• Author / Uploaded
• Alexandra Velásquez

Citation preview

FUNDACIÓN UNIVERSITARIA DEL AREA ANDINA

Facultad de Ingenierías Y Ciencias Básicas Análisis de riesgos informáticos

Actividad Evaluativa (Eje 4) - “Nos Rajamos”

Presentada por:

Nicolás Gonzales Avila Sebastián Felipe Espitia Arguelles Alexandra Marieleen Velasquez

BOGOTÁ – COLOMBIA

Tabla de contenido INTRODUCCION..................................................................................................................................3 OBJETIVOS..........................................................................................................................................4 CONTENIDO........................................................................................................................................1 Análisis del alcance del sistema de Gestión...................................................................................1 Recomendaciones:.........................................................................................................................1 1.

Control de acceso...................................................................................................................1

2.

Control de cambios:...............................................................................................................2

3.

Gestión de continuidad y disponibilidad................................................................................4

Modelo propuesto.........................................................................................................................5 CONCLUSIONES..................................................................................................................................6 BIBLIOGRAFIA.....................................................................................................................................7

INTRODUCCION En la actualidad a nivel corporativo disponemos de diferentes procesos que forman parte del Análisis de Riesgos informáticos, los cuales tienen un papel de alta relevancia para una organización que quiera una reducción significativa en las probabilidades de que nuevas amenazas tengan un impacto crucial y contundente en los sistemas de información que necesitan defensas y protección tales como bases de datos o incluso un software integral de procesos, y un sinfín de datos y herramientas que no consideramos críticas dentro de los procesos corporativos. Es necesario tener en cuenta que cualquier sistema basado en software y hardware está expuesto a diversas problemáticas, amenazas e incidencias que podemos mitigar, prevenir y solucionar. Estas incidencias sirven para retroalimentar nuestros procedimientos y planes de seguridad en la información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos, producto de grandes desastres como incendios, terremotos, sabotaje, etc. O por fallas técnicas como errores humanos, virus informático, etc. que producen daño físico y/o lógico irreparable. Para la mitigación de los distintos riesgos, amenazas y vulnerabilidades que tiene un sistema han sido desarrollados diversos estándares internacionales y regulaciones que definen los principios básicos en algunos casos, y aspectos de control detallados en otros, para lograr una efectiva gestión de la seguridad de la información. Los cuales abarcan desde conceptos tan globales como el planteo estratégico de la seguridad de la información hasta cuestiones operativas. La elaboración de distintos modelos para el análisis, evaluación y gestión de riesgos es sumamente importante para cualquier organización que se preocupe por el óptimo desempeño de las políticas de seguridad de la información, ya que permitirán identificar y franquear las diversas amenazas presentes de la mejor forma posible, para así exponer al mínimo los sistemas de información.

OBJETIVOS 1. Analizar e identificar el alcance del sistema de gestión de la información propuesto. 2. Diseñar un modelo de análisis, evaluación y gestión de riesgos informáticos en la organización XYZ.

CONTENIDO

Análisis del alcance del sistema de Gestión Recomendaciones: 1. Control de acceso El análisis y la implementación de modelos de autenticación son importantes para evitar intromisiones no deseadas, así como la administración de credenciales y permisos por parte del administrador del sistema. Los métodos de autenticación que están presentes son: -

inicio de sesión tradicional: Consiste en un login y contraseña configurado y asignado por el owner del sistema.

-

Doble factor de autenticación con SMS: consiste en el envio de un mensaje de texto con un código solicitado para iniciar la sesión, este código será enviado al número de móvil registrado con el usuario en el sistema de información.

-

URL de autenticación: Sirve como identificador único que se logea en la mayor parte de las ocasiones con el directorio activo que esta sincronizado con el sistema de información.

-

Token: Un dispositivo electrónico al cual llega un código que sirve para un inicio de sesión único.

2. Control de cambios: Este control de cambios le va a permitir al sistema tener seguridad sobre el impacto que va a generar cualquier actualización o mutación que se presente en el transcurso de la operación y de esta forma evitar un impacto de gran magnitud en su integridad y funcionamiento. El proceso de control de cambios proporciona procedimientos formales para: registrar solicitudes de cambio; analizar la información del por qué es requerido el cambio, el impacto que tendrá al autorizar, rechazar o modificar dicha solicitud. El registro de cambios se llevará a cabo por cualquier persona involucrada en el proyecto, desde los clientes hasta los desarrolladores, en cualquier punto del ciclo del software, e incluir una solución propuesta, prioridad e impacto, el cual debe ser analizado, aprobado y rastreado formalmente. Una solicitud de cambio puede originarse, por ejemplo, a partir de un defecto en el producto de software, de una petición de mejora o de un cambio a un requerimiento y será validado y ejecutado teniendo en cuenta un formato como el siguiente:

Código: FM02

Empre sa XYZ

Procedimiento de control de cambiós

NOMBRE Elaboró

Revisó

Aprob ó

CARGO

FIRMA

Jefe sistema gestión de calidad Jefe de sistemas Coordinador IT Director de proyecto Director de sistemas Director de proyecto Gerente general

PROCEDIMIENTO Generalida es

Responsa ble

Informació n

INFORMACION O SOLICITUD DE CAMBIO Responsa ble

Informació n

INFORMACION O SOLICITUD DE CAMBIO Responsa ble

DIVULGACIÓN Informació n

Responsa ble

IMPLEMENTACIÓN Informació n

Informació n Informació n

Responsa ble

VERIFICACION DE LOS CAMBIOS IMPLEMENTADOS Responsa ble CAMBIOS EN DOCUMENTACION Responsa ble

FECHA

Fecha de ejecución

Responsa ble

3. Gestión de continuidad y disponibilidad: -

Realización de backups automatizados con herramientas como xopero, o respaldo claro cloud:

-

Implementación de políticas de seguridad de la

información. Implementación de tecnologías tipo clúster.

ACTIVOS Estructur a informáti ca Redes

DESCRIPCIÓN

VALOR

SEGURIDAD DE LA INFORMACIÓN CONFIDENCI INTEGRIDA DISPONIB AL D LE 4.1 3.1 4 . 3

RESPONSABLE

Se encuentran en esta Hardware y Software.

$23’000.000 cop

Especializada

$25’000.000 cop

4.6

4.0

5

Líder de área y supervisor.

$100’000.000 cop

5

5

Líder de área y supervisor.

$21’000.000 cop

4.5

2.2

$12’786.000 cop

4.1

3.5

4 . 3 4 . 5 3 . 2

de en dispositivos de comunicación Red. Respaldos de la Aseguran información información en caso de pérdida. Instalación Correcta instalación de la planta física. de planta física Planta La columna vertebral de la de organización. trabajadores

Modelo Propuesto Tabla 1. Tabla de activos Fuente: Propia

IMPACTO Crítico Alto Medio

VALOR 5 De 4.0 a 4.9 De 2.5 a 3.9

Líder de área y supervisor.

CEO y supervisor CEO y líderes de área

Bajo

De 0 a 2.4

Tabla 2. Indicadores de impacto Fuente: Referente de pensamiento

ACTIVOS Fuente :

Estructura informática

Computadores, programas, antivirus e internet.

Redes de Switch, Router, Firewall, comunicación servidor.

DETSaCbRlaIP3.CTIaÓbNla de iVdeUnLtiNficEaRciAónBdIeLlIrDieAsg Do Daños físicos, Hardware y software programas desactualizado, acceso corruptos. a portales dañinos.

Daños físicos, acceso no autorizado. Documentación, bases de Pérdida y/o datos. manipulación de información.

AMENAZ A

CONSECUENCIA

Virus, equipos obsoletos que no cumplen los estándares. Hackers, pérdida de datos, desactualización y robo de información. Robo, pérdida y manipulación de la información.

Procesos defectuosos y pérdida de funcionalidad lógica.

Propia

Falta de actualización, Falta de exceso de puertos disponibilidad de la activos. organización. Respaldos de Falta de un Confidencialidad e la cronograma de integridad información creación de copias de comprometida. seguridad. Instalación de Redes eléctricas y de Daños físicos y Instalación defectuosa, Apagones reiterados, Disponibilidad pé rd id a planta física VUcLoNmEunRiAca de afectada debido a FUENTE D E A maAteMriEalNoAZpA fallos de c io n es . MENAZ A ersonal no B I L ID A D Portal de acceso Usuarioscomunicacinióanc.tivos, ópCtimonofi.dencialidad comprcomeutnidicaa, ccióarne,nociraieesngoasiginntaercmióintencias. deficiente y permisos administrador de BD de los roles de los empl ealédcotsri,croo.bo de información de las Procesos mal Planta demaOl apseirganraiodso,s. Inbcoasrreescdtae superviisnoerfeics,az.Capacitación a s i gn a c i ón E x c e s o de da t o s d e l a com p a ñ í a . presión a un trabajadores Falgtaerdeentefoyrmlíadceiróens dye/oáreFaa. lta dedaetfeinciceinótne.por laásreap,olíticas o por el parte deDreescpoonnoscaibmiliednatdoesdey dinecosrergeucrtoidadejeycultoasdos capacitación de los de RR. HH. Al manejo de tomcoanstrdoeleasccpiaornaesr.etomar macacnieojnoedseflroesntreieasgl orsie. sgopqeruseonsael inadecuado.

empleados. Utilización de aplicaciones obsoletas no confiables. Vulnerabilidades por el ambiente o daños del

empleados. Instalación de aplicaciones no certificadas, defectuosas o maliciosas. Polvo, humedad, exceso de temperatura, fuentes

presente. Procesos defectuosos debido a aplicaciones muy antiguas o con virus, Servicios fuera de los estándares actuales por los que se rige un SGSI. Daños a los equipos de la infraestructura de Red debido a corrosión u oxidación, o corto circuitos debido a

entorno. Generación de políticas de seguridad tardías.

eléctricas expuestas. Falta conocimiento de protocolos a seguir.

elementos eléctricos no aislados. La seguridad de la información no estaría garantizada debido a que no hay un modelo establecido.

Tabla 4. Tabla vulnerabilidades y amenazas Fuente: Propia

PROBABILIDA D Nivel 1

Nivel 2

Insignificante(1) Improbable y daño mínimo: Generación de políticas para evitar aparición. Ocasional y daño mínimo: Manejo de políticas para evitar el riesgo.

Menor(2) Improbable y daño bajo: Diseño de políticas de mitigación del daño. Ocasional y daño bajo: Implementación de medidas de mitigación del daño.

IMPAC TO Moderado(3) Improbable y daño moderado: Postulación de medidas de contención. Ocasional y daño moderado: Exposición de medidas de mitigación.

Mayor(4) Improbable

y daño alto: Asumir como riesgo aceptable y hacer políticas. Ocasional y daño alto: Asumir como riesgo aceptable con controles.

Catastrófico(5) Improbable y daño colosal: Evaluación de la vulnerabilidad y mitigación. Ocasional y daño colosal: desarrollo de controles para situaciones excepcionales.

Nivel 3

Nivel 4

Probable y daño mínimo: Diseño de controles para mitigación del daño. Frecuente y daño mínimo:

Probable

y daño bajo: Proponer medidas de mitigación del daño. Frecuente

y daño bajo:

Probable y daño moderado: Implementación de protocolos de control. Frecuente y daño moderado:

Probable

y daño alto: Generación de políticas de control para la mitigación.

Probable y daño colosal: Análisis para el manejo de una amenaza.

Frecuente

Frecuente y daño ocasional:

y daño alto:

Estudio para descubrir la flaqueza y evitarla. Nivel 5

Recurrente y daño mínimo: Análisis de la vulnerabilidad para evitarla.

Análisis a vulnerabilidades y políticas de mitigación. Recurrente y daño bajo: Estudio a amenaza y exposición de políticas.

Revisión

de amenazas presentadas y mitigación. Recurrente y daño la moderado: Examen de vulnerabilidades y mitigación de amenazas.

Prevenir actividades repetitivas y políticas. Recurrente y daño alto: postulación de políticas para la mayoría de circunstancias.

Tabla 5. Tabla de probabilidad e impacto Fuente: Propia

DIMENSIÓN DEL RIESGO Extremo

VALOR ≥ 10

Alto

De 7.5 a 9.9

Moderado

De 5.0 a 7.4

Menor

De 4.0 a 4.9

Bajo

De 0 a 3.9

ACCIONES Implementar SGSI con políticas y controles de seguridad de la información. Estudio del incidente y postulación del caso para sus resolución por el área pertinente. Desarrollo de políticas para mitigar el daño generado y reducirlo. Por medio de medidas de prevención y contención reducir la dimensión del daño. Auditorio a novedades de amenazas para evitarlas en lo mayor posible.

Tabla 6. Tabla dimensiones del riesgo Fuente: Referente de pensamiento

TIPO RIESGO Extremo Alto Moderado

MEDIDAS Asumir el riesgo y mitigar: Se asume el riesgo y se generan políticas para evitar daños a futuro. Asumir el riesgo y mitigar: Se asume el riesgo y se generan políticas para mitigar daños a futuro. Mitigar: Exponer políticas para evitar el riesgo y generar

Revisión

al modelo de incidentes de seguridad. Recurrente y daño colosal: reestructuración del modelo de seguridad de información.

Menor Bajo

protocolos para acciones. Evitar y mitigar: Proponer una simulación donde se cubran posibles vulnerabilidades y políticas de mitigación. Evitar: Mediante análisis y simulación exponer situaciones

de riesgo para evitarlas. Tabla 7. Tabla dimensiones del riesgo Fuente: Referente de pensamiento

CONCLUSIONES 1. Toda compañía debe tener políticas de seguridad de la información. 2. Las tecnologías de gestión de backups deben estar a la vanguardia y deben ser automatizadas, pues los ciber criminales siempre van a buscar brechas por donde atacar. 3. Fortalecer los sistemas de acceso y maximizar las restricciones a usuarios y colaboradores de la comunidad es fundamental para garantizar el funcionamiento seguro e integral de un sistema de información. 4. La auditoría de un sistema de información es rigurosa y necesaria para encontrar falencias y solucionar brechas que parecen invisibles.

BIBLIOGRAFIA -

Referente de pensamiento Eje IV Analisis de riesgos informáticos (FUAA) Esetla.com xopero.com Derrien, Y. (1994). Técnicas de la auditoría informática. Marcombo. Castello, R. J. (2006). Auditoría en entornos informáticos. Recuperado de http://econ. unicen. edu. ar. Soler Ramos, J., Staking, K., Ayuso Calle, A., Beato, P., Botín OShea, E., & Escrig Meliá, M. (1999). Gestión de riesgos financieros: un enfoque práctico para países latinoamericanos. Banco Interamericano de Desarrollo–BID. López, P. A. (2010). Seguridad informática. Editex. Urbina, G. B. (2016). Introducción a la seguridad informática. Grupo editorial PATRIA.