análisis de riesgo

19
a. Análisis de riesgo El análisis de riesgo es desarrollado con el propósito de determinar cuales de los activos tienen mayor vulnerabilidad ante factores externos o internos que puedan afectarlos, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos y considerando el grado en que el riesgo puede ser controlado. Activos del banco Riesgo Amenaza vulnerabilidad Servidores y switch Acceso no autorizado Robo, modificación de información Corte de luz, UPS descargado o variaciones de voltaje Falta de sistema Destrucción de un componente Pérdida de tiempo por necesidad de reemplazo Error de configuración Aumento de vulnerabilidades e inestabilidad en el sistema Factores ambientales Falta de sistema y destrucción de equipo Límite de vida útil – maquinas obsoletas Deterioro en el performance del sistema Mal mantenimiento Interrupciones en el funcionamiento del sistema Modificación no autorizada de datos Inconsistencia de datos, mala configuración, fraude Robo Perdida de

Upload: alexander-rivera-velasquez

Post on 13-Dec-2015

2 views

Category:

Documents


0 download

DESCRIPTION

Analisis de riesgo

TRANSCRIPT

Page 1: Análisis de Riesgo

a. Análisis de riesgo

El análisis de riesgo es desarrollado con el propósito de determinar cuales de los activos tienen mayor vulnerabilidad ante factores externos o internos que puedan afectarlos, identificando las causas potenciales que faciliten o impidan alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables efectos y considerando el grado en que el riesgo puede ser controlado.

Activos del banco

Riesgo Amenaza vulnerabilidad Servidores y switch

Acceso no autorizado Robo, modificación de información

Corte de luz, UPS descargado o variaciones de voltaje

Falta de sistema

Destrucción de un componente

Pérdida de tiempo por necesidad de reemplazo

Error de configuración Aumento de vulnerabilidades e inestabilidad en el sistema

Factores ambientales Falta de sistema y destrucción de equipo

Límite de vida útil – maquinas obsoletas

Deterioro en el performance del sistema

Mal mantenimiento Interrupciones en el funcionamiento del sistema

Modificación no autorizada de datos

Inconsistencia de datos, mala configuración, fraude

Robo Perdida de equipamiento o información

Virus Fallas generales del sistema y en la red

Base de datos Baja de datos compleja Desarrollo complejo de sistemas

Copia no autorizada de un medio de datos

Divulgación de información

Errores de software Inconsistencias en los datos

Fallas de base de datos Inconsistencias en los datos

Falta de espacio de Falla en la aplicación

Page 2: Análisis de Riesgo

almacenamientoMala configuración del schedule de backups

Datos sin backup

Perdida de confidencialidad en datos privados y de sistema

Divulgación de información

Mala integridad de los datos Inconsistencias y redundancia de datos

Perdida de backups Incapacidad de restauración

Portapapeles, impresoras o directorios compartidos

Divulgación de información

robo Divulgación de información

Sabotaje Perdida o modificación de datos, pérdida de tiempo y productividad

Spoofing y sniffing Divulgación y modificación de información

Transferencia de datos incorrectos

Inconsistencia de datos

virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad

Software de aplicación, programas y sistemas operativos

Acceso no autorizado a datos

Modificación del software en desarrollo

Aplicaciones sin licencia Multas y problemas con software legal

Error de configuración Mal funcionamiento de los sistemas

Errores en las funciones de encriptación

Problemas en la recuperación de archivos encriptados

Falla en el sistema Datos erróneos e inestabilidad del sistema

Mala administración de control de acceso

Divulgación y modificación de información

Poca adaptación a cambios de sistema

Sistema inestable y de difícil modificación

Prueba de software deficiente

Probabilidad incremental de vulnerabilidades y virus

Software desactualizado Inestabilidad y mal

Page 3: Análisis de Riesgo

funcionamiento del sistema

VirusProbabilidad incremental de vulnerabilidades

Backup Copia no autorizada a un medio de datos

Robo de información

Errores de software Error en la generación o en la copia de backups

Falla en medio externos Perdida de la información

Falta de espacio de almacenamiento

Falla en la generación de backups

Robo Incapacidad de restaurarlos y divulgación de la informacion

Virus Perdida de datos de backup

Datos de configuración, datos en medio externos

Copia no autorizada de un medio de datos

Robo de informacion

Fallas en medios externos Perdida de datos en medios externos

Mala integridad de los datos Pérdida de tiempo y productividad por falla de datos

Medios de datos no están disponibles cuando son necesarios

Falta de datos

Perdida de datos en transito Divulgación de datosSpoofing y sniffing Divulgación y

modificación de información

virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad

Administrador de sistemas (departamento de sistemas)

Administración impropia del sistema de IT (responsabilidades y roles del personal de sistemas)

Asignación de responsabilidades impropia

Almacenamiento de passwords negligente

Divulgación de password uso indebido de derechos de usuarios

Configuración impropia del SendMail

Divulgación de mensajes, uso del

Page 4: Análisis de Riesgo

servidor para enviar spam

Errores de configuración y operación del sistema

Inestabilidad del sistema, reducción de la performance y aumento de las vulnerabilidades

Fallas de auditoria en sistema operativo

Imposibilidad del seguimiento de usuarios y de la generación d e reportes

Mala evaluación de datos de auditoria

No se analizan los logs

Mal uso de derechos de administrador

Distribución de los permisos y de las cuentas de administrador

Red Abusos de puertos Posibles intrusiones y robo o robos de información

Ausencia o falta de segmentación

Tramos de red extensos y dificultades en la comunicación

Configuración inadecuada de componentes de red

Errores de transmisión, interrupción del sistema de red

Fallas en la MAN Una o más sucursales incomunicadas

Transporte inseguro de archivos

Divulgación de información

Sincronización de tiempo inadecuada

Inconsistencia de datos

Conexiones todavía activas Intrusión de usuarios no autorizados al sistema

Usuarios Acceso no autorizado a datos

Divulgación o robo de información

Borrado, modificación sin autorización

Inconsistencia de datos o datos faltantes

Documentación deficiente Mayor probabilidad de errores por falta de instrucciones

Entrada sin autorización a habitaciones

Robo de equipos o insumos, divulgación de datos

Falta de auditorias Falta de concientización sobre responsabilidades y seguridad

Page 5: Análisis de Riesgo

Falta de cuidado en el manejo de la información (Ej. password)

Robo o modificación de información

Ingeniería social – ingeniería social inversa

Divulgación de datos

Mal uso de derechos de administrador (sesiones abiertas)

Sabotaje interno

Perdida de confidencialidad o integridad de datos

Robo o modificación de información

Hardware (teclados, monitor, unidades de disco, medios removibles, etc.)

Corte de luz, UPS descargado o variaciones de voltaje

Interrupción del funcionamiento de equipos

Destrucción o mal funcionamiento de un componente

Interrupción de la tarea del usuario

Factores ambientales Avería de equiposLímite de vida útil Avería de equipos e

incremento en el costo de equipamiento

Mal mantenimiento Avería de equiposRobo Perdida de

equipamiento e interrupción de la tarea del usuario

Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.)

Factores ambientales Destrucción de insumosLímite de vida útil Destrucción o averías

de insumosRecursos escasos Interrupción en el

funcionamiento normal del banco

Uso descontrolado de recursos

Incremento no justificado del gasto de insumos

Robo Perdida de insumos e incremento en el gasto

Datos de usuarios Falta de espacio de almacenamiento

Retraso en las actividades

Perdida de backups Perdida de datos del usuario

Perdida de confidencialidad en datos privados

Divulgación de información

Robo Perdida de informaciónSpoofing o sniffing Divulgación,

modificación y robo de

Page 6: Análisis de Riesgo

informaciónVirus Pérdida de tiempo y

productividad

b. Planificación de riesgos

Activo Riesgo Planificación Servidores y switch

Acceso no autorizado Implementar políticasCorte de luz, UPS descargado o variaciones de voltaje

Aseguramiento en la seguridad física

Destrucción de un componente

Destruir completamente los componentes

Error de configuración Contratar especialistas en la materia

Factores ambientales Infraestructura adecuada para resguardar los datos

Límite de vida útil – maquinas obsoletas

Establecer la vida útil de los materiales

Mal mantenimiento Mantenimiento por personal capacitado

Virus AntivirusBase de datos Baja de datos compleja

Copia no autorizada de un medio de datos

Divulgación de información

Errores de software Inconsistencias en los datos

Fallas de base de datos Inconsistencias en los datos

Falta de espacio de almacenamiento

Falla en la aplicación

Mala configuración del schedule de backups

Datos sin backup

Perdida de confidencialidad en datos privados y de sistema

Divulgación de información

Mala integridad de los datos Inconsistencias y redundancia de datos

Perdida de backups Incapacidad de restauración

Portapapeles, impresoras o directorios compartidos

Divulgación de información

robo Divulgación de

Page 7: Análisis de Riesgo

informaciónSabotaje Perdida o modificación

de datos, pérdida de tiempo y productividad

Spoofing y sniffing Divulgación y modificación de información

Transferencia de datos incorrectos

Inconsistencia de datos

virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad

Software de aplicación, programas y sistemas operativos

Acceso no autorizado a datos

Modificación del software en desarrollo

Aplicaciones sin licencia Multas y problemas con software legal

Error de configuración Mal funcionamiento de los sistemas

Errores en las funciones de encriptación

Problemas en la recuperación de archivos encriptados

Falla en el sistema Datos erróneos e inestabilidad del sistema

Mala administración de control de acceso

Divulgación y modificación de información

Poca adaptación a cambios de sistema

Sistema inestable y de difícil modificación

Prueba de software deficiente

Probabilidad incremental de vulnerabilidades y virus

Software desactualizado Inestabilidad y mal funcionamiento del sistema

VirusProbabilidad incremental de vulnerabilidades

Backup Copia no autorizada a un medio de datos

Robo de información

Errores de software Error en la generación o en la copia de backups

Falla en medio externos Perdida de la información

Falta de espacio de almacenamiento

Falla en la generación de backups

Robo Incapacidad de

Page 8: Análisis de Riesgo

restaurarlos y divulgación de la informacion

Virus Perdida de datos de backup

Datos de configuración, datos en medio externos

Copia no autorizada de un medio de datos

Robo de informacion

Fallas en medios externos Perdida de datos en medios externos

Mala integridad de los datos Pérdida de tiempo y productividad por falla de datos

Medios de datos no están disponibles cuando son necesarios

Falta de datos

Perdida de datos en transito Divulgación de datosSpoofing y sniffing Divulgación y

modificación de información

virus Perdida, modificación o divulgación de datos, pérdida de tiempo y productividad

Administrador de sistemas (departamento de sistemas)

Administración impropia del sistema de IT (responsabilidades y roles del personal de sistemas)

Asignación de responsabilidades impropia

Almacenamiento de passwords negligente

Divulgación de password uso indebido de derechos de usuarios

Configuración impropia del SendMail

Divulgación de mensajes, uso del servidor para enviar spam

Errores de configuración y operación del sistema

Inestabilidad del sistema, reducción de la performance y aumento de las vulnerabilidades

Fallas de auditoria en sistema operativo

Imposibilidad del seguimiento de usuarios y de la generación d e reportes

Mala evaluación de datos de auditoria

No se analizan los logs

Mal uso de derechos de Distribución de los

Page 9: Análisis de Riesgo

administrador permisos y de las cuentas de administrador

Red Abusos de puertos Posibles intrusiones y robo o robos de información

Ausencia o falta de segmentación

Tramos de red extensos y dificultades en la comunicación

Configuración inadecuada de componentes de red

Errores de transmisión, interrupción del sistema de red

Fallas en la MAN Una o más sucursales incomunicadas

Transporte inseguro de archivos

Divulgación de información

Sincronización de tiempo inadecuada

Inconsistencia de datos

Conexiones todavía activas Intrusión de usuarios no autorizados al sistema

Usuarios Acceso no autorizado a datos

Divulgación o robo de información

Borrado, modificación sin autorización

Inconsistencia de datos o datos faltantes

Documentación deficiente Mayor probabilidad de errores por falta de instrucciones

Entrada sin autorización a habitaciones

Robo de equipos o insumos, divulgación de datos

Falta de auditorias Falta de concientización sobre responsabilidades y seguridad

Falta de cuidado en el manejo de la información (Ej. password)

Robo o modificación de información

Ingeniería social – ingeniería social inversa

Divulgación de datos

Mal uso de derechos de administrador (sesiones abiertas)

Sabotaje interno

Perdida de confidencialidad o integridad de datos

Robo o modificación de información

Hardware (teclados, monitor,

Corte de luz, UPS descargado o variaciones de

Interrupción del funcionamiento de

Page 10: Análisis de Riesgo

unidades de disco, medios removibles, etc.)

voltaje equiposDestrucción o mal funcionamiento de un componente

Interrupción de la tarea del usuario

Factores ambientales Avería de equiposLímite de vida útil Avería de equipos e

incremento en el costo de equipamiento

Mal mantenimiento Avería de equiposRobo Perdida de

equipamiento e interrupción de la tarea del usuario

Insumos (cintas, cartuchos de tinta, toner, papel, formularios, etc.)

Factores ambientales Destrucción de insumosLímite de vida útil Destrucción o averías

de insumosRecursos escasos Interrupción en el

funcionamiento normal del banco

Uso descontrolado de recursos

Incremento no justificado del gasto de insumos

Robo Perdida de insumos e incremento en el gasto

Datos de usuarios Falta de espacio de almacenamiento

Retraso en las actividades

Perdida de backups Perdida de datos del usuario

Perdida de confidencialidad en datos privados

Divulgación de información

Robo Perdida de informaciónSpoofing o sniffing Divulgación,

modificación y robo de información

Virus Pérdida de tiempo y productividad

La planificación de riesgo

Page 11: Análisis de Riesgo

c. MAGERIT metodología de análisis y gestión de riesgos de los sistemas de información

d. Calculo de nivel de riesgoe. Identificación del riesgo, utilizando

I. Método DelphiII. Arboles de fallos – eventos

III. Análisis probabilistico de seguridadIV. Entrevistas, encuestas, FODA

f. Determinar niveles de aceptación de riesgos

14. Planeación de la auditoria

a. Planeación de la auditoria en informática

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

1. Logs de los servidores.- Cada una de las aplicaciones que genera los logs utiliza una carpeta diferente para su almacenamiento. Los chequeos de los logs se hacen manualmente los cuales contienen: fecha y hora, fuente (el componente que disparo el evento), ID del evento (numero único que identifica al evento), computadora (maquina donde se logeo el evento), descripción (datos asociados con el evento o mensajes de error).

2. Control de acceso a logs.- Se debe controlar el acceso lógico a las carpetas donde están almacenados los logs para evitar el acceso desde cualquier maquina conectada a la red.

3. Control de acceso a internet.- los números de IP de las PC’s conectada, así como la dirección de las páginas visitadas deben estar registradas debidamente.

4. Cambio de password.- cuando el usuario modifica su password se generaran los logs y las contraseñas anteriores se almacenaran en una bitácora.

5. Logs del administrador.- se chequearan periódicamente para verificar que sean válidos, para que no se registren ningún tipo de problemas.

b. Evaluación de sistemas

Page 12: Análisis de Riesgo

Sistema operativo

El Sistema Operativo es un conjunto de programas que administran los recursos de la computadora y controlan su funcionamiento.Un Sistema Operativo realiza cinco funciones básicas: Suministro de Interfaz al Usuario, Administración de Recursos, Administración de Archivos, Administración de Tareas y Servicio de Soporte.

1) Suministro de interfaz al usuario: Permite al usuario comunicarse con la computadora por medio de interfaces que se basan en comandos, interfaces que utilizan menús, e interfaces gráficas de usuario.

2) Administración de recursos: Administran los recursos del hardware como la CPU, memoria, dispositivos de almacenamiento secundario y periféricos de entrada y de salida.

3) Administración de archivos: Controla la creación, borrado, copiado y acceso de archivos de datos y de programas.

4) Administración de tareas: Administra la información sobre los programas y procesos que se están ejecutando en la computadora. Puede cambiar la prioridad entre procesos, concluirlos y comprobar el uso de estos en la CPU, así como terminar programas.

5) Servicio de soporte: Los Servicios de Soporte de cada sistema operativo dependen de las implementaciones añadidas a este, y pueden consistir en inclusión de utilidades nuevas, actualización de versiones, mejoras de seguridad, controladores de nuevos periféricos, o corrección de errores de software.

c. Evaluación del software

El Software es el soporte lógico e inmaterial que permite que la computadora pueda desempeñar tareas inteligentes, dirigiendo a los componentes físicos o hardware con instrucciones y datos a través de diferentes tipos de programas.El Software son los programas de aplicación y los sistemas operativos, que según las funciones que realizan pueden ser clasificados en:

Software de Sistema

Se llama Software de Sistema o Software de Base al conjunto de programas que sirven para interactuar con el sistema, confiriendo control sobre el hardware, además de dar soporte a otros programas.El Software de Sistema se divide en:

Page 13: Análisis de Riesgo

Controladores de Dispositivos

Los Controladores de Dispositivos son programas que permiten a otros programas de mayor nivel como un sistema operativo interactuar con un dispositivo de hardware.

Programas Utilitarios

Los Programas Utilitarios realizan diversas funciones para resolver problemas específicos, además de realizar tareas en general y de mantenimiento. Algunos se incluyen en el sistema operativo.

Software de Aplicación

El Software de Aplicación son los programas diseñados para o por los usuarios para facilitar la realización de tareas específicas en la computadora, como pueden ser las aplicaciones ofimáticas (procesador de texto, hoja de cálculo, programa de presentación, sistema de gestión de base de datos...), u otros tipos de software especializados como software médico, software educativo, editores de música, programas de contabilidad, etc.

Software de Programación

El Software de Programación es el conjunto de herramientas que permiten al desarrollador informático escribir programas usando diferentes alternativas y lenguajes de programación.Este tipo de software incluye principalmente compiladores, intérpretes, ensambladores, enlazadores, depuradores, editores de texto y un entorno de desarrollo integrado que contiene las herramientas anteriores, y normalmente cuenta una avanzada interfaz gráfica de usuario (GUI).

d. Control de proyectos

La necesidad de hacer una revisión permanente de la ejecución de las actividades programadas del proyecto lleva a definir un sistema de control que posibilite medir el avance físico y el uso de recursos humanos, materiales y financieros, así como la relación entre el tiempo y el costo. Se define como control, al proceso de comparar la realización real del proyecto con la planificada, analizando las variaciones existentes entre ambas, evaluando las posibles alternativas, y tomando las acciones o medidas correctoras apropiadas según se necesiten.

e. Instructivos de operación

De acuerdo al proyecto que se está desarrollando las instrucciones son las siguientes:

Los usuarios deben cumplir todas las políticas de seguridad establecidas

Page 14: Análisis de Riesgo

Cada software dentro de la institución cuenta con su respectiva documentación de uso por la tanto el usuario está en la obligación de leerlos para su manipulación.

El administrador del sistema es quien está a cargo de todo el manejo de la información que transita en la institución.

El hardware y los insumos de computación solo deben ser manipulados por los usuarios autorizados.

f. Entrevistas a usuarios

g. Controles

El control es una parte muy importante