análisis de riesgo
DESCRIPTION
Analisis de riesgoTRANSCRIPT
a. Análisis de riesgo
El análisis de riesgo es desarrollado con el propósito de determinar cuales de los activos tienen mayor vulnerabilidad ante factores externos o internos que puedan afectarlos, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos y considerando el grado en que el riesgo puede ser controlado.
Activos del banco
Riesgo Amenaza vulnerabilidad Servidores y switch
Acceso no autorizado Robo, modificación de información
Corte de luz, UPS descargado o variaciones de voltaje
Falta de sistema
Destrucción de un componente
Pérdida de tiempo por necesidad de reemplazo
Error de configuración Aumento de vulnerabilidades e inestabilidad en el sistema
Factores ambientales Falta de sistema y destrucción de equipo
Límite de vida útil – maquinas obsoletas
Deterioro en el performance del sistema
Mal mantenimiento Interrupciones en el funcionamiento del sistema
Modificación no autorizada de datos
Inconsistencia de datos, mala configuración, fraude
Robo Perdida de equipamiento o información
Virus Fallas generales del sistema y en la red
Base de datos Baja de datos compleja Desarrollo complejo de sistemas
Copia no autorizada de un medio de datos
Divulgación de información
Errores de software Inconsistencias en los datos
Fallas de base de datos Inconsistencias en los datos
Falta de espacio de Falla en la aplicación
almacenamientoMala configuración del schedule de backups
Datos sin backup
Perdida de confidencialidad en datos privados y de sistema
Divulgación de información
Mala integridad de los datos Inconsistencias y redundancia de datos
Perdida de backups Incapacidad de restauración
Portapapeles, impresoras o directorios compartidos
Divulgación de información
robo Divulgación de información
Sabotaje Perdida o modificación de datos, pérdida de tiempo y productividad
Spoofing y sniffing Divulgación y modificación de información
Transferencia de datos incorrectos
Inconsistencia de datos
virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad
Software de aplicación, programas y sistemas operativos
Acceso no autorizado a datos
Modificación del software en desarrollo
Aplicaciones sin licencia Multas y problemas con software legal
Error de configuración Mal funcionamiento de los sistemas
Errores en las funciones de encriptación
Problemas en la recuperación de archivos encriptados
Falla en el sistema Datos erróneos e inestabilidad del sistema
Mala administración de control de acceso
Divulgación y modificación de información
Poca adaptación a cambios de sistema
Sistema inestable y de difícil modificación
Prueba de software deficiente
Probabilidad incremental de vulnerabilidades y virus
Software desactualizado Inestabilidad y mal
funcionamiento del sistema
VirusProbabilidad incremental de vulnerabilidades
Backup Copia no autorizada a un medio de datos
Robo de información
Errores de software Error en la generación o en la copia de backups
Falla en medio externos Perdida de la información
Falta de espacio de almacenamiento
Falla en la generación de backups
Robo Incapacidad de restaurarlos y divulgación de la informacion
Virus Perdida de datos de backup
Datos de configuración, datos en medio externos
Copia no autorizada de un medio de datos
Robo de informacion
Fallas en medios externos Perdida de datos en medios externos
Mala integridad de los datos Pérdida de tiempo y productividad por falla de datos
Medios de datos no están disponibles cuando son necesarios
Falta de datos
Perdida de datos en transito Divulgación de datosSpoofing y sniffing Divulgación y
modificación de información
virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad
Administrador de sistemas (departamento de sistemas)
Administración impropia del sistema de IT (responsabilidades y roles del personal de sistemas)
Asignación de responsabilidades impropia
Almacenamiento de passwords negligente
Divulgación de password uso indebido de derechos de usuarios
Configuración impropia del SendMail
Divulgación de mensajes, uso del
servidor para enviar spam
Errores de configuración y operación del sistema
Inestabilidad del sistema, reducción de la performance y aumento de las vulnerabilidades
Fallas de auditoria en sistema operativo
Imposibilidad del seguimiento de usuarios y de la generación d e reportes
Mala evaluación de datos de auditoria
No se analizan los logs
Mal uso de derechos de administrador
Distribución de los permisos y de las cuentas de administrador
Red Abusos de puertos Posibles intrusiones y robo o robos de información
Ausencia o falta de segmentación
Tramos de red extensos y dificultades en la comunicación
Configuración inadecuada de componentes de red
Errores de transmisión, interrupción del sistema de red
Fallas en la MAN Una o más sucursales incomunicadas
Transporte inseguro de archivos
Divulgación de información
Sincronización de tiempo inadecuada
Inconsistencia de datos
Conexiones todavía activas Intrusión de usuarios no autorizados al sistema
Usuarios Acceso no autorizado a datos
Divulgación o robo de información
Borrado, modificación sin autorización
Inconsistencia de datos o datos faltantes
Documentación deficiente Mayor probabilidad de errores por falta de instrucciones
Entrada sin autorización a habitaciones
Robo de equipos o insumos, divulgación de datos
Falta de auditorias Falta de concientización sobre responsabilidades y seguridad
Falta de cuidado en el manejo de la información (Ej. password)
Robo o modificación de información
Ingeniería social – ingeniería social inversa
Divulgación de datos
Mal uso de derechos de administrador (sesiones abiertas)
Sabotaje interno
Perdida de confidencialidad o integridad de datos
Robo o modificación de información
Hardware (teclados, monitor, unidades de disco, medios removibles, etc.)
Corte de luz, UPS descargado o variaciones de voltaje
Interrupción del funcionamiento de equipos
Destrucción o mal funcionamiento de un componente
Interrupción de la tarea del usuario
Factores ambientales Avería de equiposLímite de vida útil Avería de equipos e
incremento en el costo de equipamiento
Mal mantenimiento Avería de equiposRobo Perdida de
equipamiento e interrupción de la tarea del usuario
Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.)
Factores ambientales Destrucción de insumosLímite de vida útil Destrucción o averías
de insumosRecursos escasos Interrupción en el
funcionamiento normal del banco
Uso descontrolado de recursos
Incremento no justificado del gasto de insumos
Robo Perdida de insumos e incremento en el gasto
Datos de usuarios Falta de espacio de almacenamiento
Retraso en las actividades
Perdida de backups Perdida de datos del usuario
Perdida de confidencialidad en datos privados
Divulgación de información
Robo Perdida de informaciónSpoofing o sniffing Divulgación,
modificación y robo de
informaciónVirus Pérdida de tiempo y
productividad
b. Planificación de riesgos
Activo Riesgo Planificación Servidores y switch
Acceso no autorizado Implementar políticasCorte de luz, UPS descargado o variaciones de voltaje
Aseguramiento en la seguridad física
Destrucción de un componente
Destruir completamente los componentes
Error de configuración Contratar especialistas en la materia
Factores ambientales Infraestructura adecuada para resguardar los datos
Límite de vida útil – maquinas obsoletas
Establecer la vida útil de los materiales
Mal mantenimiento Mantenimiento por personal capacitado
Virus AntivirusBase de datos Baja de datos compleja
Copia no autorizada de un medio de datos
Divulgación de información
Errores de software Inconsistencias en los datos
Fallas de base de datos Inconsistencias en los datos
Falta de espacio de almacenamiento
Falla en la aplicación
Mala configuración del schedule de backups
Datos sin backup
Perdida de confidencialidad en datos privados y de sistema
Divulgación de información
Mala integridad de los datos Inconsistencias y redundancia de datos
Perdida de backups Incapacidad de restauración
Portapapeles, impresoras o directorios compartidos
Divulgación de información
robo Divulgación de
informaciónSabotaje Perdida o modificación
de datos, pérdida de tiempo y productividad
Spoofing y sniffing Divulgación y modificación de información
Transferencia de datos incorrectos
Inconsistencia de datos
virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad
Software de aplicación, programas y sistemas operativos
Acceso no autorizado a datos
Modificación del software en desarrollo
Aplicaciones sin licencia Multas y problemas con software legal
Error de configuración Mal funcionamiento de los sistemas
Errores en las funciones de encriptación
Problemas en la recuperación de archivos encriptados
Falla en el sistema Datos erróneos e inestabilidad del sistema
Mala administración de control de acceso
Divulgación y modificación de información
Poca adaptación a cambios de sistema
Sistema inestable y de difícil modificación
Prueba de software deficiente
Probabilidad incremental de vulnerabilidades y virus
Software desactualizado Inestabilidad y mal funcionamiento del sistema
VirusProbabilidad incremental de vulnerabilidades
Backup Copia no autorizada a un medio de datos
Robo de información
Errores de software Error en la generación o en la copia de backups
Falla en medio externos Perdida de la información
Falta de espacio de almacenamiento
Falla en la generación de backups
Robo Incapacidad de
restaurarlos y divulgación de la informacion
Virus Perdida de datos de backup
Datos de configuración, datos en medio externos
Copia no autorizada de un medio de datos
Robo de informacion
Fallas en medios externos Perdida de datos en medios externos
Mala integridad de los datos Pérdida de tiempo y productividad por falla de datos
Medios de datos no están disponibles cuando son necesarios
Falta de datos
Perdida de datos en transito Divulgación de datosSpoofing y sniffing Divulgación y
modificación de información
virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad
Administrador de sistemas (departamento de sistemas)
Administración impropia del sistema de IT (responsabilidades y roles del personal de sistemas)
Asignación de responsabilidades impropia
Almacenamiento de passwords negligente
Divulgación de password uso indebido de derechos de usuarios
Configuración impropia del SendMail
Divulgación de mensajes, uso del servidor para enviar spam
Errores de configuración y operación del sistema
Inestabilidad del sistema, reducción de la performance y aumento de las vulnerabilidades
Fallas de auditoria en sistema operativo
Imposibilidad del seguimiento de usuarios y de la generación d e reportes
Mala evaluación de datos de auditoria
No se analizan los logs
Mal uso de derechos de Distribución de los
administrador permisos y de las cuentas de administrador
Red Abusos de puertos Posibles intrusiones y robo o robos de información
Ausencia o falta de segmentación
Tramos de red extensos y dificultades en la comunicación
Configuración inadecuada de componentes de red
Errores de transmisión, interrupción del sistema de red
Fallas en la MAN Una o más sucursales incomunicadas
Transporte inseguro de archivos
Divulgación de información
Sincronización de tiempo inadecuada
Inconsistencia de datos
Conexiones todavía activas Intrusión de usuarios no autorizados al sistema
Usuarios Acceso no autorizado a datos
Divulgación o robo de información
Borrado, modificación sin autorización
Inconsistencia de datos o datos faltantes
Documentación deficiente Mayor probabilidad de errores por falta de instrucciones
Entrada sin autorización a habitaciones
Robo de equipos o insumos, divulgación de datos
Falta de auditorias Falta de concientización sobre responsabilidades y seguridad
Falta de cuidado en el manejo de la información (Ej. password)
Robo o modificación de información
Ingeniería social – ingeniería social inversa
Divulgación de datos
Mal uso de derechos de administrador (sesiones abiertas)
Sabotaje interno
Perdida de confidencialidad o integridad de datos
Robo o modificación de información
Hardware (teclados, monitor,
Corte de luz, UPS descargado o variaciones de
Interrupción del funcionamiento de
unidades de disco, medios removibles, etc.)
voltaje equiposDestrucción o mal funcionamiento de un componente
Interrupción de la tarea del usuario
Factores ambientales Avería de equiposLímite de vida útil Avería de equipos e
incremento en el costo de equipamiento
Mal mantenimiento Avería de equiposRobo Perdida de
equipamiento e interrupción de la tarea del usuario
Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.)
Factores ambientales Destrucción de insumosLímite de vida útil Destrucción o averías
de insumosRecursos escasos Interrupción en el
funcionamiento normal del banco
Uso descontrolado de recursos
Incremento no justificado del gasto de insumos
Robo Perdida de insumos e incremento en el gasto
Datos de usuarios Falta de espacio de almacenamiento
Retraso en las actividades
Perdida de backups Perdida de datos del usuario
Perdida de confidencialidad en datos privados
Divulgación de información
Robo Perdida de informaciónSpoofing o sniffing Divulgación,
modificación y robo de información
Virus Pérdida de tiempo y productividad
La planificación de riesgo
c. MAGERIT metodología de análisis y gestión de riesgos de los sistemas de información
d. Calculo de nivel de riesgoe. Identificación del riesgo, utilizando
I. Método DelphiII. Arboles de fallos – eventos
III. Análisis probabilistico de seguridadIV. Entrevistas, encuestas, FODA
f. Determinar niveles de aceptación de riesgos
14. Planeación de la auditoria
a. Planeación de la auditoria en informática
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
1. Logs de los servidores.- Cada una de las aplicaciones que genera los logs utiliza una carpeta diferente para su almacenamiento. Los chequeos de los logs se hacen manualmente los cuales contienen: fecha y hora, fuente (el componente que disparo el evento), ID del evento (numero único que identifica al evento), computadora (maquina donde se logeo el evento), descripción (datos asociados con el evento o mensajes de error).
2. Control de acceso a logs.- Se debe controlar el acceso lógico a las carpetas donde están almacenados los logs para evitar el acceso desde cualquier maquina conectada a la red.
3. Control de acceso a internet.- los números de IP de las PC’s conectada, así como la dirección de las páginas visitadas deben estar registradas debidamente.
4. Cambio de password.- cuando el usuario modifica su password se generaran los logs y las contraseñas anteriores se almacenaran en una bitácora.
5. Logs del administrador.- se chequearan periódicamente para verificar que sean válidos, para que no se registren ningún tipo de problemas.
b. Evaluación de sistemas
Sistema operativo
El Sistema Operativo es un conjunto de programas que administran los recursos de la computadora y controlan su funcionamiento.Un Sistema Operativo realiza cinco funciones básicas: Suministro de Interfaz al Usuario, Administración de Recursos, Administración de Archivos, Administración de Tareas y Servicio de Soporte.
1) Suministro de interfaz al usuario: Permite al usuario comunicarse con la computadora por medio de interfaces que se basan en comandos, interfaces que utilizan menús, e interfaces gráficas de usuario.
2) Administración de recursos: Administran los recursos del hardware como la CPU, memoria, dispositivos de almacenamiento secundario y periféricos de entrada y de salida.
3) Administración de archivos: Controla la creación, borrado, copiado y acceso de archivos de datos y de programas.
4) Administración de tareas: Administra la información sobre los programas y procesos que se están ejecutando en la computadora. Puede cambiar la prioridad entre procesos, concluirlos y comprobar el uso de estos en la CPU, así como terminar programas.
5) Servicio de soporte: Los Servicios de Soporte de cada sistema operativo dependen de las implementaciones añadidas a este, y pueden consistir en inclusión de utilidades nuevas, actualización de versiones, mejoras de seguridad, controladores de nuevos periféricos, o corrección de errores de software.
c. Evaluación del software
El Software es el soporte lógico e inmaterial que permite que la computadora pueda desempeñar tareas inteligentes, dirigiendo a los componentes físicos o hardware con instrucciones y datos a través de diferentes tipos de programas.El Software son los programas de aplicación y los sistemas operativos, que según las funciones que realizan pueden ser clasificados en:
Software de Sistema
Se llama Software de Sistema o Software de Base al conjunto de programas que sirven para interactuar con el sistema, confiriendo control sobre el hardware, además de dar soporte a otros programas.El Software de Sistema se divide en:
Controladores de Dispositivos
Los Controladores de Dispositivos son programas que permiten a otros programas de mayor nivel como un sistema operativo interactuar con un dispositivo de hardware.
Programas Utilitarios
Los Programas Utilitarios realizan diversas funciones para resolver problemas específicos, además de realizar tareas en general y de mantenimiento. Algunos se incluyen en el sistema operativo.
Software de Aplicación
El Software de Aplicación son los programas diseñados para o por los usuarios para facilitar la realización de tareas específicas en la computadora, como pueden ser las aplicaciones ofimáticas (procesador de texto, hoja de cálculo, programa de presentación, sistema de gestión de base de datos...), u otros tipos de software especializados como software médico, software educativo, editores de música, programas de contabilidad, etc.
Software de Programación
El Software de Programación es el conjunto de herramientas que permiten al desarrollador informático escribir programas usando diferentes alternativas y lenguajes de programación.Este tipo de software incluye principalmente compiladores, intérpretes, ensambladores, enlazadores, depuradores, editores de texto y un entorno de desarrollo integrado que contiene las herramientas anteriores, y normalmente cuenta una avanzada interfaz gráfica de usuario (GUI).
d. Control de proyectos
La necesidad de hacer una revisión permanente de la ejecución de las actividades programadas del proyecto lleva a definir un sistema de control que posibilite medir el avance físico y el uso de recursos humanos, materiales y financieros, así como la relación entre el tiempo y el costo. Se define como control, al proceso de comparar la realización real del proyecto con la planificada, analizando las variaciones existentes entre ambas, evaluando las posibles alternativas, y tomando las acciones o medidas correctoras apropiadas según se necesiten.
e. Instructivos de operación
De acuerdo al proyecto que se está desarrollando las instrucciones son las siguientes:
Los usuarios deben cumplir todas las políticas de seguridad establecidas
Cada software dentro de la institución cuenta con su respectiva documentación de uso por la tanto el usuario está en la obligación de leerlos para su manipulación.
El administrador del sistema es quien está a cargo de todo el manejo de la información que transita en la institución.
El hardware y los insumos de computación solo deben ser manipulados por los usuarios autorizados.
f. Entrevistas a usuarios
g. Controles
El control es una parte muy importante