> REPLACE THIS LINE WITH YOUR PAPER IDENTIFICATION NUMBER (DOUBLE-CLICK HERE TO EDIT) <
Anlisis de Riesgo Activos Informticos
Compaa Proveedora de Servicios TI (Agosto 2016) Jhon Jairo Rojas, Jose Caicedo, y Omar Brito AbstractThe following paper consists in presenting the risk analysis of three types of information security technologies. These were chosen as the following: a published web page, an active directory server, and a firewall. Each was associated with three risks, from where descriptions, vulnerabilities, threats and consequences were defined, all of which were taken into account by the use of the ISO 27001 international standard. Finally, a risk analysis table is presented, in order to evaluate each asset with its risks and associated impact. Index Terms Activo, Amenaza, Anlisis de Riesgo, Directorio Activo, Firewall, Impacto, Publicacin de Pgina Web.
I.
INTRODUCCIN
el presente, existe un creciente nmero de ataques
informticos que comprometen los recursos y la informacin de la empresa atacada. Esto significa que entre ms ataques hayan, habr ms informacin expuesta a la visibilidad de gente, cuyos propsitos, en su mayora, son ilegales. Es por eso que contemplar robustecer la seguridad informtica de empresas es menester para sobrevivir en un mundo tan competitivo como el actual. El anlisis de riesgos es un proceso importante de la seguridad informtica, en el que se evalan los riesgos de activos de una empresa y los impactos asociados a la materializacin de dichos riesgos. El presente documento contiene un anlisis de riesgos de tres activos tecnolgicos de seguridad informtica. Cada activo estar asociada a tres riesgos, de los cuales sern extraidos una descripcin, las vulnerabilidades, amenazas y las consecuencias. Al final se asocia el impacto de la materializacin de cada uno de los riesgos listados. N
II. PUBLICACIN DE PGINA WEB
... ... III. DIRECTORIO ACTIVO
IV.
FIREWALL
Como tercer activo analizado se escogi el firewall, que es
un equipo escencial de la seguridad informtica de una firma ya que es la compuerta que administra la entrada y salida de trfico entre dos o ms redes conectadas a l. Los tres riesgos escogidos para el firewall se describen a continuacin.
A. Acceso de Personas no Autorizadas
El primer caso consiste en analizar el riesgo de encontrar personas no autorizadas ingresando a la configuracin del firewall, presentado a continuacin: Riesgo: Acceso de personal no autorizado a la configuracin del firewall. Vulnerabilidad: Falla en control de accesos y la falta de aplicacin de parches de seguridad en el firewall. Amenaza: El cambio no controlado de la configuracin del firewall. Consecuencias: Habrn efectos inesperados en los servicios principales de la compaa. Al hacer la evaluacin del acceso de personal no autorizado al firewall con el estandar internacional IEC/ISO 27001:2013, se toma en cuenta el control A.9.4.1. - Information Access Restriction. Dicha referencia consiste en la restriccin al acceso a informacin y a aplicaciones de sistemas de acuerdo a polticas de control de acceso. B. Lentitud en los Servicios El segundo caso consiste en el anlisis de riesgo asociado a la lentitud de servicios, presentado a continuacin: Riesgo: La lentitud de la red al acceder a los servicios de la compaa situados tanto en Internet como en diferentes redes. Vulnerabilidad: Mal dimencionamiento del equipo desde la etapa de preventa. Amenaza: Fallas y latencia en la operacin de la organizacin. Consecuencias: La inversion no prevista de otro equipo y limitacin de mejora continua de la red. Para usar el IEC/ISO 27001:2013 en el riesgo en mencin, el punto A.11.2.4 Equipment Maintenance. Este control se implementa para la supervision del mantenimiento del equipo para as asegurar su disponibilidad e integridad. Con ste control es ms viable re-dimensionar el firewall al instante en el que haya evidencia de lentitud en las operaciones debido a l. C. Indisponibilidad de Servicios Permitidos Por ultimo, se analizar el riesgo de crear indisponibilidad de acceso a servicios importantes del cliente por errores en la configuracin, presentado a continuacin: Riesgo: Indisponibilidad de acceso a servicios importantes del cliente.
> REPLACE THIS LINE WITH YOUR PAPER IDENTIFICATION NUMBER (DOUBLE-CLICK HERE TO EDIT) <
Vulnerabilidad: Falta de conocimiento del ingeniero o
administrador del firewall. Amenaza: Fallas en las operaciones bsicas del cliente. Consecuencias: La prdida de confianza en el proveedor.
La referencia a usar es el punto 7.2.a en el IEC/ISO
27001:2013. Ah se habla de la competencia del empleado trabajando, ya que con la existencia de conocimientos insuficientes, existir el riesgo de una configuracin equivocada que afecte el desempeo de la seguridad informtica.