Sie sind auf Seite 1von 11

1

EVALUACIN SEMANA 2: IFOL903-1

SEGURIDAD DE SERVIDORES

Matriz de Riesgo

Bernardo Mario Alarcn Navarro

Universidad UNIACC

Profesor Alfonso Barahona Abarca

27 de Octubre de 2017
2

Matriz de Riesgo

Objetivo del Trabajo Individual

Desarrollar una matriz de riesgo, aplicando el contenido de la semana.

Descripcin del Trabajo

Una vez ledos y revisados los materiales de la SEMANA 2 disponible en plataforma e


informacin que usted pueda encontrar como apoyo, podr elaborar una matriz de
riesgo asumiendo como factor a analizar la intrusin a uno de sus servidores web.

Los aspectos a considerar para la elaboracin de la matriz de riesgo son:

1. Considere una matriz de 3x3.

2. Utilice como indicadores de impacto los valores: Bajo, Medio y Alto.

3. Asigne puntaje segn criterios generales definidos por usted.


3

Introduccin a la Seguridad Informtica

La Seguridad Informtica se refiere a las caractersticas y condiciones de los Sistemas


de Informticos y los Sistemas de Informacin y, el recurso ms importante, la
Informacin, as como su almacenamiento, para garantizar su confidencialidad,
integridad y disponibilidad.

Los principios de seguridad informtica consisten en identificar los recursos de


informacin, el desarrollo de las polticas de seguridad, los estndares, procedimientos
y guas que garantizan cumplir con los requerimientos de confidencialidad, integridad y
disponibilidad.

El objetivo de la seguridad informtica es la proteccin de los recursos y activos de


informacin de ms alto valor dentro una organizacin, sabemos que no existe un
sistema 100% seguro, sin embargo dependiendo de las fuentes de amenazas, los
riesgos y el objetivo habr que enfocarse en unas u otras caractersticas. Adems, es
fundamental alinear las polticas y estrategias en todas las reas de la organizacin, es
decir desde la Alta Direccin, los Sub-departamentos y Empleados.

No solo se habla de seguridad tecnolgica, este concepto ha evolucionado hacia la


seguridad informtica o ciberseguridad, ya no slo se debe gestionar la seguridad fsica
de los datos y la informacin, existe una gran data, fsicamente distribuida, incluso a
nivel global, por tanto la Gestin de la Seguridad Informtica debe propender a proteger
los recursos fsicos, financieros, de reputacin, legales, recurso humano, y otros
tangibles e intangibles, cumpliendo a lo menos con descrito en el prrafo anterior, es
decir, CIA o conocida como la triada de la seguridad informtica (Tipton & Krause,
2005): Confidencialidad, Integridad, Disponibilidad.
4

Desarrollo Matriz de Riesgo

En la actualidad los sistemas de informacin son una herramienta fundamental para las
organizaciones y empresas. Los Sistemas Informticos, los Sistemas de Informacin y
el recurso que proveen la informacin, se ha trasformado en el nuevo capital de toda
organizacin, en una materia prima de valor incalculable, sobre el que se deben prever
y proveer todo tipo de proteccin, cuidados, en definitiva la seguridad y la gestin de
riesgos.

Conforme al sitio protejete.wordpress.com (s.f.), la Gestin de Riesgos es un mtodo


para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar
mecanismos que permitan controlarlo.

El objetivo principal del presente trabajo es desarrollar una Matriz de Riesgo para la
intrusin en un Servidor.

Segn lo descrito en el sitio scribd.com (s.f.), una matriz de riesgo es una herramienta
de control y de gestin normalmente utilizada para identificar las actividades (procesos
y productos) ms importantes de una institucin financiera, el tipo y nivel de riesgos
inherentes a estas actividades y los factores exgenos y endgenos que engendran
estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la
efectividad de una adecuada gestin y administracin de los riesgos financieros,
operativos y estratgicos que impactan la misin de la organizacin.
5

En la Gestin de Riesgo existen diversos trminos que se deben tener presente, segn
Hansche & John Berti (2003) se referencian:

Amenaza: Es cualquier tipo de peligro o evento potencial, cuya ocurrencia puede


provocar un impacto negativo en los recursos de informacin. Por ejemplo, un incendio,
robo, virus de computador, entre otros.

Vulnerabilidad: Este concepto caracteriza la ausencia o la debilidad de una medida de


control de proteccin, que puede permitir una potencial mayor ocurrencia e impacto de
una amenaza. Por ejemplo, si no existe un elemento para extinguir el fuego en caso de
incendio, puede provocar que la ocurrencia de un incendio pueda convertirse en uno de
mayor escala e impacto; o en el caso que se descubre una puerta de entrada con la
cerradura en malas condiciones, puede permitir que ingresen y roben bienes valiosos.

Control: Este trmino representa una medida de reduccin o mitigacin de riesgo que
busca detectar, prevenir, o minimizar la prdida asociada con la ocurrencia de una
amenaza.

Riesgo o Probabilidad de ocurrencia: Este concepto define la posibilidad que un evento


en este caso una amenaza ocurra. Los eventos pueden ser de origen interno o
externo.
6

Matriz de Riesgo de 3x3.

P Riesgo de Alto Impacto


R Alta (3) 3 6 9
O
B Riesgo de Medio
A Media (2) 2 4 6 Impacto
B
I Riesgos de Bajo Impacto
L Baja (1) 1 2 3
I
D Bajo (1) Medio (2) Alto (3)
A
D IMPACTO

Descripcin de los Impactos:

Impacto Descripcin Valor


Riesgo cuya materializacin influye directamente en los
Sistemas de Informacin, por consiguiente, en la
Alto Organizacin. Esto puede significar que no permite 3
funcionar a la organizacin totalmente o por un perodo
importante de tiempo.
Riesgo cuya materializacin causara un dao importante
en los Sistemas de informacin. Esto puede significar
Medio 2
que loa Organizacin requiera un tiempo determinado e
importante para retornar a la normalidad.
Riesgo que causa puede causar un dao leve, es decir,
Bajo se puede corregir en un corto tiempo, no afectando el 1
normal desarrollo de la Organizacin.
7

Descripcin de las Posibilidades o Probabilidades de Ocurrencia:

Probabilidad Descripcin Valor


Probabilidad de ocurrencia es alta, es decir, se tiene entre
Alta 3
70% a 100% de seguridad que ste se presente.
Probabilidad de ocurrencia es media, es decir, se tiene entre
Media 2
30% a 70% de seguridad que ste se presente.
Probabilidad de ocurrencia es baja, es decir, se tiene entre
Baja 1
1% a 30% de seguridad que ste se presente.

Descripcin de los Riesgos (Probabilidad * Impacto)

Riesgo Descripcin
Se considera un riesgo alto cuando la amenaza representa gran
Alto
impacto dentro de la institucin u organizacin.
Se establece cuando la amenaza impacta de forma parcial a las
Medio
actividades de la organizacin o institucin.
Cuando una amenaza no representa un ataque importante en los
Bajo
procesos de una organizacin o institucin.
8

Aplicacin Matriz de Riesgo la Seguridad de Servidores:

Atendiendo los objetivos y actividades del presente trabajo, esto es elaborar una matriz
de riesgo asumiendo como factor a analizar la intrusin a uno de sus servidores web,
en el Lea esto primero Semana 3 (Fernndez, 2017), la intrusin se define como una
violacin a los procedimientos y polticas de seguridad establecidas. Ahora, a menos
que se sepa a qu servidores o sistemas se tiene acceso y a cules no, no se justifica
hablar de intrusin.

Para precisar, se podra definir como el conjunto de acciones intencionadas orientadas


a vulnerar la seguridad o integridad (manipulacin de los datos), confidencialidad
(acceso ilegtimo a la informacin) o disponibilidad (alterar la correcta ejecucin de los
sistemas) de un recurso.

En el caso de la Seguridad en Servidores (Fernndez, 2017)

La Vulnerabilidad se define como como una debilidad de un activo que afecta el


normal funcionamiento de un sistema informtico. Las debilidades pueden tener
diferentes orgenes, como fallas en la construccin de las aplicaciones, fallas de los
sistemas operativos, controles fsicos que no se aplican, fallas en el diseo de respaldo
de la energa elctrica, etc.

Las amenazas pueden provenir de diferentes entidades o eventos que pueden afectar
a los sistemas informticos. Caso comn es el que proviene de un hacker que accede a
los sistemas desde un troyano; lo anterior puede suscitarse con la descarga de un
programa gratuito para una determinada funcin, pero cuyo objetivo final es el de
violentar el sistema a travs de contraseas de muy bajo nivel.
9

La aplicacin de la Matriz de Riesgo de 3x3, definida anteriormente, se aplicar a un


Servidor Web Interno de una Institucin Educativa en Puerto Natales.

Slo se identificarn posibles amenazas y vulnerabilidades como muestra de aplicacin


de la tcnica.

Amenaza y/o Probabilidad Impacto Valoracin


Vulnerabilidad (*)
Acceso fsico al servidor web interno Alta Medio 6
por parte de cualquier personal de la
organizacin.
Manipulacin fsica del servidor web Alta Medio 3
interno por parte de cualquier personal
de la organizacin.
Cortes de energa en el sector de la Baja Medio 2
organizacin
Cada de la Red Externa, acceso a Media Bajo 2
Internet provista por ISP
Cada de la Red Interna Baja Medio 2
Acceso externo no autorizado al Baja Alto 3
Servidor
Perdida de Informacin por falla de Alta Alto 9
Hardware
Virus Informticos Media Media 4

(*) Valoracin: se refiere a la valoracin o puntaje asignado a la amenaza o


vulnerabilidad conforma a la Probabilidad de Ocurrencia y el Impacto que provoca,
conforme a la matriz de 3x3 definida anteriormente. Se obtiene multiplicando
Probabilidad por Impacto.
10

Conclusiones

Conforme a las Vulnerabilidades y Amenazas detectadas y valoradas, segn las


definiciones y valoraciones determinada en la Matriz de Riesgo de 3x3,existen diversas
situaciones que comprometen la seguridad informtica en el Servidor Web analizado.

Si bien, el Servidor Web es interno, provee de una Intranet que es utilizada al interior de
la organizacin. Sin embargo, como en muchas ocasiones, se puede observar que
existen muchas conductas o situaciones de riesgo que pueden afectar gravemente
la normal operacin de la Intranet.

Todas aquella amenazas o vulnerabilidades, al menos dos en este caso, que se


encuentran en el rango de valoracin de 6 a 9, se definen como un RIESGO ALTO,
tienen una media o alta probabilidad de ocurrencia, con un medio o alto impacto, lo que
significa que, en este caso, el Servidor Web quedar fuera de operacin totalmente o,
al menos, por un largo periodo de tiempo. Por tanto es necesario, con urgencia, revisar
y corregir estas situaciones con el objetivo de evitar el riesgo.

Aquella amenazas o vulnerabilidades, al menos tres en este caso, que se encuentran


en el rango de valoracin de 3 y 4, se definen como un RIESGO MEDIO, tienen una
baja, media o alta probabilidad de ocurrencia, pero con un medio o alto impacto, lo que
significa que, en este caso, el Servidor Web quedar fuera de operacin totalmente o,
al menos, por un largo periodo de tiempo. Por tanto es necesario revisar, mitigar y
corregir estas situaciones con el objetivo de evitar el riesgo.

Aquella amenazas o vulnerabilidades, al menos tres en este caso, que se encuentran


en el rango de valoracin de 1 y 2, se definen como un RIESGO BAJO, tienen una baja
o media probabilidad de ocurrencia, pero con un bajo o medio impacto, lo que significa
que, en este caso, el Servidor Web quedar fuera de operacin, al menos, por un corto
periodo de tiempo. Por tanto es necesario revisar, mitigar estas situaciones, en lo
posible, con el objetivo de evitar el riesgo.
11

Referencias Bibliogrficas

Fernndez, M.. (2017). Conceptos bsicos de Seguridad Informtica. Seguridad de


Servidores. Lea esto primero (Semana 1).

Fernndez, M. (2017). Conceptos bsicos del anlisis y gestin de riesgos. Seguridad


de Servidores. Lea esto primero (Semana 2).

Fernndez, M. (2017). Sistemas de Deteccin de Intrusos (IDS). Seguridad de


Servidores. Lea esto primero (Semana 3).

protejete.wordpress.com (s.f.). Gestin de Riesgo en la Seguridad Informtica.


Consultado el 27 de octubre de 2017 en
https://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/

Fundacin Telefnica. El ciclo de vida de la ciberseguridad (pp. 20 44) Editorial Grupo


Planeta. Recuperado el 27 de octubre de 2017, desde:
https://www.fundaciontelefonica.com/arte_cultura/publicaciones-listado/pagina-
item-publicaciones/itempubli/531/

scribd.com (s.f.). Qu es una Matriz de Riesgo. Consultado el Editorial Grupo Planeta.


Recuperado el 27 en https://es.scribd.com/doc/85363774/Que-es-una-Matriz-de-
Riesgo

Hansche, S., & John Berti, C. H. (2003). Official (ISC)2 Guide to the CISSP Exam. CRC
Press.

Tipton, H. F., & Krause, M. (2005). Information Security Management Handbook. ISC2.

aplicaciondeseguridadinformatica.blogspot.cl (2011). Clasificacin de los Principales


Riesgos de la Seguridad Informtica. Consultado el 27 de Octubre de 2017 en
http://aplicaciondeseguridadinformatica.blogspot.cl/2011/08/b-clasificacion-de-
los-principales.html

Das könnte Ihnen auch gefallen