TIA 2: Evaluación de riesgos de la seguridad de información mediante la matriz de riesgos
(con política y control)
�ANGÉLICA MARÍA GÓMEZ MARTÍNEZ
�MÓNICA SELENA ERAZO POLO
YULIETH JOHANA GARCIA NARVAEZ
�
Esta TIA 2 está relacionada con el estudio de caso
Universidad Global, en la cual se debe elaborar una matriz de riesgos de acuerdo a lo solicitado por el decano para contemplar la seguridad de los módulos o interfaces Web del Sistema Académico y Gestión (SIAG) y para ello en forma grupal se debe realizar:
1. Lea el anexo A de la norma ISO 27001
2. Identifique activos de información en la U. Global
3. Identifique 5 riesgos por cada activo
4. Evalúe los riesgos mediante la matriz de riesgos
5. Seleccione los 10 riesgos de más alto nivel y ubicarlos en el dominio respectivo del anexo A de la norma 27001
6. Contextualice el objetivo de control y el control para la universidad Global
Desarrolle cada uno de los puntos solicitados en las diapositivas dispuestas para ello.
2
INSTRUCCIONES
2.1 Identifique los activos de información en el estudio de caso.
R//
-13 servidores para bases de datos, sistema de información académico, Contable, nómina y otros.
-3 equipos de protección perimetral firewall (Unified Threat
Management) tipo Fortigate.
-4 zonas de acceso inalámbrico con potencia media-alta.
-5 Redes de comunicación e Internet.
-34 switches de red.
-1 router principal es propiedad del ISP.
-1 sistema de telefonía convencional o mini central telefónica PBX (Private Branch Exchange).
PBX Virtual con un total de 24 extensiones VoIP distribuidas en las tres sedes.
-Sensores de movimiento y alarmas de seguridad.
-Cámaras de seguridad IP.
-381 equipos de cómputo, distribuidos en seis salas de cómputo o salones de estudio
-4 laboratorios para prácticas de ingeniería informática
-111equipos de cómputo de uso administrativo y docente.
-El sistema de información SIAG.
3
2. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
.2.2 Defina qué tan crítico o importante es cada activo identificado para la organización.
R//
13 servidores para bases de datos, sistema de información académico, Contable, nómina y otros:
Importancia: Altamente crítico. Estos servidores almacenan datos sensibles y son esenciales para la gestión de la información académica, financiera y de recursos humanos
.
3 equipos de protección perimetral firewall (Unified Threat Management) tipo Fortigate:
Importancia: Crítico. Los firewalls son fundamentales para proteger la red de la organización contra amenazas externas y garantizar la seguridad de los datos.
4 zonas de acceso inalámbrico con potencia media-alta:
Importancia: Importante. Estas zonas proporcionan conectividad inalámbrica para estudiantes y personal, lo que facilita el acceso a recursos en línea.
4
2. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
5 Redes de comunicación e Internet:
Importancia: Altamente crítico. La infraestructura de red es vital para la comunicación y el acceso a recursos en línea, incluyendo el router principal propiedad del ISP.
34 switches de red:
Importancia: Crítico. Los switches son componentes esenciales de la infraestructura de red y son cruciales para la conectividad y la gestión del tráfico.
1 router principal es propiedad del ISP:
Importancia: Crítico. El router principal es la puerta de enlace a Internet y es esencial para la conectividad de la organización.
1 sistema de telefonía convencional o mini central telefónica PBX (Private Branch Exchange) y PBX Virtual con un total de 24 extensiones VoIP:
Importancia: Crítico. Los sistemas de telefonía son esenciales para la comunicación interna y externa de la organización.
5
2. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Sensores de movimiento y alarmas de seguridad:
Importancia: Crítico. Estos sistemas son fundamentales para la seguridad física de los campus y la protección de activos.
Cámaras de seguridad IP:
Importancia: Crítico. Las cámaras de seguridad IP son esenciales para la vigilancia y la seguridad de las instalaciones.
381 equipos de cómputo, distribuidos en seis salas de cómputo o salones de estudio y 4 laboratorios para prácticas de ingeniería informática:
Importancia: Crítico. Estos equipos son esenciales para el funcionamiento académico y práctico de la institución.
6
2. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
111 equipos de cómputo de uso administrativo y docente:
Importancia: Importante. Estos equipos son necesarios para las tareas administrativas y docentes de la institución.
El sistema de información SIAG:
Importancia: Altamente crítico. El SIAG es fundamental para gestionar todos los aspectos académicos y administrativos de la institución, lo que lo convierte en uno de los activos más críticos.
7
2. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
3.1 Desarrolle una lista con las amenazas contra los atributos de seguridad de la información (Confidencialidad, integridad, disponibilidad y no repudio) teniendo en cuenta el contexto de desarrollo de las modificaciones al software.
R//
Confidencialidad:
-Fugas de datos: La información confidencial podría exponerse si no se protege adecuadamente durante el desarrollo o si se almacena en sistemas no seguros.
-Acceso no autorizado: Los desarrolladores malintencionados o no autorizados podrían intentar acceder a datos confidenciales durante el proceso de desarrollo.
-Ataques de ingeniería social: Los atacantes podrían intentar engañar a los desarrolladores para que revelen información confidencial, como contraseñas o claves de cifrado.
8
3. IDENTIFICACIÓN DE AMENAZAS
Integridad:
-Manipulación de datos en tránsito: Los datos podrían ser modificados por atacantes durante la transferencia entre sistemas, lo que podría afectar la integridad de la información.
-Inyección de código malicioso: Los atacantes podrían intentar insertar código malicioso en el software durante el desarrollo, lo que podría alterar la integridad de las operaciones.
-Errores de programación: Errores en el código o en las actualizaciones podrían introducir problemas que afecten la integridad de los datos almacenados o procesados por el software.
9
3. IDENTIFICACIÓN DE AMENAZAS
Disponibilidad:
-Ataques de denegación de servicio (DDoS): Los atacantes podrían intentar sobrecargar los servidores o recursos de la red durante el desarrollo, lo que podría resultar en la indisponibilidad del software.
-Fallas en la infraestructura: Problemas técnicos no relacionados con la seguridad, como fallas en el hardware o la red, podrían afectar la disponibilidad del software.
-Actualizaciones no planificadas: Actualizaciones o cambios inesperados en la infraestructura de desarrollo podrían interrumpir la disponibilidad del software.
10
3. IDENTIFICACIÓN DE AMENAZAS
-Suplantación de identidad: Un atacante podría intentar utilizar las credenciales de un desarrollador legítimo para realizar cambios maliciosos en el software y luego negar su participación.
-Manipulación de registros de auditoría: Los registros de auditoría que proporcionan evidencia de quién hizo qué podrían ser manipulados por atacantes para ocultar sus actividades maliciosas.
-Falta de evidencia sólida: Si no se registran adecuadamente las actividades de desarrollo, podría ser difícil demostrar quién realizó cambios específicos en el software.
11
3. IDENTIFICACIÓN DE AMENAZAS
Identifique al menos 5 vulnerabilidades, las cuales pueden ser hipotéticas o teóricas, toda vez que no se han hecho pruebas de vulnerabilidad.
R//Vulnerabilidad en el proceso de autenticación débil: Si el proceso de autenticación de los desarrolladores no es lo suficientemente robusto, los atacantes podrían aprovecharlo para obtener acceso no autorizado a los sistemas de desarrollo y modificar el código fuente del software.
Inyección de código malicioso en el control de versiones: Si un atacante logra inyectar código malicioso en el sistema de control de versiones utilizado para gestionar el código fuente, podría propagar malware o realizar cambios no autorizados en el software en desarrollo.
Falta de cifrado de datos confidenciales en repositorios de código: Si los datos confidenciales, como claves de cifrado o contraseñas, se almacenan en repositorios de código sin cifrado adecuado, podrían estar expuestos a acceso no autorizado si un atacante obtiene acceso a esos repositorios.
12
3. IDENTIFICACIÓN DE AMENAZAS
Vulnerabilidades en bibliotecas y dependencias de terceros: Si el software en desarrollo utiliza bibliotecas o dependencias de terceros con vulnerabilidades conocidas, los atacantes podrían aprovechar esas debilidades para explotar el sistema.
Insuficiente validación de entrada y escape de datos en las aplicaciones web: Si las aplicaciones web desarrolladas no realizan una validación adecuada de entrada de datos y escape de datos al mostrar resultados, podrían estar en riesgo de ataques de inyección, como SQL injection o Cross-Site Scripting (XSS).
13
3. IDENTIFICACIÓN DE AMENAZAS
14
Fuente amenaza | Motivación | Acciones amenazantes |
Pirata informático, intruso ilega | -Reto -Ego -Rebelión -Estatus -Dinero | -Piratería. -Ingeniería social. -Intrusión, accesos forzados al sistema. -Acceso no autorizado al sistema. |
Criminal de la computación | -Destrucción de información. -Divulgación ilegal de información. -Ganancia monetaria. -Alteración no autorizada de los datos. | -Crimen por computador (por ejemplo, espionaje cibernético). -Acto fraudulento (por ejemplo,repetición, personificación, interceptación). -Soborno de la información. - Suplantación de identidad. -Intrusión en el sistema. |
Intrusos (empleados con entrenamiento deficiente, descontentos, malintencionados, negligentes, deshonestos o despedidos) | -Curiosidad. -Ego. -Inteligencia. -Ganancia monetaria. -Venganza. -Errores y omisiones no intencionales) por ejemplo, error en el ingreso de los datos, error de programación). | -Asalto a un empleado. -Chantaje. - Observar información de propietario. -Abuso del computador. - Soborno de información. -Ingreso de datos falsos o corruptos. -Interceptación. • Código malintencionado (por ejemplo, virus, bomba lógica, caballo troyano). • Venta de información personal. • Errores* (bugs) en el sistema. • Sabotaje del sistema. • Acceso no autorizado al sistema. |
| | |
| | |
15
Vulnerabilidad hardware | Ejemplos de amenazas |
Mantenimiento insuficiente/instalación fallida de los medios de almacenamiento. | Incumplimiento en el mantenimiento del sistema de información |
Falta de esquemas de reemplazo periódico. Susceptibilidad a la humedad, el polvo y la suciedad. | Radiación electromagnética |
Falta de control de cambio con configuración eficiente | Error en el uso |
Susceptibilidad a las variaciones de tensión | Pérdida del suministro de energía |
Susceptibilidad a las variaciones de temperatura | Fenómenos meteorológicos |
Almacenamiento sin protección | Hurto de medios o documentos |
Falta de cuidado en la disposición final | Hurto de medios o documentos |
Copia no controlada | Hurto de medios o documentos |
16
Vulnerabilidad software | Ejemplos de amenazas |
Falta o insuficiencia de la prueba del software | Abuso de los derechos |
Defectos bien conocidos en el software | Abuso de los derechos |
Falta de "terminación de la sesión" cuando se abandona la estación de trabajo | Abuso de los derechos |
Disposición o reutilización de los medios de almacenamiento sin borrado adecuado | Abuso de los derechos |
Falta de pruebas de auditoría | Abuso de los derechos |
Distribución errada de los derechos de acceso | Abuso de los derechos |
Software de distribución amplia | Corrupción de datos |
Utilización de los programas de aplicación a los datos errados en términos de tiempo | Corrupción de datos |
Interfase de usuario complicada | Error en el uso |
Falta de documentación | Error en el uso |
4.1 Estime la probabilidad e impacto de cada amenaza según las metodologías de evaluación de riesgos estudiadas.
17
4. EVALUACIÓN DE RIESGOS
Amenaza | Probabilidad | Impacto | Nivel de riesgo |
Fugas de datos | Alta | Alto | Alto |
Acceso no autorizado | Media | Alto | Alto |
Ataques de ingeniería social | Medio | Medio | Medio |
Manipulación de datos en tránsito | Medio | Medio | Medio |
Inyección de código malicioso | Alta | Altos | Altos |
Errores de programación | Alta | medio | Alta |
Fallas en la infraestructura | Medio | Alta | Alta |
Actualizaciones no planificadas | Media | Medio | Medio |
Suplantación de identidad | Medio | Medio | Medio |
Manipulación de registros de auditoría | Baja | Medio | Bajo |
Falta de evidencia sólida | Bajo | Medio | Bajo |
Vulnerabilidad en la autenticación | Medio | Alto | Alto |
Falta de cifrado en repositorios de código | Media | Medio | Medio |
4.1 Estime la probabilidad e impacto de cada amenaza según las metodologías de evaluación de riesgos estudiadas.
Matriz de escenarios de riesgo
https://drive.google.com/file/d/1m5Pt-FUDf-JtLZSadT4MlN2e6hzsjtHB/view?usp=sharing
18
4. EVALUACIÓN DE RIESGOS
4.2 Considere los criterios de seguridad que propone las metodologías estudiadas.
Matriz de riesgo y probabilidad
19
4. EVALUACIÓN DE RIESGOS
4.3 Considere las vulnerabilidades para asignar la probabilidad (posibilidad de ocurrencia) de cada amenaza.
20
4. EVALUACIÓN DE RIESGOS
5.1 Diseñe y construya una “matriz de riesgos”, donde pueda presentar los riesgos de acuerdo a su criticidad o importancia.
Cuando haya evaluado todos los riesgos, seleccione los 10 de más alto nivel, ubique cada uno en el dominio respectivo del anexo A de la norma ISO 27001.
Usted debe ubicar el activo y la amenaza en el respectivo dominio de la Norma ISO 27001 y plantear el objetivo o política de seguridad y el control personalizados o contextualizados a la empresa del caso de estudio
La matriz de riesgos puede ser realizada en alguna herramienta ofimática.
La siguiente diapositiva presenta un ejemplo de matriz de riesgos aunque cada equipo de estudio está en libertad de utilizar otro diseño.
21
5. CONSTRUCCIÓN DE LA MATRIZ DE RIESGOS
22
EJEMPLO DE UNA MATRIZ DE RIESGOS
MATRIZ DE RIESGOS INFORMATICAS | ||||||
ACTIVO | AMENAZA | POSIBILIDAD | IMPACTO | IMPORTANCIA | OBJETIVO DE CONTROL ISO 27001 | CONTROL DISEÑADO |
Redes de comunicación e Internet | DDOS | 5 | 5 | Los ataques DDoS son relativamente comunes en Internet. La probabilidad de un ataque de DDoS exitoso en redes de comunicación e Internet es alta | A.13.1.4 - Eventos y condiciones relacionados con la seguridad | Control de Mitigación de Ataques DDoS |
router principal | DDOS | 5 | 5 | Los atacantes pueden aprovechar botnets o recursos distribuidos para inundar el router con tráfico malicioso. | A.13.1.4 - Gestión de Incidentes de Seguridad de la Información y Mejora | Control (A.13.1.4.1) - Plan de Respuesta a Incidentes de Seguridad de la Información |
SERVIDORES DE BASES DE DATOS | SQL INJECTION | 5 | 5 | La probabilidad de un ataque de SQL injection exitoso en servidores de bases de datos es alta si no se aplican medidas de seguridad adecuadas. | A.13.2.1: "Controles de seguridad de procesos de desarrollo y de soporte." | A.13.2.1.2: "Pruebas de seguridad de aplicaciones y sistemas antes de la implementación." |
SERVIDORES DE BASES DE DATOS | EXPLOITS | 4 | 5 | Si un ataque tiene éxito, los atacantes pueden acceder, modificar o eliminar datos críticos, robar información confidencial, causar interrupciones en los servicios y, en general, comprometer la integridad, confidencialidad y disponibilidad de los datos. | A.12.6.1 - Control de vulnerabilidades técnicas | A.12.6.2 - Gestión de parches de seguridad y actualizaciones técnicas. |
Redes de comunicación e Internet | INGENIERIA SOCIAL | 4 | 4 | Esto podría incluir la pérdida de datos confidenciales, el acceso no autorizado a cuentas, la divulgación de información personal o financiera, y otros riesgos de seguridad. | Control de Acceso | AC-1: Política y Procedimientos de Acceso y Uso |
EQUIPOS DE COMPUTO | INGENIERIA SOCIAL | 4 | 4 | Si los atacantes logran engañar a los usuarios y obtener acceso a sus equipos, pueden realizar una serie de acciones maliciosas. Esto podría incluir robo de datos, instalación de malware | ISO 27001: Asegurar la concienciación y formación en seguridad de la información. | Implementación de programas de formación y concienciación en seguridad de la información. |
alarmas de seguridad | MALWARE Y VIRUS | 4 | 4 | permitir que los atacantes desactiven o manipulen las alarmas, lo que podría llevar a la pérdida de seguridad física y la exposición a riesgos | A.12.2.1 - Prevención de Malware | A.12.2.2 - Uso de Software Actualizado y Antivirus |
router principal | VULNERABILIDADES DE RED | 4 | 4 | Un atacante que compromete el router principal puede tener acceso a toda la red y, potencialmente, a todos los dispositivos conectados a ella. | A.12.6.1: Administración de vulnerabilidades técnicas. | A.12.6.1.1: Identificación de Vulnerabilidades |
equipos de cómputo | ACCESO NO AUTORIZADO | 4 | 4 | Los atacantes que obtienen acceso no autorizado pueden realizar diversas acciones maliciosas, como robar datos confidenciales, modificar o destruir archivos, instalar malware | A.9.2.3 - Gestión de Acceso de Usuario | Acceso No Autorizado en Equipos de Cómputo |
router principal | ERRORES DE PROGRAMACIÓN | 4 | 4 | i se explota con éxito un error de programación en el router principal, los atacantes pueden obtener acceso no autorizado al router, interceptar o manipular el tráfico de red | Control A.12.2.1, que se refiere a la revisión técnica de las aplicaciones después de los cambios operativos,. | A.12.2.1 - Revisión técnica después de los cambios operativos |