Análisis
de Amenazas y Vulnerabilidades en los Sistemas de Información de Eléctricos
S.A.S
Jenifer
Restrepo Monsalve
Jorge
Mario Paniagua
Auditoría
de sistemas
Facultad
de ingeniería
Desarrollo
de software
2024
Introducción
La
empresa Eléctricos S.A.S, dedicada a la venta de materiales eléctricos, ha
identificado la necesidad de realizar una auditoría informática debido a la
falta de control en sus sistemas de información, lo que ha creado diversas
vulnerabilidades. En este trabajo se identifican las amenazas y
vulnerabilidades asociadas a los cuatro perfiles operacionales claves descritos
en el caso de estudio, utilizando la estructura de metalenguaje definida por la
causa, el riesgo y el efecto de cada evento.
Perfil 1: Encargado de
los pagos de nómina general
1.
Causa: Uso de contraseñas débiles en el sistema de nómina.
·
Riesgo: Acceso no autorizado a la base de datos de nómina.
·
Efecto: Robo de información confidencial de los empleados, como
datos salariales.
2.
Causa: Falta de encriptación de los archivos de nómina.
·
Riesgo: Filtración de datos sensibles.
·
Efecto: Pérdida de confianza de los empleados y sanciones legales.
3.
Causa: Uso de software obsoleto para el manejo de nóminas.
·
Riesgo: Vulnerabilidades en la seguridad del sistema.
·
Efecto: Ataques cibernéticos que podrían alterar la información
financiera.
4.
Causa: Falta de controles de acceso físicos a las oficinas donde
se maneja la nómina.
·
Riesgo: Acceso no autorizado a las instalaciones.
·
Efecto: Robo o manipulación de información financiera.
5.
Causa: Inexistencia de un plan de respaldo de la información de
nómina.
·
Riesgo: Pérdida de datos por fallo en el sistema.
·
Efecto: Imposibilidad de procesar pagos a tiempo, afectando la
operación de la empresa.
Perfil 2: Cajero de
punto de pago
1.
Causa: Uso de dispositivos no seguros en el punto de pago.
·
Riesgo: Robo de datos de tarjetas de crédito.
·
Efecto: Fraude financiero y pérdida de confianza del cliente.
2.
Causa: Falta de registro adecuado de transacciones.
·
Riesgo: Discrepancias en los cuadres de caja.
·
Efecto: Pérdida financiera para la empresa y sanciones legales.
3.
Causa: No actualización del software de pago electrónico.
·
Riesgo: Vulnerabilidades explotadas por malware.
·
Efecto: Interrupción en el servicio de pago, afectando la
experiencia del cliente.
4.
Causa: Falta de monitoreo en tiempo real de las transacciones.
·
Riesgo: Procesamiento de transacciones fraudulentas.
·
Efecto: Pérdidas económicas por fraude.
5.
Causa: Acceso inadecuado a los sistemas de caja por parte de
personal no autorizado.
·
Riesgo: Manipulación de datos de ventas.
·
Efecto: Pérdidas financieras significativas y daño a la
reputación.
Perfil 3: Encargado de
cargar los inventarios de la tienda
1.
Causa: Falta de autenticación de doble factor para acceder al
sistema de inventarios.
·
Riesgo: Acceso no autorizado a la información del inventario.
·
Efecto: Alteración de los registros de productos, lo que genera
desajustes en el control de existencias.
2.
Causa: Ausencia de un sistema de respaldo automático de los datos
de inventario.
·
Riesgo: Pérdida de información crítica sobre el stock de
productos.
·
Efecto: Imposibilidad de reponer productos a tiempo, lo que afecta
las ventas.
3.
Causa: Software no actualizado para la gestión de inventarios.
·
Riesgo: Fallos en la integridad de los datos.
·
Efecto: Descuadres entre las existencias físicas y las registradas
en el sistema.
4.
Causa: Falta de capacitación del personal en la gestión de
inventarios.
·
Riesgo: Errores humanos durante el registro de productos.
·
Efecto: Ineficiencias operativas y pérdidas económicas.
5.
Causa: Sistema de inventarios vulnerable a ciberataques.
·
Riesgo: Manipulación externa de los datos de inventario.
·
Efecto: Pérdida de productos y ganancias, con un posible impacto
en la reputación de la empresa.
Perfil 4: Ingeniero de
desarrollo encargado de la pasarela de pago
1.
Causa: Falta de implementación de estándares de seguridad en la
pasarela de pago.
·
Riesgo: Exposición de información sensible de proveedores.
·
Efecto: Fraude financiero y pérdida de confianza de los
proveedores.
2.
Causa: No realización de pruebas periódicas de vulnerabilidad.
·
Riesgo: Posibilidad de ataques de denegación de servicio (DDoS).
·
Efecto: Interrupción en el servicio de pagos, afectando la
relación con los proveedores.
3.
Causa: Código de la pasarela de pago con errores de seguridad.
·
Riesgo: Explotación de vulnerabilidades por atacantes.
·
Efecto: Desvío de pagos hacia cuentas no autorizadas.
4.
Causa: Falta de cifrado en la transmisión de datos entre la
pasarela de pago y los bancos.
·
Riesgo: Robo de datos bancarios de proveedores.
·
Efecto: Pérdidas económicas por fraude y problemas legales para la
empresa.
5.
Causa: Insuficiente segregación de funciones en el equipo de
desarrollo.
·
Riesgo: Manipulación interna del código de la pasarela de pago.
·
Efecto: Modificaciones no autorizadas que comprometen la seguridad
del sistema.
Conclusión
El análisis de los
riesgos operacionales para cada perfil en Eléctricos S.A.S muestra la
importancia de implementar medidas de seguridad adecuadas para mitigar las
amenazas y vulnerabilidades en los sistemas de información. La falta de
controles adecuados puede tener un impacto negativo tanto en la operación
diaria de la empresa como en su reputación. Es necesario realizar auditorías
periódicas y mejorar los sistemas de control interno para garantizar la
seguridad de la información y el correcto funcionamiento de los procesos
críticos.
No hay comentarios:
Publicar un comentario