Análisis y Diseño de Sistemas de Información Guillermo Alfonso López Especialización en Telemática y Redes UMB 2013
1. Metodología de análisis de Riesgos Partimos de una supuesta empresa de seguros. La información de clientes se guarda y se protege. La información de activos y pasivos se guarda y se protege. Se escoge MAGERIT puesto que se hace el estudio basado en costos.
1. Metodología de análisis de Riesgos La información transaccional se procesa a través de terceros cuando se hace directamente con los bancos. La información de inversiones en bolsa se guarda y se protege. La empresa es pequeña y ofrece servicios básicos de seguros sin sucursales.
1. Metodología de análisis de Riesgos MAGERIT (España – 2007). Esta metodología de análisis de riesgos permite acerca al personal gerencial a los informes de seguridad y visionar vulnerabilidades de forma más clara y medir el impacto que un ataque puede causar al entorno de trabajo y a los activos.
1. Metodología de análisis de Riesgos Pasos siguiendo pautas Magerit: Toma de datos. Dimensionamiento. Análisis de activos. Amenazas. Vulnerabilidades. Impactos. Análisis de riesgos intrínsecos. Influencia de controles. Análisis de riesgos efectivos. Evaluación de datos de riesgos.
1. Metodología de análisis de Riesgos Sólo se hará referencia a los puntos anteriores pero y se dará a conocer cómo trabaja esta metodología para ofrecer datos de valor de tipo gerencial en determinados activos de la empresa.
1. Metodología de análisis de Riesgos Parámetros para medición: COSTO DE ACTIVOS Sigla Significado Valor aproximado MA Muy Alto $200.000.000 A Alto $50.000.000 M Medio $20.000.000 B Bajo $5.000.000 MB Muy bajo $1.000.000
1. Metodología de análisis de Riesgos Parámetros para medición: VULNERABILIDAD DE LOS ACTIVOS Sigla Significado Ocurrencia EF Extremadamente Frecuente 1 MF Muy Frecuente 0,080 F Frecuente 0,040 FN Frecuencia normal 0,020 PF Poco Frecuente 0,005
1. Metodología de análisis de Riesgos Parámetros para medición: IMPACTO SOBRE ACTIVOS Sigla Significado Porcentaje clasificación A Alto 70 M Medio 30 B Bajo 5
1. Metodología de análisis de Riesgos Parámetros para medición: VALORACION DE LOS ACTIVOS Previamente en la fase de análisis de activos, se les asigna un código para su identificación, además de un valor aproximado que depende de la empresa y sus políticas. Código Activo Activo Valor ARH034 Datos personal y clientes $200.000.000 AIT2 Servidores Virtualización $85.000.000 AIT5 Servidor Web $10.000.000 TOTAL $295.000.000
1. Metodología de análisis de Riesgos Parámetros para medición: AMENAZAS Código Amenaza Vulnerabilidad Impacto Activos Riesgo Intrínseco AM1 Terremoto PF 0.005 A 70 $295.000.000 $1’032.500 AM4 Problemas de hardware MF 0.080 M 30 $7’080.000 AM7 Acceso no autorizado a BD $442.500 AM21 No hay personal FN 0.020 B 5 $29.500 TOTAL $1180.000.000 $8’584.500
1. Metodología de análisis de Riesgos Parámetros para medición: AMENAZAS Diferentes tipos de amenazas pueden ser tenidas en cuenta. Ya sean globales, de tipo natural o específicas de tipo ataque externo y se les asigna un código. Para el cálculo de los datos de riesgo intrínseco se tiene en cuenta la siguiente fórmula: Valor de Activos * Vulnerabilidad * (impacto/100) = Riesgo intrínseco
1. Metodología de análisis de Riesgos Parámetros para medición: CONTROLES A AMENAZAS Se establece una relación entre las amenazas, disminución de la vulnerabilidad y disminución del impacto. Amenaza Control Disminución Vulnerabilidad Disminución Impacto AM1 CON3 A 70 B 60 AM4 CON7 65 AM7 CON9 M 25 10 AM21 CON25 4 2
1. Metodología de análisis de Riesgos Parámetros para medición: RIESGO EFECTIVO (Amenaza x Activo) Para este caso se elabora una tabla más compleja donde se tienen en cuenta valores de los cálculos anteriores, los activos, las amenazas y los porcentajes de disminución de vulnerabilidades y de impacto. La fórmula para obtener el Riesgo Efectivo es: Riesgo Intrínseco * (1-Disminución Vulnerabilidad) * (1-Disminución Impacto) = Riesgo Efectivo. Los valores específicos para cada Activo Vs Amenaza se sacan basados en el porcentaje del total de activos y su representación con el Riesgo Efectivo por Amenaza.
1. Metodología de análisis de Riesgos RIESGO EFECTIVO (Amenaza x Activo) Riesgo Efectivo Activos Amenazas AM1 AM4 AM7 AM21 Riesgo Efectivo por Activo Código Valor Descripción Terremoto Problemas Hardware Acceso no autorizado a BD No personal Vulnerabilidad 0.005 0.080 0.020 Impacto (%) 70 30 5 Disminución Vulnerabilidad (%) 65 25 4 Disminución Impacto (%) 60 10 2 ARH34 $200.000.000 Datos personal y clientes $84.211 $674.016 $203.107 $18.872 $980.206 AIT2 $85.000.000 Servidores Virtualización $35.914 $287.448 $86.619 $8.048 $418.029 AIT5 $10.000.000 Servidor Web $3.715 $29.736 $8.961 $833 $43.245 Riesgo Efectivo x Amenaza 123.840 991.200 298.687 27.753 $1’441.480
2. Salvaguardas o Controles La empresa de Seguros usa un software especializado de seguros llamado SISE el cual maneja el CORE del negocio. Este es un Sistema transaccional. Este software lee datos de otros productos. COGNOS procesa datos de ganancia/pérdidas y genera cubos de información para estadísticas. Las estadísticas y datos de COGNOS permiten tomar decisiones estratégicas de la empresa.
2. Salvaguardas o Controles La información de COGNOS no está guardada en las bases de datos del software de forma segura. Es necesario encriptar los datos de las tablas de COGNOS y configurar el software para que haga las lecturas correctas. La encriptación de puede realizar mediante hardware (costosa) o mediante software. El motor de base de datos Sybase puede proporcionar la encriptación de los datos de las tablas pero la aplicación COGNOS debe ser compatible con esto. Estaba en proceso hace un tiempo la implementación de COGNOS 8 en lugar de COGNOS 7. Esta nueva versión soporta encriptación AES 256 de sus datos de forma nativa.
3. Herramientas CASE Permite entender el software que se quiere analizar de forma más sencilla. Permite ver de forma separada o por módulos los procesos que se quieren estudiar. Permiten generar la documentación de forma automática ahorrando mucho tiempo. Permite hacer seguimiento total o parcial al ciclo de vida del software que se está desarrollando. Además de sacar partido de otras ventajas dependiendo del rol que se ejerza sobre el proyecto.