TIA 2: Evaluación de riesgos de la seguridad de información mediante la matriz de riesgos

(con política y control)

Deicy Johana Berrío Galvis

Santiago Ramírez Valencia

Esta TIA 2 está relacionada con el estudio de caso Universidad Global, en la cual se debe elaborar una matriz de riesgos de acuerdo a lo solicitado por el decano para contemplar la seguridad de los módulos o interfaces Web del Sistema Académico y Gestión (SIAG) y para ello en forma grupal se debe realizar:

1. Lea el anexo A de la norma ISO 27001

2. Identifique activos de información en la U. Global

3. Identifique 5 riesgos por cada activo

4. Evalúe los riesgos mediante la matriz de riesgos

5. Seleccione los 10 riesgos de más alto nivel y ubicarlos en el dominio respectivo del anexo A de la norma 27001

6. Contextualice el objetivo de control y el control para la universidad Global

Desarrolle cada uno de los puntos solicitados en las diapositivas dispuestas para ello.

2.1 Identifique los activos de información en el estudio de caso.

2.2 Defina qué tan crítico o importante es cada activo identificado para la organización.

Activos de Información	Criticidad
Capital Humano	Alto: ya que tienen el conocimiento de donde está la información y como se maneja
Equipos de Computo	Alto: ya que por medio de ellos se interactúa con la aplicación
Servidores y bases de datos	Alto: ya que es donde se almacena la mayor parte de la información
Sistema de información SIAG matriculas.	Medio: ya que aunque retrasa el proceso este se puede realizar manualmente, mientras se recupera la funcionalidad
Sistema de información SIAG historial y reportes personalizados o a medida	Medio: Es información importante se deberá mantener un back up de la reportera
Sistema de información SIAG faltas disciplinarias	Bajo: aunque es muy importante No representa una perdida económica relevante para significativa el sistema.
Sistema de información SIAG admisiones y módulo de liquidación	Alto: ya que esta es información relevante y la perdida de esta puede incurrir en altos costos y desestabiliza la funcionalidad de la institución
Sistema de información SIAG módulo de gestión académica	Alto: ya que puede incurrir en altos costos y desestabiliza la funcionalidad de la institución
Segurida, Router y Contraseñas	Muy Alto: Ya que pueden tener acceso a toda la información

3.1 Desarrolle una lista con las amenazas contra los atributos de seguridad de la información (Confidencialidad, integridad, disponibilidad y no repudio) teniendo en cuenta el contexto de desarrollo de las modificaciones al software.

Identifique al menos 5 vulnerabilidades, las cuales pueden ser hipotéticas o teóricas, toda vez que no se han hecho pruebas de vulnerabilidad.

Amenazas y las vulnerabilidades a tener en cuenta	Justificación a las vulnerabilidades
DDOS	Ya que inunda nuestra red de información y puede hacer colapsar el sistema.
XSS	Ya que puede incrustar código en nuestro sistema y capturar información importante
SQL INJECTIION	Ya que podrá realizar operaciones en nuestras bases de datos y corromper nuestra información
BUFFER OVER FLOW	Ya que si tenemos un desbordamiento de datos se puede incurrir a un ataque de sobreescritura de memoria que puede exponer datos del aplicativo
BRUTE FORCE	Ya que podrá tener acceso a toda la aplicación rompiendo la seguridad mediante intentos masivos
EXPLOITS	Ya que permitirá un aprovechamiento de una debilidad de nuestro sistema ya sea en la seguridad como en el código fuente.
INGENIERIA SOCIAL	La promulgación de información confidencial por parte de nuestro personal
DUMPSTER DIVING	Probabilidad de dejar información importante en nuestras papeleras o archivos basura su utilización de forma inadecuada
FILE INCLUSION	Ya que si se presentan vulnerabilidades de archivos el atacante podría vulnerar nuestro sistema y tomar el control de nuestros archivos y ejecutarlos.
PERDIDA DE INFORMACIÓN	Ya sea por error humano o un ataque es de vital importancia tener copias de seguridad o back up’s
MALAS PRÁCTICAS EN LA PROGRAMACIÓN	Estas practicas pueden volver lento el sistema por presentar anidaciones excesivas, también puede afectar el entendimiento del código y retrasar las posibles correcciones de este, estas malas prácticas también pueden provocar vulnerabilidades en nuestro código y lo pueden dejar expuesto a ataques
ALTERACIÓN DE DATOS	Se presenta por intereses personales cuando uno de los usuarios del sistema con accesibilidad al programa modifica datos para el veneficio propio o de terceros.
SOFTWARE DESACTUALIZADO	Se presentan vulnerabilidades por el mismo avance tecnológico continuo, lo que va volviendo obsoleto el software por falta de mantenimiento y dejándolo vulnerable
CARENCIA DE AUTENTICACIÓN	Se debe evitar que los usuarios ingresen directamente al aplicativo sin autenticación ya que lo dejará vulnerable a hackers y otros tipos de ataques

4.1 Estime la probabilidad e impacto de cada amenaza según las metodologías de evaluación de riesgos estudiadas.

Según las normas el impacto se debe medir con base al tiempo que se demore a la aplicación inactiva y su efecto económico, para esto se plantea la siguiente tabla de tabulación.

ESCENARIO	Impacto
DDOS ENTORNO OPERATIVO	Medio
XSS leguaje de programación	Mayor
SQL INJECTIION base de datos	Medio
SQL INJECTIION lenguaje de programación	Medio
BUFFER OVER FLOW ENTORNO OPERATIVO	Mayor
BUFFER OVER FLOW HARDWARE	Medio
BRUTE FORCE DOCUMENTACION	Superior
BRUTE FORCE ENTORNO OPERATIVO	Mayor
EXPLOITS DOCUMENTACION	Superior
INGENIERIA SOCIAL Personas	Superior
DUMPSTER DIVING Personas	Mayor
DUMPSTER DIVING DOCUMENTACION	Mayor
FILE INCLUSION código fuente	Medio
PERDIDA DE INFORMACIÓN DOCUMENTACION	Mayor
PERDIDA DE INFORMACIÓN ENTORNO OPERATIVO	Medio
PERDIDA DE INFORMACIÓN HARDWARE	Mayor

4.2 Considere los criterios de seguridad que propone las metodologías estudiadas.

Criterios de Seguridad

Se debe de tener presente los siguientes criterios de seguridad en la información con el fin de disminuir los riesgos y así poder garantizar al máximo el correcto funcionamiento de la aplicación y la confidencialidad de los datos con los que se maneja.

• Integridad: La información solo puede ser modificada por quien esta autorizado y de manera controlada.

• Confidencialidad: La información sólo debe ser legible para los usuarios autorizados.

• Disponibilidad: Debe estar disponible siempre que se necesite.

• Irrefutabilidad: El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

4.3 Considere las vulnerabilidades para asignar la probabilidad (posibilidad de ocurrencia) de cada amenaza.

ESCENARIO	Ocurrencia
DDOS ENTORNO OPERATIVO	Insignificante
XSS leguaje de programación	Media
SQL INJECTIION base de datos	Baja
SQL INJECTIION lenguaje de programación	Baja
BUFFER OVER FLOW ENTORNO OPERATIVO	Baja
BUFFER OVER FLOW HARDWARE	Baja
BRUTE FORCE DOCUMENTACION	Media
BRUTE FORCE ENTORNO OPERATIVO	Media
EXPLOITS DOCUMENTACION	Insignificante
INGENIERIA SOCIAL Personas	Muy Alta
DUMPSTER DIVING Personas	Baja
DUMPSTER DIVING DOCUMENTACION	Baja
FILE INCLUSION código fuente	Baja
PERDIDA DE INFORMACIÓN DOCUMENTACION	Media
PERDIDA DE INFORMACIÓN ENTORNO OPERATIVO	Baja
PERDIDA DE INFORMACIÓN HARDWARE	Baja

5.1 Diseñe y construya una “matriz de riesgos”, donde pueda presentar los riesgos de acuerdo a su criticidad o importancia.

Cuando haya evaluado todos los riesgos, seleccione los 10 de más alto nivel, ubique cada uno en el dominio respectivo del anexo A de la norma ISO 27001.

Usted debe ubicar el activo y la amenaza en el respectivo dominio de la Norma ISO 27001 y plantear el objetivo o política de seguridad y el control personalizados o contextualizados a la empresa del caso de estudio

La matriz de riesgos puede ser realizada en alguna herramienta ofimática.

La siguiente diapositiva presenta un ejemplo de matriz de riesgos aunque cada equipo de estudio está en libertad de utilizar otro diseño.

Imágenes del formato Excel