FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA Facultad de Ingenierías Y Ciencias Básicas Análisis de riesgos informáticos Ac
Views 149 Downloads 5 File size 391KB
FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA
Facultad de Ingenierías Y Ciencias Básicas Análisis de riesgos informáticos
Actividad Evaluativa (Eje 4) - “Nos Rajamos”
Presentada por:
Nicolás Gonzales Avila Sebastián Felipe Espitia Arguelles Alexandra Marieleen Velasquez
BOGOTÁ – COLOMBIA
Tabla de contenido INTRODUCCION..................................................................................................................................3 OBJETIVOS..........................................................................................................................................4 CONTENIDO........................................................................................................................................1 Análisis del alcance del sistema de Gestión...................................................................................1 Recomendaciones:.........................................................................................................................1 1.
Control de acceso...................................................................................................................1
2.
Control de cambios:...............................................................................................................2
3.
Gestión de continuidad y disponibilidad................................................................................4
Modelo propuesto.........................................................................................................................5 CONCLUSIONES..................................................................................................................................6 BIBLIOGRAFIA.....................................................................................................................................7
INTRODUCCION En la actualidad a nivel corporativo disponemos de diferentes procesos que forman parte del Análisis de Riesgos informáticos, los cuales tienen un papel de alta relevancia para una organización que quiera una reducción significativa en las probabilidades de que nuevas amenazas tengan un impacto crucial y contundente en los sistemas de información que necesitan defensas y protección tales como bases de datos o incluso un software integral de procesos, y un sinfín de datos y herramientas que no consideramos críticas dentro de los procesos corporativos. Es necesario tener en cuenta que cualquier sistema basado en software y hardware está expuesto a diversas problemáticas, amenazas e incidencias que podemos mitigar, prevenir y solucionar. Estas incidencias sirven para retroalimentar nuestros procedimientos y planes de seguridad en la información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos, producto de grandes desastres como incendios, terremotos, sabotaje, etc. O por fallas técnicas como errores humanos, virus informático, etc. que producen daño físico y/o lógico irreparable. Para la mitigación de los distintos riesgos, amenazas y vulnerabilidades que tiene un sistema han sido desarrollados diversos estándares internacionales y regulaciones que definen los principios básicos en algunos casos, y aspectos de control detallados en otros, para lograr una efectiva gestión de la seguridad de la información. Los cuales abarcan desde conceptos tan globales como el planteo estratégico de la seguridad de la información hasta cuestiones operativas. La elaboración de distintos modelos para el análisis, evaluación y gestión de riesgos es sumamente importante para cualquier organización que se preocupe por el óptimo desempeño de las políticas de seguridad de la información, ya que permitirán identificar y franquear las diversas amenazas presentes de la mejor forma posible, para así exponer al mínimo los sistemas de información.
OBJETIVOS 1. Analizar e identificar el alcance del sistema de gestión de la información propuesto. 2. Diseñar un modelo de análisis, evaluación y gestión de riesgos informáticos en la organización XYZ.
CONTENIDO
Análisis del alcance del sistema de Gestión Recomendaciones: 1. Control de acceso El análisis y la implementación de modelos de autenticación son importantes para evitar intromisiones no deseadas, así como la administración de credenciales y permisos por parte del administrador del sistema. Los métodos de autenticación que están presentes son: -
inicio de sesión tradicional: Consiste en un login y contraseña configurado y asignado por el owner del sistema.
-
Doble factor de autenticación con SMS: consiste en el envio de un mensaje de texto con un código solicitado para iniciar la sesión, este código será enviado al número de móvil registrado con el usuario en el sistema de información.
-
URL de autenticación: Sirve como identificador único que se logea en la mayor parte de las ocasiones con el directorio activo que esta sincronizado con el sistema de información.
-
Token: Un dispositivo electrónico al cual llega un código que sirve para un inicio de sesión único.
2. Control de cambios: Este control de cambios le va a permitir al sistema tener seguridad sobre el impacto que va a generar cualquier actualización o mutación que se presente en el transcurso de la operación y de esta forma evitar un impacto de gran magnitud en su integridad y funcionamiento. El proceso de control de cambios proporciona procedimientos formales para: registrar solicitudes de cambio; analizar la información del por qué es requerido el cambio, el impacto que tendrá al autorizar, rechazar o modificar dicha solicitud. El registro de cambios se llevará a cabo por cualquier persona involucrada en el proyecto, desde los clientes hasta los desarrolladores, en cualquier punto del ciclo del software, e incluir una solución propuesta, prioridad e impacto, el cual debe ser analizado, aprobado y rastreado formalmente. Una solicitud de cambio puede originarse, por ejemplo, a partir de un defecto en el producto de software, de una petición de mejora o de un cambio a un requerimiento y será validado y ejecutado teniendo en cuenta un formato como el siguiente:
Código: FM02
Empre sa XYZ
Procedimiento de control de cambiós
NOMBRE Elaboró
Revisó
Aprob ó
CARGO
FIRMA
Jefe sistema gestión de calidad Jefe de sistemas Coordinador IT Director de proyecto Director de sistemas Director de proyecto Gerente general
PROCEDIMIENTO Generalida es
Responsa ble
Informació n
INFORMACION O SOLICITUD DE CAMBIO Responsa ble
Informació n
INFORMACION O SOLICITUD DE CAMBIO Responsa ble
DIVULGACIÓN Informació n
Responsa ble
IMPLEMENTACIÓN Informació n
Informació n Informació n
Responsa ble
VERIFICACION DE LOS CAMBIOS IMPLEMENTADOS Responsa ble CAMBIOS EN DOCUMENTACION Responsa ble
FECHA
Fecha de ejecución
Responsa ble
3. Gestión de continuidad y disponibilidad: -
Realización de backups automatizados con herramientas como xopero, o respaldo claro cloud:
-
Implementación de políticas de seguridad de la
información. Implementación de tecnologías tipo clúster.
ACTIVOS Estructur a informáti ca Redes
DESCRIPCIÓN
VALOR
SEGURIDAD DE LA INFORMACIÓN CONFIDENCI INTEGRIDA DISPONIB AL D LE 4.1 3.1 4 . 3
RESPONSABLE
Se encuentran en esta Hardware y Software.
$23’000.000 cop
Especializada
$25’000.000 cop
4.6
4.0
5
Líder de área y supervisor.
$100’000.000 cop
5
5
Líder de área y supervisor.
$21’000.000 cop
4.5
2.2
$12’786.000 cop
4.1
3.5
4 . 3 4 . 5 3 . 2
de en dispositivos de comunicación Red. Respaldos de la Aseguran información información en caso de pérdida. Instalación Correcta instalación de la planta física. de planta física Planta La columna vertebral de la de organización. trabajadores
Modelo Propuesto Tabla 1. Tabla de activos Fuente: Propia
IMPACTO Crítico Alto Medio
VALOR 5 De 4.0 a 4.9 De 2.5 a 3.9
Líder de área y supervisor.
CEO y supervisor CEO y líderes de área
Bajo
De 0 a 2.4
Tabla 2. Indicadores de impacto Fuente: Referente de pensamiento
ACTIVOS Fuente :
Estructura informática
Computadores, programas, antivirus e internet.
Redes de Switch, Router, Firewall, comunicación servidor.
DETSaCbRlaIP3.CTIaÓbNla de iVdeUnLtiNficEaRciAónBdIeLlIrDieAsg Do Daños físicos, Hardware y software programas desactualizado, acceso corruptos. a portales dañinos.
Daños físicos, acceso no autorizado. Documentación, bases de Pérdida y/o datos. manipulación de información.
AMENAZ A
CONSECUENCIA
Virus, equipos obsoletos que no cumplen los estándares. Hackers, pérdida de datos, desactualización y robo de información. Robo, pérdida y manipulación de la información.
Procesos defectuosos y pérdida de funcionalidad lógica.
Propia
Falta de actualización, Falta de exceso de puertos disponibilidad de la activos. organización. Respaldos de Falta de un Confidencialidad e la cronograma de integridad información creación de copias de comprometida. seguridad. Instalación de Redes eléctricas y de Daños físicos y Instalación defectuosa, Apagones reiterados, Disponibilidad pé rd id a planta física VUcLoNmEunRiAca de afectada debido a FUENTE D E A maAteMriEalNoAZpA fallos de c io n es . MENAZ A ersonal no B I L ID A D Portal de acceso Usuarioscomunicacinióanc.tivos, ópCtimonofi.dencialidad comprcomeutnidicaa, ccióarne,nociraieesngoasiginntaercmióintencias. deficiente y permisos administrador de BD de los roles de los empl ealédcotsri,croo.bo de información de las Procesos mal Planta demaOl apseirganraiodso,s. Inbcoasrreescdtae superviisnoerfeics,az.Capacitación a s i gn a c i ón E x c e s o de da t o s d e l a com p a ñ í a . presión a un trabajadores Falgtaerdeentefoyrmlíadceiróens dye/oáreFaa. lta dedaetfeinciceinótne.por laásreap,olíticas o por el parte deDreescpoonnoscaibmiliednatdoesdey dinecosrergeucrtoidadejeycultoasdos capacitación de los de RR. HH. Al manejo de tomcoanstrdoeleasccpiaornaesr.etomar macacnieojnoedseflroesntreieasgl orsie. sgopqeruseonsael inadecuado.
empleados. Utilización de aplicaciones obsoletas no confiables. Vulnerabilidades por el ambiente o daños del
empleados. Instalación de aplicaciones no certificadas, defectuosas o maliciosas. Polvo, humedad, exceso de temperatura, fuentes
presente. Procesos defectuosos debido a aplicaciones muy antiguas o con virus, Servicios fuera de los estándares actuales por los que se rige un SGSI. Daños a los equipos de la infraestructura de Red debido a corrosión u oxidación, o corto circuitos debido a
entorno. Generación de políticas de seguridad tardías.
eléctricas expuestas. Falta conocimiento de protocolos a seguir.
elementos eléctricos no aislados. La seguridad de la información no estaría garantizada debido a que no hay un modelo establecido.
Tabla 4. Tabla vulnerabilidades y amenazas Fuente: Propia
PROBABILIDA D Nivel 1
Nivel 2
Insignificante(1) Improbable y daño mínimo: Generación de políticas para evitar aparición. Ocasional y daño mínimo: Manejo de políticas para evitar el riesgo.
Menor(2) Improbable y daño bajo: Diseño de políticas de mitigación del daño. Ocasional y daño bajo: Implementación de medidas de mitigación del daño.
IMPAC TO Moderado(3) Improbable y daño moderado: Postulación de medidas de contención. Ocasional y daño moderado: Exposición de medidas de mitigación.
Mayor(4) Improbable
y daño alto: Asumir como riesgo aceptable y hacer políticas. Ocasional y daño alto: Asumir como riesgo aceptable con controles.
Catastrófico(5) Improbable y daño colosal: Evaluación de la vulnerabilidad y mitigación. Ocasional y daño colosal: desarrollo de controles para situaciones excepcionales.
Nivel 3
Nivel 4
Probable y daño mínimo: Diseño de controles para mitigación del daño. Frecuente y daño mínimo:
Probable
y daño bajo: Proponer medidas de mitigación del daño. Frecuente
y daño bajo:
Probable y daño moderado: Implementación de protocolos de control. Frecuente y daño moderado:
Probable
y daño alto: Generación de políticas de control para la mitigación.
Probable y daño colosal: Análisis para el manejo de una amenaza.
Frecuente
Frecuente y daño ocasional:
y daño alto:
Estudio para descubrir la flaqueza y evitarla. Nivel 5
Recurrente y daño mínimo: Análisis de la vulnerabilidad para evitarla.
Análisis a vulnerabilidades y políticas de mitigación. Recurrente y daño bajo: Estudio a amenaza y exposición de políticas.
Revisión
de amenazas presentadas y mitigación. Recurrente y daño la moderado: Examen de vulnerabilidades y mitigación de amenazas.
Prevenir actividades repetitivas y políticas. Recurrente y daño alto: postulación de políticas para la mayoría de circunstancias.
Tabla 5. Tabla de probabilidad e impacto Fuente: Propia
DIMENSIÓN DEL RIESGO Extremo
VALOR ≥ 10
Alto
De 7.5 a 9.9
Moderado
De 5.0 a 7.4
Menor
De 4.0 a 4.9
Bajo
De 0 a 3.9
ACCIONES Implementar SGSI con políticas y controles de seguridad de la información. Estudio del incidente y postulación del caso para sus resolución por el área pertinente. Desarrollo de políticas para mitigar el daño generado y reducirlo. Por medio de medidas de prevención y contención reducir la dimensión del daño. Auditorio a novedades de amenazas para evitarlas en lo mayor posible.
Tabla 6. Tabla dimensiones del riesgo Fuente: Referente de pensamiento
TIPO RIESGO Extremo Alto Moderado
MEDIDAS Asumir el riesgo y mitigar: Se asume el riesgo y se generan políticas para evitar daños a futuro. Asumir el riesgo y mitigar: Se asume el riesgo y se generan políticas para mitigar daños a futuro. Mitigar: Exponer políticas para evitar el riesgo y generar
Revisión
al modelo de incidentes de seguridad. Recurrente y daño colosal: reestructuración del modelo de seguridad de información.
Menor Bajo
protocolos para acciones. Evitar y mitigar: Proponer una simulación donde se cubran posibles vulnerabilidades y políticas de mitigación. Evitar: Mediante análisis y simulación exponer situaciones
de riesgo para evitarlas. Tabla 7. Tabla dimensiones del riesgo Fuente: Referente de pensamiento
CONCLUSIONES 1. Toda compañía debe tener políticas de seguridad de la información. 2. Las tecnologías de gestión de backups deben estar a la vanguardia y deben ser automatizadas, pues los ciber criminales siempre van a buscar brechas por donde atacar. 3. Fortalecer los sistemas de acceso y maximizar las restricciones a usuarios y colaboradores de la comunidad es fundamental para garantizar el funcionamiento seguro e integral de un sistema de información. 4. La auditoría de un sistema de información es rigurosa y necesaria para encontrar falencias y solucionar brechas que parecen invisibles.
BIBLIOGRAFIA -
Referente de pensamiento Eje IV Analisis de riesgos informáticos (FUAA) Esetla.com xopero.com Derrien, Y. (1994). Técnicas de la auditoría informática. Marcombo. Castello, R. J. (2006). Auditoría en entornos informáticos. Recuperado de http://econ. unicen. edu. ar. Soler Ramos, J., Staking, K., Ayuso Calle, A., Beato, P., Botín OShea, E., & Escrig Meliá, M. (1999). Gestión de riesgos financieros: un enfoque práctico para países latinoamericanos. Banco Interamericano de Desarrollo–BID. López, P. A. (2010). Seguridad informática. Editex. Urbina, G. B. (2016). Introducción a la seguridad informática. Grupo editorial PATRIA.