grupo nº1

Anuncio
GESTIÓN DE SEGURIDAD DE LA IMFORMACIÓN
Caso de estudio:
LA ERNIA
Trabajo Práctico Nº 2
GRUPO Nº1:
 Maksimchuk, Fabio
 Nicoletti, Mariela
 Romero, Melisa
 Sgrinzi, Agustina
 Tomasella, Mauricio
Planilla de Análisis de Riesgo
Evento de Riesgo
Robo de laptop o
teléfono móvil con
información critica.
Intrusión a la red
interna.
Infecciones de virus,
troyanos o gusanos.
Robo de código por
hackers.
Probabilidad
Alto
Medio
Alto - TERERÉ no tiene
clave de acceso a la red
Alto
Medio Bajo
Medio Alto puesto que las
Impacto
Medio - Perdida de ventaja
competitiva, pérdida de imagen
reputacional.
Alto - Puede implicar la perdida de código fuente de ambas
empresas.
Yo lo dejaría como Medio no
más x lo que había dicho el
profe de que supuestamente
nosotros deberíamos conocer a
los empleados de tereré cuando
se hace la fusión de las 2 empresas.
Medio Alto - Interrupción de
servicios, captura no autorizada
de datos, pérdida de imagen.
Alto - puede accederse a información confidencial de los
empleados y códigos fuentes.
Calificación Total
del Riesgo
Medio Alto
Alto
Medio Alto
Alto
Medio - Interrupción de servicios, captura no autorizada de
datos, pérdida de productividad.
Medio Alto
Medio - interrupción de servicios, captura no autorizada de
datos, posible pérdida de ima-
Medio
Medio Alto
Pro del Cambio
Contra del Cambio
Se Implementarán más
controles por la desconfianza que genera el
nuevo personal perteneciente a la empresa
TERERÉ.
Los controles generarán
rechazo y desconfianza
por parte del nuevo personal que se sentirá controlado.
La incorporación de
una clave de acceso a la
red impedirá que se
acceda a información
confidencial de los empleados y al código fuente.
Mantener una conciencia y seguir fomentando una cultura de
seguridad respecto a la
importancia de contar
con protección contra
intrusiones.
Evitar la pérdida de
código fuente y demás
información confiden-
La concientización al
personal respecto a la
confidencialidad de las
contraseñas y la necesidad
de realizar un cambio
periódico de las mismas.
Costo asociado al mantenimiento, como ser pago
de licencias y actualización
de antivirus.
Posible rechazo del personal a las nuevas operaciones a incorporar.
redes están
abiertas
Ataque de denegación de servicios
(DoS).
Medio
Medio Alto puesto que las
redes están
abiertas
Brecha de Seguridad
para datos personales, financieros o de
clientes.
Medio Bajo
Infraestructura de TI
fuera de servicio por
tiempo prolongado.
Bajo
Alto
Medio. Yo lo
podría en
Medio considerando el
deficiente
servicio de
energía eléctrica en la
zona.
gen.
Alto - porque la interrupción
de servicios impide la operatoria.
Medio - Interrupción de servicios, captura no autorizada de
datos, posible pérdida de imagen.
Alto - porque la interrupción
de servicios impide la operatoria.
Medio Alto - Imagen reputacional negativa, posible pérdida de clientes, penalidades
legales.
Yo lo pondría alto pero dejaría
igual la justifiación porque eso
representa un problema grave
si no se tiene en cuenta.
Alto - Perdida de productividad, posible pérdida de imagen,
posible necesidad de restauración de backups.
cial.
Medio
Medio Alto
Asegurar la continuidad de los servicios.
Costo de implementación de las medidas.
Medio
Conservar la imagen de
la empresa, evitar la
pérdida de clientes y la
posibilidad de penalidades legales.
Se establecería un
marco formal de base
para la protección de
datos confidenciales de
la empresa y sería la
base para los planes de
concientización de los
empleados.
Al no contar con un
Data Center alternativo
para reanudar las operaciones en caso de caídas,
es de suma importancia
considerar a este riesgo
como de alto impacto.
Idear nuevas medidas de
protección. Tiempo y costo de implementación.
Alto
Medio - Alto
Costo de contar y de no
contar con la infraestructura de soporte.
Utilización de software, música o videos
piratas.
Bajo
Medio – Por
la cultura de
TERERÉ.
Medio Alto a Alto - Perdida de
imagen, pérdida de productividad, penalidades legales.
Medio
Ataques hacia terceros iniciados desde la
empresa.
Bajo
Medio Alto - Perdida de imagen, perdida potencial de clientes, penalidades legales.
Medio Bajo
Bajo
Fuga de información
por intercepción de
red inalámbrica
Medio
Alto
Bajo – Existe una política que
prohíbe la transferencia de
archivos por wireless.
Alto - porque TERERÉ no dispone de políticas de transferencia de archivos por wireless.
Medio Bajo
Alto
Sabotaje de código
fuente.
Medio Bajo
Medio Alto
Medio Bajo - Perdida de productividad (máximo 2 días para
revertir a código bueno).
Medio
Medio Bajo
Medio
Medio
Alto - Posible pérdida de confidencialidad de la información
crítica.
Medio Alto
Alto
Alto - Pérdida de productividad, pérdida de información
valiosa y alteración del código
Alto
Análisis de tráfico.
Acceso a código
fuente duplicado y
disperso en todos los
Reducir el ingreso de
software espía que puede venir infiltrado en
archivos piratas.
Inculcar al personal de
tereré que ahora forma
parte de la hernia sobre
la importancia de la
seguridad de la información.
El personal de TERERÉ
se sentirá apoyado por la
empresa.
Ya que TERERÉ no
cuenta con políticas para
la transferencia de a
archivos por wireless, es
importante considerar
este riesgo como alto y
tomar las medidas correspondientes.
Al no contar con políticas de seguridad para el
código fuente en TERERÉ, el nuevo personal
que se incorpore podría
llevar a cabo sabotaje.
(*)
(*)
Dificultad de lograr que
el personal deje de descargar software de Internet.
Un exceso de confianza
de la empresa podría derivar en la posible realización del evento por parte
del personal de TERERÉ.
Rechazo del personal al
no poder usar con total
libertad las redes inalámbricas.
Tiempo de elaboración de
las políticas.
(*)
(*)
equipos de trabajo
TERERÉ.
Acceso a todos los
servidores en la red
(incluyendo a aquellos
que tienen código
fuente, bibliotecas de
software, información
de sueldo de empleados).
fuente.
Medio
Alto - Imagen reputacional
negativa.
Medio Alto
(*)
CREO QUE ESTE ERA EL
EVENTO QUE NO IBA.
Yo agregaría como evento de riesgo nuevo:




Infecciones de virus, gusanos y troyanos en las terminales de los clientes y proveedores de la empresa
Probabilidad de Ocurrencia: medio – alto
Impacto: alto. La ocurrencia de dicho evento de riesgo ocasionaría una pérdida de imagen reputacional y la posible pérdida de algunos
de sus clientes y proveedores. Este problema podría ser captado por alguno de los competidores de la hernia y podría resultar que la
competencia aproveche la situación y la empresa adquiera mala fama.
Calificación total del riesgo: alto
Otro evento que se podría agregar podría ser el acceso a los servidores de las sucursales de Santiago del Estero y Salta mediante la red Frame
Relay.
Justificaciones de los dos primeros riesgos agregados por nosotros:
1. Por el hecho de que actualmente la red de acceso hacia tereré no dispone de clave de autenticación para el ingreso, ello constituye un
punto de ingreso para los hackers de modo que antes de realizar un ataque sería factible que lleven a cabo un análisis de tráfico para
comprender el flujo de paquetes entre la casa central y la sucursal ubicada en Corrientes.
2. Como en los servidores de TERERÉ se encuentran alojadas múltiples copias del código fuente de los programas, es muy factible el hecho
de que un empleado de la empresa que no disponga de los permisos para ver el código fuente de la misma tenga acceso dada la no localización y ubicación de los mismos.
Descargar