Administración De Riesgos

Objetivo:

EL objetivo principal de esta actividad es realizar una serie de pasos la cual sea la más adecuada para un plan de gestión de riesgos y así mismo tomar una decisión ya exacta y aplicarla para tener un margen de error mínimo y de pérdida de información.

Procedimiento:

El procedimiento fue un poco laborioso, saque algunas definiciones en el sistema de blackboard y en la internet saque información sobre un plan de gestión de riesgo que viene algunos datos interesantes y que los aplique en esta actividad.

Resultados:

La empresa de video juegos Games Ivanna S.A., ha decidido desarrollar un nuevo producto que supere a la competencia. Pondrá a la venta un juego que te permitirá jugarlo en línea con diferentes usuarios de todo el mundo. Quieren que los usuarios puedan desarrollar el juego mediante roles y estrategias que permitan definir sus propios escenarios, todo esto con ayuda de pantallas interactivas que muestren objetos que le den la oportunidad al jugador de que elija a los mejores y los pueda integrar a su juego personalizado.

La empresa tiene un sistema de pago por transferencia electrónica o pago con tarjeta de crédito en línea, sin embargo, últimamente ha tenido ciertos eventos en los cuales se ha visto vulnerado su sistema, por constantes ataques a sus sistemas de seguridad, aumentando con esto los riesgos de que su sistema colapse. Además, debido al incremento de sus suscripciones en línea, el sistema muestra en horas pico y tráfico intenso, haciendo que el juego al momento de estar en línea sea demasiado lento, y en algunas ocasiones el sistema falla por completo.

Con el éxito que han obtenido, quieren expandirse, pero para asociarse con otra compañía que haría que su negocio creciera más, necesita primero certificar sus sistemas de seguridad con la norma ISO 17799, para así convencer a su posible socio de que cuentan con todos los requisitos de que están certificados en cuestiones de estándares de calidad en el ámbito de la Seguridad de la Información.

1. ¿Qué plan de gestión de riesgos sería el más adecuado, tomando en cuenta la forma de pago que tienen sus usuarios, y la confidencialidad de la información que ellos tienen?

Primordialmente aquí tenemos que entender que antes que nada que un Riesgo es la combinación de una acción o evento que pueda violar la seguridad de nuestro entorno con las vías de ataque potenciales que existen en nuestro sistema, siendo más concreto, la combinación de amenazas con la vulnerabilidad de nuestro sistema. Estos dos elementos son los que nos ayudaran para el primero paso de lo que es el plan a seguir: Identificar y valorar los riesgos (en términos cualitativos y cuantitativos y en importancia).

Eric Maiwald explica que el riesgo es catalogado según la relación entre sus dos elementos, es decir, si las vías de ataque son obvias, o son muchas se convierte en una vulnerabilidad alta y sin son pocas es una vulnerabilidad de bajo nivel, lo mismo con las amenazas, entre más posibilidades existan de un ataque a ese elemento en cuestión es más alta o sui el activo es más importante entonces el riego aumenta, puesto que un ataque en un proceso critico seria más dañino que un ataque a un proceso secundario; de esta manera identifiquemos los siguientes riesgos:

• RIESGO ALTO

El más importante es la disponibilidad del juego y obviamente del servicio de pago en línea, ya que es el punto clave del comercio electrónico: Si el sitio no está disponible no habrá negocio. Además del impacto directo que sobre la confianza del usuario/cliente.

̶ El segundo serian los riesgos de acceso. Ya sea el “fisgoneo”, “escucha furtiva” o “la intercepción” ya que el acceso es vía internet y estas son las amenazas más grandes cuando se intentado tener información que el atacante quiere ver y no está autorizado. El hecho de guardar información personal para accesar a un juego en línea, convierte en una atracción para ladrones de datos. Tengamos en cuenta que los usuarios manejan información sobre tarjetas de créditos y cuentas bancarias, datos que con total seguridad desean mantener confidenciales.

• RIESGO MEDIO

̶ El siguiente seria el ataque de modificación, es decir el cambio de información existente, dependiendo de la modificación en sí, el ataque podría ser considerado una simple molestia, hasta un problema grave, los tipos de modificación a considerar son “Cambios”, “Inserción” y “Eliminación”. Además es de importancia que este ataque se puede llevar a cabo en cualquier parte del proceso, ya sea en el registro de un nuevo usuario/jugador, en las formas de pago o en la información del servidor. Para clarificar este tipo de ataque iría desde un usuario que modifique los estatus de su personaje para subir de nivel dentro del juego hasta la alteración de los documentos que guarda para su seguimiento la empresa

̶ El siguiente es la denegación del Servicio, como mencione antes la disponibilidad del sistema es un punto crítico del este producto, por lo que el hecho de que alguna parte del acceso a servicio falle impacta negativamente en el cliente, se diferencia en magnitud a los riesgos de disponibilidad, es decir, puede afectar a cierto sector de usuarios o a ciertas aplicaciones, sin negar el acceso a todo el sistema.

• RIESGO BAJO

̶ Este es el último riesgo al que el sistema en si estaría encadenado: ataque de refutación, en otras palabras intentos de atacantes de proporcionar mala información o negar que un evento real haya ocurrido, aclaro que este tipo de engaño puede ser hacia los usuarios del juego como hacia el sistema en sí mismo.

• CONTRAMEDIDAS

Esta es una pequeña valuación de las medidas existentes (no necesariamente aplicadas aún) que la empresa tiene en su poder para combatir los riesgos que tenemos ya identificados, y que la valoración de riesgos debe incluir, pues la existencia o falta de ella afectan en gran medida el impacto que el riesgo, en caso de convertirse en problema, tenga dentro de Games Ivanna S.A.

El siguiente paso a seguir dentro del plan de Gestión es Asignar Roles y Responsabilidades es importante designar que parte del personal de Games Ivanna S.A. se encargara de que, quien llevara la documentación del riesgo, quien será el encargado de dirigir, etc.

Preparación del Presupuesto sería el tercer punto en consideración, asignar recursos y estimar los costes necesarios para la gestión de riesgos, así como tiempo a invertir.

.

Definir el Seguimiento cuándo y con qué frecuencia se realizará el proceso de gestión de riesgos durante el ciclo de vida del juego es el paso siguiente.

2. ¿Qué tan factible es el renovar sus equipos y sitios web de Internet, tomando en cuenta la saturación de su sistema por la demanda que tienen en este momento?

Aquí en esta pregunta se menciona de la renovación de equipos, aquí la factibilidad de la renovación de equipos, software y sitios de Internet debe ser medida en comparación al impacto negativo que tendrá debido al tiempo de inactividad de forma cuantitativa (% aproximado de dinero perdido por denegación del servicio en portal de juego en el tiempo que dure la renovación más el costo de la misma por el costo beneficio aprox. a corto plazo de la renovación) y cualitativa (opinión positiva respecto a la mejora por parte de los usuarios/clientes vs el descontento por el tiempo que no se acceso al portal de juego) también recordemos que el tiempo de renovación debe hacerse lo más rápido posible y tomar dicho tiempo con el concepto del “Tiempo Global” es decir, que al ser un juego en línea las hora de saturación cambian de lugar a lugar dependiendo del lugar y zona horaria donde el jugador se encuentre en ese momento.

Una renovación total del sitio web y de los equipos sería recomendable de forma general, mas aun si el negocio busca expandirse, sin embargo, dicho cambio debe afectar lo menor posible el tiempo en que se haga. La factibilidad termina dependiendo en su mayor parte del tiempo en que tarde en realizarse (el cual debe ser relativamente corto). La mejora y actualización de los servicios así como su mantenimiento constante es la manera más estable para seguir operando pero eventualmente esto no sería suficiente, podrían invertir en nuevas mejoras, pero eso solo daría u poco más de tiempo. Existen dos posibles soluciones que pueden afectar a la empresa lo menos posible:

̶ La primera hace referencia a un sistema segmentado donde se renovaran poco a poco los distintos equipos y sistemas implicados, denegando el servicio de tan solo algunas aplicaciones por vez, empezando del menos importante al más importante, asegurándose un cambio paulatino pero constante, sin embargo esto implica costos extras por

...