Embed Size (px)
Citation preview
Análisis de Riesgos
Universidad Nacional Federico VillarrealFacultad de Ingeniería Industrial y de Sistemas
Escuela de Ingeniería de Sistemas
Integrantes
CASACHAHUA MEDINA, JOSÉ
RODOLFO ALBERTO
FLORIAN ARTEAGA, ED
UARDO MIGUEL
GONZALES BERNAL, JAIR
ANTONIO
GARCÍA MORAUSKY,
CESAR RICARDO
BENITEZ PEREYRA, PAUL FRANCISCO E.
También debemos tener en cuenta que cada día va en aumentola cantidad de casos de incidentes relacionados conla seguridad de los sistemas de información que comprometenlos activos de las empresas.
Lo que antes era ficción, en la actualidad se convierte, enmuchos casos, en realidad. Las amenazas siempre hanexistido, la diferencia es que ahora, el enemigo es más rápido,más difícil de detectar y mucho más atrevido.
Es por esto, que toda organización debe estar en alerta y saberimplementar sistemas de seguridad basados enanálisis de riesgos para evitar o minimizar las consecuenciasno deseadas.
¿Qué es el análisis de riesgos?
En pocas palabras el análisis o evaluación de riesgos
informáticos es un proceso que engloba la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que
se encuentran expuestos así como su probabilidad de ocurrencia
y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo, además que es el primer paso de la
seguridad informática.
¿Qué acciones incluye este análisis de riesgos?
• Identificación de los activos• Identificación de los requisitos legales y de negocios que son
relevantes para la identificación de los activos• Valoración de los activos identificados• Teniendo en cuenta los requisitos legales identificados de negocios y
el impacto de una pérdida de confidencialidad, integridad ydisponibilidad.
• Identificación de las amenazas y vulnerabilidades importantes paralos activos identificados.
• Evaluación del riesgo, de las amenazas y las vulnerabilidades aocurrir.
• Cálculo del riesgo.• Evaluación de los riesgos frente a una escala de riesgos
preestablecidos.
Dispositivo CK3 es una tecnología móvil que se usa
como plataforma para la aplicación web del sistema
de trazabilidad de una compañía de gaseosas el cual
es usado por los operarios en las plantas para
registrar cada paleta de productos fabricados en
planta como también los jefes de almacén para
registrar y controlar las entradas y salidas de las
paletas del almacén tanto en la planta como en los
CDA’s.
Usuarios:
Cuando los operarios quieren registrar dos paletas a la vezsin esperar que el primer registro se cargue, esto ocasionaque se congele el aplicativo por lo cual se genera unainterrupción.
Cuando los operarios dejan caer el dispositivo provocandouna falla de hardware el cual implica su inoperancia paratrabajar en el entorno web esto genera una interrupción.
Cuando el operador no cambia de batería a pesar de laindicación de la señal de carga del dispositivo, esto provocauna des configuración del dispositivo, la cual provoca unainterrupción.
Programación:
Cuando hay una extensión de la producción de un productopor requerimiento del área comercial conjuntamente con losCDA’s esto en el aplicativo genera un error por exceso depaletas es decir que el aplicativo no es flexible a este caso y segenera una interrupción.
Servicios de comunicación:
Cuando un elemento de red presenta fallas produciendoproblemas en la conexión entre el servidor del aplicativo webcon el dispositivo móvil de una área de la planta esto generauna interrupción.
1. Consecuencias de la interrupción del servicio En el
negocio:
Una interrupción del servicio de base de datos,
aplicativo web, elementos de red o comunicación y
otros recursos de TI generaría:
Pérdida de rentabilidad.
Pérdida de cuota de mercado.
Mala imagen de marca.
2. Cuánto se puede esperar a restaurar el servicio sin que
tenga un alto impacto en los procesos de negocio:
VULNERABILIDAD
En seguridad informática, la palabra vulnerabilidad hace
referencia a una debilidad en un sistema permitiendo a un
atacante violar la
confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus datos y
aplicaciones.
Desbordes de pila y otros buffers.
Errores en la validación de entradas como: inyección
SQL, BUG en el formato de cadenas, etc.
Secuestro de sesiones.
Ejecución de código remoto(RFI) y XSS.
PROBLEMA
Una clínica cuenta con una BD que
contiene aprox. 1000 registros sobre
sus pacientes
El servidor de aplicaciones que accede
a esta BD se encuentra en un DMZ
Los datos de transferencia, así como
los contenidos en la BD no estaban
encriptados
La aplicación es vulnerable a un SQL
Injection.
La base de datos puede almacenar
desde 10000 a 500000 registros
Se observa el impacto del problema recae sobre
Reputación de la institución
El tipo de ataque es simple y una vez descubierta la
vulnerabilidad puede seguir siendo realizado
El alto número de registros confidenciales perdidos
(Pueden llegara a 500000)
Las pérdidas monetarias en reposiciones, asciende a
$15000000.
De todos estos casos se puede concluir que el impacto
sobre la empresa es ALTO.
La consultora en procesos de negocio de IT “E-STRATEGA”
es una de las consultoras de mayor prestigio en Latinoamérica.
Estudia todo lo referido a la gestión de procesos de negocio y
las buenas prácticas que se deben seguir en cada etapa de sus
actividades relacionadas a la
planificación, operación, seguridad entre otros aspectos.
Para ellos hace uso de una serie de metodologías que se
enmarcan en distintos ambientes., entre ellas tenemos el RISK
IT
1
• Es un modelo para la identificación, gobierno y gestión de los riesgos de TI que afectan al
negocio.
2
• Busca abordar exitosamente el análisis y la gestión de riesgos de TI en general de
punta a punta, capitalizar las inversiones en el sistema de control interno de ti.
3• Promover la responsabilidad por la gestión de riesgos de TI en toda la organización.
4• Mejorar la utilización de recursos a partir del perfil de riesgo asociado.
5
• Promueve una metodología para la respuesta y priorización de los riesgos de TI detal forma de que sea posible equilibrarlos con el nivel de tolerancia de laorganización.
• Alerta temprana1
• Opinión retrospectiva2
• Facilitar la documentación y el análisis de tendencias3
4
5
6
• Indicadores
• Aumentar la probabilidad de alcanzar
los objetivos de la empresa
• Ayudar continuamente a la optimización de la gestión de riesgo y del entorno.
Metodología MAGERIT
Objetivo
Concienciar a los responsables de los sistemas de
información de la existencia de riesgos y de la necesidad
de atajarlos a tiempo.
Preparar a la Organización para procesos de
evaluación, auditoría, certificación o acreditación, según
corresponda en cada caso.
Finalidad
MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad
proporcionando los principios básicos y requisitos mínimos para la protección adecuada de la información.
Resumen
La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de Información
y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
Riesgo Intrínseco
Es el estudio que se realiza sin tener consideración las diferentes medidas
de seguridad que ya están implementadas en una organización.
Riesgo residual
Es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya
tiene implementadas.
Amenazas
Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños
materiales o perdidas inmateriales en sus activos.
Vulnerabilidad
En si mismo no causa daño, es una condición o un conjunto de
condiciones que pueden permitir a una amenaza afectar a un activo
Definiciones
• Toda medida de seguridad de riesgos enmarcada en un sistema generalde gestión de seguridad debe estar debidamente expresada en una seriede etapas entre las cuales tenemos el análisis de los riesgos como una delas primeras y más importantes fases para la implantación de una óptimamedida de seguridad de la información ya que nos brinda todos aquelloselementos que nos permitirán medir, pronosticar y resolver problemas afuturo mediante uso de indicadores entre otros recursos.
1º Conclusión
• Un análisis de riesgos considera el rango de consecuenciaspotenciales y que tan probable es que ocurran esasconsecuencias para así elaborar un plan de prevención yrecuperación que haga frente a estos riegos.
2º Conclusión
• Las vulnerabilidades se descubren muy seguido en grandes sistemas, y elhecho de que se publiquen rápidamente por todo internet (mucho antes deque exista una solución al problema), es motivo de debate. Mientras másconocida se haga una vulnerabilidad, más probabilidades de que existan
piratas informáticos que quieren aprovecharse de ellas.3º Conclusión
• La estimación cualitativa y cuantitativa, son complementarias ydeben darse siempre en el análisis de riesgos para comprender elimpacto total que puede ocasionar un siniestro para nuestroproyecto.
4º Conclusión
Todas las organizaciones deben tener en cuenta que existe una serie de metodologías,herramientas, procedimientos y software que nos permiten establecer un adecuado plande análisis de los posibles riesgos que podamos sufrir como empresa en un determinadosector del mercado, centrándonos en las tecnologías de información y todas lasamenazas que existen en su entorno.
Para cada proyecto, es importante identificar los activos afectados ensituaciones de riesgo, para así determinar qué tipo de estimación(Cualitativa o cuantitativa) es pertinente de realizar para entender el
impacto que los desastres tienen sobre estos.
Para tener una correcta gestión de riesgos se necesita tener un buen análisisde riesgos el cual me permita desarrollar un buen plan de prevención yrecuperación antes los riesgos supuestos.
Las vulnerabilidades en las aplicaciones suelen corregirse conparches, hotfixs o con cambios de versión. En tanto algunas otras requierenun cambio físico en un sistema informático.
