| Título: | Análisis de riesgos en el manejo automatizado de la información en la red interna del SRI (Servicio de Rentas Internas) en la ciudad de Cuenca |
| Autores: |
Arias Manosalva, María Eugenia Fernández Matute, Rubén Vinicio |
| Fecha: |
2011-01-25 2011-01-25 2007-02 |
| Publicador: | Universidad Politécnica Salesiana |
| Fuente: |
 |
| Tipo: | Thesis |
| Tema: |
Clasificación de la Información Identificación de Amenazas Servicio de Rentas Internas (Sri) |
| Descripción: | En la presente tesina hemos desarrollado un análisis de los riesgos que puede correr la información manejada por el SRI en la ciudad de Cuenca, para lo cual hemos seguido una serie de pasos que forman parte de este análisis tan importante dentro de la seguridad informática. En primer lugar nos enfocamos en clasificar la información que maneja la empresa, obteniendo en esta clasificación información de tipo privada y pública en los distintos departamentos de la empresa. Para el desarrollo de éste punto se realizó una auditoria de la información para recopilar todos los datos necesarios, en donde se realizó una encuesta al personal que labora en el SRI con lo cual se obtuvo datos precisos para dividir la diferente información utilizada por los diferentes departamentos de la empresa, además obtuvimos un cuadro estadístico sobre los porcentajes de los tipos de información utilizados actualmente por la empresa siendo estas: 50% de información pública, 20% privada crítica, 20% privada sensible, 10% privada valiosa. Al tener una clasificación clara de la información procedimos a la tasación del este activo, para lo cual nos basamos en información obtenida mediante una entrevista al personal encargado del Departamento de Informática del SRI que nos ayudó en dar un valor a cada tipo de información según el grado de pérdida que ésta pueda ocasionar a la empresa en caso de ser afectada. Una vez que tuvimos la información clasificada y valorada, se procedió a identificar y analizar todas las amenazas posibles que puedan presentarse en contra del buen uso de la información. La utilización de la red y correo electrónico son uno de los medios por los cuales existen varias malicias que ocasionan serios daños a la información almacenada y a la que se transmite por la red, por ejemplo al compartir archivos innecesarios, puede provocar que varios usuarios realicen cambios accidentales. El correo electrónico es muy utilizado por la empresa ya que es un medio que permite de una manera rápida el intercambio de información publica o privada, es así que se convierte en uno de los métodos más aptos a posibles amenazas. Los usuarios a más de utilizar el correo para aspectos laborales también lo usan para aspectos personales por lo que existen varias posibilidades de presentarse amenazas de virus que atacan varios archivos procediendo a ocasionar daños a distinta información de la empresa, otro de los problemas que se presenta a través del correo electrónico es el uso inadecuado que los usuarios le dan al mismo; por ejemplo el llamado repudio, es decir cuando el usuario niega haber recibido un mensaje, o también el llamado spoot en el que un usuario intercepta un mensaje y pretende ser el remitente del mismo por beneficio propio, también se puede mencionar otras imprudencias como cuando olvidan cerrar sus sesiones o comparten sus contraseñas. Dentro de las amenazas a la información confidencial, las principales amenazas analizadas son las ocasionadas por los propios empleados de la empresa ya sea por malicia, por descuido o por errores sin intención que se dan por la falta de capacitación, otro aspecto es el manejo de claves y la asignación de roles que al no ser efectuados de una manera adecuada pueden ser una entrada para diversos ataques. Luego de haber identificado a las posibles amenazas, pasamos a dar un porcentaje de ocurrencia a cada una de ellas de acuerdo al grado en el que se cumplen las políticas establecidas por el SRI. Una vez que cada amenaza se encuentra valorada tomamos las que alcanzaron un porcentaje del 50% en adelante y de estas partimos para identificar las diferentes vulnerabilidades que pueden hacer posible que se cumplan dichas amenazas. El análisis de las vulnerabilidades es un proceso mediante el cual se determina el nivel de exposición y la predisposición a la pérdida de un elemento o grupo de elementos ante una amenaza especifica. Todas las vulnerabilidades son en base a cada una de las amenazas encontradas tanto en el correo electrónico como en la información confidencial. Paso seguido procedimos a dar una posible explotación de todas las vulnerabilidades encontradas, y al igual que en el caso de las amenazas tomamos para nuestro análisis las que tienen un mayor porcentaje en hacer realidad una amenaza. Finalmente luego de tener la distinta información manejada por la empresa y de haber analizado cada una de las amenazas con todas sus vulnerabilidades, pasamos a definir los riesgos que azotan a toda la información confidencial y a la información manejada por correo electrónico. Para la estimación del riesgo que se presenta en contra del activo dimos un valor basado en el grado de pérdida que éste ocasionaría a la empresa en caso de presentarse, se utilizó A para estimación alta, M para estimación media y B para estimación baja. El porcentaje de ocurrencia que obtuvo cada riesgo identificado, fue gracias a una entrevista personal con el encargado del Departamento de Seguridad Informática, la misma que nos permitió tener una mejor visión de cómo los riesgos podrían atacar a la información que maneja la empresa, es decir el grado de peligrosidad que cada uno podría poseer. Para el valor final que tomó el riesgo se consideró el tipo de información a la que azota, así como también las amenazas y las vulnerabilidades que lo conforman; obteniendo de esta manera los riesgos con mayor posibilidad de ocurrencia y con mayor cantidad de pérdida para la empresa. Es entonces sobre éstos riesgos en los que la empresa deberá poner mayor atención y establecer planes de seguridad que permitan evitar la presencia de los mismos. Con el análisis de riesgos realizado hemos podido constatar que incluso las grandes empresas como el SRI son victimas de ataques en contra de sus activos, razón por la cuál es aconsejable se de a la seguridad informática el verdadero valor que esta tiene, pues de ese modo evitaremos pérdidas de cualquier índole que se pudieran presentar. El personal de seguridad informática de una empresa antes de establecer políticas de seguridad siempre debe realizar el respectivo análisis de los riesgos que azotan a sus activos, esto simplificará su labor y tendrán un enfoque más preciso hacia lo que se desea proteger, para qué y por qué. Del mismo modo cada vez que se den cambios en el sistema y en la red de la empresa este análisis debe ser actualizado y porque no mejorado logrando así una mayor protección a la información y demás activos de la empresa. |
| Idioma: | Español |