GESTIÓN DE SEGURIDAD DE LA IMFORMACIÓN Caso de estudio: LA ERNIA Trabajo Práctico Nº 2 GRUPO Nº1: Maksimchuk, Fabio Nicoletti, Mariela Romero, Melisa Sgrinzi, Agustina Tomasella, Mauricio Planilla de Análisis de Riesgo Evento de Riesgo Robo de laptop o teléfono móvil con información critica. Intrusión a la red interna. Infecciones de virus, troyanos o gusanos. Robo de código por hackers. Probabilidad Alto Medio Alto - TERERÉ no tiene clave de acceso a la red Alto Medio Bajo Medio Alto puesto que las Impacto Medio - Perdida de ventaja competitiva, pérdida de imagen reputacional. Alto - Puede implicar la perdida de código fuente de ambas empresas. Yo lo dejaría como Medio no más x lo que había dicho el profe de que supuestamente nosotros deberíamos conocer a los empleados de tereré cuando se hace la fusión de las 2 empresas. Medio Alto - Interrupción de servicios, captura no autorizada de datos, pérdida de imagen. Alto - puede accederse a información confidencial de los empleados y códigos fuentes. Calificación Total del Riesgo Medio Alto Alto Medio Alto Alto Medio - Interrupción de servicios, captura no autorizada de datos, pérdida de productividad. Medio Alto Medio - interrupción de servicios, captura no autorizada de datos, posible pérdida de ima- Medio Medio Alto Pro del Cambio Contra del Cambio Se Implementarán más controles por la desconfianza que genera el nuevo personal perteneciente a la empresa TERERÉ. Los controles generarán rechazo y desconfianza por parte del nuevo personal que se sentirá controlado. La incorporación de una clave de acceso a la red impedirá que se acceda a información confidencial de los empleados y al código fuente. Mantener una conciencia y seguir fomentando una cultura de seguridad respecto a la importancia de contar con protección contra intrusiones. Evitar la pérdida de código fuente y demás información confiden- La concientización al personal respecto a la confidencialidad de las contraseñas y la necesidad de realizar un cambio periódico de las mismas. Costo asociado al mantenimiento, como ser pago de licencias y actualización de antivirus. Posible rechazo del personal a las nuevas operaciones a incorporar. redes están abiertas Ataque de denegación de servicios (DoS). Medio Medio Alto puesto que las redes están abiertas Brecha de Seguridad para datos personales, financieros o de clientes. Medio Bajo Infraestructura de TI fuera de servicio por tiempo prolongado. Bajo Alto Medio. Yo lo podría en Medio considerando el deficiente servicio de energía eléctrica en la zona. gen. Alto - porque la interrupción de servicios impide la operatoria. Medio - Interrupción de servicios, captura no autorizada de datos, posible pérdida de imagen. Alto - porque la interrupción de servicios impide la operatoria. Medio Alto - Imagen reputacional negativa, posible pérdida de clientes, penalidades legales. Yo lo pondría alto pero dejaría igual la justifiación porque eso representa un problema grave si no se tiene en cuenta. Alto - Perdida de productividad, posible pérdida de imagen, posible necesidad de restauración de backups. cial. Medio Medio Alto Asegurar la continuidad de los servicios. Costo de implementación de las medidas. Medio Conservar la imagen de la empresa, evitar la pérdida de clientes y la posibilidad de penalidades legales. Se establecería un marco formal de base para la protección de datos confidenciales de la empresa y sería la base para los planes de concientización de los empleados. Al no contar con un Data Center alternativo para reanudar las operaciones en caso de caídas, es de suma importancia considerar a este riesgo como de alto impacto. Idear nuevas medidas de protección. Tiempo y costo de implementación. Alto Medio - Alto Costo de contar y de no contar con la infraestructura de soporte. Utilización de software, música o videos piratas. Bajo Medio – Por la cultura de TERERÉ. Medio Alto a Alto - Perdida de imagen, pérdida de productividad, penalidades legales. Medio Ataques hacia terceros iniciados desde la empresa. Bajo Medio Alto - Perdida de imagen, perdida potencial de clientes, penalidades legales. Medio Bajo Bajo Fuga de información por intercepción de red inalámbrica Medio Alto Bajo – Existe una política que prohíbe la transferencia de archivos por wireless. Alto - porque TERERÉ no dispone de políticas de transferencia de archivos por wireless. Medio Bajo Alto Sabotaje de código fuente. Medio Bajo Medio Alto Medio Bajo - Perdida de productividad (máximo 2 días para revertir a código bueno). Medio Medio Bajo Medio Medio Alto - Posible pérdida de confidencialidad de la información crítica. Medio Alto Alto Alto - Pérdida de productividad, pérdida de información valiosa y alteración del código Alto Análisis de tráfico. Acceso a código fuente duplicado y disperso en todos los Reducir el ingreso de software espía que puede venir infiltrado en archivos piratas. Inculcar al personal de tereré que ahora forma parte de la hernia sobre la importancia de la seguridad de la información. El personal de TERERÉ se sentirá apoyado por la empresa. Ya que TERERÉ no cuenta con políticas para la transferencia de a archivos por wireless, es importante considerar este riesgo como alto y tomar las medidas correspondientes. Al no contar con políticas de seguridad para el código fuente en TERERÉ, el nuevo personal que se incorpore podría llevar a cabo sabotaje. (*) (*) Dificultad de lograr que el personal deje de descargar software de Internet. Un exceso de confianza de la empresa podría derivar en la posible realización del evento por parte del personal de TERERÉ. Rechazo del personal al no poder usar con total libertad las redes inalámbricas. Tiempo de elaboración de las políticas. (*) (*) equipos de trabajo TERERÉ. Acceso a todos los servidores en la red (incluyendo a aquellos que tienen código fuente, bibliotecas de software, información de sueldo de empleados). fuente. Medio Alto - Imagen reputacional negativa. Medio Alto (*) CREO QUE ESTE ERA EL EVENTO QUE NO IBA. Yo agregaría como evento de riesgo nuevo: Infecciones de virus, gusanos y troyanos en las terminales de los clientes y proveedores de la empresa Probabilidad de Ocurrencia: medio – alto Impacto: alto. La ocurrencia de dicho evento de riesgo ocasionaría una pérdida de imagen reputacional y la posible pérdida de algunos de sus clientes y proveedores. Este problema podría ser captado por alguno de los competidores de la hernia y podría resultar que la competencia aproveche la situación y la empresa adquiera mala fama. Calificación total del riesgo: alto Otro evento que se podría agregar podría ser el acceso a los servidores de las sucursales de Santiago del Estero y Salta mediante la red Frame Relay. Justificaciones de los dos primeros riesgos agregados por nosotros: 1. Por el hecho de que actualmente la red de acceso hacia tereré no dispone de clave de autenticación para el ingreso, ello constituye un punto de ingreso para los hackers de modo que antes de realizar un ataque sería factible que lleven a cabo un análisis de tráfico para comprender el flujo de paquetes entre la casa central y la sucursal ubicada en Corrientes. 2. Como en los servidores de TERERÉ se encuentran alojadas múltiples copias del código fuente de los programas, es muy factible el hecho de que un empleado de la empresa que no disponga de los permisos para ver el código fuente de la misma tenga acceso dada la no localización y ubicación de los mismos.