Este documento presenta 5 casos prácticos de análisis de riesgos en sistemas de información. El primer caso analiza riesgos en una aplicación móvil de una empresa de gaseosas. El segundo analiza vulnerabilidades en un sitio web. El tercer caso analiza riesgos en la base de datos de una clínica. El cuarto presenta la metodología Risk IT. Y el quinto aplica la metodología MAGERIT a la Vicepresidencia Tercera del Gobierno.

1. Análisis de Riesgos Universidad Nacional Federico Villarreal Facultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas Seguridad en Computación e Informática

2. BENITEZ PEREYRA, PAUL FRANCISCO E. CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO GARCÍA MORAUSKY, CESAR RICARDO Integrantes FLORIAN ARTEAGA, EDUARDO MIGUEL GONZALES BERNAL, JAIR ANTONIO

4. Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido.

7. Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos

8. Valoración de los activos identificados

9. Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.

10. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.

11. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.

12. Cálculo del riesgo.

14. 1 CASO PRÁCTICO Dispositivo CK3 es una tecnología móvil que se usa como plataforma para la aplicación web del sistema de trazabilidad de una compañía de gaseosas el cual es usado por los operarios en las plantas para registrar cada paleta de productos fabricados en planta como también los jefes de almacén para registrar y controlar las entradas y salidas de las paletas del almacén tanto en la planta como en los CDA’s.

15. Riesgos por parte de: Usuarios: Cuando los operarios quieren registrar dos paletas a la vez sin esperar que el primer registro se cargue, esto ocasiona que se congele el aplicativo por lo cual se genera una interrupción. Cuando los operarios dejan caer el dispositivo provocando una falla de hardware el cual implica su inoperancia para trabajar en el entorno web esto genera una interrupción. Cuando el operador no cambia de batería a pesar de la indicación de la señal de carga del dispositivo, esto provoca una des configuración del dispositivo, la cual provoca una interrupción.

16. Riesgos por parte de: Programación: Cuando hay una extensión de la producción de un producto por requerimiento del área comercial conjuntamente con los CDA’s esto en el aplicativo genera un error por exceso de paletas es decir que el aplicativo no es flexible a este caso y se genera una interrupción. Servicios de comunicación: Cuando un elemento de red presenta fallas produciendo problemas en la conexión entre el servidor del aplicativo web con el dispositivo móvil de una área de la planta esto genera una interrupción.

18. Pérdida de cuota de mercado.

20. 2 CASO PRÁCTICO: ANÁLISIS DE VULNERABILIDADES EN LA WEB VULNERABILIDAD En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

21. Algunas vulnerabilidades típicas suelen ser: Desbordes de pila y otros buffers. Errores en la validación de entradas como: inyección SQL, BUGen el formato de cadenas, etc. Secuestro de sesiones. Ejecución de código remoto(RFI) y XSS.

23. HIGH

25. LOW

28. 3 CASO PRÁCTICO: Base de Datos de una clínica PROBLEMA Una clínica cuenta con una BD que contiene aprox. 1000 registros sobre sus pacientes El servidor de aplicaciones que accede a esta BD se encuentra en un DMZ Los datos de transferencia, así como los contenidos en la BD no estaban encriptados La aplicación es vulnerable a un SQL Injection. La base de datos puede almacenar desde 10000 a 500000 registros

29. Análisis Cuantitativo Por medio de un análisis de impacto de negocio, se sabe que la reposición de cada registro tiene un costo de $30. Para calcular el gasto total se usa el SLE (Expectativa de pérdida única) 𝐒𝐋𝐄=(𝐕𝐚𝐥𝐨𝐫 𝐝𝐞𝐥 𝐚𝐜𝐭𝐢𝐯𝐨)∗(𝐅𝐚𝐜𝐭𝐨𝐫 𝐝𝐞 𝐄𝐱𝐩𝐨𝐬𝐢𝐜𝐢𝐨𝐧)

30. Análisis Cuantitativo El valor del activo es $30. El factor de exposición puede variar. Se toma 500000 por la cantidad máxima de registros que pueden perderse 𝑺𝑳𝑬=(𝟑𝟎)∗(𝟓𝟎𝟎𝟎𝟎𝟎) 𝑺𝑳𝑬=$𝟏𝟓𝟎𝟎𝟎𝟎𝟎𝟎

31. Análisis Cualitativo Se observa el impacto del problema recae sobre Reputación de la institución El tipo de ataque es simple y una vez descubierta la vulnerabilidad puede seguir siendo realizado El alto número de registros confidenciales perdidos (Pueden llegara a 500000)

32. Análisis Cualitativo Las pérdidas monetarias en reposiciones, asciende a $15000000. De todos estos casos se puede concluir que el impacto sobre la empresa es ALTO.

33. 4 CASO PRÁCTICO: METODOLOGIA RISK IT La consultora en procesos de negocio de IT “E-STRATEGA” es una de las consultoras de mayor prestigio en Latinoamérica. Estudia todo lo referido a la gestión de procesos de negocio y las buenas prácticas que se deben seguir en cada etapa de sus actividades relacionadas a la planificación, operación, seguridad entre otros aspectos. Para ellos hace uso de una serie de metodologías que se enmarcan en distintos ambientes., entre ellas tenemos el RISK IT

35. ¿EN QUE CONSISTE RISK IT?

38. Indicadores

43. Toma de datos y procesos de información

44. Establecimiento de Parámetros

45. Valoración de Activos

46. Amenazas globales

47. Controles por amenazas

48. Riesgo efectivo x activo

49. ¿Qué mira la alta gerencia?

50. CONCLUSIONES

51. RECOMENDACIONES

52. MUCHAS GRACIAS