Evaluación de riesgos de la seguridad de información mediante la matriz de riesgos
Universidad
Global, en la cual se debe elaborar
una matriz de riesgos de acuerdo a lo solicitado por el decano para contemplar
la seguridad de los módulos o interfaces Web del Sistema Académico y Gestión
(SIAG) y para ello en forma grupal se debe realizar:
1. Lea el anexo A de la norma ISO 27001
2. Identifique activos de información en la U.
Global
3. Identifique 5 riesgos por cada activo
4. Evalúe los riesgos mediante la matriz de
riesgos
5. Seleccione los 10 riesgos de más alto nivel y
ubicarlos en el dominio respectivo del anexo A de la norma 27001
6. Contextualice el objetivo de control y el control para
la universidad Global
Desarrolle cada uno de los puntos solicitados en las
diapositivas dispuestas para ello.
2.1 Identifique los activos de información en el estudio de
caso.
1.Bases de datos
2.Sistema de información académica (SIAG)
3.Gestion académica
4.Matriculas
5.Historial
6.Equipos de computo
7.Sistema de evaluación a de docentes
8.Reportes personalizados o a medida
9.Reportes Y consultas de notas
10.Datos financieros
11.Admisiones
12.Faltas disciplinarias
13.Firewalls
14.Redes de comunicación e internet
2.2 Defina qué tan crítico o importante es cada activo
identificado para la organización.
|
ACTIVO |
CRITERIO |
PORQUE |
|
SIAG |
ALTO |
Altamente
crítico. Es el núcleo de la gestión académica y estudiantil, y afecta
directamente la calidad de la educación. Cualquier interrupción o compromiso
de este sistema puede tener repercusiones importantes. |
|
GESTION ACADEMICA |
ALTO |
Este módulo
es el más importante ya que este contiene cada uno de los otros módulos por
lo que un excelente funcionamiento de este es esencial |
|
BASE DE DATOS |
ALTO |
Altamente
críticas. Contienen información esencial para la gestión académica,
financiera y de recursos humanos de la institución. La pérdida o compromiso
de estos datos podría tener un impacto significativo en el funcionamiento de
la universidad. |
|
EQUIPOS DE COMPUTO |
ALTO |
Altamente
críticos. Son la base de las actividades académicas y administrativas. La
pérdida de datos o la inaccesibilidad de los sistemas informáticos puede
afectar seriamente la productividad y la calidad de la educación. |
|
MATRICULAS |
BAJO |
Este módulo
solo contiene la información de matrículas de los estudiantes y dado que
ningún otro depende del mismo en caso de ataque solo será necesario revisar
esta interfaz |
|
HISTORIAL |
MEDIO |
Importante. En
este módulo se tendrá registro de las acciones realizadas en la plataforma
por lo que podría guardar información importante para un atacante. |
|
REPORTES PERSONALIZADOS O A MEDIDA |
MEDIO |
Importante.
Ya que para realizar reportes se debe tener acceso a varios de los demás
módulos de la plataforma. |
|
REPORTE Y CONSULTA DE NOTAS |
BAJO |
En este módulo
habrá información de rendimiento de los alumnos por lo que es muy importante
para la universidad |
|
SISTEMA DE EVALUACION A DOCENTES |
BAJO |
Importante.
Contribuye a la mejora continua de la calidad académica y es importante para
la evaluación del desempeño docente. |
|
FALTAS DISCIPLINARIAS |
BAJO |
En este módulo
estarán los datos, que nos darán información sobre las faltas que tienen los trabajadores,
alumnos y docentes |
|
ADMISIONES |
ALTO |
En el módulo
veremos en un periodo de tiempo el número de estudiantes que han entrado a la
universidad, así también como la gente que se ha presentado en general. |
|
DATOS FINANCIEROS |
ALTO |
Extremadamente
críticos. Los datos financieros son vitales para la gestión financiera y la sostenibilidad
de la institución. La seguridad de estos datos es esencial. |
|
FIREWALLS |
ALTO |
Muy críticos.
Protegen la red de la institución contra amenazas cibernéticas y garantizan
la integridad y confidencialidad de los datos. Son esenciales para la seguridad
de la información. |
|
REDES DE
COMUNICACIÓN E INTERNET |
ALTO |
Muy críticas.
La conectividad es fundamental para la comunicación, la enseñanza en línea y
el acceso a recursos académicos. La interrupción de la red podría afectar
gravemente las operaciones. |
3.1 Desarrolle una lista con las amenazas contra los
atributos de seguridad de la información (Confidencialidad, integridad,
disponibilidad y no repudio) teniendo en cuenta el contexto de desarrollo de
las modificaciones al software.
Identifique al menos 5 vulnerabilidades, las cuales pueden
ser hipotéticas o teóricas, toda vez que no se han hecho pruebas de
vulnerabilidad.
|
SIAG |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Fugas de
información |
Bajos niveles
de seguridad en los datos |
|
Acceso no
autorizado |
Falta de autenticación
y autorización adecuadas |
|
Ataques de
fuerza bruta |
Desactualización
de software |
|
Hackers |
Contraseñas
débiles |
|
Fraude
interno |
Inadecuada
gestión de sesiones |
|
BASE
DE DATOS |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Acceso no
autorizado |
Falta de autenticación
y autorización adecuadas |
|
Ataques de
fuerza bruta |
Inadecuada
gestión de sesiones |
|
Ataques de
suplantación de identidad |
Suplantación
de identidad |
|
perdida de
información |
Bajos niveles
de seguridad en los datos |
|
Errores de programación |
Desactualización
de software |
|
GESTION
ACADEMICA |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Exposición de
datos sensibles |
Errores de
codificación |
|
Fugas de
información |
Desactualización
de software |
|
Mala gestión |
Personal no
capacitado |
|
EQUIPOS
DE COMPUTO |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Ataques de
interceptación |
Phishing e
ingeniería social |
|
Ataques de
fuerza bruta |
Inadecuada
gestión de sesiones |
|
Daño en los
equipos |
Falta de
autenticación y control de acceso |
|
Malware |
Desactualización
de software |
|
MATRICULAS |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Robo de
información |
No
encriptación de los datos |
|
Manipulación
de información |
Poca comprobación
de los datos |
|
Perdida de
información |
Mala gestión |
|
Registrar
usuario falso |
Mala
comprobación de datos en los usuarios |
|
FIREWALLS |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Ataques de
evasión |
Configuración
incorrecta |
|
Ataques de
denegación de servicio (DoS) |
Firmware
desactualizado |
|
Ataques de
suplantación de identidad |
Falta de
capacitación del personal |
|
Ataques de inundación |
Falta de
monitorización y auditoría |
|
REDES
DE COMUNICACIÓN E INTERNET |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Ataques de
interceptación |
Phishing e
ingeniería social |
|
Ataques de
fuerza bruta |
Inadecuada
gestión de sesiones |
|
Ataques de suplantación
de identidad |
Suplantación
de identidad |
|
Ataques de
denegación de servicio (DoS) |
Insuficiente
monitorización de red |
|
Malware |
Desactualización
de software |
|
HISTORIAL |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Exposición de
datos sensibles |
Errores de codificación |
|
Información
desordenada |
Mala
implementación de los sistemas de recolección de datos |
|
REPORTES
PERSONALIZADOS O A MEDIDA |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Exposición de
datos sensibles |
Errores de
codificación |
|
Reportes
irreales |
Datos no
entregados de forma verídica |
|
REPORTE
Y CONSULTA DE NOTAS |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Exposición de
datos sensibles |
Errores de
codificación |
|
Infiltración
al sistema |
Poca
seguridad en contraseñas |
|
Datos falsos |
Acceso a
personal no autorizado |
|
SISTEMA
DE EVALUACION A DOCENTES |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Exposición de
datos sensibles |
Errores de
codificación |
|
FALTAS
DISCIPLINARIAS |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Exposición de
datos sensibles |
Acceso a
personal no autorizado |
|
ADMISIONES |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Admisión no
debida |
admisión a
persona equivocada |
|
Admitir mas
de 1 vez a un usuario |
Mala
validación de datos |
|
No guardar a
un usuario admitido |
|
|
DATOS
FINANCIEROS |
|
|
AMENAZAS |
VULNERABILIDADES |
|
Infiltración
de información |
Contraseñas
poco seguras |
|
Mala gestión
de información |
Pocas
habilidades técnicas |
4.1 Estime la probabilidad e impacto de cada amenaza según
las metodologías de evaluación de riesgos estudiadas.
|
AMENAZA |
PROVABILIDAD |
IMPACTO |
|
|
A1 |
Alteración de
datos |
Alta |
Alto |
|
A2 |
Hacker |
Alta |
Alto |
|
A3 |
Perdida de
información |
Alta |
Alto |
|
A4 |
Fraude
interno |
Alta |
Alto |
|
A5 |
Mala implementación |
Alta |
Alto |
|
A6 |
Fuga de
información |
Media |
Medio |
|
A7 |
Ataques de
fuerza bruta |
Media |
Medio |
|
A8 |
Suplantación
de identidad |
Alta |
Alto |
|
A9 |
Errores de
programación |
Alta |
Alto |
|
A10 |
Exposición de
datos sensibles |
Alta |
Alto |
|
A11 |
Mala gestión |
Alta |
Alto |
|
A12 |
Ataques de
interceptación |
Media |
Medio |
|
A13 |
Manipulación
de información |
Alta |
Alto |
|
A14 |
Daño en los
equipos |
Alta |
Alto |
|
A15 |
Malware |
Media |
Medio |
|
A16 |
Robo de
información |
Alta |
Alto |
|
A17 |
Registrar
usuario falso |
Alta |
Alto |
|
A18 |
Ataques de
evasión |
Media/Baja |
Medio |
|
A19 |
Ataques de
denegación de servicio (DoS) |
Alta |
Alto |
|
A20 |
Ataques de
inundación |
Alta |
Alto |
|
A21 |
Información desordenada |
Media |
Medio |
|
A22 |
Reportes
irreales |
Alta |
Alto |
|
A23 |
Infiltración
al sistema |
Media |
Medio |
|
A24 |
Admisión no
debida |
Media |
Medio |
|
A25 |
Admitir más
de 1 vez a un usuario |
Media/Baja |
Medio |
|
A26 |
No guardar a
un usuario admitido |
Media |
Medio |
|
A27 |
Datos falsos |
Media/Baja |
Medio |
4.2 Considere los criterios de seguridad que propone las
metodologías estudiadas.
La metodología de seguridad OCTAVE (Operationally Critical
Threat, Asset, and Vulnerability Evaluation) es un enfoque que se utiliza para
evaluar y mejorar la seguridad de las organizaciones. OCTAVE se centra en la
gestión de riesgos y en la identificación de medidas de seguridad efectivas. Que
se lleva a cabo siguiendo ciertos criterios como:
Evaluación de activos críticos: Comienza por identificar y
priorizar los activos críticos de una organización. Estos activos pueden
incluir datos sensibles, sistemas clave, procesos críticos, entre otros. La
protección de estos activos es fundamental.
Identificación de amenazas y vulnerabilidades: Analiza las
amenazas y vulnerabilidades que pueden afectar a los activos críticos de la
organización. Esto implica identificar las amenazas potenciales y las
debilidades en la seguridad existente.
Evaluación de riesgos: Evalúa los riesgos asociados a las
amenazas y vulnerabilidades identificadas. Esto implica determinar la
probabilidad de que ocurra un incidente de seguridad y el impacto que tendría
en la organización.
Desarrollo de estrategias de mitigación: Con base en la
evaluación de riesgos, OCTAVE propone estrategias de mitigación para reducir la
exposición de la organización a las amenazas. Esto puede incluir la
implementación de controles de seguridad, políticas y procedimientos.
Diseño de arquitecturas seguras: OCTAVE también se centra en
el diseño de arquitecturas de sistemas y redes seguras. Esto implica asegurarse
de que los sistemas estén configurados de manera adecuada y que se implementen
controles de seguridad apropiados.
Monitoreo y mejora continua: Promueve la idea de que la
seguridad es un proceso continuo. Por lo tanto, se enfoca en establecer
mecanismos de monitoreo y revisión constante para identificar nuevas amenazas y
vulnerabilidades, así como para adaptar las medidas de seguridad existentes.
Enfoque en la gestión de riesgos: En lugar de centrarse
únicamente en la implementación de tecnologías de seguridad, Se enfoca en la
gestión de riesgos y en la toma de decisiones informadas sobre cómo abordar los
riesgos de seguridad de manera efectiva.
4.3 Considere las vulnerabilidades para asignar la
probabilidad (posibilidad de ocurrencia) de cada amenaza.
|
POSIBILIDAD DE OCURRENCIA |
|
|
AMENAZA |
POSIBILIDAD |
|
Alteración de datos |
Alta |
|
Hacker |
Alta |
|
Perdida de información |
Alta |
|
Fraude interno |
Alta |
|
Mala implementación |
Alta |
|
Fuga de información |
Media |
|
Ataques de fuerza bruta |
Media |
|
Suplantación de identidad |
Alta |
|
Errores de programación |
Alta |
|
Exposición de datos sensibles |
Alta |
|
Mala gestión |
Alta |
|
Ataques de interceptación |
Media |
|
Manipulación de información |
Alta |
|
Daño en los equipos |
Alta |
|
Malware |
Media |
|
Robo de información |
Alta |
|
Registrar usuario falso |
Alta |
|
Ataques de evasión |
Media/Baja |
|
Ataques de denegación de servicio (DoS) |
Alta |
|
Ataques de inundación |
Alta |
|
Información desordenada |
Media |
|
Reportes irreales |
Alta |
|
Infiltración al sistema |
Media |
|
Admisión no debida |
Media |
|
Admitir más de 1 vez a un usuario |
Media/Baja |
|
No guardar a un usuario admitido |
Media |
|
Datos falsos |
Media/Baja |
5.1 Diseñe y construya una “matriz de riesgos”, donde
pueda presentar los riesgos de acuerdo a su criticidad o importancia.
Cuando haya evaluado todos los riesgos, seleccione los 10 de
más alto nivel, ubique cada uno en el dominio respectivo del anexo A de la
norma ISO 27001.
Usted debe ubicar el activo y la amenaza en el respectivo
dominio de la Norma ISO 27001 y plantear el objetivo o política de seguridad y
el control personalizados o contextualizados a la empresa del caso de estudio
|
MATRIZ
DE RIESGOS DE LA INFORMACION |
|||||
|
ACTIVO DE INFORMACION |
PROBABILI |
IMPACT |
IMPORT |
OBJETIVO DE CONTROL 27001 |
CONTROL DISEÑADO |
|
Perdida de información |
Alta |
Alto |
Alta |
Control A.8.2.2: Protección de información
clasificada. |
Implementar procedimientos adecuados para el
etiquetado de información |
|
Errores de programación |
Alta |
Alto |
Alta |
Control A.14.2.5: Control de cambios en el software. |
Garantizar que se cumpla con las pruebas requeridas
para el correcto funcionamiento |
|
Malware |
Media |
Medio |
Alta |
Control A.12.2.1: Implementación de procedimientos
anti-malware. |
Trabajar en ambientes seguros y realizar revisiones periódicas
a toda la equipacion |
|
Robo de información |
Alta |
Alto |
Alta |
Control A.11.2.9: Control de acceso a la información
en sistemas de red. |
Implementar protocolos para mantener la información
segura dentro de la compañía |
|
Mala gestión |
Alta |
Alto |
Alta |
Control A.7.1.1: Política de responsabilidad y
función. |
Verificar los antecedentes de los responsables de la
gestión del sistema |
|
Fraude interno |
Alta |
Alto |
Alta |
Control A.7.1.1: Política de responsabilidad y
función. |
Verificar los antecedentes de los responsables del
manejo de información |
|
Ataques de denegación de servicio (DoS) |
Alta |
Alto |
Alta |
Control A.12.6.1: Manejo de incidentes de seguridad
de la información. |
Mantener el correcto mantenimiento en redes y
software |
|
Suplantación de identidad |
Alta |
Alto |
Alta |
Control A.12.4.1: Gestión de identidades y accesos
de usuario. |
Tener una correcta validación de la información de
los empleados |
|
Hacker |
Alta |
Alto |
Alta |
Control A.12.4.1: Gestión de identidades y accesos
de usuario. |
Mantener los equipos debidamente actualizados y protegidos |
|
Mala implementación |
Alta |
Alto |
Alta |
Control A.14.2.1: Seguridad en el desarrollo y
soporte de sistemas de información. |
Capacitar adecuadamente al personal en el manejo del
sistema |
Comentarios
Publicar un comentario