Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD ESTATAL PENÍNSULA DE SANTA ELENA FACULTAD DE SISTEMAS Y TELECOMUNICACIONES Carrera de Tecnologías de la Información Asignatura: Seguridad de las TI Profesor: Daniel Quirumbay Fecha: 25/08/2021 Integrantes: Orrala Domínguez Mariela Balón de la cruz Mayra Catuto Malavé Josthin Tema: Análisis de Riesgo Magerit Amazon Amazon.com, Inc. es una empresa de venta por correo de comercio electrónico, con sede en Seattle, Washington. Todas sus transacciones de venta se realizan exclusivamente por vía electrónica. Amazon divide su tienda en dos partes. Por un lado, está el negocio minorista, donde compra productos a terceros y los vende bajo su marca. Por otro está el Marketplace. Aquí las empresas comercializan sus productos directamente, pero a través de la web del gigante de ecommerce. En este caso, las empresas pueden optar por usar la logística de Amazon o la propia. Catálogo de amenazas Elaborar el catalogo de amenazas en base a los riesgos que indica magerit, se toman solo los riesgos que serán relevantes para el caso de esta organización, para ello se tomaron los siguientes riesgos: Amenazas Descripción Desastres naturales Incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento de tierras Errores de los usuarios Equivocaciones de las personas cuando usan los servicios, datos, etc. Errores de la configuración Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. Caída del sistema por agotamiento de recursos La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada. Difusión de software dañino Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc. Ataques intencionados Fallos deliberados causados por las personas. Con las amenazas seleccionadas procedemos a darle un valor de probabilidad de que ocurra dicha amenaza. Para evaluar la probabilidad se utilizará una escala de 1 a 5 valores, además de las dimensiones a las que afectaría dicha amenazada como lo establece magerit. 5- Extremadamente probable 4- Muy probable 3- Probable 2- Poco probable 1- Probabilidad prácticamente despreciable Amenaza Dimensiones afectadas Probabilidad de Amenaza Desastres naturales disponibilidad 1 Errores de los usuarios Disponibilidad, integridad, confidencialidad 4 Errores de la configuración integridad 3 Caída del sistema por agotamiento de recursos disponibilidad 5 Difusión de software dañino Disponibilidad, integridad, confidencialidad 5 Ataques intencionados Disponibilidad, integridad, confidencialidad 4 Mapa de procesos · Procesos de ventas · Sistema web de ventas · Mail de atención a clientes · Sistema de facturación · Proceso de compra · Compra a minoristas y mayoristas · Mail corporativo · Proceso de entrega · Sistema de entregas · Sistema de operaciones · Aplicación de factura electrónica Análisis de Impacto al Negocio Identificando las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información ‘activos’); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre. Nuestro Análisis de Impacto se realizará a la Empresa Amazon, para ello vamos a valorar el impacto que tendría un compromiso en la Confidencialidad, Integridad o Disponibilidad de la información asociada a cada uno de los procesos de negocio que acabamos de identificar. Esta valoración, además, considerará diferentes ámbitos en los que puede existir un impacto de la Compañía Amazon. Algunos ejemplos de ámbitos posibles son: · Económico · Errores de los usuarios · Errores de la configuración · Caída del sistema por agotamiento de recursos · Legislativo/regulatorio · Ataques intencionados · Operativo · Ambiental · Daño a las personas · Daño a la imagen de la empresa o pérdida de confianza de sus clientes Amazon es una compañía que ofrece servicios de comercio electrónico, algunos ámbitos no son de aplicación como daño a las personas por ende vamos a valorar los impactos Económicos y daño medioambiental: 1. Económico Legislativo/ regulatorio Muy Bajo Menos de 500 Bajo Entre 500 y 900 Medio Entre 2500 y 500 Mil Apercibimiento Alto Entre 100 y 200 Millones Multa o sanción Muy Alto Más de 746 Millones Sanciones La escala de valores que utilicemos deberá estar alineada con las cifras de negocio que maneje la organización que estamos analizando. La capitalización de mercado de Amazon se valoró en más de USD 1600 mil millones a principios de septiembre de 2020. Analicemos por tanto el impacto para cada uno de los procesos de negocio: Si analizamos la confidencialidad del proceso de venta a los clientes, podemos ver que un compromiso en la confidencialidad de la información del proceso tendrá un impacto económico muy alto, puesto que la aplicación trata con los datos personales de los clientes y las multas en su rango más bajo. En lo que se refiere a impacto legislativo, estaríamos en un nivel Alto, puesto que se pueden dar multas o sanciones por organismo regulador. La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) ha impuesto una multa de 746 millones de euros a Amazon al considerar que el tratamiento de datos personales por parte de la empresa no cumplía con la normativa sobre la protección de datos de la Unión Europea Realizaremos un análisis similar para la Integridad y la Disponibilidad (en este caso valoraremos el impacto de que el proceso no funcione durante 1 hora, 1 día o 1 semana): Proceso de venta a los clientes Económico Valoración Legislativo Valoración Confidencialidad Muy Alto 5 Alto 5 Integridad Muy Alto 5 Alto 4 Disponibilidad 1 hora Muy Bajo 5 1 día Bajo 1 1 semana Medio 3 Finalmente, para cada una de las dimensiones nos quedamos con el impacto más alto de entre las categorías que estamos valorando. quedará de la siguiente guía: Confidencialidad Integridad Disponibilidad 1 hora 1 día 1 semana Venta 5 5 1 2 3 Compra 3 5 0 0 1 Entrega 5 5 0 0 2 Nivel de Riesgo Tolerable Una vez finalizado el análisis de riesgo ya estamos en disposición de establecer cuál es el nivel de riesgo tolerable para nuestra organización. Es decir, dónde vamos a establecer la línea que separará los riesgos aceptables de aquellos que requieran acciones urgentes para su resolución. Establece este umbral teniendo en cuenta que no desea aceptar riesgos altos puedan suponerle multas o sanciones ni, por supuesto, la revocación de su licencia para vender online, es decir, que no se tolerarán riesgos con un valor de 4 o 5. INVENTARIO DE ACTIVOS Y MAPA DE DEPENDENCIAS Una vez finalizado los procesos anteriores y el umbral de riesgos definido, necesitamos disponer del inventario de activos y el mapa de dependencias antes de iniciar propiamente el análisis de riesgos. INVENTARIO DE ACTIVOS APLICACIONES: · Aplicación Venta de Articulos (APP_Venta) · Aplicación de facturación (App_facturaciónelectronica) BASES DE DATOS: Amazon está disponible para varios tipos de instancias de base de datos (optimizadas para memoria, rendimiento u operaciones de E/S) y le proporciona seis motores de bases de datos conocidos entre los que elegir, incluidos Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle Database y SQL Server. SISTEMAS: Esto cuenta con el respaldo de un amplio conjunto de herramientas de seguridad en la nube, con 230 servicios y características de seguridad, conformidad y gobernanza. AWS (Amazon Webservice) es compatible con 90 estándares de seguridad y certificaciones de conformidad y los 117 servicios de AWS que almacenan datos de los clientes ofrecen la función de cifrar esos datos. · Sistema A (Linux + Apache) · Sistema B (nube) · Sistema C (Windows 2008 Server) Las aplicaciones se ejecutan en el Sistema A, el Sistema B aloja el correo electrónico y el Sistema C tiene el SQL Server con las bases de datos identificadas. Veamos ahora nuestro mapa de dependencias: · Proceso de VENTA · App_venta -> Sistema A · BD_clientes -> Sistema C · App_eMail -> Sistema B · App_facturación -> Sistema A · BD_clientes -> Sistema C · Proceso de COMPRA · App_venta -> Sistema A · App_eMail -> Sistema B · Proceso de ENTREGA · -> App_venta -> Sistema A · BD_clientes -> Sistema C · BD_Operaciones -> Sistema C · App_Mail -> Sistema B · App_facturación -> Sistema A · BD_clientes -> Sistema C El siguiente paso a realizar es coger cada uno de los activos de nuestro inventario (o tipología de activo si se quiere simplificar) y analizar si son o no vulnerables a cada una de las amenazas identificadas en nuestro catálogo: APLICACIONES BASE DE DATOS SISTEMAS Desastres Naturales NO VULNERABLE NO VULNERABLE NO VULNERABLE Errores usuarios VULNERABLE NO VULNERABLE NO VULNERABLE Errores de la configuración VULNERABLE NO VULNERABLE NO VULNERABLE Caída del sistema por agotamiento de recursos NO VULNERABLE VULNERABLE VULNERABLE Difusión de software dañino VULNERABLE VULNERABLE VULNERABLE Ataques intencionados VULNERABLE VULNERABLE VULNERABLE PLAN DE TRATAMIENTO DE RIESGOS Hay diversos riesgos y para cada uno de estos riesgos tendremos las siguientes alternativas: · Evitarlo: Dejar de efectuar la actividad que origina el riesgo. En el caso de ejemplo, apagar el Sistema A, desconectarlo de la red y darlo de baja de nuestra organización. · Transferirlo: En ocasiones, existen riesgos que pueden transferirse a terceras empresas mediante la contratación de un seguro o la externalización de determinados servicios. · Mitigarlo: En la mayoría de los casos esta será la estrategia óptima. Consiste en establecer o mejorar los controles de seguridad del activo para reducir sus riesgos hasta niveles aceptables, bien por reducir la probabilidad de las amenazas o bien por reducir el impacto que estas tendrían en caso de materializarse. SISTEMA A IMPACTO PROBABILIDAD RIESGO INHERENTE RIESGO EFECTIVO ATAQUES INTENCIONADOS Confidencialidad: 3 Integridad: 2 Disponibilidad: 5 3 2 5 Difusión de software dañino CONFIDENCIALIDAD:3 3 5 5 Y el plan de tratamiento asociado en este caso, podría ser el siguiente: · Aumentar la frecuencia de escaneos de vulnerabilidades en el equipo para realizarlos mensualmente. · Adquirir el compromiso de resolver todas las vulnerabilidades que se detecten en el sistema en un plazo máximo de 2 meses. · Hardenizar el servidor para eliminar todos aquellos servicios que no sean necesarios.
Compartir