1. Seguridad Informática
Análisis de Riesgos Metodología OCTAVE
Tobón Romero Yair – 040045832
Zárate Aviña Jorge – 040045726
México, D.F. a 01 de Agosto de 2015
2. La empresa integrar soluciones informáticas específicamente
diseñadas para las industrias de Alimentos y Bebidas,
Hotelería y Comercio en General.
Estas soluciones de hardware, software y servicios
especializados dan como resultado sistemas escalables de
Punto de Venta (POS), Sistemas Administrativos y de Control
(Back Office) y Aplicaciones de Consolidación y
Administración de Recursos en Oficinas Corporativas (Head
Office)
Por lo que proporcionan la información para la adecuada
toma de decisiones en ámbitos operativos, financieros y de
planeación.
Introducción
3. Asociación de Consejeros posee la cuenta de un cliente
multinacional de comida rápida el cual tiene contratado el
servicio de administración del software de Punto de venta y
Help Desk para los mercados de México, Panamá, Costa Rica y
Puerto Rico, con lo que suman 450 restaurantes para atender
en sus diferentes regiones.
Asociación de Consejero, al percatarse que sus políticas y
procesos de los sistemas que administra tienen
vulnerabilidades, se dio a la tarea de llevar a cabo un
programa de Gestión de Riesgos en el cual el primer punto de
la Gestión es la planeación del riesgo, para lo cual se requiere
realizar un Análisis de Riesgo con el fin de conocer no solo
algunas, sino todas la vulnerabilidades que se tienen así
como los riesgos que conllevan y el posible impacto que se
tendría.
Situación Actual
4. Para poder minimizar los riesgos y brindar un
servicio de mayor calidad a sus clientes al proteger
de manera integral su mayor activo que es la
información en los aspectos de confiabilidad,
integridad y disponibilidad, ya que con ello cada
cliente toman decisiones estratégicas.
Se utilizará la metodología OCTAVE para determinar
y analizar las vulnerabilidades de las políticas y
procesos, estudiando, identificando y evaluando los
activos de información, activos de software y activos
físicos, realizando un análisis de riesgo y sensibilidad.
Objetivo
5. Se realizará un análisis de riesgos sobre los activos
de información que se emplean tanto en la
administración de los puntos de venta, como en el
sistema de gestión de puntos de venta BackOffice y
HeadOffice, tanto en aplicativos, repositorios de los
datos y hardware.
Alcance
6. • Para el desarrollo del análisis de riesgo dentro de este
proyecto, se seleccionó la metodología OCTAVE
(Operationally Critial Threat, Assest and Vulnerability
Evaluation), debido a que se requiere la participación de las
personas que se encuentran implicadas de manera directa
en la operación de los activos críticas de información.
• Con el objetivo de involucrar a todos los niveles de la
organización desde los niveles operativos hasta la alta
dirección, para que identificar de manera global las
vulnerabilidades y amenazas a las que se encuentran
expuestas las políticas y proceso de la empresa en los
servicios de administración de sistemas de punto de ventas.
Metodología
7. • Establecer criterios de medición de riesgos.
• Desarrollar un perfil de activos de información.
• Identificar contenedores de activos de información.
• Identificar áreas de preocupación.
• Identificar escenarios de amenaza.
• Identificar riesgos.
• Analizar riesgos.
• Seleccionar un enfoque de mitigación.
Fases de OCTAVE
8. • Información: Contiene información acerca de las ventas de
cada restaurante, datos de cobro de TC, niveles de
inventarios.
• Software: El software donde se gestionan las órdenes, el
cobro de las mismas, la consolidación de las ventas y los
niveles de inventario son las responsabilidades principales de
la empresa Asociación de Consejeros.
• Físicos: Debido a que la administración de cada restaurante se
realiza por medio de una PC en el lugar y es ahí donde se lleva
acabo todo lo relacionado con las ventas. Ninguna de estas
tareas se realizan a mano.
Activos Críticos
9. • Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten
el equipo
• Único usuario y contraseña para personal de Help Desk para ingresar al Back
Office.
• Único usuario y contraseñas para las bases de datos de los restaurantes en todas
las regiones.
• No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza
la administración contable.
• No existe antivirus en las laptops de Help Desk.
• Se puede ejecutar en la PC del BackOffice una sesión de SQL.
• Que el personal de restaurante tenga a su disposición el generador de claves de
soporte para la POS.
• Implementación de alguna promoción en POS y que esta afecte su
funcionamiento.
• No existe seguridad para usuarios de Windows en las POS y se puede acceder a los
recursos de dichos equipos
Riesgos
10. • Hacer que los POS sean inoperantes
• Robo de base de datos
• Robo de logs de transacciones de TC
• Manipulación de datos en inventario de los restaurantes
• Manipulación de ventas en POS, por medio de clave de
soporte
• Virus o software malicioso
Amenazas
11. Identificación de Amenazas y Vulnerabilidades
Amenaza Área Afectada Resultado de la Amenaza Impacto
Robo de logs de
transacciones de
TC
Toda la
organización
Puede causar una mala imagen para la empresa,
además de prestarse a fraudes con este tipo de
cobro de TC.
Alto
Manipulación de
ventas en POS,
por medio de
clave de soporte
Operación -
Informática –
Contabilidad
Si el personal del restaurante tiene en su poder la
clave de soporte este puede manipular al POS para
realizar ventas y cobrar pero dichas ventas no se
reflejarían en el balance de la POS.
Alto
Virus o software
malicioso Informática
Puede causar perdida de la integridad y
disponibilidad de la información. Alto
Mala
implementación
de promociones
en POS
Operación
Puede hacer que el restaurante no pueda cobrar con
la POS y tenga que realizar el cobro de manera
manual, lo que causa una mala imagen al cliente y
mayor tiempo en la preparación de alimentos.
Medio
Robo de base de
datos
Informática
En este caso ser daría la fuga de información
sensible en cuanto a dinero recabado, empleados
que laboran ahí, horarios de empleado, inventario.
Medio
Manipulación de
datos en
inventario de los
restaurantes
Operación –
Contabilidad
Esto se puede prestar a realizar robo hormiga del
inventario y por lo tanto afecta de manera
económica a la empresa
Bajo
12. Características Control Seguridad
Activo Controles de Seguridad
Categorías de
Información
Riesgo
Activos de
Información
Disponibilidad
- Este Activo debe de contar con respaldos
periodos
- Debe de permanecer disponible para
cualquier consulta.
Confidencialidad
- Se debe de tener un control de acceso para
los diferentes niveles jerárquicos del
personal
Integridad
- Se debe de asegurar que la información es
completa e integra
- Debe de aplicarse políticas de control
cambios
- Debe de aplicarse un control contra
desastres en los repositorios de los
restaurantes
- Aplicación de protocolos seguros para la
transferencia de datos.
Prioritaria Alto
13. Características Control Seguridad
Activo Controles de Seguridad
Categorías de
Información
Riesgo
Activos de
Software
Disponibilidad
- Creación de base de conocimiento tanto para el
personal de operación como el de Help Desk
para atender incidentes conocidos.
- Garantizar la disponibilidad de aplicativos y
bases de datos.
Confidencialidad
- Restricción de puertos USB tanto en equipos de
restaurante como en equipos de Help Desk
- Creación de políticas para autenticación de
usuario en equipos de Help Desk
- Autenticación a BackOffice para cada miembro
de Help Desk.
- Uso exclusivo de correo electrónico corporativo
Integridad
- Políticas de depuración de información
- Implementación de plan de recuperación de
desastres
Necesario Alto
14. Características Control Seguridad
Activo Controles de Seguridad
Categorías de
Información
Riesgo
Activos Físicos
Disponibilidad
- Los activos deben de estar siempre disponibles para su uso.
- Los activos debe de estar en niveles óptimos de
performance.
Confiabilidad
- Restricción de puertos USB tanto en equipos de restaurante
como en equipos de Help Desk
Integridad
- Creación de procedimiento de respaldos de información
- Plan de mantenimiento correctivos y preventivos.
Necesario Alto
Personal
Disponibilidad
-Planeación de horarios.
- Salarios competitivos.
Confiabilidad
- Aplicar acuerdos de confiabilidad
- Aplicar políticas de Escritorio Limpio
- Promover valores de la empresa en el personal
Integridad
- Capacitación
- Políticas de seguridad en los puestos de trabajo
- Creación de canales de comunicación con sus superiores
Necesario Medio
15. Matriz de Ponderación
La metodología OCTAVE sugiere asignar valores esperados a los
impactos teniendo en cuenta los valores contenidos en una
matriz como ponderación alta, media y baja, según corresponda,
como se muestra a continuación.
16. Reconocimiento y Aceptación del Riesgo
Amenaza Riesgo Impacto Ponderació
n Riesgo
Ponderació
n Impacto
Ponderació
n
Robo de logs
de
transacciones
de TC
Se pueden cometer
fraudes de TC con
este tipo de
información
Causa mala imagen a
la empresa y es posible
que se incurra en algún
tipo de sanción
administrativa por
parte del banco.
Alto Alto 5
Manipulación
de ventas en
POS, por medio
de clave de
soporte
Que algún
miembro del
equipo de
operaciones realice
fraude al marcar en
ceros la orden.
Fuga de dinero a través
de fraude.
Bajo Medio 3
Virus o
software
malicioso
Puede causar
perdida de la
integridad y
disponibilidad de la
información.
Alteración a la
información lo que
ocasiona que se
Alto Bajo 3
17. Reconocimiento y Aceptación del Riesgo
Amenaza Riesgo Impacto Ponderación
Riesgo
Ponderación
Impacto
Ponderación
Mala
implementación
de promociones
en POS
Puede hacer que el
restaurante no
pueda cobrar con la
POS y tenga que
realizar el cobro de
manera manual
Causa una mala imagen
al cliente y mayor
tiempo en la entrega de
las órdenes.
Medio Alto 4
Robo de base de
datos
Perdida de
información sensible
en cuanto a dinero
recabado,
empleados que
laboran ahí, horarios
de empleado,
inventario.
Fuga de información
sensible del personal de
operación, así como días
de entrega de mercancía
y promedio de dinero
recaudado por día en el
restaurante.
Medio Medio 3
Manipulación
de datos en
inventario de los
restaurantes
Se puede a realizar
robo hormiga de
materia prima.
Afectación económica a
la empresa al tener que
reabastecer el
restaurante.
Bajo Bajo 1
18. Monitoreo y Evaluación de Controles de Seguridad
Amenaza Control Estatus Ponderación
Actual
Robo de logs de
transacciones de
TC
- Restricción uso de Logs.
- Cambio de rutas de creación de log, además del nombre del
archivo
- Cifrado de Logs de transacciones.
- Eliminación de historial de Logs cada semana.
- Bloqueo de puerto USB para POS, PC de Restaurante y
Laptops de Help Desk
Por Implementar 5
Manipulación de
ventas en POS,
por medio de
clave de soporte
- Creación de un nuevo archivo generador de claves de
soporte.
- Modificación de la lógica a NewPOS para solicitar claves de
soporte
- Se distribuirá de manera diaria la clave de soporte a los
supervisores de soporte.
Implementado 1
Virus o software
malicioso
- Implementación de un antivirus corporativo para Help Desk
- Propuesta para que el cliente compre una licencia
corporativa de antivirus para las POS.
- Implementar accesos restringido a la configuración de
antivirus
- Bloqueo de puertos USB tanto en POS, PC del restaurante
como en laptops de Help Desk
Por Implementar 4
19. Monitoreo y Evaluación de Controles de Seguridad
Amenaza Control Estatus Ponderació
n Actual
Mala
implementación
de promociones
en POS
- Realizar pruebas integrales en un laboratorio cada
vez que se tenga que implantar una promoción.
- Integración de un comité de validación para
realizar pruebas integrales.
- Envío de promoción a todas las POS a nivel
nacional.
- Validación por parte de Help Desk con personal de
operación que no exista ninguna falla después de la
implementación de la promoción.
Implemen
tado
2
Robo de base de
datos
- Restricción de consola de comandos de SQL en el
BackOffice.
- Creación de usuario y contraseña por cada
restaurante para acceso de la instancia de SQL.
- Publicación de usuario y contraseñas solo a
supervisores, gerente de Help Desk.
- Eliminación de Software de base de datos en
laptops de Help Desk
- Bloqueo de puertos USB tanto en POS, BackOffice
y laptops de HelpDesk
Por
Implemen
ar
4
20. Monitoreo y Evaluación de Controles de Seguridad
Amenaza Control Estatus Ponderaci
ón Actual
Manipulación
de datos en
inventario de
los
restaurantes
- Los niveles de abastecimiento deben de ser
corroborados diariamente al cierre del día en el
restaurante.
- Los datos capturados se deben de almacenar tanto
en el Back Office como en el Head Office
- Reporte centralizado en el Head Office en donde
se visualicé el nivel de abastecimiento actual, lo
teórico en base a un inventario mensual menos el
consumo reportado por las ventas de productos.
Aplicado 1