Análisis de Riesgos (Modelo SMR) Caso: “Banco Mercantil Santa Cruz”, agencia Miraflores 1.-Introducción El poder está en
Views 76 Downloads 0 File size 281KB
Análisis de Riesgos (Modelo SMR) Caso: “Banco Mercantil Santa Cruz”, agencia Miraflores 1.-Introducción El poder está en la información, y esta debe considerarse como un activo de la organización, por lo cual esta debe ser protegida y debe mantener su integridad, operatividad y privacidad. Es por eso que en la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados. Consecuentemente,
muchas
organizaciones
gubernamentales
y
no
gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. Es especial en los bancos ya que estos manejan información de vital importancia para los inversionistas, y los clientes del mismo, es por eso que hay que estar pendiente de todos los dispositivos sobre los cuales puede ocurrir algún tipo de ataque que amenaza a los activos del banco. Como siguiente practica se identificó la red de información de una de las sucursales del banco Mercantil Santa Cruz, para posterior mente identificar la probabilidad del impacto que tendrá si ocurre un ataque en cada uno de los diferentes dispositivos que conforman esta red.
1
2.- Problemas Los problemas identificados para el presente trabajo fueron: 2.1.- Problema General
La carencia de la realización del análisis de riesgos a nivel general en el Banco Mercantil Santa Cruz
2.2.- Problemas Específicos
Las
posibles
amenazas
que
podrían
afectar
con
el
correcto
desenvolvimiento de las actividades diarias del Banco Mercantil Santa Cruz.
La mala clasificación de las posibles amenazas que podrían afectar al Banco, generando confusión dentro del mismo a la hora de evaluar sobre cuales se debe tomar medidas inmediatas.
La falta de control en el nivel de riesgo que tienen cada una de las amenazas que podrían afectar al Banco Mercantil Santa Cruz, ocasionando la pérdida de recursos al Banco.
3.- Objetivos Los objetivos identificados para el presente trabajo son: 3.1.- Objetivo General
Realizar el análisis de riesgos al Banco Mercantil Santa Cruz de manera general aplicando el modelo clásico (PDCA).
3.2.- Objetivos Específicos
Identificar las posibles amenazas que podrían afectar al sector de informática del Banco Mercantil Santa Cruz. 2
Clasificar cada una de las amenazas identificadas en el Banco Mercantil Santa Cruz
Analizar el nivel de riesgo y el impacto que presenta cada una de las amenazas identificadas en el Banco Mercantil Santa Cruz.
4.- Justificación Se justifica técnicamente que el análisis tendrá el proceso de gestión de riesgos que servirá para determinar los riesgos que puede sufrir la organización, estableciendo soluciones para minimizar los mismos.
5.- Alcances El proceso de gestión de riesgos abarca la gerencia de operaciones respecto a la producción en la organización Banco Mercantil Santa Cruz. 6.- Marco Teórico 6.1.- Misión Somos el banco líder de Bolivia, comprometidos en brindar a nuestros clientes soluciones financieras mediante un servicio de calidad, ágil y eficiente asegurando la creación de valor para los accionistas, el desarrollo de nuestra gente y contribuyendo al desarrollo del país. 6.2.- Visión Un Banco sólido, comprometido con Bolivia y su gente. Valores
Liderazgo. Marcar el rumbo siendo reconocidos como el mejor banco del sistema financiero.
3
Servicio al cliente. Vocación por satisfacer las expectativas de nuestros clientes actuales y potenciales.
Integridad. Actuar con honestidad, lealtad y ética profesional anteponiendo los intereses colectivos y propios.
Excelencia y profesionalismo. Actitud para desempeñar una gestión sobresaliente adaptándose de manera activa y flexible a los cambios del entorno, logrando los mejores resultados en lo personal, grupal y organizacional.
Calidad y confiabilidad. Cumplir eficientemente con los compromisos pactados.
Responsabilidad por los resultados. Tomar decisiones asumiendo la responsabilidad que ellas implican.
Respeto por todas las personas y trabajo en equipo. Desarrollar un ambiente de trabajo armónico, en un clima de confianza e integridad valorando la diversidad, la comunicación efectiva y la construcción de equipos de alto desempeño que permitan el crecimiento mutuo. 6.3.- Organigrama
4
7.- Marco Práctico Topología de la Red de la Sucursal del Banco Mercantil Santa Cruz
5
N.-
Amenaza
Vulnerabilidad
6
Situación
Probabilidad Impacto
Nivel de Riesgo
Ingreso de 1 intrusos al servidor de Datos Robo de información por intrusos del 2 ordenador del Jefe de sucursal (PC13)
Robo de Información
Ataque de Intrusos
Poco Probable
Moderad o
Medio
Robo de Información
Ataque de Intrusos
Muy Probable
Severo
Alto
Mantenimiento de Perdida de 3 los ordenadores Acceso a la de toda la Información sucursal
Mal funcionamiento Poco de los Probable ordenadores
Menor
Bajo
Alteración de información por 4 intrusos a los ordenadores del área de créditos
Entrada de Información incorrecta
Acceso no permitido de intrusos
Moderad o
Medio
No tener 5 ambientes bajo norma
Deterioro de los Equipos
Mala Poco implementación Probable de equipos
Menor
Bajo
Caída del sistema
Probable
Severo
Alto
Información expuesta
Ataque de Intrusos (correos)
Muy Probable
Critico
Critico
Demoras en Procesos Transaccionales
Registro de transacciones
Muy Probable
Moderad o
Alto
Saturación en el Trafico de la Red
Mal uso de los servicios de Red
Improbable
Menor
Irrelevant e
Posibles Intrusos en el Sistema
Uso de teléfonos móviles en cajas
Improbable
Critico
Bajo
6
Falta de respaldo Perdida de de Información Información
Robo de 7 Información por parte de terceros 8
Software Obsoleto
Desconocimiento 9 de la Normas de la Empresa Intrusos en el 10 Sistema
7
Probable
8
Porcentaje del nivel de riesgo de cada dispositivo de la red del Banco Mercantil Santa Cruz DISPOSITIVO Servidor de Datos Servidor de correos Firewall Dispositivo Wireless Router 1
TIEMPO DE INTERRUPCION ANUAL
CAPACID AD
% ERROR
7,3 días
35%
30%
7,3 días 8,8 horas
25% 25%
20%
7,3 días 7,3 días
8% 1%
7,3 7,3 7,3 7,3
días días días días
1% 1% 1% 1%
7,3 días 3,6 días
1% 1%
Pc. Sistemas Pc. Cajas Pc. Créditos Pc. Jefe Pc. Administrador Router 2
Caso 1: Ingreso de intrusos al servidor de Datos
P (¿ ¿ Si∗PeSi)=100 n
P IT =∑ ¿ i=1
PIT =35 +25 +25 +8 +1 +1 +1 +1 +1 +1 + 1 PIT =100 PET =( 1 ∗P ER 1) + ( 25 ∗20 ) + ( 1 ∗P ER 2 )+ ( 8 ∗P ERW ) +(35 ∗30 ) Operaciones auxiliares
PER 1=
TIA∗100 TA
9
PER 1=
3,6 dias∗100 =0.49 730 dias
PER 2 =
TIA∗100 TA
PER 2 =
3,6 dias∗100 =0.49 730 dias
PERW =
TIA∗100 TA
PERW =
7,3 dias∗100 =1 730 dias
Por lo tanto
PET =( 1 ∗0.49 )+ ( 25 ∗20 ) + ( 1 ∗0.49 )+ ( 8 ∗1 ) +(35 ∗30 ) PET =15.5898 Calculando el error de los dispositivos implicados
PER 1=
1 ∗0.49 =0.03 15.5898
PER 2 =
1 ∗0.49 =0.03 15.5898
PEF =
25 ∗20 =32.07 15.5898
PEW =
8 ∗1 =0.51 15.5898
10
PEW =
35 ∗30 =67.35 15.5898
Caso 2: Mantenimiento de los ordenadores de toda la sucursal Para este caso, debido a que no podemos calcular el error con probabilidades, se llevara a cabo una regla de tres simple. Tomamos en cuenta el número de equipos reparados en un año registrado, y se calculara el número de equipos en dos años. 7 equipos 1 año -------------------------------------> 100% 12 equipos 2 año -------------------------------------> X Cálculos auxiliares
12∗1 =1.71 7 Por lo tanto, llegamos a la conclusión que el porcentaje de reparación de los ordenadores se incrementara en un 29% para el segundo año, con lo cual podemos identificar que este es un riesgo poco probable. Caso 3: Robo de información por intrusos del ordenador del Jefe de sucursal (PC13)
P (¿ ¿ Si∗PeSi)=100 n
P IT =∑ ¿ i=1
PIT =35 +25 +25 +8 +1 +1 +1 +1 +1 +1 + 1 PIT =100 PET =( 1 ∗P ER 1) + ( 25 ∗20 ) + ( 1 ∗P ER 2 )+ ( 8 ∗P ERW ) +(1 ∗PEPCJ ) Operaciones auxiliares
11
PER 1=
TIA∗100 TA
PER 1=
3,6 dias∗100 =0.49 730 dias
PER 2 =
TIA∗100 TA
PER 2 =
3,6 dias∗100 =0.49 730 dias
PERW =
TIA∗100 TA
PERW =
7,3 dias∗100 =1 730 dias
PEPCJ =
TIA∗100 TA
PEPCJ =
7,3 dias∗100 =1 730 dias
Por lo tanto
PET =( 1 ∗0.49 )+ ( 25 ∗20 ) + ( 1 ∗0.49 )+ ( 8 ∗1 ) +(1 ∗1 ) PET =5.0998 Calculando el error de los dispositivos implicados
PER 1=
1 ∗0.49 =0.09608 5.0998
12
PER 2 =
PEF =
1 ∗0.49 =0.09608 5.0998
25 ∗20 =98.04 5.0998
PEW =
8 ∗1 =1.5686 5.0998
PEPCJ =
1 ∗1 =0.196 5.0998
CASO 4: Alteración de información por intrusos a los ordenadores del área de créditos
P (¿ ¿ Si∗PeSi)=100 n
P IT =∑ ¿ i=1
PIT =35 +25 +25 +8 +1 +1 +1 +1 +1 +1 + 1 PIT =100 PET =( 1 ∗P ER 1) + ( 25 ∗20 ) + ( 1 ∗P ER 2 )+ ( 8 ∗P ERW ) +(1 ∗PEPCC ) Operaciones auxiliares
PER 1=
TIA∗100 TA
PER 1=
3,6 dias∗100 =0.49 730 dias
PER 2 =
TIA∗100 TA 13
PER 2 =
3,6 dias∗100 =0.49 730 dias
PERW =
TIA∗100 TA
PERW =
7,3 dias∗100 =1 730 dias
PEPCC =
TIA∗100 TA
PEPCC =
7,3 dias∗100 =1 730 dias
Por lo tanto
PET =( 1 ∗0.49 )+ ( 25 ∗20 ) + ( 1 ∗0.49 )+ ( 8 ∗1 ) +(1 ∗1 ) PET =5.0998 Calculando el error de los dispositivos implicados
PER 1=
1 ∗0.49 =0.09608 5.0998
PER 2 =
1 ∗0.49 =0.09608 5.0998
PEF =
25 ∗20 =98.04 5.0998
PEW =
8 ∗1 =1.5686 5.0998
14
PEPCC =
1 ∗1 =0.196 5.0998
15
16
Caso 8: Software Obsoleto El tiempo a evaluar para esta amenaza tomamos un intervalo de tiempo de 1 año, donde la perdida en un tiempo de tres años tiene un costo de Bs. 2725:
1 año−−−−Bs .908,33
3 años−−−−Bs .2725 Donde tenemos que el promedio de pérdida de un año:
Bs .908,33 17
2725−−−100
908,33−−−X X =33,33 Por lo tanto el software obsoleto tiene un nivel de riesgo de 33,33% en un lapso de tiempo de un año. Caso 9:Desconocimiento de las normas de la empresa (congestionamiento en las redes de comunicación)
P ¿ Si∗P (¿ eSi)=100 n
P IT =∑ ¿ i=1
PIT =35 +25 +25 +8 +1 +1 +1 +1 +1 +1 + 1 PIT =100
PET =( 35 ∗30 )+ ( 25 ∗PESC ) + ( 25 ∗20 ) + ( 8 ∗P ERW ) + ( 1 ∗P EPR 1 ) + ( 1 ∗P EPCS ) + ( 1 ∗PEPCCA ) + ( 1∗P PCCR ) + ( 1 ∗ Operaciones auxiliares
PESC =
TIA∗100 TA
PESC =
7,3 dias∗100 =1 730 dias
PERW =
TIA∗100 TA
PER W =
7,3 dias∗100 =1 730 dias
18
PERW =
TIA∗100 TA
PERW =
7,3 dias∗100 =1 730 dias
PER 1=
TIA∗100 TA
PER 1=
3,6 dias∗100 =0.49 730 dias
PEPCS =
TIA∗100 TA
PEPCS =
7,3 dias∗100 =1 730 dias
PEPCCA =
TIA∗100 TA
PEPCCA =
7,3 dias∗100 =1 730 dias
PEPCCR =
TI A∗100 TA
PEPCCR =
7,3 dias∗100 =1 730 dias
19
PEPCJ =
TIA∗100 TA
PEPCJ =
7,3 dias∗100 =1 730 dias
PEPCA =
TIA∗100 TA
PEPCA =
7,3 dias∗100 =1 730 dias
PER 2 =
TIA∗100 TA
PER 2 =
3,6 dias∗100 =0.49 730 dias
Por tanto
PET =( 35 ∗30 )+ ( 25 ∗1 ) + ( 25 ∗20 )+ ( 8 ∗1 ) + ( 1 ∗0,49 )+ ( 1 ∗1 )+ (1 ∗1 )+ ( 1∗1 )+ ( 1∗1 ) + ( 1∗1 ) + ( 1 ∗0,49 PET =17 , 37 Calculo de Error de todos los dispositivos implicados
PER 1=
1 ∗0.49 =0.0282 17 ,37
PER 2 =
1 ∗0.49 =0. 0282 17,37
PEF =
25 ∗20 =28.78 17,37
PEW =
8 ∗1 =0,4605 17,37 20
PEPCS =
1 ∗1 =0. 057 17,37
PEPCCA =
1∗1 =0.057 17,37
PEPCCR =
1 ∗1 =0.057 17,37
PEPCJ =
1 ∗1 =0.057 17,37
PEPCA =
1 ∗1 =0.057 17,37
Caso 10: Intrusos en el sistema Los intrusos al sistema atacan los servidores del banco, en especial el servidor de correos del banco desde el sector cajas y el administrativo
P (¿ ¿ Si∗PeSi)=100 n
P IT =∑ ¿ i=1
PIT =35 +25 +25 +8 +1 +1 +1 +1 +1 +1 + 1 PIT =100
PET =( 25 ∗P ESC ) + ( 1 ∗P ER 1 ) + ( 1 ∗P EPCCA )+ ( 1 ∗P PCA ) Cálculos Extra
PESC =
TIA∗100 TA
21
PESC =
7,3 dias∗100 =1 730 dias
PER 1=
TIA∗100 TA
PER 1=
3,6 dias∗100 =0.49 730 dias
PEPCCA =
TIA∗100 TA
PEPCCA =
7,3 dias∗100 =1 730 dias
PEPCA =
TIA∗100 TA
PEPCA =
7,3 dias∗100 =1 730 dias
PET =( 25 ∗1 ) + ( 1 ∗0,49 ) + ( 1∗1 ) + ( 1 ∗1 ) PET =0,2749
Calculo de Error de los dispositivos implicados
PEPCS =
1 ∗1 =3,6376 0,2749 22
P E R 1=
1 ∗0.49 =0.1347 0,2749
PEPCCA =
PEPCA =
1∗1 =3,6376 0,2749
1 ∗1 =3,6376 0,2749
8.- Conclusiones Tras haber realizado el trabajo previo, se pudo llegar a determinar un supuesto de la topología de red del banco “Mercantil Santa Cruz”, específicamente de la sucursal localizada en la zona de Miraflores de la ciudad de La Paz, tomando en cuenta todos los aspectos de seguridad, infraestructura y características de servicio para realizar dicho supuesto. Una vez identificada la topología de la red del Banco, se procedió a determinar la ruta que cada que sigue cada uno de los riesgos identificados con el modelo SMR, para calcular el nivel de riesgo de cada uno de estos, y determinar el impacto que tendrán sobre el Banco cada uno de estos.
23