Trabajo Prctico #6

Gobierno de Tecnologa y Auditora de los Sistemas de Informacin.

Karen Yineth Gelasio Estupin

Karen Yineth Gelasio Estupin

Ejercicios Prcticos de GTIySI (EJ:6) Taller Ejecucin del anlisis y evaluacin de riesgos Identificacin de riesgos Propsito: Ayudarle a entender como identificar los riesgos de seguridad de la nformacin. Primera Parte Instrucciones: 1. Identifique los procesos de negocio dentro del alcance definido en trabajo prctico anterior Establecimiento de contexto. 2. Seleccione uno de los procesos e identifique sus actividades3. Identifique los activos del proceso lstelos y clasifquelos

Karen Yineth Gelasio Estupin

Procesos:

Agregar Producto. Modificar Producto. Eliminar Producto. Consultar Producto. Agregar Cliente. Modificar Cliente. Consultar Cliente. Solicitar Pedido Consultar Pedido. Anular Pedido. Despachar Pedido. Seguimiento de pedido. Solicitar Cotizacin. Enviar Cotizacin. Registrar Queja Consultar Queja. Seguimiento de Queja. Mantener Queja. Solicitar Cotizacin 1- El cliente se registra en el sitio web 2- El cliente accede a su sesin. 3- El cliente accede a la opcin Nuestros Productos. 4- El cliente selecciona buscar producto por catlogo o por buscador. a. Si elige emplear el catlogo, accede a la clasificacin por categoras. b. Si elige emplear el buscador ingresa una palabra clave que sirva como patrn de bsqueda del producto. 5- Acciona botn de bsqueda. 6- Si el producto fue encontrado: a. Consulta caractersticas. b. Revisa formas disponibles de pago. c. Verifica zonas de cubrimiento de envo. d. Verifica formas de envo. e. Consulta garanta ofrecida. f. Si el producto satisface al cliente solicita la cotizacin. g. El cliente confirma su direccin de correo. h. Cierra sesin.

Proceso: Actividades del proceso:

Karen Yineth Gelasio Estupin

7- Si el producto no fue encontrado: a. El cliente puede buscar otro producto y regresa a la actividad 4 del proceso. b. El cliente cierra sesin.

Activos del Proceso Pgina Web Aplicacin web para transacciones. Sistema de Gestin de Clientes. Base de datos de Clientes. Sistema de Inventarios. Usuario y contrasea del cliente Servidores. Hardware y equipamiento. Servicio de comunicaciones. Red.

Clasificacin Primario. Primario Primario. Primario. Primario Primario. Soporte Soporte. Soporte Soporte.

Segunda Parte Instrucciones: 1. Identifique la vulnerabilidades que puedan ser explotadas por las amenazas identificadas y causar dao al activo 2. Liste las vulnerabilidades en relacin al activo y amenazas previamente Identificadas

Vulnerabilidades del proceso.

*Requiere ser soportado por un navegador de internet con caractersticas especficas. *Velocidad de conexin dependiente al nmero de usuarios. *Tiempo de respuesta de cotizacin superior al esperado del cliente. *Prdida/olvido de usuario/contrasea del cliente *Contrasea insegura. *Informacin desactualizada. *Aceptacin de consultas inseguras *Certificados Vencidos *Falla en validacin de datos.

Karen Yineth Gelasio Estupin

*Informacin desactualizada. *Almacenamiento inseguro de backups. *Informacin publicada incorrectamente. *nica forma de pago. *Falta de conocimiento del Usuario *Suplantacin de identidad *Manejo pobre de contraseas *Tabla de contraseas no protegida *Acceso a la pgina web por medio de dispositivos mviles inseguros. *Firewall desactivado. Activo: Pgina Web Vulnerabilidades del Activo: Requiere ser soportado por un navegador de internet con caractersticas especficas. Puede ser explotada por: Cliente que emplea versiones obsoletas de navegadores web.

Velocidad de conexin dependiente al nmero de Cantidad de usuarios conectados superior a la usuarios. soportada. Suministro de energa Activo: Aplicacin web para transacciones. Vulnerabilidades del Activo: Certificados vencidos. Suministro de energa nica forma de pago. Activo: Sistema de Gestin de Clientes Vulnerabilidades del Activo: Suministro de energa. Activo: Sistema de Inventarios Vulnerabilidades del Activo: Informacin desactualizada. Suministro de energa Puede ser explotada por: Cliente que solicita un producto que no est disponible. Corte de energa que interrumpa la operacin del servidor. Puede ser explotada por: Corte de energa que interrumpa operacin del servidor. Puede ser explotada por: Phising,redireccionamiento. Corte de energa que interrumpa la operacin del servidor donde reside la aplicacin. Cliente reacio a realizar transacciones monetarias en lnea. Corte de energa que interrumpa operacin del servidor.

Karen Yineth Gelasio Estupin

Activo: Usuario y Contrasea Vulnerabilidades del Activo: Contrasea insegura Activo: Base de datos de clientes Vulnerabilidades del Activo: Aceptacin de consultas inseguras Falla en validacin de datos. Informacin desactualizada. Almacenamiento inseguro de backup. Activo: Hardware y Equipamiento Vulnerabilidades del Activo: Inflamable Puede ser explotada por: Chispa de corto circuito. Personal no capacitado para el manejo de extintores. Equipo que no tiene garanta, no cubre necesidades o con errores de fabricacin. Corte del suministro elctrico. Aplicaciones que requieran recursos especficos y no se ejecuten en todas las arquitecturas. Acceso a centros de cmputo por personal no autorizado. Prdida de suministro de energa. Descarga elctrica.. Fenmenos meteorolgicos. Sobrecupo de equipos en un espacio pequeo Personal no capacitado. Radiacin electromagntica. Polvo,corrosin,congelamiento. Puede ser explotada por: Intercepcin intencional. Puede ser explotada por: Inyeccin SQL Informacin errnea. Personal no capacitado. Condiciones del entorno,humedad,polvo. Puede ser explotada por: Ataque intencional. Prdida/olvido de usuario/contrasea del cliente. Ataque intencional.

Tecnologa no probada. Suministro de energa Equipo obsoleto. Ubicacin insegura. Susceptibilidad a variaciones de voltaje-Ausencia de UPS Susceptibilidad a variaciones de temperaturaAusencia de mecanismos de ventilacin y/o refrigeracin. Ausencia de control eficiente en cambios de configuracin Sensibilidad a radiacin electromagntica Susceptibilidad a la humedad,polvo y suciedad Vulnerabilidades del Activo: Falla en polticas de seguridad. Activo:Red

Karen Yineth Gelasio Estupin

Vulnerabilidades del Activo: Falla en activacin y desactivacin de derechos de acceso a las redes. Conexin no segura.

Puede ser explotada por: Ataque intencional. Ataque intencional.

Tercera Parte

Instrucciones: 1. Seleccione uno de los activos e identifique amenazas que le puedan daar 2. Liste las amenazas identificadas

Activo: Hardware y Equipamiento Fuente (Agente): Accide Ambie Deliber ntal. ntal. ada. Inflamable Tecnologa no probada Suministro de energa Equipo Obsoleto Ubicacin Insegura X X X X X X X X X Fuego Falla de equipo Prdida de suministro de energa Mal funcionamiento del equipo Acceso de personal no autorizado. Dao Fsico Falla tcnica Prdida de servicios esenciales Dao fsico Compromiso de informacin Acciones no autorizadas. Compromiso de informacin Dao fsico Evento natural Evento Natural Amenazas (Evento): Tipo:

Almacenamiento no protegido Susceptibilidad a variaciones de voltaje Susceptibilidad a variaciones de temperatura Copia no controlada X X

Robo de medios o documentos Fenmenos climticos. Catstrofe natural

Robo de medios o documentos

Compromiso de informacin

Karen Yineth Gelasio Estupin

Sensibilidad a radiacin electromagntica Susceptibilidad a la humedad,polvo y suciedad

X X

X X

X X

Radiacin electromangntica Polvo, corrocin, congelamiento

Perturbacin debido a la radiacin Dao fsico

Cuarta Parte

Instrucciones:

1. identifique las consecuencias que la prdida de confidencialidad, integridad y disponibilidad pudiera tener en los activos 2. Liste las amenazas identificadas

Activo: Hardware y Equipamiento Vulnerabilidad Inflamable Amenaza Fuego Consecuencia Interrupcin del servicio Prdida de reputacin Alteracin del funcionamiento interno Costos financieros de emergencia o reparacin Interrupcin del servicio Incapacidad de cumplimientos legales y normativos Prdida de reputacin Costos financieros reparacin Interrupcin del servicio Alteracin del funcionamiento interno

Tecnologa no probada

Falla de equipo

Suministro de energa

Prdida de suministro de energa

Karen Yineth Gelasio Estupin

Equipo Obsoleto

Mal funcionamiento del Interrupcin del servicio equipo Alteracin del funcionamiento interno Costos financieros reparacin Acceso de personal no autorizado. Prdida de reputacin Fuga de informacin Incumplimiento relacionados con informacin personal

Ubicacin Insegura

Almacenamiento no protegido

Robo de medios o documentos

Prdida de reputacin Fuga de informacin Incumplimiento relacionados con informacin personal

Susceptibilidad a variaciones de voltaje Susceptibilidad a variaciones de temperatura

Fenmenos climticos. Fenmeno Climtico Interrupcin del servicio Alteracin del funcionamiento interno

Copia no controlada

Robo de medios o documentos

Prdida de reputacin Fuga de informacin Incumplimiento relacionados con informacin personal

Sensibilidad a radiacin electromagntica

Radiacin electromagntica

Interrupcin del servicio Incapacidad de cumplimientos legales y normativos

Karen Yineth Gelasio Estupin

10

Prdida de reputacin Alteracin del funcionamiento interno Costos financieros de emergencia o reparacin Susceptibilidad a la humedad, polvo y suciedad Polvo, corrosin, congelamiento Interrupcin del servicio Costos financieros reparacin