Análisis de riesgos

7,811 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,811
On SlideShare
0
From Embeds
0
Number of Embeds
26
Actions
Shares
0
Downloads
276
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Análisis de riesgos

  1. 1. Análisis de Riesgos<br />Universidad Nacional Federico Villarreal<br />Facultad de Ingeniería Industrial y de Sistemas<br />Escuela de Ingeniería de Sistemas<br />Seguridad en Computación e Informática<br />
  2. 2. BENITEZ PEREYRA, PAUL FRANCISCO E.<br />CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO<br />GARCÍA MORAUSKY, CESAR RICARDO<br />Integrantes<br />FLORIAN ARTEAGA, EDUARDO MIGUEL<br />GONZALES BERNAL, JAIR ANTONIO<br />
  3. 3. INTRODUCCIÓN<br /><ul><li>También debemos tener en cuenta que cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activosde las empresas.
  4. 4. Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido.
  5. 5. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en análisis de riesgos para evitar o minimizar las consecuencias no deseadas.</li></li></ul><li>¿Qué es el análisis de riesgos?<br />En pocas palabras el análisis o evaluación de riesgos informáticos es un proceso que engloba la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, además que es el primer paso de la seguridad informática.<br />CONTENIDO<br />
  6. 6. CONTENIDO<br />¿Qué acciones incluye este análisis de riesgos?<br /><ul><li>Identificación de los activos
  7. 7. Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
  8. 8. Valoración de los activos identificados
  9. 9. Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
  10. 10. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
  11. 11. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
  12. 12. Cálculo del riesgo.
  13. 13. Evaluación de los riesgos frente a una escala de riesgos preestablecidos.</li></li></ul><li>CASOS PRÁCTICOS DE ANÁLISIS DE RIESGOS<br />
  14. 14. 1 CASO PRÁCTICO <br /> Dispositivo CK3 es una tecnología móvil que se usa como plataforma para la aplicación web del sistema de trazabilidad de una compañía de gaseosas el cual es usado por los operarios en las plantas para registrar cada paleta de productos fabricados en planta como también los jefes de almacén para registrar y controlar las entradas y salidas de las paletas del almacén tanto en la planta como en los CDA’s.<br />
  15. 15. Riesgos por parte de:<br />Usuarios:<br />Cuando los operarios quieren registrar dos paletas a la vez sin esperar que el primer registro se cargue, esto ocasiona que se congele el aplicativo por lo cual se genera una interrupción.<br />Cuando los operarios dejan caer el dispositivo provocando una falla de hardware el cual implica su inoperancia para trabajar en el entorno web esto genera una interrupción.<br />Cuando el operador no cambia de batería a pesar de la indicación de la señal de carga del dispositivo, esto provoca una des configuración del dispositivo, la cual provoca una interrupción.<br />
  16. 16. Riesgos por parte de:<br />Programación:<br /> <br />Cuando hay una extensión de la producción de un producto por requerimiento del área comercial conjuntamente con los CDA’s esto en el aplicativo genera un error por exceso de paletas es decir que el aplicativo no es flexible a este caso y se genera una interrupción.<br />Servicios de comunicación:<br /> <br />Cuando un elemento de red presenta fallas produciendo problemas en la conexión entre el servidor del aplicativo web con el dispositivo móvil de una área de la planta esto genera una interrupción.<br />
  17. 17. Análisis del impacto según los siguientes parámetros<br />1. Consecuencias de la interrupción del servicio En el negocio:<br /> Una interrupción del servicio de base de datos, aplicativo web, elementos de red o comunicación y otros recursos de TI generaría:<br /><ul><li>Pérdida de rentabilidad.
  18. 18. Pérdida de cuota de mercado.
  19. 19. Mala imagen de marca. </li></li></ul><li>Análisis del impacto según los siguientes parámetros<br />2. Cuánto se puede esperar a restaurar el servicio sin que tenga un alto impacto en los procesos de negocio:<br />
  20. 20. 2 CASO PRÁCTICO: ANÁLISIS DE VULNERABILIDADES EN LA WEB <br />VULNERABILIDAD<br />En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.<br />
  21. 21. Algunas vulnerabilidades típicas suelen ser:<br />Desbordes de pila y otros buffers.<br />Errores en la validación de entradas como: inyección SQL, BUGen el formato de cadenas, etc.<br />Secuestro de sesiones.<br />Ejecución de código remoto(RFI) y XSS.<br />
  22. 22.
  23. 23. HIGH<br />
  24. 24.
  25. 25. LOW<br />
  26. 26.
  27. 27.
  28. 28. 3 CASO PRÁCTICO: Base de Datos de una clínica<br />PROBLEMA<br />Una clínica cuenta con una BD que contiene aprox. 1000 registros sobre sus pacientes<br />El servidor de aplicaciones que accede a esta BD se encuentra en un DMZ<br />Los datos de transferencia, así como los contenidos en la BD no estaban encriptados<br />La aplicación es vulnerable a un SQL Injection.<br />La base de datos puede almacenar desde 10000 a 500000 registros<br />
  29. 29. Análisis Cuantitativo<br />Por medio de un análisis de impacto de negocio, se sabe que la reposición de cada registro tiene un costo de $30.<br />Para calcular el gasto total se usa el SLE (Expectativa de pérdida única)<br />𝐒𝐋𝐄=(𝐕𝐚𝐥𝐨𝐫 𝐝𝐞𝐥 𝐚𝐜𝐭𝐢𝐯𝐨)∗(𝐅𝐚𝐜𝐭𝐨𝐫 𝐝𝐞 𝐄𝐱𝐩𝐨𝐬𝐢𝐜𝐢𝐨𝐧)<br /> <br />
  30. 30. Análisis Cuantitativo<br />El valor del activo es $30.<br />El factor de exposición puede variar.<br />Se toma 500000 por la cantidad máxima de registros que pueden perderse<br />𝑺𝑳𝑬=(𝟑𝟎)∗(𝟓𝟎𝟎𝟎𝟎𝟎)<br />𝑺𝑳𝑬=$𝟏𝟓𝟎𝟎𝟎𝟎𝟎𝟎<br /> <br />
  31. 31. Análisis Cualitativo<br />Se observa el impacto del problema recae sobre Reputación de la institución<br />El tipo de ataque es simple y una vez descubierta la vulnerabilidad puede seguir siendo realizado<br />El alto número de registros confidenciales perdidos (Pueden llegara a 500000)<br />
  32. 32. Análisis Cualitativo<br />Las pérdidas monetarias en reposiciones, asciende a $15000000.<br />De todos estos casos se puede concluir que el impacto sobre la empresa es ALTO.<br />
  33. 33. 4 CASO PRÁCTICO: METODOLOGIA RISK IT<br />La consultora en procesos de negocio de IT “E-STRATEGA” es una de las consultoras de mayor prestigio en Latinoamérica.<br />Estudia todo lo referido a la gestión de procesos de negocio y las buenas prácticas que se deben seguir en cada etapa de sus actividades relacionadas a la planificación, operación, seguridad entre otros aspectos.<br />Para ellos hace uso de una serie de metodologías que se enmarcan en distintos ambientes., entre ellas tenemos el RISK IT<br />
  34. 34.
  35. 35. ¿EN QUE CONSISTE RISK IT?<br />
  36. 36.
  37. 37. BENEFICIOS DEL RISK IT<br /><ul><li>Ayudar continuamente a la optimización de la gestión de riesgo y del entorno.
  38. 38. Indicadores
  39. 39. Aumentar la probabilidad de alcanzar los objetivos de la empresa</li></li></ul><li>5 CASO PRÁCTICO: Vicepresidencia Tercera del GobiernoMinisterio de Política Territorial y Administración Pública<br />Metodología MAGERIT<br />
  40. 40.
  41. 41.
  42. 42.
  43. 43. Toma de datos y procesos de información<br />
  44. 44. Establecimiento de Parámetros<br />
  45. 45. Valoración de Activos<br />
  46. 46. Amenazas globales<br />
  47. 47. Controles por amenazas<br />
  48. 48. Riesgo efectivo x activo<br />
  49. 49. ¿Qué mira la alta gerencia?<br />
  50. 50. CONCLUSIONES<br />
  51. 51. RECOMENDACIONES<br />
  52. 52. MUCHAS GRACIAS<br />

×