Riesgos Logico Magerit

Vista previa del material en texto

UNIVERSIDAD ESTATAL 
PENÍNSULA DE SANTA ELENA 
FACULTAD DE SISTEMAS Y TELECOMUNICACIONES 
Carrera de Tecnologías de la Información 
 
	Asignatura: Seguridad de las TI 
	Profesor: Daniel Quirumbay
	
	Fecha: 25/08/2021
	Integrantes: 
 Orrala Domínguez Mariela
 Balón de la cruz Mayra 
 Catuto Malavé Josthin
 
	Tema: 
 Análisis de Riesgo Magerit 
 
Amazon
Amazon.com, Inc. es una empresa de venta por correo de comercio electrónico, con sede en Seattle, Washington. Todas sus transacciones de venta se realizan exclusivamente por vía electrónica.
Amazon divide su tienda en dos partes. Por un lado, está el negocio minorista, donde compra productos a terceros y los vende bajo su marca. Por otro está el Marketplace. Aquí las empresas comercializan sus productos directamente, pero a través de la web del gigante de ecommerce. En este caso, las empresas pueden optar por usar la logística de Amazon o la propia.
Catálogo de amenazas
Elaborar el catalogo de amenazas en base a los riesgos que indica magerit, se toman solo los riesgos que serán relevantes para el caso de esta organización, para ello se tomaron los siguientes riesgos:
	Amenazas
	Descripción
	
Desastres naturales
	Incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento de tierras
	Errores de los usuarios
	Equivocaciones de las personas cuando usan los servicios, datos, etc.
	
Errores de la configuración
	Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc.
	Caída del sistema por agotamiento de recursos
	La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.
	Difusión de software dañino
	Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
	Ataques intencionados
	Fallos deliberados causados por las personas.
Con las amenazas seleccionadas procedemos a darle un valor de probabilidad de que ocurra dicha amenaza. Para evaluar la probabilidad se utilizará una escala de 1 a 5 valores, además de las dimensiones a las que afectaría dicha amenazada como lo establece magerit.
5- Extremadamente probable
4- Muy probable
3- Probable
2- Poco probable
1- Probabilidad prácticamente despreciable
	Amenaza
	Dimensiones afectadas
	Probabilidad de Amenaza
	Desastres naturales
	disponibilidad
	1
	Errores de los usuarios
	Disponibilidad, integridad, confidencialidad
	4
	Errores de la configuración
	integridad
	3
	Caída del sistema por agotamiento de recursos
	disponibilidad
	5
	Difusión de software dañino
	Disponibilidad, integridad, confidencialidad
	5
	Ataques intencionados
	Disponibilidad, integridad, confidencialidad
	4
 Mapa de procesos
· Procesos de ventas
· Sistema web de ventas
· Mail de atención a clientes
· Sistema de facturación
· Proceso de compra
· Compra a minoristas y mayoristas
· Mail corporativo
· Proceso de entrega
· Sistema de entregas
· Sistema de operaciones
· Aplicación de factura electrónica 
Análisis de Impacto al Negocio 
Identificando las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información ‘activos’); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre. Nuestro Análisis de Impacto se realizará a la Empresa Amazon, para ello vamos a valorar el impacto que tendría un compromiso en la Confidencialidad, Integridad o Disponibilidad de la información asociada a cada uno de los procesos de negocio que acabamos de identificar. Esta valoración, además, considerará diferentes ámbitos en los que puede existir un impacto de la Compañía Amazon. 
Algunos ejemplos de ámbitos posibles son:
· Económico
· Errores de los usuarios
· Errores de la configuración
· Caída del sistema por agotamiento de recursos
· Legislativo/regulatorio
· Ataques intencionados
· Operativo
· Ambiental
· Daño a las personas
· Daño a la imagen de la empresa o pérdida de confianza de sus clientes
Amazon es una compañía que ofrece servicios de comercio electrónico, algunos ámbitos no son de aplicación como daño a las personas por ende vamos a valorar los impactos Económicos y daño medioambiental:
	1. 
	Económico
	Legislativo/ regulatorio
	Muy Bajo
	Menos de 500 
	
	Bajo
	Entre 500 y 900
	
	Medio
	Entre 2500 y 500 Mil
	Apercibimiento
	Alto
	Entre 100 y 200 Millones
	Multa o sanción
	Muy Alto
	Más de 746 Millones
	Sanciones 
La escala de valores que utilicemos deberá estar alineada con las cifras de negocio que maneje la organización que estamos analizando. La capitalización de mercado de Amazon se valoró en más de USD 1600 mil millones a principios de septiembre de 2020. 
Analicemos por tanto el impacto para cada uno de los procesos de negocio:
Si analizamos la confidencialidad del proceso de venta a los clientes, podemos ver que un compromiso en la confidencialidad de la información del proceso tendrá un impacto económico muy alto, puesto que la aplicación trata con los datos personales de los clientes y las multas en su rango más bajo. En lo que se refiere a impacto legislativo, estaríamos en un nivel Alto, puesto que se pueden dar multas o sanciones por organismo regulador. La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) ha impuesto una multa de 746 millones de euros a Amazon al considerar que el tratamiento de datos personales por parte de la empresa no cumplía con la normativa sobre la protección de datos de la Unión Europea
Realizaremos un análisis similar para la Integridad y la Disponibilidad (en este caso valoraremos el impacto de que el proceso no funcione durante 1 hora, 1 día o 1 semana):
	Proceso de venta a los clientes
	Económico
	Valoración
	Legislativo
	Valoración
	Confidencialidad
	Muy Alto 
	5
	Alto 
	5
	Integridad
	Muy Alto 
	5
	Alto 
	4
	Disponibilidad
	1 hora
	Muy Bajo 
	5
	
	
	
	1 día
	Bajo 
	1
	
	
	
	1 semana
	Medio 
	3
	
	
Finalmente, para cada una de las dimensiones nos quedamos con el impacto más alto de entre las categorías que estamos valorando. quedará de la siguiente guía:
	
	Confidencialidad
	Integridad
	Disponibilidad
	
	
	
	1 hora
	1 día
	1 semana
	Venta
	5
	5
	1
	2
	3
	Compra
	3
	5
	0
	0
	1
	Entrega
	5
	5
	0
	0
	2
Nivel de Riesgo Tolerable
Una vez finalizado el análisis de riesgo ya estamos en disposición de establecer cuál es el nivel de riesgo tolerable para nuestra organización. Es decir, dónde vamos a establecer la línea que separará los riesgos aceptables de aquellos que requieran acciones urgentes para su resolución. Establece este umbral teniendo en cuenta que no desea aceptar riesgos altos puedan suponerle multas o sanciones ni, por supuesto, la revocación de su licencia para vender online, es decir, que no se tolerarán riesgos con un valor de 4 o 5.
INVENTARIO DE ACTIVOS Y MAPA DE DEPENDENCIAS
Una vez finalizado los procesos anteriores y el umbral de riesgos definido, necesitamos disponer del inventario de activos y el mapa de dependencias antes de iniciar propiamente el análisis de riesgos.
INVENTARIO DE ACTIVOS 
APLICACIONES:
· Aplicación Venta de Articulos (APP_Venta)
· Aplicación de facturación (App_facturaciónelectronica)
BASES DE DATOS:
Amazon está disponible para varios tipos de instancias de base de datos (optimizadas para memoria, rendimiento u operaciones de E/S) y le proporciona seis motores de bases de datos conocidos entre los que elegir, incluidos Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle Database y SQL Server.
SISTEMAS:
Esto cuenta con el respaldo de un amplio conjunto de herramientas de seguridad en la nube, con 230 servicios y características de seguridad, conformidad y gobernanza. AWS (Amazon Webservice) es compatible con 90 estándares de seguridad y certificaciones de conformidad y los 117 servicios de AWS que almacenan datos de los clientes ofrecen la función de cifrar esos datos.
· Sistema A (Linux + Apache)
· Sistema B (nube)
· Sistema C (Windows 2008 Server)
Las aplicaciones se ejecutan en el Sistema A, el Sistema B aloja el correo electrónico y el Sistema C tiene el SQL Server con las bases de datos identificadas.
Veamos ahora nuestro mapa de dependencias:
· Proceso de VENTA 
· App_venta -> Sistema A
· BD_clientes -> Sistema C
· App_eMail -> Sistema B
· App_facturación -> Sistema A
· BD_clientes -> Sistema C
· Proceso de COMPRA 
· App_venta -> Sistema A
· App_eMail -> Sistema B
· Proceso de ENTREGA 
· -> App_venta -> Sistema A
· BD_clientes -> Sistema C
· BD_Operaciones -> Sistema C
· App_Mail -> Sistema B
· App_facturación -> Sistema A
· BD_clientes -> Sistema C
El siguiente paso a realizar es coger cada uno de los activos de nuestro inventario (o tipología de activo si se quiere simplificar) y analizar si son o no vulnerables a cada una de las amenazas identificadas en nuestro catálogo:
	
	APLICACIONES
	BASE DE DATOS 
	SISTEMAS
	Desastres Naturales
	NO VULNERABLE 
	NO VULNERABLE
	NO VULNERABLE
	Errores usuarios
	 VULNERABLE
	NO VULNERABLE
	NO VULNERABLE
	Errores de la configuración
	VULNERABLE
	NO VULNERABLE
	NO VULNERABLE
	Caída del sistema por agotamiento de recursos
	NO VULNERABLE
	 VULNERABLE
	 VULNERABLE
	Difusión de software dañino
	 VULNERABLE
	VULNERABLE
	VULNERABLE
	Ataques intencionados
	VULNERABLE
	VULNERABLE
	VULNERABLE
PLAN DE TRATAMIENTO DE RIESGOS
Hay diversos riesgos y para cada uno de estos riesgos tendremos las siguientes alternativas:
· Evitarlo: Dejar de efectuar la actividad que origina el riesgo. En el caso de ejemplo, apagar el Sistema A, desconectarlo de la red y darlo de baja de nuestra organización.
· Transferirlo: En ocasiones, existen riesgos que pueden transferirse a terceras empresas mediante la contratación de un seguro o la externalización de determinados servicios.
· Mitigarlo: En la mayoría de los casos esta será la estrategia óptima. Consiste en establecer o mejorar los controles de seguridad del activo para reducir sus riesgos hasta niveles aceptables, bien por reducir la probabilidad de las amenazas o bien por reducir el impacto que estas tendrían en caso de materializarse. 
	SISTEMA A
	IMPACTO
	PROBABILIDAD
	RIESGO INHERENTE
	RIESGO EFECTIVO
	ATAQUES INTENCIONADOS 
		Confidencialidad: 3
	Integridad: 2
	Disponibilidad: 5
	3
	2
	5
	Difusión de software dañino
	CONFIDENCIALIDAD:3
	3
	5
	5
Y el plan de tratamiento asociado en este caso, podría ser el siguiente:
· Aumentar la frecuencia de escaneos de vulnerabilidades en el equipo para realizarlos mensualmente.
· Adquirir el compromiso de resolver todas las vulnerabilidades que se detecten en el sistema en un plazo máximo de 2 meses.
· Hardenizar el servidor para eliminar todos aquellos servicios que no sean necesarios.