Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Amazon Amazon.com, Inc. es una empresa de venta por correo de comercio electrónico, con sede en Seattle, Washington. Todas sus transacciones de venta se realizan exclusivamente por vía electrónica. Amazon divide su tienda en dos partes. Por un lado, está el negocio minorista, donde compra productos a terceros y los vende bajo su marca. Por otro está el Marketplace. Aquí las empresas comercializan sus productos directamente, pero a través de la web del gigante de ecommerce. En este caso, las empresas pueden optar por usar la logística de Amazon o la propia. Catálogo de amenazas Elaborar el catalogo de amenazas en base a los riesgos que indica magerit, se toman solo los riesgos que serán relevantes para el caso de esta organización, para ello se tomaron los siguientes riesgos: Amenazas Descripción Desastres naturales Incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento de tierras Errores de los usuarios Equivocaciones de las personas cuando usan los servicios, datos, etc. Errores de la configuración Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. Caída del sistema por agotamiento de recursos La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada. Difusión de software dañino Propagación inocente de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc. Ataques intencionados Fallos deliberados causados por las personas. Con las amenazas seleccionadas procedemos a darle un valor de probabilidad de que ocurra dicha amenaza. Para evaluar la probabilidad se utilizará una escala de 1 a 5 valores, además de las dimensiones a las que afectaría dicha amenazada como lo establece magerit. 5- Extremadamente probable 4- Muy probable 3- Probable 2- Poco probable 1- Probabilidad prácticamente despreciable Amenaza Dimensiones afectadas Probabilidad de Amenaza Desastres naturales disponibilidad 1 Errores de los usuarios Disponibilidad, integridad, confidencialidad 4 Errores de la configuración integridad 3 Caída del sistema por agotamiento de recursos disponibilidad 5 Difusión de software dañino Disponibilidad, integridad, confidencialidad 5 Ataques intencionados Disponibilidad, integridad, confidencialidad 4 Mapa de procesos · Procesos de ventas · Sistema web de ventas · Mail de atención a clientes · Sistema de facturación · Proceso de compra · Compra a minoristas y mayoristas · Mail corporativo · Proceso de entrega · Sistema de entregas · Sistema de operaciones · Aplicación de factura electrónica ------------------------------------------------------------------------------------- DESDE AQUÍ VA TU PARTE ANDREINA -------------------------------------------------------------------------------------------- INVENTARIO DE ACTIVOS Y MAPA DE DEPENDENCIAS Una vez finalizado los procesos anteriores y el umbral de riesgos definido, necesitamos disponer del inventario de activos y el mapa de dependencias antes de iniciar propiamente el análisis de riesgos. INVENTARIO DE ACTIVOS APLICACIONES: 1. Aplicación Venta de Articulos (APP_Venta) 1. Aplicación de facturación (App_facturaciónelectronica) BASES DE DATOS: Amazon está disponible para varios tipos de instancias de base de datos (optimizadas para memoria, rendimiento u operaciones de E/S) y le proporciona seis motores de bases de datos conocidos entre los que elegir, incluidos Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle Database y SQL Server. SISTEMAS: Esto cuenta con el respaldo de un amplio conjunto de herramientas de seguridad en la nube, con 230 servicios y características de seguridad, conformidad y gobernanza. AWS (Amazon Web service) es compatible con 90 estándares de seguridad y certificaciones de conformidad y los 117 servicios de AWS que almacenan datos de los clientes ofrecen la función de cifrar esos datos. 1. Sistema A (Linux + Apache) 1. Sistema B (nube) 1. Sistema C (Windows 2008 Server) Las aplicaciones se ejecutan en el Sistema A, el Sistema B aloja el correo electrónico y el Sistema C tiene el SQL Server con las bases de datos identificadas. Veamos ahora nuestro mapa de dependencias: 1. Proceso de VENTA 1. App_venta -> Sistema A 1. BD_clientes -> Sistema C 1. App_eMail -> Sistema B 1. App_facturación -> Sistema A 1. BD_clientes -> Sistema C 1. Proceso de COMPRA 0. App_venta -> Sistema A 0. App_eMail -> Sistema B 1. Proceso de ENTREGA 0. -> App_venta -> Sistema A 0. BD_clientes -> Sistema C 0. BD_Operaciones -> Sistema C 0. App_Mail -> Sistema B 0. App_facturación -> Sistema A 0. BD_clientes -> Sistema C El siguiente paso a realizar es coger cada uno de los activos de nuestro inventario (o tipología de activo si se quiere simplificar) y analizar si son o no vulnerables a cada una de las amenazas identificadas en nuestro catálogo: APLICACIONES BASE DE DATOS SISTEMAS Desastres Naturales NO VULNERABLE NO VULNERABLE NO VULNERABLE Errores usuarios VULNERABLE NO VULNERABLE NO VULNERABLE Errores de la configuración VULNERABLE NO VULNERABLE NO VULNERABLE Caída del sistema por agotamiento de recursos NO VULNERABLE VULNERABLE VULNERABLE Difusión de software dañino VULNERABLE VULNERABLE VULNERABLE Ataques intencionados VULNERABLE VULNERABLE VULNERABLE PLAN DE TRATAMIENTO DE RIESGOS Hay diversos riesgos y para cada uno de estos riesgos tendremos las siguientes alternativas: 1. Evitarlo: Dejar de efectuar la actividad que origina el riesgo. En el caso de ejemplo, apagar el Sistema A, desconectarlo de la red y darlo de baja de nuestra organización. 1. Transferirlo: En ocasiones, existen riesgos que pueden transferirse a terceras empresas mediante la contratación de un seguro o la externalización de determinados servicios. 1. Mitigarlo: En la mayoría de los casos esta será la estrategia óptima. Consiste en establecer o mejorar los controles de seguridad del activo para reducir sus riesgos hasta niveles aceptables, bien por reducir la probabilidad de las amenazas o bien por reducir el impacto que estas tendrían en caso de materializarse. SISTEMA A IMPACTO PROBABILIDAD RIESGO INHERENTE RIESGO EFECTIVO ATAQUES INTENCIONADOS Confidencialidad: 3 Integridad: 2 Disponibilidad: 5 3 2 5 Difusión de software dañino CONFIDENCIALIDAD:3 3 5 5 Y el plan de tratamiento asociado en este caso, podría ser el siguiente: 1. Aumentar la frecuencia de escaneos de vulnerabilidades en el equipo para realizarlos mensualmente. 1. Adquirir el compromiso de resolver todas las vulnerabilidades que se detecten en el sistema en un plazo máximo de 2 meses. 1. Hardenizar el servidor para eliminar todos aquellos servicios que no sean necesarios.
Compartir