Download Análisis de riesgo cualitativo de una Universidad

Survey
yes no Was this document useful for you?
   Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Document related concepts
no text concepts found
Transcript
Análisis de riesgo cualitativo de una Universidad
1. Alcance: Sistema de calificaciones del Tecnológico de Monterrey campus Estado de
México.
2. Equipo de desarrollo del AR: Maestros, Doctores, Redes, Telecomunicaciones,
Seguridad Informática, Administradores de los servidores y bases de datos.
3. Identificar amenazas: Falsificación de identidad, Ingeniería social, virus, gusanos,
caballos de Troya, abstracción de información, corrupción o modificación de datos.
4. Priorizar amenazas: (1-7 siendo 7 la mayor amenaza).
7
Abstracción
de
información
6
Modificación
de datos
Amenaza
Abstracción de
información
5
Caballos
de Troya
Prioridad de
la amenaza
7
4
Ingeniería
Social
3
Falsificación
de
Identidad
Impacto a la
organización
Perdida de información
tanto personal y de
calificaciones de los
alumnos.
Alteración de
calificaciones por
conveniencia.
Modificación de
datos
6
Caballos de
Troya
5
Aberturas para futuros
ataques.
Ingeniería Social
4
Obtención de
información.
Falsificación de
Identidad
3
Gusanos
2
Vulnerabilidad y falta de
comunicación en la
universidad.
Infectar una red
Virus
1
Infectar a un usuario
2
Gusanos
1
Virus
Factor de riesgo total
estimado
2% Poca gente posee el
conocimiento para hacer
este tipo de actividades.
3% Necesario de
conocimiento avanzado
de sistemas de
seguridad.
13% Elaborar un caballo
de Troya poca gente
puede.
7% Contar con los
recursos necesarios para
elaborar el plan.
15% Es más fácil mentir
y decir que eres alguien
importante.
25% Se pueden
encontrar en la red y
utilizarlos.
35% Se pueden
encontrar en la red y
utilizarlos.
5. Prioridad en función del impacto:
a) Abstracción de información, se puede vender la información personal de los
alumnos y aprovecharse de los datos expuestos por el sistema.
b) Modificación de datos, persona interna o externa puede modificar las
calificaciones de alumnos, ayudar a pasar alguna materia o solo para sentir la
emoción de entrar al sistema de calificaciones.
c) Ingeniería social, obtención y conocimiento de las vulnerabilidades del sistema
de calificaciones.
d) Caballos de Troya, es posible obtener alguno por el Internet pero no es lo
suficientemente específico para atacar el sistema que deseamos por lo tanto
debe de sufrir modificaciones o crearlo desde cero. Planear un ataque a futuro.
e) Falsificación de identidad, cuando las personas quieres obtener información
son capaces de mentir y claro que la ignorancia y la falta de comunicación
ayudan. Obtiene información, del sistema, datos y puede llegar hasta
contraseñas.
f) Gusanos, son muy comunes en la red, pero pueden causar grandes daños ya
sea al sistema o a las computadoras que entran a dicho sistema.
g) Virus, son mayormente conocidos y atacados por los antivirus de las
computadoras por lo tanto no causaría daño a menos que fuera modificado y
lanzado a la red de computadoras de la universidad.
6. Impacto total de la amenaza: (Se multiplica el porcentaje por la prioridad de la
amenaza.)
 Abstracción de información es 1.4
 Modificación de datos es 1.8
 Caballos de Troya es 6.5
 Ingeniería Social es 2.8
 Falsificación de Identidad es 4.5
 Gusanos es 5
 Virus 3.5
7. Medidas de protección:
a) Preventivos: antivirus, cambio de contraseñas determinado tiempo, tener
comunicación para identificar una persona, mejorar la seguridad de la red,
políticas de la universidad.
b) Detección: Escanear los puertos abiertos, control de las MAC de cada individuo
que entra al sistema, detectar código malicioso.
c) Recuperación: Sniffer para detección de personas externas, servidor espejo para
notar los cambios realizados por el atacante.
d) Garantía: Ataque prueba al sistema, hacer ingeniería social y falsificación de
identidad, monitoreo del sistema.
Amenaza
Abstracción de
información
Factor de riesgo
total estimado
1.4
Modificación de
datos
1.8
Caballos de Troya
6.5
Ingeniería Social
2.8
Falsificación de
Identidad
4.5
Gusanos
Virus
5
3.5
Posible control
Costo del control
Monitoreo, control
de direcciones
MAC, servidor
espejo.
Monitoreo, control
de direcciones
MAC, servidor
espejo.
Antivirus, escaneo
de puertos y
monitoreo
Comunicación clara
para identificar
personas, bases de
datos.
Comunicación clara
para identificar
personas y bases de
datos.
Antivirus
Antivirus
$600,000.00 MN
$600,000.00 MN
$122,000.00 MN
$300,000.00 MN
$300,000.00 MN
$1,000.00 MN
$1,000.00 MN
8. Análisis costo/beneficio: La compra de un servidor espejo, monitoreo de las
direcciones Mac atacan dos amenazas por lo cual el beneficio es doble para ese
costo. Gracias a las alianzas con algunas empresas de tecnología se logra tener
antivirus de forma gratuita y por lo tal no tiene ningún costo, mejoramiento de la
comunicación y de las bases de datos igualmente sirven para controlar dos
amenazas en resumen, invertir ayuda al beneficio de atacar varias amenazas.
9. Ordenar las medidas de protección: Primero contar con un buena comunicación,
monitoreo de todo el sistema, buenas bases de datos, control de las direcciones
MAC y por último los antivirus.
10. Reporte de análisis.
El sistema de calificaciones de la universidad del Tecnológico de Monterrey
campus Estado de México, los usuarios principales de este sistema son los
docentes, por lo tanto se tiene un control con las direcciones MAC de cada persona.
Por lo que cada persona tiene una máquina y una MAC para poder comunicarse
con el sistema de calificaciones.
En el análisis se encontró diferentes amenazas que pueden causar futuros ataques
al sistema, para ser precisos se detectaron siete amenazas, se identificaron varios
controles para estas amenazas, se necesita de conocimiento en tecnología y algo de
malicia. Los beneficios de invertir en una comunicación adecuada y el monitoreo
ayudan a mitigar las amenazas.
Las siguientes amenazas fueron encontradas y se les asigno un factor de riesgo
total, para logar asignar el factor de riesgo se multiplica el porcentaje por la
prioridad de la amenaza.
 Abstracción de información es 1.4
 Modificación de datos es 1.8
 Caballos de Troya es 6.5
 Ingeniería Social es 2.8
 Falsificación de Identidad es 4.5
 Gusanos es 5
 Virus 3.5
Los controles que se identificaron para mejorar la seguridad y mitigar las amenazas
son los siguientes, servidor espejo para tener la confiabilidad de la información,
monitoreo del sistema, monitoreo de direcciones MAC, antivirus y bases de datos
confiables, teniendo en cuenta que se debe de invertir para poder obtener una
buena seguridad, detectamos que la comunicación es importante para combatir
varias amenazas encontradas, así que por recomendación se debe contar con una
comunicación más efectiva. Invirtiendo alrededor de $300,000.00 MN se logra el
objetivo.
Referencia

Fernández P. (1997). Determinación de factores de riesgo. Fisterra.com.
Recuperado
de
https://www.fisterra.com/mbe/investiga/3f_de_riesgo/3f_de_riesgo.asp
#Cuantificación del riesgo