riesgos magerit ejemplo

Vista previa del material en texto

Amazon
Amazon.com, Inc. es una empresa de venta por correo de comercio electrónico, con sede en Seattle, Washington. Todas sus transacciones de venta se realizan exclusivamente por vía electrónica.
Amazon divide su tienda en dos partes. Por un lado, está el negocio minorista, donde compra productos a terceros y los vende bajo su marca. Por otro está el Marketplace. Aquí las empresas comercializan sus productos directamente, pero a través de la web del gigante de ecommerce. En este caso, las empresas pueden optar por usar la logística de Amazon o la propia.
Catálogo de amenazas
Elaborar el catalogo de amenazas en base a los riesgos que indica magerit, se toman solo los riesgos que serán relevantes para el caso de esta organización, para ello se tomaron los siguientes riesgos:
	Amenazas
	Descripción
	
Desastres naturales
	Incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento de tierras
	Errores de los usuarios
	Equivocaciones de las personas cuando usan los servicios, datos, etc.
	
Errores de la configuración
	Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc.
	Caída del sistema por agotamiento de recursos
	La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.
	Difusión de software dañino
	Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
	Ataques intencionados
	Fallos deliberados causados por las personas.
Con las amenazas seleccionadas procedemos a darle un valor de probabilidad de que ocurra dicha amenaza. Para evaluar la probabilidad se utilizará una escala de 1 a 5 valores, además de las dimensiones a las que afectaría dicha amenazada como lo establece magerit.
5- Extremadamente probable
4- Muy probable
3- Probable
2- Poco probable
1- Probabilidad prácticamente despreciable
	Amenaza
	Dimensiones afectadas
	Probabilidad de Amenaza
	Desastres naturales
	disponibilidad
	1
	Errores de los usuarios
	Disponibilidad, integridad, confidencialidad
	4
	Errores de la configuración
	integridad
	3
	Caída del sistema por agotamiento de recursos
	disponibilidad
	5
	Difusión de software dañino
	Disponibilidad, integridad, confidencialidad
	5
	Ataques intencionados
	Disponibilidad, integridad, confidencialidad
	4
 Mapa de procesos
· Procesos de ventas
· Sistema web de ventas
· Mail de atención a clientes
· Sistema de facturación
· Proceso de compra
· Compra a minoristas y mayoristas
· Mail corporativo
· Proceso de entrega
· Sistema de entregas
· Sistema de operaciones
· Aplicación de factura electrónica 
-------------------------------------------------------------------------------------
DESDE AQUÍ VA TU PARTE ANDREINA
--------------------------------------------------------------------------------------------
INVENTARIO DE ACTIVOS Y MAPA DE DEPENDENCIAS
Una vez finalizado los procesos anteriores y el umbral de riesgos definido, necesitamos disponer del inventario de activos y el mapa de dependencias antes de iniciar propiamente el análisis de riesgos.
INVENTARIO DE ACTIVOS 
APLICACIONES:
1. Aplicación Venta de Articulos (APP_Venta)
1. Aplicación de facturación (App_facturaciónelectronica)
BASES DE DATOS:
Amazon está disponible para varios tipos de instancias de base de datos (optimizadas para memoria, rendimiento u operaciones de E/S) y le proporciona seis motores de bases de datos conocidos entre los que elegir, incluidos Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle Database y SQL Server.
SISTEMAS:
Esto cuenta con el respaldo de un amplio conjunto de herramientas de seguridad en la nube, con 230 servicios y características de seguridad, conformidad y gobernanza. AWS (Amazon Web service) es compatible con 90 estándares de seguridad y certificaciones de conformidad y los 117 servicios de AWS que almacenan datos de los clientes ofrecen la función de cifrar esos datos.
1. Sistema A (Linux + Apache)
1. Sistema B (nube)
1. Sistema C (Windows 2008 Server)
Las aplicaciones se ejecutan en el Sistema A, el Sistema B aloja el correo electrónico y el Sistema C tiene el SQL Server con las bases de datos identificadas.
Veamos ahora nuestro mapa de dependencias:
1. Proceso de VENTA 
1. App_venta -> Sistema A
1. BD_clientes -> Sistema C
1. App_eMail -> Sistema B
1. App_facturación -> Sistema A
1. BD_clientes -> Sistema C
1. Proceso de COMPRA 
0. App_venta -> Sistema A
0. App_eMail -> Sistema B
1. Proceso de ENTREGA 
0. -> App_venta -> Sistema A
0. BD_clientes -> Sistema C
0. BD_Operaciones -> Sistema C
0. App_Mail -> Sistema B
0. App_facturación -> Sistema A
0. BD_clientes -> Sistema C
El siguiente paso a realizar es coger cada uno de los activos de nuestro inventario (o tipología de activo si se quiere simplificar) y analizar si son o no vulnerables a cada una de las amenazas identificadas en nuestro catálogo:
	
	APLICACIONES
	BASE DE DATOS 
	SISTEMAS
	Desastres Naturales
	NO VULNERABLE 
	NO VULNERABLE
	NO VULNERABLE
	Errores usuarios
	 VULNERABLE
	NO VULNERABLE
	NO VULNERABLE
	Errores de la configuración
	VULNERABLE
	NO VULNERABLE
	NO VULNERABLE
	Caída del sistema por agotamiento de recursos
	NO VULNERABLE
	 VULNERABLE
	 VULNERABLE
	Difusión de software dañino
	 VULNERABLE
	VULNERABLE
	VULNERABLE
	Ataques intencionados
	VULNERABLE
	VULNERABLE
	VULNERABLE
PLAN DE TRATAMIENTO DE RIESGOS
Hay diversos riesgos y para cada uno de estos riesgos tendremos las siguientes alternativas:
1. Evitarlo: Dejar de efectuar la actividad que origina el riesgo. En el caso de ejemplo, apagar el Sistema A, desconectarlo de la red y darlo de baja de nuestra organización.
1. Transferirlo: En ocasiones, existen riesgos que pueden transferirse a terceras empresas mediante la contratación de un seguro o la externalización de determinados servicios.
1. Mitigarlo: En la mayoría de los casos esta será la estrategia óptima. Consiste en establecer o mejorar los controles de seguridad del activo para reducir sus riesgos hasta niveles aceptables, bien por reducir la probabilidad de las amenazas o bien por reducir el impacto que estas tendrían en caso de materializarse. 
	SISTEMA A
	IMPACTO
	PROBABILIDAD
	RIESGO INHERENTE
	RIESGO EFECTIVO
	ATAQUES INTENCIONADOS 
		Confidencialidad: 3
	Integridad: 2
	Disponibilidad: 5
	3
	2
	5
	Difusión de software dañino
	CONFIDENCIALIDAD:3
	3
	5
	5
Y el plan de tratamiento asociado en este caso, podría ser el siguiente:
1. Aumentar la frecuencia de escaneos de vulnerabilidades en el equipo para realizarlos mensualmente.
1. Adquirir el compromiso de resolver todas las vulnerabilidades que se detecten en el sistema en un plazo máximo de 2 meses.
1. Hardenizar el servidor para eliminar todos aquellos servicios que no sean necesarios.