datos comprometiendo la integridad, confidencialidad y
disponibilidad de la informacin.

Existen procedimientos creados subjetivamente por iniciativa y experiencia de los

miembros del equipo TIC; por ejemplo, no existe una poltica de uso de claves de
usuario, en los servidores se realiza el cambio de claves de acceso a criterio del
personal responsable de cada uno de ellos sin una periodicidad y bitcora definida;
los administrativos y docentes no hacen uso de claves de acceso, por lo que cualquier
persona puede tener acceso a los equipos de cmputo que se les ha asignado.

El Estudio Contable tiene muchos inconvenientes dentro del manejo de la informacin

debido a que ha ido creciendo paulatinamente y no se ha tomado conciencia de la
importancia de asegurar la informacin existente; a medida que avanza es necesario
adoptar y crear polticas que regulen las buenas prcticas en cada una de las
transacciones, procesos y recursos relacionados con la informacin y para esto, es
indispensable realizar el anlisis de riesgos de la seguridad de la informacin,
incluyendo los activos que directa e indirectamente estn ligados a este proceso, como
lo dicta la metodologa Magerit.

De no integrar dentro de sus sistemas, buenas prcticas y recomendaciones de

seguridad informtica, resultado del anlisis de riesgos; muy seguramente en un futuro
cercano podra ser vctima de delitos informticos que obstaculicen su normal
funcionamiento como lo pueden ser intrusiones, modificacin y/o robo de informacin,
denegacin de servicios, entre otros.

Formulacin del Problema

Cmo identificar y tratar los riesgos que afecten la seguridad de la informacin del
Estudio Contable Salinas, con el fin de definir e implementar a futuro un Sistema de
Gestin de Seguridad de la Informacin, mediante el anlisis de riesgos?
Objetivo General

Realizar el anlisis de riesgos que permita generar controles para minimizar la

probabilidad de ocurrencia e impacto de los riesgos asociados con las
vulnerabilidades y amenazas de seguridad de la informacin existentes en el Estudio
Contable Salinas.

Objetivos Especficos
Identificar y clasificar los activos de informacin presentes en el Estudio Contable
Salinas.
Sugerir mecanismos de control y gestin que minimicen las vulnerabilidades
encontradas en el estudio del anlisis de riesgos realizado.
Elaborar un informe de recomendaciones donde se muestre los hallazgos que
permita definir un Sistema de seguridad de la informacin ajustada a la
realidad del Estudio Contable Salinas.