Modelos y Estándares en Seguridad Informática Fase 2. Desarrollar el análisis de riesgos en la organización
JOHN FREDY QUINTERO MENDEZ 79.469.309
CHRISTIAN REYNALDO ANGULO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA 2019 INTRODUCCIÓN
Objetivos
Objetivo General Desarrollar el análisis de riesgos en la organización Objetivos Específicos
Reconocer la importancia del análisis de riesgos en una organización
Diseñar el análisis de riesgos usando la metodología MAGERIT
Aplicar controles derivados de un análisis de riesgos.
DESARROLLO Es de conocimiento general que toda compañía está expuesta a riesgos; teniendo en cuenta que no existe un entorno 100% seguro y que la exposición a los riesgos es constante. Por tal motivo toda compañía debe estar alerta a cualquier cambio o situación extraña que se considere podría afectar negativamente a un activo, a un dominio o a toda su organización.
1. Identificación de activos: Esta tarea es crítica por que una, buena identificación permite realizar las siguientes tareas:
Establecer las dependencias entre los activos Permite valorar a los activos con precisión Ayuda a identificar y valorar las amenazas Escoge que salvaguardas serán necesarias para proteger el sistema
Se identifico los siguientes activos en la compañía Grupo ASD: [IS] Servicios Internos Para los empleados, de la organización se presta los siguientes servicios: • •
[TELF_PIB] TELEFONÍA IP [INTERNET_PIB] INTERNET
[SW] Aplicaciones (Software) Entre las aplicaciones que ostenta la institución tenemos los siguientes: • • • • •
[SIS_PIB] BIZNET [OFF_PIB] OFIMÁTICA [AV_PIB] ANTIVIRUS [OS_PIB] SISTEMA OPERATIVO [OTR_PIB] OTROS SOFTWARE
[HW] Equipos Dentro de los equipos informáticos que posee la institución tenemos los siguientes: • • • •
[SDB_PIB] SERVIDOR DE BASE DE DATOS [PRINT_PIB] MEDIOS DE IMPRESIÓN [PC_PIB] COMPUTADORAS DE ESCRITORIO [ROUTER_PIB] ROUTER
[COM] Comunicaciones A través de los siguientes medios de transporte de información tenemos: • • • •
[IPPHONE_PIB] TELEFONÍA IP [WIFI_PIB] RED WIFI [LAN_PIB] RED LAN [IEX_PIB] INTERNET
[AUX] Equipamiento Auxiliar La empresa cuenta con los siguientes equipos auxiliares: • • • • • • • •
[GEN_PIB] GENERADOR ELÉCTRICO [CABLING_PIB] CABLEADO [MOB_PIB] MOBILIARIO [SISVG_PIB] SISTEMA DE VIGILANCIA [ANT_PIB] ANTENAS [RAD_PIB] RADIOS [SAI_PIB] SISTEMA DE ALIMENTACIÓN ININTERRUMPIDA [AUXOTR_PIB] OTROS EQUIPOS AUXILIARES
TIPO
ACTIVOS
Servicios
Grupo ASD una empresa colombiana con 36
años
de
experiencia
ofreciendo
Soluciones de Tercerización de Procesos de
Negocio
ProcessOutsourcing) Tecnológicas
de
BPO
(Business
y
Soluciones
Información
(IT
Information Technology) en los sectores
Gobierno, Salud, Financiero, Educación, Industria y Telecomunicaciones. Datos/
Cuando se concibió nuestra empresa era
Información
un sueño, pero con el transcurrir de los años, con trabajo, constancia, amor por lo que se hace, pasión, respeto hacia nuestros clientes, se fue dando forma y hoy tenemos la empresa líder en Colombia llevando
a
cabo
Soluciones
de
Tercerización de Procesos de Negocio BPO (Business Process Outsourcing) y Soluciones Tecnológicas de Información (IT Information Technology). Reglamento interno de trabajo, procesos, formatos, Código Fuente:
página
web
de
la
empresa(http://www.grupoasd.com.co) Código Ejecutable: agenda Aplicaciones (Software)
Programas, aplicativos,
correo
Outlook,
gmail, etc, páginas Web, firewall, sistemas operativos (Windows. Linux), programa de control de acceso, Windows server, etc. Equipos informáticos
Computadores, servidor, planta telefónica, cámaras de seguridad, switches, etc.
Hardware
Impresoras, teléfonos, scanner, lectores, pantallas, teclado.
Redes de Comunicaciones
Red Local Internet Red telefónica Red inalámbrica
Soportes de Información
Discos Duros Memorias USB
Blu-ray Dvd Instalaciones
Calle 32 No.13 - 07
Personal
Gobierno,
salud,
financiero,
industria,
educación, Telecomunicaciones
Valoración de los activos Para cada valoración conviene tomar en consideración la siguiente información: • •
Dimensiones en las que el activo es relevante Estimación de la valoración en cada dimensión
Criterios de la valoración
Nivel 10 9 8 7 6 5 4 3 2 1 0
Dimensiones: D: Disponibilidad I: Integridad de los datos C: confidencialidad de los datos A: autenticidad de los datos y usuarios T: Trazabilidad del servicio
Criterion Nivel 10 Nivel 9 Nivel 8(+) Alto Alto(-) Medio(+) Medio Medio(-) Bajo(+) Bajo Depreciable
Activos
[D]
Dimensiones [I] [C] [A] [T]
Servicios internos Telefonía IP Internet
[6]
[7] [8]
[7] [8]
[9] [9]
[9]
[9] [7] [7] [7] [5]
[9] [9]
[9]
[9] [6] [8] [8]
Aplicaciones Biznet Ofimática Antivirus Sistema Operativo Otros Software Equipos Servidor de Base de Datos Medios de Impresión Computadoras de Escritorio Router Comunicaciones Telefonía IP Red WIFI Red LAN Internet Equipos Auxiliares CABLEADO Mobiliario Sistema de Vigilancia Antenas Radios Sistema de Alimentación Ininterrumpida Otros Equipos Auxiliares Soportes de Información CD Instalaciones Edificio Personal Jefa del Dto. Financiero Mantenimiento BD Mantenimiento EQ Jefa del Dto. de Contabilidad Jefa del Dto. de Logística y Compras Jefa del Dto. de Personal Auxiliar de Contabilidad Digitadora Tabla #. Valor Propio de los Activos
[7] [7] [7] [7] [7]
[7] [7] [7] [7] [7] [5] [7] [7] [8] [8] [7] [7] [8] [8] [8] [7] [6]
REFERENCIAS
Análisis y Gestión de Riegos de los Sistemas de la Cooperativa de Ahorro y Crédito
Jardín
Azuayo
utilizando
la
metodología
Magerit,,
http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf, p. 38.
Análisis y Gestión de Riegos de los Sistemas de la Cooperativa de Ahorro y Crédito Jardín Azuayo utilizando la metodología Magerit, http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf, p. 39
Magerit-versión 3 .0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://www.ccncert.cni.es/publico/herramientas/pilar5/magerit/ç, p 37