Regresar

Análisis de riesgos en el manejo automatizado de la información en la red interna del SRI (Servicio de Rentas Internas) en la ciudad de Cuenca

Abstract:

En la presente tesina hemos desarrollado un análisis de los riesgos que puede correr la información manejada por el SRI en la ciudad de Cuenca, para lo cual hemos seguido una serie de pasos que forman parte de este análisis tan importante dentro de la seguridad informática. En primer lugar nos enfocamos en clasificar la información que maneja la empresa, obteniendo en esta clasificación información de tipo privada y pública en los distintos departamentos de la empresa… Al tener una clasificación clara de la información procedimos a la tasación del este activo, para lo cual nos basamos en información obtenida mediante una entrevista al personal encargado del Departamento de Informática del SRI que nos ayudó en dar un valor a cada tipo de información según el grado de pérdida que ésta pueda ocasionar a la empresa en caso de ser afectada. Una vez que tuvimos la información clasificada y valorada, se procedió a identificar y analizar todas las amenazas posibles que puedan presentarse en contra del buen uso de la información. La utilización de la red y correo electrónico son uno de los medios por los cuales existen varias malicias que ocasionan serios daños a la información almacenada y a la que se transmite por la red, por ejemplo al compartir archivos innecesarios, puede provocar que varios usuarios realicen cambios accidentales. El correo electrónico es muy utilizado por la empresa ya que es un medio que permite de una manera rápida el intercambio de información pública o privada, es así que se convierte en uno de los métodos más aptos a posibles amenazas… Luego de haber identificado a las posibles amenazas, pasamos a dar un porcentaje de ocurrencia a cada una de ellas de acuerdo al grado en el que se cumplen las políticas establecidas por el SRI. Una vez que cada amenaza se encuentra valorada tomamos las que alcanzaron un porcentaje del 50% en adelante y de estas partimos para identificar las diferentes vulnerabilidades que pueden hacer posible que se cumplan dichas amenazas… Paso seguido procedimos a dar una posible explotación de todas las vulnerabilidades encontradas, y al igual que en el caso de las amenazas tomamos para nuestro análisis las que tienen un mayor porcentaje en hacer realidad una amenaza. Finalmente luego de tener la distinta información manejada por la empresa y de haber analizado cada una de las amenazas con todas sus vulnerabilidades, pasamos a definir los riesgos que azotan a toda la información confidencial y a la información manejada por correo electrónico…. Con el análisis de riesgos realizado hemos podido constatar que incluso las grandes empresas como el SRI son víctimas de ataques en contra de sus activos, razón por la cuál es aconsejable se dé a la seguridad informática el verdadero valor que esta tiene, pues de ese modo evitaremos pérdidas de cualquier índole que se pudieran presentar. El personal de seguridad informática de una empresa antes de establecer políticas de seguridad siempre debe realizar el respectivo análisis de los riesgos que azotan a sus activos, esto simplificará su labor y tendrán un enfoque más preciso hacia lo que se desea proteger, para qué y por qué. Del mismo modo cada vez que se den cambios en el sistema y en la red de la empresa este análisis debe ser actualizado y porque no mejorado logrando así una mayor protección a la información y demás activos de la empresa.