Administración De Riesgos

Objetivo:

EL objetivo principal de esta actividad es realizar una serie de pasos la cual sea la más adecuada para un plan de gestión de riesgos y así mismo tomar una decisión ya exacta y aplicarla para tener un margen de error mínimo y de pérdida de información.

Procedimiento:

El procedimiento fue un poco laborioso, saque algunas definiciones en el sistema de blackboard y en la internet saque información sobre un plan de gestión de riesgo que viene algunos datos interesantes y que los aplique en esta actividad.

Resultados:

La empresa de video juegos Games Ivanna S.A., ha decidido desarrollar un nuevo producto que supere a la competencia. Pondrá a la venta un juego que te permitirá jugarlo en línea con diferentes usuarios de todo el mundo. Quieren que los usuarios puedan desarrollar el juego mediante roles y estrategias que permitan definir sus propios escenarios, todo esto con ayuda de pantallas interactivas que muestren objetos que le den la oportunidad al jugador de que elija a los mejores y los pueda integrar a su juego personalizado.

La empresa tiene un sistema de pago por transferencia electrónica o pago con tarjeta de crédito en línea, sin embargo, últimamente ha tenido ciertos eventos en los cuales se ha visto vulnerado su sistema, por constantes ataques a sus sistemas de seguridad, aumentando con esto los riesgos de que su sistema colapse. Además, debido al incremento de sus suscripciones en línea, el sistema muestra en horas pico y tráfico intenso, haciendo que el juego al momento de estar en línea sea demasiado lento, y en algunas ocasiones el sistema falla por completo.

Con el éxito que han obtenido, quieren expandirse, pero para asociarse con otra compañía que haría que su negocio creciera más, necesita primero certificar sus sistemas de seguridad con la norma ISO 17799, para así convencer a su posible socio de que cuentan con todos los requisitos de que están certificados en cuestiones de estándares de calidad en el ámbito de la Seguridad de la Información.

1. ¿Qué plan de gestión de riesgos sería el más adecuado, tomando en cuenta la forma de pago que tienen sus usuarios, y la confidencialidad de la información que ellos tienen?

Primordialmente aquí tenemos que entender que antes que nada que un Riesgo es la combinación de una acción o evento que pueda violar la seguridad de nuestro entorno con las vías de ataque potenciales que existen en nuestro sistema, siendo más concreto, la combinación de amenazas con la vulnerabilidad de nuestro sistema. Estos dos elementos son los que nos ayudaran para el primero paso de lo que es el plan a seguir: Identificar y valorar los riesgos (en términos cualitativos y cuantitativos y en importancia).

Eric Maiwald explica que el riesgo es catalogado según la relación entre sus dos elementos, es decir, si las vías de ataque son obvias, o son muchas se convierte en una vulnerabilidad alta y sin son pocas es una vulnerabilidad de bajo nivel, lo mismo con las amenazas, entre más posibilidades existan de un ataque a ese elemento en cuestión es más alta o sui el activo es más importante entonces el riego aumenta, puesto que un ataque en un proceso critico seria más dañino que un ataque a un proceso secundario; de esta manera identifiquemos los siguientes riesgos:

• RIESGO ALTO

El más importante es la disponibilidad del juego y obviamente del servicio de pago en línea, ya que es el punto clave del comercio electrónico: Si el sitio no está disponible no habrá negocio. Además del impacto directo que sobre la confianza del usuario/cliente.

̶ El segundo serian los riesgos de acceso. Ya sea el “fisgoneo”, “escucha furtiva” o “la intercepción” ya que el acceso es vía internet y estas son las amenazas más grandes cuando se intentado tener información que el atacante quiere ver y no está autorizado. El hecho de guardar información personal para accesar a un juego en línea, convierte en una atracción para ladrones de datos. Tengamos en cuenta que los usuarios manejan información sobre tarjetas de créditos y cuentas bancarias, datos que con total seguridad desean mantener confidenciales.

• RIESGO MEDIO

̶ El siguiente seria el ataque de modificación, es decir el cambio de información existente, dependiendo de la modificación en sí, el ataque podría ser considerado una simple molestia, hasta un problema grave, los tipos de modificación a considerar son “Cambios”, “Inserción” y “Eliminación”. Además es de importancia que este ataque se puede llevar a cabo en cualquier parte del proceso, ya sea en el registro de un nuevo usuario/jugador, en las formas de pago o en la información del servidor. Para clarificar este tipo de ataque iría desde un usuario que modifique los estatus de su personaje para subir de nivel dentro del juego hasta la alteración de los documentos que guarda para su seguimiento la empresa

̶ El siguiente es la denegación del Servicio, como mencione antes la disponibilidad del sistema es un punto crítico del este producto, por lo que el hecho de que alguna parte del acceso a servicio falle impacta negativamente en el cliente, se diferencia en magnitud a los riesgos de disponibilidad, es decir, puede afectar a cierto sector de usuarios o a ciertas aplicaciones, sin negar el acceso a todo el sistema.

• RIESGO BAJO

̶ Este es el último riesgo al que el sistema en si estaría encadenado: ataque de refutación, en otras palabras intentos de atacantes de proporcionar mala información o negar que un evento real haya ocurrido, aclaro que este tipo de engaño puede ser hacia los usuarios del juego como hacia el sistema en sí mismo.

• CONTRAMEDIDAS

Esta es una pequeña valuación de las medidas existentes (no necesariamente aplicadas aún) que la empresa tiene en su poder para combatir los riesgos que tenemos ya identificados, y que la valoración de riesgos debe incluir, pues la existencia o falta de ella afectan en gran medida el impacto que el riesgo, en caso de convertirse en problema, tenga dentro de Games Ivanna S.A.

El siguiente paso a seguir dentro del plan de Gestión es Asignar Roles y Responsabilidades es importante designar que parte del personal de Games Ivanna S.A. se encargara de que, quien llevara la documentación del riesgo, quien será el encargado de dirigir, etc.

Preparación

...