Este documento presenta 5 casos prácticos de análisis de riesgos en sistemas de información. El primer caso analiza riesgos en una aplicación móvil de una empresa de gaseosas. El segundo analiza vulnerabilidades en un sitio web. El tercer caso analiza riesgos en la base de datos de una clínica. El cuarto presenta la metodología Risk IT. Y el quinto aplica la metodología MAGERIT a la Vicepresidencia Tercera del Gobierno.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Muestra la estructura y principales partes de un informe de auditoría
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
•
•Marín, Jorge. Amenazas Informáticas. Disponible en: http://www.mantenimientodecomputadoras.com.mx/index.php?option=com_content&view=article&id=51:amenazas-informaticas&catid=39:software
•Moreno León, Jesús. Test sobre conocimientos de seguridad informática. Disponible en: http://informatica.gonzalonazareno.org/plataforma/mod/forum/discuss.php?d=1673
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Muestra la estructura y principales partes de un informe de auditoría
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
•
•Marín, Jorge. Amenazas Informáticas. Disponible en: http://www.mantenimientodecomputadoras.com.mx/index.php?option=com_content&view=article&id=51:amenazas-informaticas&catid=39:software
•Moreno León, Jesús. Test sobre conocimientos de seguridad informática. Disponible en: http://informatica.gonzalonazareno.org/plataforma/mod/forum/discuss.php?d=1673
Presentación de Eduardo Romero, Coordinador General de Manifestaciones de Impacto Regulatorio, Comisión Federal de Mejora Regulatoria, en el Taller sobre Evaluación de Riesgo y Análisis de Impacto Regulatorio, Sesión 4a, México, 9-11 Junio 2014. Información adicional disponible en: http://www.oecd.org/gov/regulatory-policy/
Presentación de Eduardo Romero, Coordinador General de Manifestaciones de Impacto Regulatorio, Comisión Federal de Mejora Regulatoria, en el Taller sobre Evaluación de Riesgo y Análisis de Impacto Regulatorio, Sesión 4a, México, 9-11 Junio 2014. Información adicional disponible en: http://www.oecd.org/gov/regulatory-policy/
Los miembros de la SEGCIB (Sociedad Española de Garantía de Calidad en Investigación) han tenido la amabilidad de invitarme a participar en sus XX Jornadas que realizaron en Sevilla el 28 de Octubre de 2011.
Mi presentación fue sobre como utilizar el Análisis de Riesgos como una parte primordial de cada nuevo desarrollo, y presenté un ejemplo de aplicación en la gestión de los parámetros de un proceso, como usar esos parámetros para establecer el espacio de diseño, y como diseñar el racional que nos permitirá establecer futuros cambios de esos parámetros.
Vimos como utilizar el análisis de riesgos para establecer cuales son los parámetros de proceso que tienen alto impacto sobre los atributos de calidad del productos, y como puede proponerse su gestión dentro del espacio de diseño.
Aquí os dejo la presentación que hice en las XX Jornadas de la SEGCIB.
Completo documento que desarrolla todos los aspectos a tener en cuenta en el momento de llevar a cabo un correcto análisis de riesgos y su posterior gestión. Se presentan los elementos que componen un análisis de riesgos, se realiza una comparativa de distintas metodologías de análisis de riesgos, entre otros apartados.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Diagrama de flujo - ingenieria de sistemas 5to semestre
Análisis de riesgos
1. Análisis de Riesgos Universidad Nacional Federico Villarreal Facultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas Seguridad en Computación e Informática
2. BENITEZ PEREYRA, PAUL FRANCISCO E. CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO GARCÍA MORAUSKY, CESAR RICARDO Integrantes FLORIAN ARTEAGA, EDUARDO MIGUEL GONZALES BERNAL, JAIR ANTONIO
3.
4. Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido.
5.
6.
7. Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
14. 1 CASO PRÁCTICO Dispositivo CK3 es una tecnología móvil que se usa como plataforma para la aplicación web del sistema de trazabilidad de una compañía de gaseosas el cual es usado por los operarios en las plantas para registrar cada paleta de productos fabricados en planta como también los jefes de almacén para registrar y controlar las entradas y salidas de las paletas del almacén tanto en la planta como en los CDA’s.
15. Riesgos por parte de: Usuarios: Cuando los operarios quieren registrar dos paletas a la vez sin esperar que el primer registro se cargue, esto ocasiona que se congele el aplicativo por lo cual se genera una interrupción. Cuando los operarios dejan caer el dispositivo provocando una falla de hardware el cual implica su inoperancia para trabajar en el entorno web esto genera una interrupción. Cuando el operador no cambia de batería a pesar de la indicación de la señal de carga del dispositivo, esto provoca una des configuración del dispositivo, la cual provoca una interrupción.
16. Riesgos por parte de: Programación: Cuando hay una extensión de la producción de un producto por requerimiento del área comercial conjuntamente con los CDA’s esto en el aplicativo genera un error por exceso de paletas es decir que el aplicativo no es flexible a este caso y se genera una interrupción. Servicios de comunicación: Cuando un elemento de red presenta fallas produciendo problemas en la conexión entre el servidor del aplicativo web con el dispositivo móvil de una área de la planta esto genera una interrupción.
20. 2 CASO PRÁCTICO: ANÁLISIS DE VULNERABILIDADES EN LA WEB VULNERABILIDAD En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.
21. Algunas vulnerabilidades típicas suelen ser: Desbordes de pila y otros buffers. Errores en la validación de entradas como: inyección SQL, BUGen el formato de cadenas, etc. Secuestro de sesiones. Ejecución de código remoto(RFI) y XSS.
28. 3 CASO PRÁCTICO: Base de Datos de una clínica PROBLEMA Una clínica cuenta con una BD que contiene aprox. 1000 registros sobre sus pacientes El servidor de aplicaciones que accede a esta BD se encuentra en un DMZ Los datos de transferencia, así como los contenidos en la BD no estaban encriptados La aplicación es vulnerable a un SQL Injection. La base de datos puede almacenar desde 10000 a 500000 registros
29. Análisis Cuantitativo Por medio de un análisis de impacto de negocio, se sabe que la reposición de cada registro tiene un costo de $30. Para calcular el gasto total se usa el SLE (Expectativa de pérdida única) 𝐒𝐋𝐄=(𝐕𝐚𝐥𝐨𝐫 𝐝𝐞𝐥 𝐚𝐜𝐭𝐢𝐯𝐨)∗(𝐅𝐚𝐜𝐭𝐨𝐫 𝐝𝐞 𝐄𝐱𝐩𝐨𝐬𝐢𝐜𝐢𝐨𝐧)
30. Análisis Cuantitativo El valor del activo es $30. El factor de exposición puede variar. Se toma 500000 por la cantidad máxima de registros que pueden perderse 𝑺𝑳𝑬=(𝟑𝟎)∗(𝟓𝟎𝟎𝟎𝟎𝟎) 𝑺𝑳𝑬=$𝟏𝟓𝟎𝟎𝟎𝟎𝟎𝟎
31. Análisis Cualitativo Se observa el impacto del problema recae sobre Reputación de la institución El tipo de ataque es simple y una vez descubierta la vulnerabilidad puede seguir siendo realizado El alto número de registros confidenciales perdidos (Pueden llegara a 500000)
32. Análisis Cualitativo Las pérdidas monetarias en reposiciones, asciende a $15000000. De todos estos casos se puede concluir que el impacto sobre la empresa es ALTO.
33. 4 CASO PRÁCTICO: METODOLOGIA RISK IT La consultora en procesos de negocio de IT “E-STRATEGA” es una de las consultoras de mayor prestigio en Latinoamérica. Estudia todo lo referido a la gestión de procesos de negocio y las buenas prácticas que se deben seguir en cada etapa de sus actividades relacionadas a la planificación, operación, seguridad entre otros aspectos. Para ellos hace uso de una serie de metodologías que se enmarcan en distintos ambientes., entre ellas tenemos el RISK IT