SEGURIDAD EN ENTORNOS DE TI
LaliinkyEnsayo3 de Febrero de 2022
1.654 Palabras (7 Páginas)119 Visitas
[pic 1]
SEGURIDAD EN ENTORNOS
DE TI
[pic 2]
Alumna: Ana Luisa Vera Moran Prof. Arturo Corichi Guerrero Fecha: 06 Julio 2017
Introducción
Esta herramienta de análisis se utiliza como técnica para determinar cuáles son los riesgos que la auditoria debe cubrir de forma obligatoria, cuales dependen de la intención del ente y cuales son susceptibles de asumir.
Es un proceso para filtrar de los riesgos del negocio aquellos que por efectiva implementación por parte del ente son controlado, quedando a cargo de la auditoria los riesgos no controlados. Su inclusión en una matriz surge de la combinación de la importancia relativa del riesgo y de su grado de probabilidad de ocurrencia.
Hoy en día los sistemas de información son el alma de las organizaciones o empresas, dejando caer toda la responsabilidad sobre los sistemas, datos e información. Mismos que se pueden encontrar asechados por una serie de riesgos que son una amenaza constante para la organización.
Instrucciones
Desarrollar 3 ejemplos de los riesgos (Alto, Medio, Bajo) de cada uno de los 5 elementos que componen un sistema de cómputo (Hardware, Software, Datos, Procesos, Recursos Humanos), para posteriormente graficarlos en una matriz de riesgos.
Desarrollo
El proceso de análisis de riesgos requiere que el conjunto de riesgos pertenezca al mismo contexto organización y/o área, de tal forma que los resultados obtenidos permitan establecer controles tanto generales y específicos, por ello en este análisis se delimitara a la seguridad de la información del departamento de Mesa de Ayuda de la Empresa Shering&Ploug en la que laboro, dentro de esta área se utiliza un sistema de Help Desk por medio del cual se atienden los tickets de soporte de los usuarios de las diferentes áreas de la empresa; sin embargo existen muchas deficiencias, vulnerabilidades y riesgos en la seguridad del sistema y del proceso de soporte las cuales menciono a continuación:
Elementos | Alto | Medio | Bajo |
Hardware | El servidor del sistema de HelpDesk no se | El servidor del sistema de HelpDesk no cuenta | El servidor del sistema de HelpDesk solo |
encuentra dentro del site | con programación de respaldo periódico | cuenta con una tarjeta de red | |
Software | El sistema operativo no cuenta con actualizaciones desde que se instaló hace 3 años | El sistema de Help Desk no cuenta con licenciamiento correcto para el Servidor Websphere | No existen procesos de mantenimiento del sistema ni de depuración |
Datos | La cuenta de administración del sistema es conocida por todos y no existe ningún resguardo de ella | La información de los catálogos esta desactualizada y existen mucho problemas debido a ello | Los usuarios pueden acceder a los tickets de otros usuarios sin autorización |
Procesos | El sistema no cuenta con los roles correctos para el funcionamiento (Falta Rol de supervisor) | El personal de soporte comparte la información de los usuarios libremente | El sistema puede accederse a través de la extranet |
Recurso Humanos | El personal de soporte puede hacer uso de las contraseñas de usuarios | No existe reglas sobre el cuidado y uso de la información e los usuarios | El personal del área de soporte no cuenta con capacitación sobre el uso del sistema |
Así también se ha tenido que desarrollar las siguientes definiciones sobre los valores nominales de impacto, las cuales se basaron de acuerdo al nivel de afectación de la situación:
Nivel de impacto | Descripción |
Catastrófico | Perdida completa de información o material, afectando al sistema en su totalidad. |
Critico | Posibilidad de pérdida de información o material de forma moderada, la cual se debe dar pronta solución para que el sistema funcione. |
Moderado | Implica problemas no significativos, que se pueden solucionar sin afectar al sistema. |
Marginal | El impacto es leve en el funcionamiento del sistema. |
Despreciable | No existe influencia negativa, es decir no hay afectación al sistema. |
Para calificar la probabilidad se ha considerado el historial de incidentes del sistema de acuerdo a los 3 años que el sistema tiene uso; sin embargo, en algunos casos no existen evidencias de que las situaciones de vulnerabilidad se hayan presentado anteriormente, por lo que la evaluación fue evaluada de forma estimativa por los ingenieros de soporte.
Probabilidad | Descripción |
Cierto | Probabilidad muy alta |
Probable | Probabilidad alta |
Posible | Probabilidad media |
Improbable | Probabilidad baja |
Excepcional | Caso especialmente raro que ocurriera |
De acuerdo con las vulnerabilidades encontradas a continuación se definirá el riesgo de cada una detallando la causa raíz y su consecuencia.
N | Categoría | Descripción de la vulnerabilidad | Descripción del riesgo | Probabilidad | Impacto |
1 | Hardware | Saturación de almacenamiento del servidor | Que no se guardan, o no se pueden subir a sistema las evidencias de las responsivas de la transferencia de activo fijo. | Posible | Critico |
2 | Hardware | No se les de mantenimiento a los UPS regularmente antes de que comiencen a fallar las baterías. | No contar con UPS podría ocasionar perdidas de información cuando hay picos y variaciones de voltaje. | Improbable | Critico |
4 | Software | El sistema operativo no cuenta con actualizaciones. | El sistema y la información quedara expuestas al robo o destrucción | Posible | Catastrófico |
5 | Software | El sistema cuenta con paquetería de office obsoleta. | Podrían existir ataques mediante documentos infectados (.docs) enviados mediante correos electrónicos para el robo de información | Probable | Catastrófico |
6 | Software | La mala configuración de módulos y procesos a analizar mediante el antivirus. | Si alguno de los módulos no está configurado para su escaneo en tiempo real o ciertos periodos existe el riesgo que en la navegación y en el acceso a una página no segura pueda infectar y exponer la estación de trabajo y así mismo el sistema. | Posible | Moderado |
7 | El sistema no cuenta con licencia de Windows | Al culminar la prueba de 30 días, el sistema queda bloqueado de servicios de seguridad (Windows Defender) quedando vulnerables a una posible infección de virus o ataque. | Probable | Critico | |
8 | Datos | La cuenta de administración del sistema es conocida por todos y no existe ningún resguardo de ella | Si muchos usuarios conocen la contraseña, ENTOCNES los usuarios podrían acceder a información confidencial y hacer mal uso de ella | 40% | ALTO |
8 | Datos | La información de los catálogos esta desactualizada y existen muchos problemas debido a ello | Si los catálogos están desactualizados, entonces el sistema está obsoleto y podría ocasionar fallas en el servicio y operación | 20% | MEDIO |
9 | Datos | Los usuarios pueden acceder a los tickets de otros usuarios sin autorización | Si la información de tickets es accesible a todos, ENTONCES existe toda la información está comprometida a su mal uso o robo | 90% | ALTO |
10 | Procesos | El sistema no cuenta con los roles correctos para el funcionamiento (Falta Rol de supervisor) | Si no existen la asignación de roles en el sistema, ENTONCES el sistema no podrá administrarse de forma eficiente | 60% | MEDIO |
11 | Procesos | El personal de soporte comparte la información de los usuarios libremente | Si la información de tickets es accesible a todos, ENTONCES existe toda la información está comprometida a su mal uso o robo | 50% | ALTO |
12 | Procesos | El sistema puede accederse a través de la extranet | Si el sistema no cuenta con un esquema de seguridad, ENTONCES la información podría accederse por cualquier usuario externo | 40% | MUY ALTO |
13 | Recursos Humanos | El personal de soporte puede hacer uso de las contraseñas de usuarios | Si las cuentas de usuario son accesibles por el personal de Soporte, entonces la información de cualquier computadora de la compañía puede ser robada | 70% | MUY ALTO |
14 | Recursos Humanos | No existe reglas sobre el cuidado y uso de la información de los usuarios | Si no existen reglas sobre el uso de la información, ENTONCES los usuarios podrían hacer mal uso de la información y/o compartir con personal externo la información | 90% | MUY ALTO |
15 | Recursos Humanos | El personal del área de soporte no cuenta con capacitación sobre el uso del sistema | Si el personal de soporte no cuenta con capacitación respecto al uso del sistema, ENTONCES los ingenieros de soporte no podrá usar el sistema adecuadamente | 50% | MEDIO |
...