segunda parte riesgos - cotana.informatica.edu.bocotana.informatica.edu.bo/downloads/segunda parte...
Transcript of segunda parte riesgos - cotana.informatica.edu.bocotana.informatica.edu.bo/downloads/segunda parte...
Es imprescindible en toda organizacióncontar con una herramienta, quegarantice la correcta evaluación de los
INTRODUCCION
2
garantice la correcta evaluación de losriesgos, a los cuales estan sometidos losprocesos y actividades que participan enel area de informática; y por medio deprocedimientos de control se puedaevaluar el desempeño del entornoinformático.
La inadecuada administración de riesgosinformáticos, es la principal causa de los
3
informáticos, es la principal causa de losproblemas dentro del entornoinformático.Una adecuada gestión de laadministración de riesgos, se basa en lossiguientes aspectos:
�La evaluacion de riesgos inherentes a losprocesos informáticos;�La evaluacion de las amenazas o causas delos riesgos;
4
los riesgos;�Los controles utilizados para minimizar lasamenazas a riesgos;�La asignacion de responsables a losprocesos informáticos;�La evaluacion de los elementos del análisisde riesgos.
� Riesgos financieros: a) organizaciónexpuesta a pérdidas, b) los elementos queconforman las causas de pérdidas financieras
CLASIFICACION DE LOS RIESGOS
5
conforman las causas de pérdidas financierasy c) un peligro que puede causar la perdida.� Riesgos dinámicos: cambios en la economia� Riesgos estáticos: deshonestidad o fallahumana;� Riesgo especulativo: posibilidad de pérdidao ganancia (situación aventurada o del azar);
� Riesgo puro: solo genera pérdida o ganancia(personal, posesión, responsabilidad, fisico,quimico, biológico, psicosocial, ergonómicos);
6
quimico, biológico, psicosocial, ergonómicos);� Riesgo fundamental: pérdidas impersonales,causados en su mayoria por fenómenoseconomico-sociales (desempleo, inflación);� Riesgo particular: son pérdidas que surgende eventos individuales (incendio, robo).
Riesgos de Integridad: abarca los riesgosasociados con la autorización, completitud yexactitud de entrada, procesamiento yreportes de las aplicaciones utilizadas. Se
RIESGOS INFORMATICOS EN EL NEGOCIO
7
reportes de las aplicaciones utilizadas. Semanifiestan en un sistema:
�Interface de usuario: niveles de acceso yrestricciones, validez y completitud;�Procesamiento: balance de los controlesdetectivos y preventivos. Abarca tambienlos riesgos asociados con la exactitud eintegridad de los reportes;
�Procesamiento de errores: se relacionancon los métodos que aseguren cualquierE/proceso de información de errores
8
E/proceso de información de errores(Exceptions) sean capturadosadecuadamente, corregidos y reprocesados;�Interface: controles preventivos ydetectivos que aseguren que la informaciónha sido procesada adecuadamente;�Administración de cambios;�Información.
Riesgos de Relacion: se refiere al usooportuno de la información creada por unaaplicación. Estos riesgos se relacionan
9
aplicación. Estos riesgos se relacionandirectamente a la información de toma dedecisiones (información y datos correctos deuna persona/proceso/sistema correcto en eltiempo preciso permiten tomar decisionescorrectas)
Riesgos de acceso: inapropiado acceso alsistema, datos e información (riesgos desegregación inapropiada de trabajo, riesgoscon la integridad de la BD y riesgos con la
10
con la integridad de la BD y riesgos con laconfidencialidad). Pueden ocurrir en lossiguientes niveles:
�Procesos de negocio: incompatibilidad;�Aplicacion: mecanismos de seguridad;�Administracion de la informacion;�Entorno de procesamiento;�Redes;�Nivel fisico.
Riesgos de utilidad: Estos riesgos se enfocanen 3 diferentes niveles de riesgo:
�Los riesgos pueden ser enfrentados por eldireccionamiento de sistemas antes de que
11
direccionamiento de sistemas antes de quelos problemas ocurran;�Técnicas de recuperación/restauraciónusadas para minimizar la ruptura de lossistemas;�Bachups y planes de contingenciacontrolan desastres en el procesamiento dela información.
Riesgos en la infraestructura: estos riesgos se refierena que en las organizaciones no existe una estructurade información tecnologica efectiva (hardware,software, redes, personas, procesos) :
12
software, redes, personas, procesos) :�Planeacion organizacional: definición yverificación de la tecnologia informática;�Definicion de las aplicaciones: satisfacenrequerimientos de los usuarios;�Administracion de seguridad;�Operaciones de red y computacionales;�Administracion de BD.
Riesgos de seguridad: para disminuir elriesgo:
Riesgos de choque eléctrico;
13
� Riesgos de choque eléctrico;� Riesgos de incendio;� Riesgos de niveles inadecuados deenergia eléctrica;� Riesgos de radiaciones;� Riesgos mecánicos.
Es parte de la planeacion de la auditoriay ayuda a identificar los riesgos yvulnerabilidades, para que se puedadeterminar los controles adecuados y
ANALISIS DE RIESGOS
14
determinar los controles adecuados ymitigar esos riesgos.
El analisis de riesgos facilita laevaluacion de los riesgos y recomiendaacciones en base al costo-beneficio delas mismas.
La probabilidad de que una amenazallegue a acaecer por una vulnerabilidad.Es el potencial que una amenaza
RIESGO
15
Es el potencial que una amenazadeterminada explote las vulnerabilidadesde un activo y que ocasione pérdida delos activos o daños a los mismos. Elriesgo se mide mediante la combinacióndel impacto y de la probabilidad de queocurra.
RIESGO INFORMATICO
La Organización Internacional deNormalización (ISO) define riesgotecnológico (Guías para laGestión de la Seguridad) como:
16
Gestión de la Seguridad) como:
La probabilidad de que unaamenaza se materialice deacuerdo al nivel devulnerabilidad existente de unactivo, generando un impactoespecífico, el cual puede estarrepresentado por pérdidas y daños.
Una(s) persona(s) o cosa(s) comoposible fuente de peligro o catastrofe.
AMENAZA
17
Ejemplos de amenazas:� Errores;� Ataques maliciosos;� Fraude / Robo;� Falla de Equipo.
Acciones que pueden ocasionarconsecuencias negativas en laplataforma informática disponible: fallas,
18
plataforma informática disponible: fallas,ingresos no autorizados a las áreas decomputo, virus, uso inadecuado deactivos informáticos, desastresambientales (terremotos, inundaciones),incendios, accesos ilegales a los sistemas,fallas eléctricas.
Pueden ser de tipo lógico o físico.
Es una debilidad en un sistemapor la que un atacante puedeentrar o sacar información delmismo (falta de controles)
VULNERABILIDAD
19
mismo (falta de controles)
Ejemplos:� Falta de Conocimiento del Usuario;� Falta de Funcionalidad de la
Seguridad;� Mala elección de Contraseñas;� Transmisión por medio de líneas
no protegidas.
Exploit. Es una manera, herramienta ocódigo de programación para aprovecharuna vulnerabilidad y controlar el sistema
20
una vulnerabilidad y controlar el sistemavulnerable.Ejecución de código abierto. Es laposibilidad de ejecutar comandos einstrucciones en un sistema sin tener losprivilegios de administrador por mediode una vulnerabilidad.
VICTIMA ATACANTETenemos un equipo VICTIMA con una El equipo ATACANTE La VICTIMA es vulnerable a
Ejemplo de vulnerabilidad
21
VICTIMA con una vulnerabilidad y un equipo ATACANTE que conoce que el primer equipo tiene dicho problema.
El equipo ATACANTE manda datos “explotando” la vulnerabilidad de la VICTIMA.
vulnerable a determinadas ordenes del ATACANTE y le envía información propia.
Por ejemplo:
PROCESO VULNERABLE: El proceso MSNMSGR.EXE de nuestro querido MSN
La vulnerabilidad resideen el funcionamiento deun proceso.
22
de nuestro querido MSN Messenger tiene una vulnerabilidad en la solicitud de archivos.
Las versiones de MSN Messenger 6.1 en adelante han corregido esta vulnerabilidad.
1.La víctima no debe haberbloqueado su Messenger parausuarios que no estén en sulista de contactos
Normalmente lasvulnerabilidades ocurrenmediante alguna seriede condiciones.
23
lista de contactos
2.El atacante podrá acceder a lamáquina vulnerable si seencuentra en la lista deadmitidos.
3.El atacante solo podrá accedera los archivos a los que tengaacceso la víctima.
1. Si el exploit es exitoso, elatacante puede visualizar elcontenido de los archivos deldisco duro del usuario
Finalmente, elatacante accede alsistema vulnerableusando un exploit.
24
disco duro del usuarioafectado, sin que éste puedasospechar de la intrusión.
2. El atacante debe conocer laubicación exacta de losarchivos a visualizar y elnombre usado por el usuariopara acceder a MSNMessenger.
Tipos de vulnerabilidad
�Desbordamiento de Búffer;
�Denegación de servicio
25
�Denegación de servicio (DoS);
�Escaladas de privilegios;
�Error humano.
ATACANTE
(usuario)
VICTIMA
(Servidor web)
www.bolivia.com
www.bolvia.com/qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmwetuiuhsjhabgahnhanhamh
Desbordamiento de Búffer
26
www.bolivia.com
(18 caracteres)
El programador del servidor web ha previsto que reciba solo una cantidad razonable de datos de 150 carácteres (dentro del buffer de memoria).
En cambio, si el atacante manda una cantidad exagerada de datos, sobrepasando el limite previsto del programador, desbordando el búffer y escribiendo en zonas de memoria donde residen programas, datos, otros procesos, y por lo tanto, destruyendo dicha información.
cvbnmwetuiuhsjhabgahnhanhamhhahaehe[...]
(500 caracteres)
Denegación de Servicio (DoS)
ATACANTESVICTIMA
(Servidor web)
USUARIO
ACCIÓN NORMAL: El usuario hace una petición al servidor y éste se la responde.EXPLOTACIÓN: Varios atacantes aprovechan una vulnerabilidad haciendo que la victima llegue al 100% de la CPU, colapsándolo.
DENEGACIÓN: Cuando un usuario le hace una petición, el servidor esta muy ocupado y éste le deniega el servicio.
Error humano
� Inadecuados recursos compartidos;
� Vulnerabilidades del S.O. sin parchear;
28
� Vulnerabilidades del S.O. sin parchear;
� Vulnerabilidades de SW/HW sin parchear;
� Servicios configurados incorrectamente;
� Ausencia de actualizaciones del antivirus;
� Ausencia de protección de un firewall;
� Etc…
IMPACTO
Consecuencias de laocurrencia de las distintasamenazas: financieras o no
29
amenazas: financieras o nofinancieras.
Perdida de dinero, deteriorode la imagen de la empresa,reducción de eficiencia, fallasoperativas a corto o largoplazo, pérdida de vidashumanas, etc.
Evitarlos: Por ejemplo, no instalar redes enambientes con interferenciaTransferirlos: Por ejemplo, contratar
TECNICAS PARA ADMINISTRAR RIESGOS
30
Transferirlos: Por ejemplo, contratarempresa para cableado con fibra optica.Reducirlos: Por ejemplo, sistema dedeteccion y extincion de incendios, alarmasAsumirlos: Que es lo que se hace si no secontrola el riesgo en absoluto.
Es el proceso de identificar los riesgos ala seguridad del sistema y determinar laprobabilidad de ocurrencia, el impactoresultante y las salvaguardas adicionales
ADMINISTRACION DEL RIESGO
31
resultante y las salvaguardas adicionalesque mitigarian ese impacto. De esemodo abarca 3 procesos:
�Analisis del riesgo: su objetivo, esdesarrollar un plan que controle cada unode los eventos perjudiciales de lainformatica;
�Mitigacion del riesgo: compuesta pormetodos (evitar el riesgo, conseguirinformación acerca del riesgo, planificarel entorno informático, eliminar el origen
32
el entorno informático, eliminar el origendel riesgo, asumir y comunicar el riesgo;�Evaluación del riesgo: Los riesgosaparecen y desaparecen en informática,por lo que es necesario realizar unseguimiento para comprobar comoprogresa el control de un riesgo eidentificar como aparecen nuevos.
1. Desarrollar politicas de administración: ayuda en laidentificación de objetivos y preparación depoliticas junto a la alta gerencia;
2. Identificar los riesgos: requiere un gran SI quealertará al administrador;
RESPONSABILIDAD DEL ADM. DE RIESGOS
33
alertará al administrador;3. Seleccionar alternativas financieras: el adm.
Recomienda el camino a tomar;4. Negociar el alcance de la seguridad: debe obtener
la mejor combinacion entre alcance y costo;5. Supervisar la adm. Interna: estadisticas de
perdida, monitorización y horarios;6. Administrar funciones de riesgo;7. Supervisar la prevencion a perdidas
Evaluar los objetivos y las políticas de laadministración de riesgos: medición deprogramas con éstandares y habilidad de
AUDITORIA EN ADM. DE RIESGOS
34
programas con éstandares y habilidad desoportar pérdidas.Identificar y evaluar los riesgos: después deque los objetivos han sido definidos yevaluados, el paso siguiente es identificar lasexposiciones a riesgos (análisis deoperaciones)
Evaluar las decisiones relacionadas a pérdida:incluye una revisión de la extensión de losriesgos.
35
riesgos.Evaluar las medidas de la administración deriesgos: que han sido implementadas. Evaluadecisiones pasadas, verificando que la decisiónfue apropiadamente implementada.Recomendar cambios: para el beneficio delprograma de auditoria.
� Declaración y Contexto del Riesgo.
� Evaluación Binaria de Atributos de Riesgo.
� Gráfica de Barra de Riesgos.
METODO EN ADM. DE RIESGOS
� Gráfica de Barra de Riesgos.
� Clasificación de Riesgos.
� Comparación de Rango de Riesgos.
� Lista de Acción por Riesgos.
� Hoja de Monitoreo de Riesgos.
� Hoja de Información de Riesgos.
Objetivo: Documenta la Información inicial referente a un riesgo en particular.
Declaración y Contexto de Riesgo
identificador Declaración Contexto Origen Clase Fecha
Declaración y contexto del riesgo
Proporciona el nombre del riesgo.
Documenta la información inicial del riesgo
Ampliación de la información básica del riesgo
Nombre y cargo de la persona que identifica el riesgo
Determina si el riesgo fue detectado por experiencia propia o ajena
Fecha en que se identificó el riesgo.
Riesgo A La falta de medidas de seguridad compromete al SO del servidor
Nuevo riesgo, la red puede quedar inoperante, estos ataques han tenido 80% éxito.
Patricia Arce, Soporte de Win NT
Experiencia Ajena
13/9/2009
Objetivo: Provee un método cualitativo para analizar el riesgo.
Forma de Evaluación
Evaluación Binaria de Atributos
Forma de Evaluación
Riesgo ImpactoSignificativo
Probabilidadde Ocurrir
Marco deTiempo
Identificador del Riesgo Significante o insignificante
Valor Binario de 2
Probable que ocurra o que no ocurra. Valor binario de 2
Cercano o lejano de ocurrir. Valor binario de 2
Riesgo A � � �
Detalle Cantidad de Equipos
Pérdida Productividad
/ Hora
Horas Promedio
sin Laborar
Pérdida por Falta de
Operación
Computadoras Personales 10 $50.00 24 $12,000.00
Pérdida Operacional:
¿Cómo determinar pérdidas?
Servidores 5 300.00 24 $36,000.00
Detalle Cantidad de Equipos
Costo de Resolución por Hora
Horas Promedio de Resolución
Costo de Resolución
Computadoras Personales 10 $20.00 1 $200.00
Servidores 5 30.00 2 $300.00
Costo de Resolución:
� Otras Pérdidas que Debemos Considerar:
� Ingresos que no se perciben en el periodo � Ingresos que no se perciben en el periodo de interrupción.
� Ingreso Promedio por Transacciones
� Transacciones por Hora
� Porcentaje de clientes que no utilizarán el servicio nuevamente.
� Otros
Objetivo: Comparar una colección de datos, de múltiples categorías.
14
Gráfica de Barra de Riesgos
0
2
4
6
8
10
12
Número Riesgo
Riesgo ARiesgo BRiesgo CRiesgo DRiesgo E
Objetivo: Agrupar los riesgos por categorías, en donde estas categorías dependerán de la evaluación de un grupo de personas.
Clasificación de Riesgos
Clasificación de Riesgos
Categoría Identificador Riesgo
Clasificación de riesgos por grupos de acuerdo a su afinidad o similitud.
Clasificación de riesgo en cada categoría
Nombre del riesgo
Riesgo tipo A 1A Bomba de correo electrónico
Objetivo: Asignar un valor de rango a un riesgo en comparación con otro, para establecer un criterio o grupo de criterios para dar prioridad.
Comparación de Rango de Riesgo
Comparación de Rango de Riesgos
Riesgo A B C D Resultado
Se comparan los riesgos: A es más importante que B, se asigna 1;Riesgo A es menos importante que C, se asigna 0; Riesgo A es igual de importante que Riesgo D, se asigna .5.
A 1 0 .5 1.5
B 0 0 1 1
C 1 1 .5 2.5
D .5 0 .5 1
Objetivo: Documentar en forma organizada las acciones correctivas que han sido establecidas.
Lista de Acción por Riesgo
Identificador Riesgos Existentes
Estrategia Correctiva
Descripción de la Acción
Asignado a:
Fecha
Lista de Acción por Riesgo
Existentes Correctiva de la Acción a:
Nombre del riesgo.
Lista los riesgos tanto administrativos como técnicos
Lista de soluciones disponibles para los existentes
Detalla la acción a tomar para contra restar el riesgo.
Nombre y cargo de la persona encargada de contra restar el riesgo
Fecha en que se completa el listado de acción por riesgo
Riesgo A Riesgo de programas corruptos, etc.
Corrección disponible en www.xx.com
Obtener el hot fix vía Internet
Patricia Arce, Administrador de la Red
13/9/2009
Objetivo: Registro control para dar seguimiento al estatus de los riesgos.
Hoja de Monitoreo del Riesgo
Hoja de Monitoreo de Riesgo
Hoja de Monitoreo del RiesgoIdentificador del Riesgo
Prioridad DeclaraciónDel Riesgo
Situación del Riesgo
Probabilidad Impacto Asignado a:
Nombre del riesgo.
La Prioridad puede ser alta, media, baja
Documentación inicial del riesgo
Documenta en forma específica la situación del riesgo
Posibilidad de ocurrencia, alta. Media o baja
Efecto adverso, alto, medio, bajo
Nombre y cargo de la persona encargada de monitorear el riesgo
Riesgo A Alta La falta de medida de seguridad compromete la plataforma del servidor
No se posee información alguna sobre este tipo de riesgo
Baja Media Patricia Arce, Administrador de la Red
Hoja de Información de Riesgos
Objetivo: Documentar información del riesgo, la cual debe ser actualizada en la medida que
la situación del riesgo cambie.
Identificador: Nombre del Riesgo
Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo
Prioridad: Puede ser alta, media o baja
Declaración: Documenta información inicial del riesgo
Probabilidad: Puede ser alta, media o alta
Impacto: Efecto adverso, alto medio o bajo
Origen: Persona que identifica el riesgo
Clase: Riesgo por experiencia propia o ajena
Asignado a: Responsable de acciones correctivas
Contexto: Información completa de la declaración del riesgo
Estrategia Correctiva: Estrategía seleccionada para contrarrestar el riesgo
Plan de Contingencia y Activación: Plan de contingencia, evento o tiempo que activa el mismo.
Situación: Provee historia del riesgo y sus cambios Fecha de Situación:
Aprobado: Aprobación de medidas correctivas o clausura del riesgo
Fecha de Clausura: Fecha en que riesgo fue clausurado.
Comentario de Clausura: Comentario de clausura o del riesgo
IdentificarRiesgos
Análisis: clasificary evaluar riesgos
Análisis:Prioridades
Plan: asignar y Aprobar
Clase, prob.,
Proceso de implementación
Plan: defineacciones
Monitoreo de Riesgos Control de riesgo
Declaracióny contexto del riesgo
Clase, prob.,impacto yocurrenciadel riesgo
Prioridadlistado deriesgo
AsignacionesY planesaprobados
Plan para contrarestar
el riesgo
Reporte desituación
Decisiones
� El 89.4% de los incidentes registrados en Internet son de accesos no autorizados� El 27.7% de esto lo constituye acceso a sistemas de
claves.
Antecedentes
claves.
� El 24.1% lo constituye accesos a cuentas
� El 37.6% lo constituyen intentos de acceso
� El 10.6% restante lo conforma el uso no autorizado� El 2.4% lo constituye ataques de negación de servicios
� El 3.1% lo constituye incidentes de corrupción de información.
� El 5.1% incidentes de revelación de información.
� El 18.1% de los incidentes registrados en Internet utilizaron algún tipo de herramientas� El 15.4% utilizó los caballo de Troya� El 15.4% utilizó los caballo de Troya
� El 45.3% restante explotó alguna vulnerabilidad� El 21.8% lo constituye las palabras claves fáciles
de adivinar, descifrado de palabras claves, entre otros .
� El resto explotó fallas en las configuraciones, servidores, correo electrónico, etc.
Declaración y Contexto de Riesgo
Identificador Declaración Contexto Origen Clase Fecha
Bomba de Correo Electrónico
La falta de filtros puede conllevar a un ataque de este tipo.
Serie de mensajes enviados a una casilla de correo con un tamaño promedio de 2MB
Patricia Arce, Especialista de Seguridad
Experiencia en otra instalación
21/09/09
Negación de La falta de Pueden atacar los Anabel Experiencia 21/09/09Negación de Servicios
La falta de actualización e implementación de medidas correctivas conllevan este tipo de ataque
Pueden atacar los equipos y sistemas inhabilitando los servicios para los cuales han sido establecidos.
Anabel Torrico, Administrador de SO
Experiencia en otra instalación
21/09/09
Scanner Son programas que detectan en forma automática las debilidades de la red
La información resultante en conjunto con un análisis integral puede facilitar el ataque a las áreas vulnerables de toda la instalación
Patricia Arce, Especialista de Seguridad
Experiencia en nuestra instalación
21/09/09
Forma de Evaluación
Riesgo ImpactoSignificativo
Probabilidadde Ocurrir
Marco deTiempo
Evaluación Binaria
Bomba de Correo Electrónico
� � 3
Scanner � 4
Virus � � � 7
Captura de Paquetes � 4
Windows NT � � � 7
Vulnerabilidades Conocidas
� � � 7
Negación de Servicios
� � � 7
Clasificación de Riesgos
Categoría Identificador Riesgo
Herramientas 1A Bomba de Correo Electrónico
1B Scanner
1C Virus1C Virus
1D Captura de Paquetes
Plataformas 2A Windows NT
2B Vulnerabilidades Conocidas
2C Negación de Servicios
Comparación de Rango de Riesgo
Riesgo 1A 1B 1C 1D ResultadoRiesgo 1A 1B 1C 1D Resultado
1A 0 1 0 .5 1.5
1B 0 0 0 .5 .5
1C 1 1 0 1 3
1D .5 .5 0 0 1
Lista de Acción por RiesgoIdentificador Riesgos
ExistentesEstrategia Correctiva
Descripción de la Acción
Asignado a:
Fecha
1A – Bomba de Correo Electrónico
Upyour.zip, kaboom3.zip, bomb.exe, mailbomb.c
-Erradicar archivos de bomba de correo.
-Filtros: www.stalker.com, www.antispam.org
Obtener archivo correctivo vía internet o proveedor local correspondiente a la plataforma seleccionada
Patricia Arce, Especialista de Seguridad
21/09/09
www.antispam.orgwww.spamkiller.com
1B – Scanner Revelan las debilidades de una red en forma detallada y ordenada. Pueden ser utilizado tanto por los administradores como por los hackers
Scanners o IDS disponibles:
Webtrend, Enterprise Security Manager, Netprowler, ISS,, patchwork.
Identificar los scanners disponibles y sus filosofías de acción para escoger los más adecuados para nuestra instalación.
Anabel Torrico, Administrador de SO
21/09/09
2B -Vulnerabilidades Conocidas
Ataques conocidos: bonk.c, hanson.c, land.c
Arreglos disponibles: microsoft, www.real.com, etc
Obtener archivo correctivo vía internet o proveedor.
Anabel Torrico, Administrador de SO
21/09/09
Hoja de Monitoreo del RiesgoIdentificador del Riesgo
Prioridad DeclaraciónDel Riesgo
Situación del Riesgo
Probalidad Impacto Asignado a:
1A – Bomba de Correo Electrónico
2 No se utiliza filtros de correo electrónico
Riesgo de seguridad presente. Posible negación de servicio.
Media Bajo Patricia Arce, especialista de Seguridad
1B – Scanner 3 No se utiliza el scanner en forma frecuente
Puntos vulnerables de la red de fácil corrección se encuentran presentes
Baja Medio Anabel Torrico, Administrador de base de datos
2C - Negación de servicios
1 Ataque dirigido frecuentemente a ruteadores y web serves con mucha efectividad
Cada ataque conocido tiene su medida correctiva
Media Alto Anabel Torrico, Administrador de Base de Datos
Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo
Prioridad: 2 Declaración:La falta de filtros de correo electrónico puede conllevar a un ataque de negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un continuo ataque; lo que constituye un riesgo de seguridadProbabilidad:Media
Impacto: Bajo Origen:Patricia Arce, Especialista de Seguridad
Clase:Experiencia de otra instalación
Asignado a:Patricia Arce, Especialista de Seguridad
Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.
Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Entrenamiento al personal.
Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución interna
Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal Capacitado.
Fecha de Situación: 21/09/09
Aprobado: Giovanni Cotaña, Director de Seguridad de SI
Fecha de Clausura:22/09/09.
Comentario de Clausura:Las acciones fueron emprendidas inmediatamente.
� La administración de riesgo nos permitereducir los riesgo antes que estos sepresenten.
� Identifica los problemas potenciales y actúa
Resumen del PAR
� Identifica los problemas potenciales y actúasobre ellos en una forma mas económicapara la organización
� Cada organización debe modelar su propiametodología de acuerdo a sus necesidades
� El trabajo en equipo es una de las claves deéxito en su aplicación.
� Las evaluaciones deben hacer énfasis enescenarios existentes y no hipotéticos.