Академический Документы
Профессиональный Документы
Культура Документы
Facultad de Ingeniera
INTEGRANTES:
Seccin : 01
INDICE.
Pagina
Introduccin
Objetivos 6
Marco Terico 7
Determinacin de la probabilidad 11
Identificacin de amenazas 12
Priorizacin de riesgos 14
Descripcin de la empresa 15
Misin 15
Visin 15
Polticas 16
Organigrama de la empresa 16
Anlisis de Riesgo 18
Paso 1: Activos 19
Dependencias 20
Dimensiones de Valoracin 21
Valoracin 23
2
Anlisis de Riesgo de la Seguridad Informtica.
Paso 2: Amenazas 23
Desarrollo de la Metodologa 27
Entrevistas 27
Conclusiones 44
Glosario 46
Bibliografa 48
3
Anlisis de Riesgo de la Seguridad Informtica.
INTRODUCCIN
En la primera parte del Marco Terico se incluye fundamentos tericos sobre diferentes
conceptos como lo son riesgo, vulnerabilidades, amenazas entre otros conceptos tericos que son
de mucha importancia para el desarrollo de esta consultora adems para determinar qu factores
estn afectando de forma directa o indirecta en la empresa para lograr tener una calidad en la
seguridad tanto fsica como seguridad lgica para lograr cumplir con los objetivos de la seguridad
entre los cuales cuenta con confidencialidad, integridad y disponibilidad.
4
Anlisis de Riesgo de la Seguridad Informtica.
Tratar a tiempo. Dichos inconvenientes para lograr obtener una certificacin o una acreditacin
segn sea el caso.
Esta metodologa se basa en tres libros los cuales estn detallados de forma especfica sus
principales funciones as como las normativas ISO de las cuales se basan o se rigen. Tambin
planteamos el anlisis de riesgos que desarrollaremos el cual nos permite determinar qu tiene la
Organizacin y estimar lo que podra pasar de forma metdicamente.
As como los Elementos que intervienen como son los Activos, elementos del sistema de
informacin que aportan valor a la organizacin, las Amenazas que son cosas que perjudican a la
organizacin; para evitar estos inconvenientes hay que tomar medidas para salvaguardar dichos
activos con el desarrollo de este podremos determinar elementos para medir el riesgo por el cual
se est enfrentando o se pueda enfrentar as como tambin el impacto que podra suceder si se
dieran dichos inconvenientes para esto determinamos una serie de pasos los cuales se llevaran a
cabo para una correcta determinacin del anlisis de riesgos en la implementacin de la
metodologa.
Adems se ha brinda una parte de las conclusiones que se han tomado aunque estas de
forma general ya que se espera realizarlo de forma especfica para la culminacin de esta
consultora la cual est siendo desarrollada hasta el momento y ser culminada hasta el prximo
avance.
5
Anlisis de Riesgo de la Seguridad Informtica.
OBJETIVOS
Objetivo General:
Desarrollar una consultora de seguridad en la empresa LA CASA DE LAS BATERIAS, S.A DE C.V
para determinar diversos factores que intervienen para lograr mejorar la seguridad de la
informacin en la organizacin.
Objetivos Especficos:
Conocer de forma detallada la metodologa que se implementara para realizar una correcta
de los Sistemas de Informacin, Magerit la cual ser desarrollada por parte del grupo de
consultores de seguridad.
Brindar un informe detallado en el cual se brindaran soluciones especficas para aplacar con
los riesgos o amenazas con el fin de minimizar los ataques a los que enfrenta la empresa.
Formular en base al anlisis de riesgos de quien se debe proteger los activos de la empresa
ya sean estos usuarios inexpertos como atacantes externos, adems de las aplicaciones a las
organizacin.
6
Anlisis de Riesgo de la Seguridad Informtica.
Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. Tambin se puede definir
como la posibilidad de sufrir un dao por la exposicin a un peligro y peligro: es la fuente del
riesgo y se refiere a una substancia o a una accin que puede causar dao. Las metodologas de
anlisis de riesgos existentes describen sus etapas en forma terica, se presentan pocos ejemplos o
es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado.
Por lo anterior es necesario establecer una metodologa cualitativa prctica para realizar un anlisis
de riesgos a las reas de TI, estableciendo cmo puede ejecutarse el anlisis.
Anlisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.
El primer paso del anlisis es identificar los activos a proteger o evaluar. La evaluacin de
riesgos involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con criterios
de riesgo establecidos previamente.
Los resultados obtenidos del anlisis, van a permitir aplicar alguno de los mtodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar
los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Dentro del tema de anlisis de riesgo se ven reflejados cinco elementos muy importantes
dentro del concepto estos son los siguientes: probabilidad, amenazas, vulnerabilidades, activos e
impactos.
Probabilidad Amenazas
Vulnerabilidades Activos
Impactos
7
Anlisis de Riesgo de la Seguridad Informtica.
Existen amenazas, como por ejemplo incendios, para las cuales hay informacin
suficiente (series histricas, compaas de seguros y otros datos) para establecer con
razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor
dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado
a datos; dnde se hacen estimaciones sobre la base de experiencias.
AMENAZAS: las amenazas siempre existen y son aquellas acciones que pueden ocasionar
consecuencias negativas en la operativa de la empresa. Comnmente se indican como
amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de
software, los desastres ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carcter fsico o lgico, como ser una inundacin en el primer
caso, o un acceso no autorizado a una base de datos en el segundo caso.
ACTIVOS: Los activos a reconocer son aquellos relacionados con sistemas de informacin.
Ejemplos tpicos son los datos, el hardware, el software, servicios, documentos, edificios y
recursos humanos.
8
Anlisis de Riesgo de la Seguridad Informtica.
Se puede establecer que las ms comunes son: la prdida directa de dinero, la prdida
de confianza, la reduccin de la eficiencia y la prdida de oportunidades de negocio. Otras no tan
comunes, felizmente, son la prdida de vidas humanas, afectacin del medio ambiente, etc.
Que originan
Incidentes
Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est
permitido debe estar prohibido" y sta debe ser la meta perseguida.
10
Anlisis de Riesgo de la Seguridad de la Informacin
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente
de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja.
Seguridad Fsica.
Monitoreo ambiental
Control de acceso
Desastres naturales
Control de incendios
Inundaciones
Polticas en el Firewall
VPN
Deteccin de intrusos
Routers
11
Anlisis de Riesgo de la Seguridad de la Informacin
Switches
Firewall
Hubs
RAS
Correo Electrnico
Se define las aplicaciones que son crticas para la organizacin y por cada una de
ellas se obtendr una matriz de riesgo. Es importante considerar que las
aplicaciones estn soportadas por: Sistemas operativos, hardware servidor, redes
LAN y WAN, y el Centro de cmputo.
Una vez conocemos los recursos que debemos proteger y de identificar las
vulnerabilidades es hora de identificar de igual manera las amenazas que se ciernen
contra ellos. Una vulnerabilidad es cualquier situacin que pueda desembocar en un
problema de seguridad, y una amenaza es la accin especfica que aprovecha una
vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha
relacin: sin vulnerabilidades no hay amenazas, y sin amenazas no hay
vulnerabilidades.
Se suelen dividir las amenazas que existen sobre los sistemas informticos en tres
grandes grupos, en funcin del mbito o la forma en que se pueden producir:
Dentro de este grupo se incluyen todos los posibles problemas relacionados con la
ubicacin del entorno de trabajo informtico o de la propia organizacin, as como con
las personas que de una u otra forma estn relacionadas con el mismo. Por ejemplo, se
han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres
producidos por elementos cercanos, como los cortes de fluido elctrico, y peligros
relacionados con operadores, programadores o usuarios del sistema.
Amenazas en el sistema.
12
Anlisis de Riesgo de la Seguridad de la Informacin
Amenazas en la red.
Cada da es menos comn que una mquina trabaje aislada de todas las dems; se
tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y
esta interconexin acarrea nuevas - y peligrosas - amenazas a la seguridad de los
equipos, peligros que hasta el momento de la conexin no se suelen tener en cuenta.
Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en trnsito
por la red, a proteger una red local del resto de internet, o a instalar sistemas de
autenticacin de usuarios remotos que necesitan acceder a ciertos recursos internos a
la organizacin (como un investigador que conecta desde su casa a travs de un
mdem).
Posiblemente una de las principales razones por las cuales los problemas de
seguridad informtica no han sido resueltos es la aparicin frecuente de nuevas
amenazas. Como un ejemplo de esto es la evolucin del malware: los virus altamente
nocivos y de amplia difusin han dado lugar a botnets furtivos, de difcil deteccin y
dirigidos a objetivos especficos.
13
Anlisis de Riesgo de la Seguridad de la Informacin
Los cambios en los riesgos que debe considerar una organizacin tienen dos orgenes:
Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los
siguientes pasos:
14
Anlisis de Riesgo de la Seguridad de la Informacin
2 en Costa Rica y 13 en Panam. La oferta que ellos ofrecen est respaldada por
importantes marcas brindando a sus clientes productos de excelente calidad con el
servicio, la atencin y el asesoramiento tcnico que ellos requieren.
2.1.1 Misin.
2.1.2 Visin.
15
Anlisis de Riesgo de la Seguridad de la Informacin
2.1.3 Polticas.
Auditor Externo
16
Anlisis de Riesgo de la Seguridad de la Informacin
5 Puntos de red
3 Scanner
1 mdems
Por otra parte se observo que el acceso a la informacin esta vulnerable ya que
no se cuenta con una seguridad para permitir el acceso al equipo donde se encuentra
la informacin importante.
17
Anlisis de Riesgo de la Seguridad de la Informacin
18
Anlisis de Riesgo de la Seguridad de la Informacin
Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor
de estos datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que
se necesitan para poder gestionar dichos datos.
19
Anlisis de Riesgo de la Seguridad de la Informacin
Los datos son el corazn que permite a una organizacin prestar sus servicios. Son en
cierto sentido un activo abstracto que ser almacenado en equipos o soportes de
informacin (normalmente agrupado en forma de bases de datos) o ser transferido
de un lugar a otro por los medios de transmisin de datos.
Se refiere a tareas que han sido automatizadas para su desempeo por un equipo
informtico. Las aplicaciones gestionan, analizan y transforman los datos permitiendo
la explotacin de la informacin para la prestacin de los servicio.
Se consideran otros equipos que sirven de soporte a los sistemas de informacin, sin
estar directamente relacionados con datos.
Dependencias
Aparece como importante el concepto de dependencias entre activos o la medida en
que un activo superior se vera afectado por un incidente de seguridad en un activo
inferior.
20
Anlisis de Riesgo de la Seguridad de la Informacin
Con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas
superiores dependen de las inferiores, para nuestro caso de estudio los niveles de
dependencia son:
Capa 1:
Aplicaciones (software)
Comunicaciones
Equipamiento Auxiliar
Capa 2:
La informacin
Datos
Dimensiones de valoracin
Las dimensiones se utilizan para valorar las consecuencias de la materializacin de una
amenaza.
La valoracin que recibe un activo en una cierta dimensin es la medida del perjuicio
para la organizacin si el activo se ve daado en dicha dimensin.
[D] Disponibilidad
Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando si una
amenaza afectara a su disponibilidad, las consecuencias seran graves.
21
Anlisis de Riesgo de la Seguridad de la Informacin
Los datos reciben una alta valoracin desde el punto de vista de integridad cuando su
alteracin, voluntaria o intencionada, causara graves daos a la organizacin.
Los datos reciben una alta valoracin desde el punto de vista de confidencialidad
cuando su revelacin causara graves daos a la organizacin.
Los datos reciben una elevada valoracin desde el punto de vista de autenticidad del
origen cuando un defecto de imputacin causara graves quebrantos a la organizacin.
Tpicamente, se habilita la oportunidad de repudio.
22
Anlisis de Riesgo de la Seguridad de la Informacin
VALORACIN
La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en
alguna escala de niveles). Los criterios ms importantes a respetar son:
Homogeneidad:
Relatividad:
Valor Criterio
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a nuestros activos y causar un dao.
Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa
o indirecta.
23
Anlisis de Riesgo de la Seguridad de la Informacin
Que se pueden ver afectados por este 1. De seguridad que se pueden ver
afectadas por este tipo de amenaza,
tipo de amenazas
ordenadas de ms a menos relevante.
Descripcin:
Valor Criterio
24
Anlisis de Riesgo de la Seguridad de la Informacin
La frecuencia pone en perspectiva aquella degradacin, pues una amenaza puede ser
de terribles consecuencias pero de muy improbable materializacin; mientras que otra
amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un dao considerable.
Valor Criterio
2 Medio Frecuente
Valor Criterio
DEGRADACION
IMPACTO
B M A
A M A A
VALOR M B M A
B B B M
25
Anlisis de Riesgo de la Seguridad de la Informacin
Aquellos activos que reciban una calificacin de impacto alto (A) deberan ser objeto
de atencin inmediata.
Valor Criterio
FRECUENCIA
RIESGO
B M A
A M A A
IMPACTO M B M A
B B B M
Aquellos activos que reciban una calificacin de riesgo alto (A) deberan ser objeto de
atencin inmediata. Los que reciban una calificacin de riesgo alto, deberan ser objeto
de planificacin inmediata de salvaguardas.
26
Anlisis de Riesgo de la Seguridad de la Informacin
DESARROLLO DE LA METODOLOGIA.
Paso 1: Activos.
Descripcin del proceso de identificacin de activos.
Entrevistas.
Escuela de Informtica
Ctedra de Redes
Empresa:
Nombre:
Cargo:
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que
esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su
colaboracin para el llenado de la siguiente encuesta contestando las siguientes preguntas. De
ante mano muchas gracias por su colaboracin.
___________________________________________________________________
___________________________________________________________________
27
Anlisis de Riesgo de la Seguridad de la Informacin
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
10. Estara usted de acuerdo que como grupo de consultores le brindemos una
metodologa de anlisis de riesgo.
___________________________________________________________________
28
Anlisis de Riesgo de la Seguridad de la Informacin
Escuela de Informtica
Ctedra de Redes
Empresa:
Nombre:
Cargo:
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que
esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su
colaboracin para el llenado de la siguiente encuesta contestando las siguientes preguntas. De
ante mano muchas gracias por su colaboracin.
___________________________________________________________________
___________________________________________________________________
De que tipo?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
29
Anlisis de Riesgo de la Seguridad de la Informacin
___________________________________________________________________
___________________________________________________________________
6. Cules son los servicios de Internet a los que tienen acceso los usuarios?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
30
Anlisis de Riesgo de la Seguridad de la Informacin
___________________________________________________________________
13. El antivirus que utilizan actualmente cumple con los requerimientos de la empresa.
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
15. Las personas que accedan al equipo de cmputo entran con alguna contrasea.
___________________________________________________________________
___________________________________________________________________
16. Las aplicaciones consideradas fundamentales cuentan con algn tipo de contrasea o
usuarios especficos?
___________________________________________________________________
___________________________________________________________________
31
Anlisis de Riesgo de la Seguridad de la Informacin
Identificacin de Activos.
Tablas de inventario de activos
Departamento: Mercadeo
Departamento: Ventas
32
Anlisis de Riesgo de la Seguridad de la Informacin
Departamento: Contabilidad
Dell,
33
Anlisis de Riesgo de la Seguridad de la Informacin
Dell.
34
Anlisis de Riesgo de la Seguridad de la Informacin
Identificacin de Amenazas
Tablas de amenazas y vulnerabilidades
[DesN.1] Fuego
Descripcin
Incendios: Existe el riesgo de que un corto circuito provoque un incendio y el fuego dae el
equipo de la empresa.
Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los recursos del sistema.
35
Anlisis de Riesgo de la Seguridad de la Informacin
Descripcin:
No cuentan aun con una planta elctrica para este tipo de emergencias.
No todos los equipos informticos son alimentados mediante UPS.
Cortes de energa prolongados (ms de veinte minutos) requerirn que los
equipos de misin crtica de la institucin sean apagados. No existir
disponibilidad de los servicios de informacin en la institucin durante el
lapso que dure el corte de energa.
Los sistemas elctricos podran ser susceptibles a cortos circuitos que
podran provocar la interrupcin del suministro total o parcial.
El corte de energa podra dejar sin trabajar al personal de la empresa.
36
Anlisis de Riesgo de la Seguridad de la Informacin
Descripcin:
7. [D] Disponibilidad
37
Anlisis de Riesgo de la Seguridad de la Informacin
4. [I] Integridad
Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la
Organizacin o por personal contratado temporalmente.
38
Anlisis de Riesgo de la Seguridad de la Informacin
Descripcin:
39
Anlisis de Riesgo de la Seguridad de la Informacin
Descripcin:
Utilizacin de los recursos del sistema para fines no previstos, tpicamente de inters
personal: juegos, consultas personales en Internet, bases de datos personales,
programas personales, almacenamiento de datos personales, etc.
2. [I] Integridad
3. [C] Confidencialidad
Descripcin:
40
Anlisis de Riesgo de la Seguridad de la Informacin
Descripcin:
Descripcin:
41
Anlisis de Riesgo de la Seguridad de la Informacin
[A_Int.8] Robo
Descripcin:
42
Anlisis de Riesgo de la Seguridad de la Informacin
Cdigo Descripcin
[DesN.1] Fuego
[A_Int.8] Robo
43
Anlisis de Riesgo de la Seguridad de la Informacin
CONCLUSIONES
Entre las conclusiones que se dan en base al desarrollo del presente trabajo se
han determinado diferentes amenazas a las cuales se ven afectada la empresa estn
las naturales como lo son el fuego es decir peligro a incendios que puedan causar
estragos o incluso acabar con los recurso de sistemas de informacin con los cuales
cuentan equipos informticos entendindose por esto hardware debido a que se han
identificado diferentes vulnerabilidades con las que se ve relacionada esta amenaza
siendo las principales que no existen suficientes extintores de incendios tambin de no
contar con sensores de humo o alarmas de incendios adems el personal no cuenta
con un mtodo o procedimientos a seguir ante un siniestro de esta naturaleza.
La amenaza la cual fue muy evidente notar consista en que podan haber
ataques intencionados como robo de informacin entre las vulnerabilidades que se
tomaron en cuenta era que no existen sistemas de deteccin y prevencin de intrusos
en la institucin que pudiera detectar movimientos o patrones de conducta anormales
en el entorno de la red, orientados a alterar la configuracin de los sistemas de
informacin. No se han implementado a nivel de las polticas de seguridad el uso de
contraseas.
44
Anlisis de Riesgo de la Seguridad de la Informacin
45
Anlisis de Riesgo de la Seguridad de la Informacin
GLOSARIO.
Autenticidad: (de quin hace uso de los datos o servicios), que no haya duda de
quin se hace responsable de una informacin o prestacin de un servicio, tanto a
fin de confiar en l como de poder perseguir posteriormente los incumplimientos o
errores. Contra la autenticidad se dan suplantaciones y engaos que buscan
realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y,
como tal, fundamenta el comercio electrnico o la administracin electrnica,
permitiendo confiar sin papeles ni presencia fsica.
Amenazas: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa.
Comnmente se indican como amenazas a las fallas, a los ingresos no
autorizados, a los virus, uso inadecuado de software, los desastres
ambientales como terremotos o inundaciones, accesos no autorizados,
facilidad de acceso a las instalaciones, etc.
46
Anlisis de Riesgo de la Seguridad de la Informacin
47
Anlisis de Riesgo de la Seguridad de la Informacin
BIBLIOGRAFIA.
Enlaces bibliogrficos.
www.map.es/csi/csi.htm
www.map.es/csi/herramientas/GuiasMagerit.exe
Herramienta MAGERIT:
www.map.es/csi/herramientas/HerramientaMagerit.exe
Foro MAGERIT:
http://foro.map.es/
URLS.
http://www.csi.map.es/csi/pg5m20.htm
http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html
48