Sie sind auf Seite 1von 28

UNIVERSIDAD PRIVADA DE TACNA

FACULTAD DE INGENIERÍA

Escuela Profesional de Ingeniería de Sistemas

“CASO ESTUDIO - ANÁLISIS DE RIESGOS EN


SOFTWARE PILAR”

Curso: Auditoría de Sistemas


Docente: Dr. Erbert Francisco Osco Mamani

Estudiantes:

Mamani Maquera, Jorge Luis (2016055236)


Rivas Rios, Marko Antonio (2016054461)
Sosa Bedoya, Sharon Fiorela (2016054460)
Torres Beltran, Johanna Andrea (2020067849)

Tacna – Perú
2020
INFORME “CASO ESTUDIO – ANALISIS DE RIESGOS EN SOFTWARE PILAR”

ÍNDICE GENERAL

I.1. Modelo de Valor 3


I.1.1. Identificación de Activos 3
I.1.2. Identificación de Activos en Software PILAR 5
I.1.3. Dependencia de Activos en PILAR 6
I.1.4. Valoración de Activos en Software PILAR 7
I.2. Mapa de Riesgos 8
I.2.1. Identificación de Amenazas en Software PILAR - Servidores 8
I.2.2. Valoración de Amenazas en Software PILAR - Servidores 9
I.3. Evaluación de Salvaguardas en Software PILAR 9
I.4. Estado de Riesgo 10
I.4.1. Impacto Acumulado en Software PILAR 10
I.4.2. Riesgo Acumulado en Software PILAR 13
I.4.3. Informes en Software PILAR 15

2
“CASO ESTUDIO - ANÁLISIS DE RIESGOS EN SOFTWARE PILAR”
I. DATOS GENERALES

El conjunto de actividades que conllevan una gestión son los siguientes:

1. Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes.
2. Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre
aquellos activos.
3. Levantar un conocimiento de la situación actual de salvaguardas.
4. Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial como el
residual.
5. Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial como el residual.
6. Informar a las áreas del sistema con mayor impacto o riesgo a fin de que se puedan tomar las
decisiones de tratamiento con motivo justificado.

El análisis mediante la herramienta PILAR se ha realizado para tener una guía referencial respecto al
estudio realizado de forma manual, PILAR identifica las amenazas que afectan a los activos de forma
directa e indirecta para finalmente obtener gráficas con los resultados.

I.1. Modelo de Valor

El modelo de valor está conformado por la identificación de los activos considerados prioritarios en las
actividades fundamentales de la organización, relación entre los activos, la valoración; y finalmente los
resultados obtenidos reflejan la importancia que incurren cada uno dentro de la organización.

I.1.1. Identificación de Activos

Equipamiento - Hardware

● Servidores.- Se consideran todos los equipos físicos de tipo torre y rack que alojan algún
programa o aplicación, un servidor de red y un servidor web se encuentran dentro del
centro de datos y son administrados por el personal de infraestructura y sistemas.

 Puestos de trabajo.- En los puestos de trabajo, se cuenta con tres ordenadores. Para
acceder a ellos los empleados tienen que introducir usuario y contraseña.
Equipamiento - Software

● Trámite de información de clientes(Web).- El gimnasio cuenta con una aplicación (tanto


para Mac como para Android) donde detallan los horarios de las distintas actividades y
también se puede acceder a la cuenta personal utilizando e-mail y contraseña, es utilizada
para la recogida y el almacenamiento de los datos de los clientes de manera segura
(SW_app), que cuenta con una copia de seguridad.
● Visualización de clientes(App).- El gimnasio cuenta con una página web donde tienes que
registrarte aportando el número de socio obtenido al darse de alta y donde se solicita e-mail y
contraseña para poder acceder a la cuenta personal. Cuenta con el certificado SSL, por lo que
se asegura que cualquier información confidencial que se aporte en ella, estará cifrada.

Comunicaciones

● Red Local.- se considera a las conexiones alámbricas ya sean de fibra óptica o cable UTP que
son de manera local.
● Cortafuegos.- Como dispositivo de seguridad para controlar el acceso a los elementos
de la red, se ha instalado un firewall.
Equipamiento Auxiliar

● UPS.- se consideran a las baterías que protegen a los servidores y equipos de comunicación
de fallos eléctricos.
● Generador eléctrico.- se considera al dispositivo que genera energía eléctrica cuando no hay
servicio eléctrico.
● Equipos de climatización.- se consideran a los elementos que mantienen la temperatura
adecuada en el centro de datos y cuartos de rack.
Servicios subcontratados

● Conexión a Internet.- El gimnasio contrató una línea de ADSL que incluye el teléfono fijo de
atención al cliente y la conexión a internet del gimnasio.

Instalaciones

● Recepción.- Establecer perímetros de seguridad que se deben utilizar para proteger las áreas
que contengan la información y los recursos de procesamiento de información en este caso
los ordenadores de la recepción.

● Sala de equipos.- Establecer perímetros de seguridad que se deben utilizar para proteger las
áreas que contengan la información y los recursos de procesamiento de información en este
caso los equipos de la empresa.

● Control de acceso al gimnasio.- se establecen puntos de acceso de información para los


clientes hacia los servicios del gimnasio .
Personal

● Usuarios Internos.- se considera al personal encargado de desarrollar las aplicaciones o


sistemas.

I.1.2. Identificación de Activos en Software PILAR


Primera fase y la más importante del análisis, ya que una buena identificación de
los activos permitirá valorar los activos con precisión, analizar las dependencias
entre los distintos activos, conocer de manera precisa las posibles amenazas y
riesgos para la organización y ayudará a elegir las salvaguardas que se tienen que
implantar.
Hemos considerado activos esenciales para la seguridad de la información los datos recogidos en el
registro de los clientes (información), donde se requiere principalmente confidencialidad e integridad y la
recogida de estos datos por los trabajadores de la recepción (servicio), donde se requiere principalmente
disponibilidad.

El gimnasio tiene una aplicación utilizada para la recogida y el almacenamiento de los datos de los clientes
de manera segura (SW_app), que cuenta con una copia de seguridad.

La web del gimnasio cuenta con el certificado SSL, por lo que se asegura que cualquier información
confidencial que se aporte en ella, estará cifrada.

Se cuenta con varias cuentas de correo electrónico para la atención al cliente, para la comunicación con
proveedores y para la comunicación entre empleados. En los puestos de trabajo, se cuenta con tres
ordenadores. Para acceder a ellos los empleados tienen que introducir usuario y contraseña.

Cuentan con un servidor red que permite el acceso a recursos compartidos en las distintas estaciones de
trabajo, una red de área local con sus equipos conectados inalámbricamente al servidor red.

El gimnasio contrató una línea de ADSL que incluye el teléfono fijo de atención al cliente y la conexión a
internet del gimnasio.
Como dispositivo de seguridad para controlar el acceso a los elementos de la red, se ha instalado un
firewall.
I.1.3. Dependencia de Activos en PILAR
I.1.4. Valoración de Activos en Software PILAR

I.1.5. Valoración de los Dominios


Hemos creado dos dominios de seguridad. Uno relativo a la red corporativa por la
que interactúan todos los trabajadores del gimnasio y otra relativa a la conexión a
internet de la empresa.
En este paso se determina la importancia de los activos para la empresa. Se
valoran, según su disponibilidad (D), integridad (I) y confidencialidad de los datos
(C), autenticidad de los usuarios y de la información(A), trazabilidad del servicio y
de los datos (T), valor (V) y datos personales (DP). Los expedientes de los clientes
requieren principalmente confidencialidad e integridad; la recogida de los datos,
disponibilidad, autenticidad y trazabilidad; y el backup, requiere de integridad,
confidencialidad y disponibilidad.
I.2. Mapa de Riesgos

De la valoración de los activos realizada se han considerado las amenazas que producen más daños, para
evaluar el nivel de degradación, frecuencia y el riesgo implicado.

I.2.1. Identificación de Amenazas en Software PILAR - Servidores


Una vez introducidos todos los datos en los pasos anteriores, el programa
proporciona automáticamente las posibles amenazas para cada activo.
Hay 5 tipos de amenazas:
 [N] Desastres naturales
 [I] De origen industrial
 [E] Errores y fallos no intencionados
 [A] Ataques deliberados
 [PR] Riesgos de privacidad
“El objetivo de estas tareas es caracterizar el entorno al que se enfrenta el sistema,
que puede pasar, que consecuencias se derivan y como de probable es que pase.
Podemos resumirlo en la expresión “Conoce a tu enemigo”.
I.2.2. Valoración de Amenazas en Software PILAR - Servidores
I.3. Evaluación de Salvaguardas en Software PILAR
La herramienta PILAR analiza los parámetros introducidos y nos informa de
cuáles son las salvaguardas. Una salvaguarda perfecta tendría una eficacia del
100% (L5). Se necesita la eficacia de las salvaguardas para calcular el impacto
y el riesgo residual sobre los activos.

Las salvaguardas en PILAR se tratan bajo 4 aspectos:


 G – Gestión
 T – Técnico
 F – Seguridad física
 P – Gestión de personal
PILAR recomienda para cada salvaguarda que nivel de importancia tiene para nuestro sistema. En este
caso las más importantes son las salvaguardas de identificación y autenticación, control de acceso lógico,
protección de la información, protección de las claves criptográficas, protección de las comunicaciones y
las herramientas de seguridad contra códigos dañinos.

Para cada salvaguarda, el programa te explica el


aspecto de las salvaguardas, es decir, pueden ser
de gestión “G”, de aspectos técnicos “T”, de
seguridad física “F” o relacionado con el personal
“P”. Además te explica el tipo de protección de cada
una de ellas en la columna “tdp”. Pueden ser: de
prevención “PR”, de disuasión “DR”, de eliminación
“EL”, de minimización de impacto “IM”, de
corrección “CR”, de recuperación “RC”,
administrativa “AD”, de concienciación “AW”, de
detección “DC”, de monitorización “MN”, normas
“std”, de procedimiento “proc” o de certificación o
acreditación “cert”. Introduciendo el nivel de madurez en cada fase, el programa nos dará
automáticamente las salvaguardas más eficaces.
I.4. Estado de Riesgo

En la evaluación del impacto potencial, actual y el objetivo se han valorado las salvaguardas actuales
antes de ser implementadas, el estado actual y el nivel que se lograría al implementar las nuevas
salvaguardas; obteniéndose bajos niveles de impacto considerado como residual, el cual debería ser
parte de un nuevo análisis de riesgo.
Mientras la evaluación del riesgo potencial, actual y objetivo se ha considerado el impacto y la
probabilidad de que pueda materializarse; también obteniéndose un riesgo residual que debería ser
analizado para un nuevo estudio.

I.4.1. Impacto Acumulado en Software PILAR

El Impacto Acumulado se puede contrastar la importancia de aplicar salvaguardas para disminuir los
niveles del impacto, actualmente están en nivel medio, y el nivel objetivo es llegar a obtener un bajo
impacto.
● Impacto Acumulado Potencial
● Impacto Acumulado Actual
● Impacto Acumulado Objetivo
● Impacto Acumulado PILAR
I.4.2. Riesgo Acumulado en Software PILAR

PILAR permite medir los niveles de criticidad de los riesgos a los cuales se encuentran expuestos lo
activos.

● Riesgo Acumulado Potencial


● Riesgo Acumulado Actual
● Riesgo Acumulado Objetivo

Riesgo Acumulado PILAR


I.4.3. Informes en Software PILAR
Se han obtenido los gráficos resultantes de las evaluaciones realizadas.

Va
lor de Activo

Se han obtenido los gráficos resultantes de las evaluaciones realizadas.


INTERPRETACIÓN DEL GRÁFICO:

En esta actividad se identifican los valores activos de diferentes sistemas. En la tabla se muestran 2
colores diferentes:

● PILAR = Violeta
● OBJETIVO = Verde

● Impacto Acumulado
INTERPRETACIÓN DEL GRÁFICO:

En esta actividad reflejan los valores del impacto acumulado sobre cada uno de los activos definidos
en las gráficas radiales, dentro de esta se puede definir varias etapas de estudio que pueden abarcar
lapsos en tiempo corto o largos incluso en un año, pero en este caso se toma 2 fases:

● En la tercera etapa es OBJETIVO


● En la cuarta etapa es PILAR

Para ello se observa en la etapa de Pilar (propone un objetivo “razonable” o “prudente”), la segunda
etapa OBJETIVO, los resultados de los activos, muestran que se encuentran en el rango de alto.

El gráfico muestra el impacto acumulado de los activos, se consideran a partir de la implementación


de las salvaguardas antes planteadas que permiten que estos valores disminuyen los parámetros de
vulnerabilidades de los activos hasta el nivel objetivo.

● Riesgo Acumulado