Академический Документы
Профессиональный Документы
Культура Документы
Informtica.
Riesgo
de
la
Seguridad
OBJETIVOS
Objetivo General:
Desarrollar una consultora de seguridad en la empresa DURACELL para
determinar diversos factores que intervienen para lograr mejorar la seguridad de
la informacin en la organizacin.
Objetivos Espe cficos:
Anlisis de
Informtica.
Riesgo
de
la
Seguridad
MARCO TEORICO
El concepto de riesgo est presente en la totalidad de las actividades que
realiza el ser humano, por lo que antes de implementar cualquier mecanismo de
seguridad (software, hardware, poltica, etc.) en las Tecnologas de la Informacin, es
necesario conocer la prioridad de aplicacin y que tipo de medida podemos aplicar. El
anlisis de riesgos es el primer paso de la seguridad informtica.
Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. Tambin se
puede definir como la posibilidad de sufrir un dao por la exposicin a un peligro y
peligro: es la fuente del riesgo y se refiere a una substancia o a una accin que puede
causar dao. Las metodologas de anlisis de riesgos existentes describen sus etapas en
forma terica, se presentan pocos ejemplos o es necesario una herramienta para
realizarlo, cuyo costo normalmente es elevado.
Por lo anterior es necesario establecer una metodologa cualitativa prctica para realizar
un anlisis de riesgos a las reas de TI, estableciendo cmo puede ejecutarse el anlisis.
Anlisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.
El primer paso del anlisis es identificar los activos a proteger o evaluar. La
evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el proceso
de anlisis con criterios de riesgo establecidos previamente.
La funcin de la evaluacin consiste en ayudar a alcanzar un nivel razonable de
consenso en torno a los objetivos en cuestin, y asegurar un nivel mnimo que permita
desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del anlisis, van a permitir aplicar alguno de los mtodos
para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que
existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y
ejecutarlos.
Dentro del tema de anlisis de riesgo se ven reflejados cinco elementos muy
importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos.
Probabilid
ad
Amenazas
Activos
Vulnerabilida
des
Impactos
Anlisis de
Informtica.
Riesgo
de
la
Seguridad
Anlisis de
Informtica.
Riesgo
de
la
Seguridad
Que originan
Incidentes
Son los
hechos
que
deben ser evitados en
una organizacin, puesto
que causan impacto a los
negocios.
En
virtud de
la accin
que
Switchs
Firewall
Hubs
RAS
Anlisis de Riesgos
El anlisis de riesgos es una aproximacin metdica para determinar el
riesgo siguiendo unos pasos pautados:
1.
Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los datos. Y
alrededor de estos datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los
servicios que se necesitan para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware)
datos, aplicaciones y servicios.
que
permiten
hospedar
explotan
operan
todos
los
elementos
Criterio
Alto
Medio
De importancia a la organizacin
Bajo
Dimensiones:
Valoracin de l as amenazas.
Cuando un activo es vctima de una amenaza, no se ve afectado en
todas sus dimensiones, ni en la misma cuanta. Una vez determinado que
una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable es
el activo, en dos sentidos:
Degradacin: cun perjudicado resultara el activo
Frecuencia: cada cunto se materializa la amenaza
La degradacin mide el dao causado por un incidente en el supuesto
de que ocurriera.
Dao causado por la amenaza
Valor
Criterio
Alto
Dao grave
Medio
Dao importante
Bajo
Dao menor
Criterio
Alto
Bastante Frecuente
Medio
Frecuente
Bajo
Poco Frecuente
Criterio
Alto
Alto impacto
Medio
Impacto moderado
Bajo
Bajo impacto
IMPACTO
VALOR
Criterio
Alto
Alto riesgo
Medio
Riesgo moderado
Bajo
Bajo riesgo
FRECUENCIA
RIESGO
IMPACTO
Aquellos activos que reciban una calificacin de riesgo alto (A) deberan ser
objeto de atencin inmediata. Los que reciban una calificacin de riesgo alto,
deberan ser objeto de planificacin inmediata de salvaguardas.
Descripcin
Computadora
s
Dell,
Impresora
Canon,
Finalidad
Control
precios,
Categora
de HW,
SI
SW,
Criticidad
Alto
Promociones,
publicidad
Publicaciones e
HW
medio
Categora
Criticidad
impresiones
para todo el
departamento
Departamento: Ventas
No
Descripcin
Computadora
s
Dell
1
1
Computadora
Dell
Impresora
Panasonic,
para
todo el
departamento
Scanner para
todo el
departamento
Finalidad
SW,
Alto
HW, SW,
SI
ventas,
HW
Alto
cotizaciones
Para las cajeras
Reportes
precios
medio
e
impresiones
varias
Captura de datos,
informes de ventas
y
cotizaciones
HW
bajo
Descripcin
Finalidad
Categora
Computadora
s
Finanzas
HW, SW, SI
Dell,
Impresora HP
Impresiones
varias del
departamen
to
Scanner para Reportes
y
cotizaciones,
todo el
de acuerdo
departamento
al
Fax y
Fotocopiadora
(multifuncin),
Panasonic
departamen
Para
transacciones
y
datos
informes
Criticidad
Alto
HW
medio
HW
bajo
HW
medio
generales de la
Departamento: Recursos Humanos.
No
Descripcin
Computadora
s
Dell.
Impresora
Panasonic,
para
todo el
departamento
Finalidad
Categora
HW
SW,
Criticidad
Alto
medio
Descripcin
Computadoras
Finalidad
Uso del Gerente
Categora
HW, SW, SI
Criticidad
Alto
Dell.
1
Impresora HP.
1
1
HW
medio
Scanner
Uso
Exclusivo
del
Gerente
Uso del Gerente
HW
bajo
Modem
(Conexin a Internet)
HW
medio
HW
medio
speedtoucher
pertenece al proveedor
Fax y
Fotocopiadora
Dimensiones:
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los recursos del
sistema.
Dimensiones:
[Dis] Disponibilidad
Dimensiones:
[Dis] Disponibilidad
[Dis] Disponibilidad
Descripcin:
Como consecuencia del paso del tiempo
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicacin adecuada para almacenar y resguardar
soportes de informacin (medios magnticos, medios pticos,
documentos en papel) Los backups se hacen en medios pticos
(DVDs y CDs)
Documentos en papel no se convierten a otro medio (no se
digitalizan). Estos documentos son susceptibles a los daos que
pueda sufrir el papel como consecuencia de un proceso de
archivado inadecuado o daos provocados por el paso del tiempo.
Amenazas a Causa de Ataques Intencionados [A_Int.]
[A_Int.1] Manipulacin de la Configuracin
Tipos de activos:
Dimensiones:
1. [I] Integridad
2. [C] Confidencialidad
Dimensiones:
1. [C] Confidencialidad
2. [A_S] Autenticidad del servicio
3. [A_D] Autenticidad de los datos
4. [I] Integridad
Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario autorizado,
disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas
ajenas a la Organizacin o por personal contratado temporalmente.
Dimensiones:
1. [C] Confidencialidad
2. [I] Integridad
Descripcin:
Cada usuario disfruta de un nivel de privilegios para un determinado
propsito; cuando un usuario abusa de su nivel de privilegios para realizar
tareas que no son de su competencia, hay problemas.
Dimensiones:
[Dis] Disponibilidad
Dimensiones:
1. [Dis] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
4. [A_S] Autenticidad del Servicio
5. [A_D] Autenticidad de los Datos
Descripcin:
Propagacin intencionada de virus, espas (spyware), gusanos, troyanos,
bombas lgicas, etc.
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Eliminacin intencional de informacin, con nimo de obtener un beneficio o
causar un perjuicio.
Dimensiones:
[Dis] Disponibilidad
Descripcin:
La carencia de recursos suficientes provoca la cada del sistema cuando la
carga de trabajo es desmesurada.
[A_Int.8] Robo
Tipos de activos:
Dimensiones:
1. [Dis] Disponibilidad
2. [C] Confidencialidad
Descripcin
[DesN.1] Fuego
[DesN.2] Daos por Agua
[Indus.1] Corte del Suministro Elctrico
[Indus.2] Condiciones Inadecuadas de temperatura
[Indus.3] Degradacin de los Soportes de Almacenamiento de la
Informacin
[A_Int.1] Manipulacin de la Configuracin
[A_Int.2] Suplantacin de la Identidad del Usuario
[A_Int.3] Abuso de Privilegios de Acceso
[A_Int.4] Uso no Previsto
[A_Int.5] Difusin de Software Daino
[A_Int.6] Destruccin la Informacin
[A_Int.7] Denegacin de Servicio
[A_Int.8] Robo