1SEPTIEMBRE 2009

FACILITADOR: Mg. Sc. Miguel Cotaña

Segunda parte

Es imprescindible en toda organizacióncontar con una herramienta, quegarantice la correcta evaluación de los

INTRODUCCION

2

garantice la correcta evaluación de losriesgos, a los cuales estan sometidos losprocesos y actividades que participan enel area de informática; y por medio deprocedimientos de control se puedaevaluar el desempeño del entornoinformático.

La inadecuada administración de riesgosinformáticos, es la principal causa de los

3

informáticos, es la principal causa de losproblemas dentro del entornoinformático.Una adecuada gestión de laadministración de riesgos, se basa en lossiguientes aspectos:

�La evaluacion de riesgos inherentes a losprocesos informáticos;�La evaluacion de las amenazas o causas delos riesgos;

4

los riesgos;�Los controles utilizados para minimizar lasamenazas a riesgos;�La asignacion de responsables a losprocesos informáticos;�La evaluacion de los elementos del análisisde riesgos.

� Riesgos financieros: a) organizaciónexpuesta a pérdidas, b) los elementos queconforman las causas de pérdidas financieras

CLASIFICACION DE LOS RIESGOS

5

conforman las causas de pérdidas financierasy c) un peligro que puede causar la perdida.� Riesgos dinámicos: cambios en la economia� Riesgos estáticos: deshonestidad o fallahumana;� Riesgo especulativo: posibilidad de pérdidao ganancia (situación aventurada o del azar);

� Riesgo puro: solo genera pérdida o ganancia(personal, posesión, responsabilidad, fisico,quimico, biológico, psicosocial, ergonómicos);

6

quimico, biológico, psicosocial, ergonómicos);� Riesgo fundamental: pérdidas impersonales,causados en su mayoria por fenómenoseconomico-sociales (desempleo, inflación);� Riesgo particular: son pérdidas que surgende eventos individuales (incendio, robo).

Riesgos de Integridad: abarca los riesgosasociados con la autorización, completitud yexactitud de entrada, procesamiento yreportes de las aplicaciones utilizadas. Se

RIESGOS INFORMATICOS EN EL NEGOCIO

7

reportes de las aplicaciones utilizadas. Semanifiestan en un sistema:

�Interface de usuario: niveles de acceso yrestricciones, validez y completitud;�Procesamiento: balance de los controlesdetectivos y preventivos. Abarca tambienlos riesgos asociados con la exactitud eintegridad de los reportes;

�Procesamiento de errores: se relacionancon los métodos que aseguren cualquierE/proceso de información de errores

8

E/proceso de información de errores(Exceptions) sean capturadosadecuadamente, corregidos y reprocesados;�Interface: controles preventivos ydetectivos que aseguren que la informaciónha sido procesada adecuadamente;�Administración de cambios;�Información.

Riesgos de Relacion: se refiere al usooportuno de la información creada por unaaplicación. Estos riesgos se relacionan

9

aplicación. Estos riesgos se relacionandirectamente a la información de toma dedecisiones (información y datos correctos deuna persona/proceso/sistema correcto en eltiempo preciso permiten tomar decisionescorrectas)

Riesgos de acceso: inapropiado acceso alsistema, datos e información (riesgos desegregación inapropiada de trabajo, riesgoscon la integridad de la BD y riesgos con la

10

con la integridad de la BD y riesgos con laconfidencialidad). Pueden ocurrir en lossiguientes niveles:

�Procesos de negocio: incompatibilidad;�Aplicacion: mecanismos de seguridad;�Administracion de la informacion;�Entorno de procesamiento;�Redes;�Nivel fisico.

Riesgos de utilidad: Estos riesgos se enfocanen 3 diferentes niveles de riesgo:

�Los riesgos pueden ser enfrentados por eldireccionamiento de sistemas antes de que

11

direccionamiento de sistemas antes de quelos problemas ocurran;�Técnicas de recuperación/restauraciónusadas para minimizar la ruptura de lossistemas;�Bachups y planes de contingenciacontrolan desastres en el procesamiento dela información.

Riesgos en la infraestructura: estos riesgos se refierena que en las organizaciones no existe una estructurade información tecnologica efectiva (hardware,software, redes, personas, procesos) :

12

software, redes, personas, procesos) :�Planeacion organizacional: definición yverificación de la tecnologia informática;�Definicion de las aplicaciones: satisfacenrequerimientos de los usuarios;�Administracion de seguridad;�Operaciones de red y computacionales;�Administracion de BD.

Riesgos de seguridad: para disminuir elriesgo:

Riesgos de choque eléctrico;

13

� Riesgos de choque eléctrico;� Riesgos de incendio;� Riesgos de niveles inadecuados deenergia eléctrica;� Riesgos de radiaciones;� Riesgos mecánicos.

Es parte de la planeacion de la auditoriay ayuda a identificar los riesgos yvulnerabilidades, para que se puedadeterminar los controles adecuados y

ANALISIS DE RIESGOS

14

determinar los controles adecuados ymitigar esos riesgos.

El analisis de riesgos facilita laevaluacion de los riesgos y recomiendaacciones en base al costo-beneficio delas mismas.

La probabilidad de que una amenazallegue a acaecer por una vulnerabilidad.Es el potencial que una amenaza

RIESGO

15

Es el potencial que una amenazadeterminada explote las vulnerabilidadesde un activo y que ocasione pérdida delos activos o daños a los mismos. Elriesgo se mide mediante la combinacióndel impacto y de la probabilidad de queocurra.

RIESGO INFORMATICO

La Organización Internacional deNormalización (ISO) define riesgotecnológico (Guías para laGestión de la Seguridad) como:

16

Gestión de la Seguridad) como:

La probabilidad de que unaamenaza se materialice deacuerdo al nivel devulnerabilidad existente de unactivo, generando un impactoespecífico, el cual puede estarrepresentado por pérdidas y daños.

Una(s) persona(s) o cosa(s) comoposible fuente de peligro o catastrofe.

AMENAZA

17

Ejemplos de amenazas:� Errores;� Ataques maliciosos;� Fraude / Robo;� Falla de Equipo.

Acciones que pueden ocasionarconsecuencias negativas en laplataforma informática disponible: fallas,

18

plataforma informática disponible: fallas,ingresos no autorizados a las áreas decomputo, virus, uso inadecuado deactivos informáticos, desastresambientales (terremotos, inundaciones),incendios, accesos ilegales a los sistemas,fallas eléctricas.

Pueden ser de tipo lógico o físico.

Es una debilidad en un sistemapor la que un atacante puedeentrar o sacar información delmismo (falta de controles)

VULNERABILIDAD

19

mismo (falta de controles)

Ejemplos:� Falta de Conocimiento del Usuario;� Falta de Funcionalidad de la

Seguridad;� Mala elección de Contraseñas;� Transmisión por medio de líneas

no protegidas.

Exploit. Es una manera, herramienta ocódigo de programación para aprovecharuna vulnerabilidad y controlar el sistema

20

una vulnerabilidad y controlar el sistemavulnerable.Ejecución de código abierto. Es laposibilidad de ejecutar comandos einstrucciones en un sistema sin tener losprivilegios de administrador por mediode una vulnerabilidad.

VICTIMA ATACANTETenemos un equipo VICTIMA con una El equipo ATACANTE La VICTIMA es vulnerable a

Ejemplo de vulnerabilidad

21

VICTIMA con una vulnerabilidad y un equipo ATACANTE que conoce que el primer equipo tiene dicho problema.

El equipo ATACANTE manda datos “explotando” la vulnerabilidad de la VICTIMA.

vulnerable a determinadas ordenes del ATACANTE y le envía información propia.

Por ejemplo:

PROCESO VULNERABLE: El proceso MSNMSGR.EXE de nuestro querido MSN

La vulnerabilidad resideen el funcionamiento deun proceso.

22

de nuestro querido MSN Messenger tiene una vulnerabilidad en la solicitud de archivos.

Las versiones de MSN Messenger 6.1 en adelante han corregido esta vulnerabilidad.

1.La víctima no debe haberbloqueado su Messenger parausuarios que no estén en sulista de contactos

Normalmente lasvulnerabilidades ocurrenmediante alguna seriede condiciones.

23

lista de contactos

2.El atacante podrá acceder a lamáquina vulnerable si seencuentra en la lista deadmitidos.

3.El atacante solo podrá accedera los archivos a los que tengaacceso la víctima.

1. Si el exploit es exitoso, elatacante puede visualizar elcontenido de los archivos deldisco duro del usuario

Finalmente, elatacante accede alsistema vulnerableusando un exploit.

24

disco duro del usuarioafectado, sin que éste puedasospechar de la intrusión.

2. El atacante debe conocer laubicación exacta de losarchivos a visualizar y elnombre usado por el usuariopara acceder a MSNMessenger.

Tipos de vulnerabilidad

�Desbordamiento de Búffer;

�Denegación de servicio

25

�Denegación de servicio (DoS);

�Escaladas de privilegios;

�Error humano.

ATACANTE

(usuario)

VICTIMA

(Servidor web)

www.bolivia.com

www.bolvia.com/qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmwetuiuhsjhabgahnhanhamh

Desbordamiento de Búffer

26

www.bolivia.com

(18 caracteres)

El programador del servidor web ha previsto que reciba solo una cantidad razonable de datos de 150 carácteres (dentro del buffer de memoria).

En cambio, si el atacante manda una cantidad exagerada de datos, sobrepasando el limite previsto del programador, desbordando el búffer y escribiendo en zonas de memoria donde residen programas, datos, otros procesos, y por lo tanto, destruyendo dicha información.

cvbnmwetuiuhsjhabgahnhanhamhhahaehe[...]

(500 caracteres)

Denegación de Servicio (DoS)

ATACANTESVICTIMA

(Servidor web)

USUARIO

ACCIÓN NORMAL: El usuario hace una petición al servidor y éste se la responde.EXPLOTACIÓN: Varios atacantes aprovechan una vulnerabilidad haciendo que la victima llegue al 100% de la CPU, colapsándolo.

DENEGACIÓN: Cuando un usuario le hace una petición, el servidor esta muy ocupado y éste le deniega el servicio.

Error humano

� Inadecuados recursos compartidos;

� Vulnerabilidades del S.O. sin parchear;

28

� Vulnerabilidades del S.O. sin parchear;

� Vulnerabilidades de SW/HW sin parchear;

� Servicios configurados incorrectamente;

� Ausencia de actualizaciones del antivirus;

� Ausencia de protección de un firewall;

� Etc…

IMPACTO

Consecuencias de laocurrencia de las distintasamenazas: financieras o no

29

amenazas: financieras o nofinancieras.

Perdida de dinero, deteriorode la imagen de la empresa,reducción de eficiencia, fallasoperativas a corto o largoplazo, pérdida de vidashumanas, etc.

Evitarlos: Por ejemplo, no instalar redes enambientes con interferenciaTransferirlos: Por ejemplo, contratar

TECNICAS PARA ADMINISTRAR RIESGOS

30

Transferirlos: Por ejemplo, contratarempresa para cableado con fibra optica.Reducirlos: Por ejemplo, sistema dedeteccion y extincion de incendios, alarmasAsumirlos: Que es lo que se hace si no secontrola el riesgo en absoluto.

Es el proceso de identificar los riesgos ala seguridad del sistema y determinar laprobabilidad de ocurrencia, el impactoresultante y las salvaguardas adicionales

ADMINISTRACION DEL RIESGO

31

resultante y las salvaguardas adicionalesque mitigarian ese impacto. De esemodo abarca 3 procesos:

�Analisis del riesgo: su objetivo, esdesarrollar un plan que controle cada unode los eventos perjudiciales de lainformatica;

�Mitigacion del riesgo: compuesta pormetodos (evitar el riesgo, conseguirinformación acerca del riesgo, planificarel entorno informático, eliminar el origen

32

el entorno informático, eliminar el origendel riesgo, asumir y comunicar el riesgo;�Evaluación del riesgo: Los riesgosaparecen y desaparecen en informática,por lo que es necesario realizar unseguimiento para comprobar comoprogresa el control de un riesgo eidentificar como aparecen nuevos.

1. Desarrollar politicas de administración: ayuda en laidentificación de objetivos y preparación depoliticas junto a la alta gerencia;

2. Identificar los riesgos: requiere un gran SI quealertará al administrador;

RESPONSABILIDAD DEL ADM. DE RIESGOS

33

alertará al administrador;3. Seleccionar alternativas financieras: el adm.

Recomienda el camino a tomar;4. Negociar el alcance de la seguridad: debe obtener

la mejor combinacion entre alcance y costo;5. Supervisar la adm. Interna: estadisticas de

perdida, monitorización y horarios;6. Administrar funciones de riesgo;7. Supervisar la prevencion a perdidas

Evaluar los objetivos y las políticas de laadministración de riesgos: medición deprogramas con éstandares y habilidad de

AUDITORIA EN ADM. DE RIESGOS

34

programas con éstandares y habilidad desoportar pérdidas.Identificar y evaluar los riesgos: después deque los objetivos han sido definidos yevaluados, el paso siguiente es identificar lasexposiciones a riesgos (análisis deoperaciones)

Evaluar las decisiones relacionadas a pérdida:incluye una revisión de la extensión de losriesgos.

35

riesgos.Evaluar las medidas de la administración deriesgos: que han sido implementadas. Evaluadecisiones pasadas, verificando que la decisiónfue apropiadamente implementada.Recomendar cambios: para el beneficio delprograma de auditoria.

� Declaración y Contexto del Riesgo.

� Evaluación Binaria de Atributos de Riesgo.

� Gráfica de Barra de Riesgos.

METODO EN ADM. DE RIESGOS

� Gráfica de Barra de Riesgos.

� Clasificación de Riesgos.

� Comparación de Rango de Riesgos.

� Lista de Acción por Riesgos.

� Hoja de Monitoreo de Riesgos.

� Hoja de Información de Riesgos.

Objetivo: Documenta la Información inicial referente a un riesgo en particular.

Declaración y Contexto de Riesgo

identificador Declaración Contexto Origen Clase Fecha

Declaración y contexto del riesgo

Proporciona el nombre del riesgo.

Documenta la información inicial del riesgo

Ampliación de la información básica del riesgo

Nombre y cargo de la persona que identifica el riesgo

Determina si el riesgo fue detectado por experiencia propia o ajena

Fecha en que se identificó el riesgo.

Riesgo A La falta de medidas de seguridad compromete al SO del servidor

Nuevo riesgo, la red puede quedar inoperante, estos ataques han tenido 80% éxito.

Patricia Arce, Soporte de Win NT

Experiencia Ajena

13/9/2009

Objetivo: Provee un método cualitativo para analizar el riesgo.

Forma de Evaluación

Evaluación Binaria de Atributos

Forma de Evaluación

Riesgo ImpactoSignificativo

Probabilidadde Ocurrir

Marco deTiempo

Identificador del Riesgo Significante o insignificante

Valor Binario de 2

Probable que ocurra o que no ocurra. Valor binario de 2

Cercano o lejano de ocurrir. Valor binario de 2

Riesgo A � � �

Detalle Cantidad de Equipos

Pérdida Productividad

/ Hora

Horas Promedio

sin Laborar

Pérdida por Falta de

Operación

Computadoras Personales 10 $50.00 24 $12,000.00

Pérdida Operacional:

¿Cómo determinar pérdidas?

Servidores 5 300.00 24 $36,000.00

Detalle Cantidad de Equipos

Costo de Resolución por Hora

Horas Promedio de Resolución

Costo de Resolución

Computadoras Personales 10 $20.00 1 $200.00

Servidores 5 30.00 2 $300.00

Costo de Resolución:

� Otras Pérdidas que Debemos Considerar:

� Ingresos que no se perciben en el periodo � Ingresos que no se perciben en el periodo de interrupción.

� Ingreso Promedio por Transacciones

� Transacciones por Hora

� Porcentaje de clientes que no utilizarán el servicio nuevamente.

� Otros

Objetivo: Comparar una colección de datos, de múltiples categorías.

14

Gráfica de Barra de Riesgos

0

2

4

6

8

10

12

Número Riesgo

Riesgo ARiesgo BRiesgo CRiesgo DRiesgo E

Objetivo: Agrupar los riesgos por categorías, en donde estas categorías dependerán de la evaluación de un grupo de personas.

Clasificación de Riesgos

Clasificación de Riesgos

Categoría Identificador Riesgo

Clasificación de riesgos por grupos de acuerdo a su afinidad o similitud.

Clasificación de riesgo en cada categoría

Nombre del riesgo

Riesgo tipo A 1A Bomba de correo electrónico

Objetivo: Asignar un valor de rango a un riesgo en comparación con otro, para establecer un criterio o grupo de criterios para dar prioridad.

Comparación de Rango de Riesgo

Comparación de Rango de Riesgos

Riesgo A B C D Resultado

Se comparan los riesgos: A es más importante que B, se asigna 1;Riesgo A es menos importante que C, se asigna 0; Riesgo A es igual de importante que Riesgo D, se asigna .5.

A 1 0 .5 1.5

B 0 0 1 1

C 1 1 .5 2.5

D .5 0 .5 1

Objetivo: Documentar en forma organizada las acciones correctivas que han sido establecidas.

Lista de Acción por Riesgo

Identificador Riesgos Existentes

Estrategia Correctiva

Descripción de la Acción

Asignado a:

Fecha

Lista de Acción por Riesgo

Existentes Correctiva de la Acción a:

Nombre del riesgo.

Lista los riesgos tanto administrativos como técnicos

Lista de soluciones disponibles para los existentes

Detalla la acción a tomar para contra restar el riesgo.

Nombre y cargo de la persona encargada de contra restar el riesgo

Fecha en que se completa el listado de acción por riesgo

Riesgo A Riesgo de programas corruptos, etc.

Corrección disponible en www.xx.com

Obtener el hot fix vía Internet

Patricia Arce, Administrador de la Red

13/9/2009

Objetivo: Registro control para dar seguimiento al estatus de los riesgos.

Hoja de Monitoreo del Riesgo

Hoja de Monitoreo de Riesgo

Hoja de Monitoreo del RiesgoIdentificador del Riesgo

Prioridad DeclaraciónDel Riesgo

Situación del Riesgo

Probabilidad Impacto Asignado a:

Nombre del riesgo.

La Prioridad puede ser alta, media, baja

Documentación inicial del riesgo

Documenta en forma específica la situación del riesgo

Posibilidad de ocurrencia, alta. Media o baja

Efecto adverso, alto, medio, bajo

Nombre y cargo de la persona encargada de monitorear el riesgo

Riesgo A Alta La falta de medida de seguridad compromete la plataforma del servidor

No se posee información alguna sobre este tipo de riesgo

Baja Media Patricia Arce, Administrador de la Red

Hoja de Información de Riesgos

Objetivo: Documentar información del riesgo, la cual debe ser actualizada en la medida que

la situación del riesgo cambie.

Identificador: Nombre del Riesgo

Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo

Prioridad: Puede ser alta, media o baja

Declaración: Documenta información inicial del riesgo

Probabilidad: Puede ser alta, media o alta

Impacto: Efecto adverso, alto medio o bajo

Origen: Persona que identifica el riesgo

Clase: Riesgo por experiencia propia o ajena

Asignado a: Responsable de acciones correctivas

Contexto: Información completa de la declaración del riesgo

Estrategia Correctiva: Estrategía seleccionada para contrarrestar el riesgo

Plan de Contingencia y Activación: Plan de contingencia, evento o tiempo que activa el mismo.

Situación: Provee historia del riesgo y sus cambios Fecha de Situación:

Aprobado: Aprobación de medidas correctivas o clausura del riesgo

Fecha de Clausura: Fecha en que riesgo fue clausurado.

Comentario de Clausura: Comentario de clausura o del riesgo

IdentificarRiesgos

Análisis: clasificary evaluar riesgos

Análisis:Prioridades

Plan: asignar y Aprobar

Clase, prob.,

Proceso de implementación

Plan: defineacciones

Monitoreo de Riesgos Control de riesgo

Declaracióny contexto del riesgo

Clase, prob.,impacto yocurrenciadel riesgo

Prioridadlistado deriesgo

AsignacionesY planesaprobados

Plan para contrarestar

el riesgo

Reporte desituación

Decisiones

Estaciones

Ejemplo: Servicios Bancarios

Servidores Web

Servidores

Internet

� El 89.4% de los incidentes registrados en Internet son de accesos no autorizados� El 27.7% de esto lo constituye acceso a sistemas de

claves.

Antecedentes

claves.

� El 24.1% lo constituye accesos a cuentas

� El 37.6% lo constituyen intentos de acceso

� El 10.6% restante lo conforma el uso no autorizado� El 2.4% lo constituye ataques de negación de servicios

� El 3.1% lo constituye incidentes de corrupción de información.

� El 5.1% incidentes de revelación de información.

� El 18.1% de los incidentes registrados en Internet utilizaron algún tipo de herramientas� El 15.4% utilizó los caballo de Troya� El 15.4% utilizó los caballo de Troya

� El 45.3% restante explotó alguna vulnerabilidad� El 21.8% lo constituye las palabras claves fáciles

de adivinar, descifrado de palabras claves, entre otros .

� El resto explotó fallas en las configuraciones, servidores, correo electrónico, etc.

Declaración y Contexto de Riesgo

Identificador Declaración Contexto Origen Clase Fecha

Bomba de Correo Electrónico

La falta de filtros puede conllevar a un ataque de este tipo.

Serie de mensajes enviados a una casilla de correo con un tamaño promedio de 2MB

Patricia Arce, Especialista de Seguridad

Experiencia en otra instalación

21/09/09

Negación de La falta de Pueden atacar los Anabel Experiencia 21/09/09Negación de Servicios

La falta de actualización e implementación de medidas correctivas conllevan este tipo de ataque

Pueden atacar los equipos y sistemas inhabilitando los servicios para los cuales han sido establecidos.

Anabel Torrico, Administrador de SO

Experiencia en otra instalación

21/09/09

Scanner Son programas que detectan en forma automática las debilidades de la red

La información resultante en conjunto con un análisis integral puede facilitar el ataque a las áreas vulnerables de toda la instalación

Patricia Arce, Especialista de Seguridad

Experiencia en nuestra instalación

21/09/09

Forma de Evaluación

Riesgo ImpactoSignificativo

Probabilidadde Ocurrir

Marco deTiempo

Evaluación Binaria

Bomba de Correo Electrónico

� � 3

Scanner � 4

Virus � � � 7

Captura de Paquetes � 4

Windows NT � � � 7

Vulnerabilidades Conocidas

� � � 7

Negación de Servicios

� � � 7

3,5

4

Gráfica de barra de riesgo

0

0,5

1

1,5

2

2,5

3

Número Riesgo

HerramientaPlataforma

Clasificación de Riesgos

Categoría Identificador Riesgo

Herramientas 1A Bomba de Correo Electrónico

1B Scanner

1C Virus1C Virus

1D Captura de Paquetes

Plataformas 2A Windows NT

2B Vulnerabilidades Conocidas

2C Negación de Servicios

Comparación de Rango de Riesgo

Riesgo 1A 1B 1C 1D ResultadoRiesgo 1A 1B 1C 1D Resultado

1A 0 1 0 .5 1.5

1B 0 0 0 .5 .5

1C 1 1 0 1 3

1D .5 .5 0 0 1

Lista de Acción por RiesgoIdentificador Riesgos

ExistentesEstrategia Correctiva

Descripción de la Acción

Asignado a:

Fecha

1A – Bomba de Correo Electrónico

Upyour.zip, kaboom3.zip, bomb.exe, mailbomb.c

-Erradicar archivos de bomba de correo.

-Filtros: www.stalker.com, www.antispam.org

Obtener archivo correctivo vía internet o proveedor local correspondiente a la plataforma seleccionada

Patricia Arce, Especialista de Seguridad

21/09/09

www.antispam.orgwww.spamkiller.com

1B – Scanner Revelan las debilidades de una red en forma detallada y ordenada. Pueden ser utilizado tanto por los administradores como por los hackers

Scanners o IDS disponibles:

Webtrend, Enterprise Security Manager, Netprowler, ISS,, patchwork.

Identificar los scanners disponibles y sus filosofías de acción para escoger los más adecuados para nuestra instalación.

Anabel Torrico, Administrador de SO

21/09/09

2B -Vulnerabilidades Conocidas

Ataques conocidos: bonk.c, hanson.c, land.c

Arreglos disponibles: microsoft, www.real.com, etc

Obtener archivo correctivo vía internet o proveedor.

Anabel Torrico, Administrador de SO

21/09/09

Hoja de Monitoreo del RiesgoIdentificador del Riesgo

Prioridad DeclaraciónDel Riesgo

Situación del Riesgo

Probalidad Impacto Asignado a:

1A – Bomba de Correo Electrónico

2 No se utiliza filtros de correo electrónico

Riesgo de seguridad presente. Posible negación de servicio.

Media Bajo Patricia Arce, especialista de Seguridad

1B – Scanner 3 No se utiliza el scanner en forma frecuente

Puntos vulnerables de la red de fácil corrección se encuentran presentes

Baja Medio Anabel Torrico, Administrador de base de datos

2C - Negación de servicios

1 Ataque dirigido frecuentemente a ruteadores y web serves con mucha efectividad

Cada ataque conocido tiene su medida correctiva

Media Alto Anabel Torrico, Administrador de Base de Datos

Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo

Prioridad: 2 Declaración:La falta de filtros de correo electrónico puede conllevar a un ataque de negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un continuo ataque; lo que constituye un riesgo de seguridadProbabilidad:Media

Impacto: Bajo Origen:Patricia Arce, Especialista de Seguridad

Clase:Experiencia de otra instalación

Asignado a:Patricia Arce, Especialista de Seguridad

Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.

Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Entrenamiento al personal.

Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución interna

Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal Capacitado.

Fecha de Situación: 21/09/09

Aprobado: Giovanni Cotaña, Director de Seguridad de SI

Fecha de Clausura:22/09/09.

Comentario de Clausura:Las acciones fueron emprendidas inmediatamente.

� La administración de riesgo nos permitereducir los riesgo antes que estos sepresenten.

� Identifica los problemas potenciales y actúa

Resumen del PAR

� Identifica los problemas potenciales y actúasobre ellos en una forma mas económicapara la organización

� Cada organización debe modelar su propiametodología de acuerdo a sus necesidades

� El trabajo en equipo es una de las claves deéxito en su aplicación.

� Las evaluaciones deben hacer énfasis enescenarios existentes y no hipotéticos.