Análisis de riesgos de la dependencia Bienestar Universitario de la universidad Francisco de Paula Santander empleando la metodología Octave.

Transcripción

1 Henry Alexander Peñaranda Mora Análisis de riesgos de la dependencia Bienestar Universitario de la universidad Francisco de Paula Santander empleando la metodología Octave. Contenido 1. Selección de los activos más importantes Identificación de las amenazas Amenazas para los sistemas de información Tormentas y rayos Terremotos Inundaciones Estructurales Incendios Cortes eléctricos Agua Comunicaciones Amenazas de Hardware Fallo de servidores Fallo de estaciones PC Fallo de portátiles Amenazas de Software Errores en los SSOO Errores en las aplicaciones Errores en los elementos de seguridad Sistemas de seguridad de las comunicaciones Información Ficheros Personal Errores y ataques de personal interno... 10

2 Errores y ataques de personal externo Riesgos contra el patrimonio Robo Terrorismo Requisitos de seguridad... 12

3 Introducción Este documento presenta el análisis de riesgos realizado a la dependencia Bienestar Universitario de la Universidad Francisco de Paula Santander, para este análisis se ha implementado la técnica Octave de análisis y gestión de riesgos en una organización. Algunos de los conceptos que deben ser claros antes de leer este documento son: Activo: Algo de valor al que afecta una amenaza. Actor: Quién o qué puede violar los requisitos de seguridad. Amenaza: Actor cuya intrusión en el sistema puede provocar una violación de los requisitos de seguridad de un activo (pérdida de confidencialidad, pérdida de disponibilidad, destrucción, pérdida de integridad, ). El motivo por que se produce una amenaza puede ser accidental (por ejemplo un desastre natural) o intencionado (por ejemplo una acción humana). Riesgo: Posibilidad de que una amenaza se materialice debido a una vulnerabilidad del sistema sin corregir. 1. Selección de los activos más importantes Sistema de Información: Maneja la mayoría de los procesos que se llevan a cabo en esta dependencia. Estaciones de Trabajo: Permiten el acceso a los sistemas de información, para la manipulación de los datos propios de los procesos que se llevan a cabo en la dependencia. Infraestructura de red: Es necesario para acceder a los sistemas de información a través de las estaciones de trabajo. Recurso Humano: Ejecutan los procesos propios de la dependencia. Archivos Físicos: Documentos que contienen información importante y privada sobre los empleados, procesos y usuarios de la dependencia. 2. Identificación de las amenazas 2.1. Amenazas para los sistemas de información. Acciones climatológicas y por lo tanto incontrolables que pueden afectar al sistema.

4 Tormentas y rayos Una tormenta es una perturbación atmosférica violenta acompañada de aparato eléctrico y viento fuerte, lluvia, nieve o granizo. Un rayo es una chispa eléctrica de gran intensidad producida por descarga entre dos nubes o entre una nube y la tierra Las tormentas con alto contenido eléctrico pueden provocar picos de tensión lo que puede provocar pérdidas de datos o daños irreparables en el equipamiento eléctrico. En la zona geográfica donde se ubica la universidad no son tan comunes las tormentas. Por lo tanto es una amenaza que tendrá un impacto bajo en la universidad Terremotos Un terremoto es una sacudida del terreno ocasionada por el choque de las placas tectónicas localizadas en la litosfera terrestre. Los terremotos se miden según la escala de magnitud local o de Richter la cual mide la intensidad de un terremoto según una escala que va desde -1,5 hasta 12. Un terremoto de alta graduación en la escala de Richter puede producir derrumbamientos de edificios así como cortes de electricidad o rotura de material debido a caídas o golpes. La zona donde se localiza la universidad es sísmicamente estable registrándose movimientos sísmicos puntuales de poca intensidad. Por lo tanto es una amenaza que tendrá un impacto bajo en la universidad y se podría englobar dentro de las amenazas de tipo B.

5 Inundaciones Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o edificios. Una inundación puede ser producida por un exceso de lluvias, desbordamiento de ríos, rotura de presas, rotura de cañerías, exceso de humedad, etc. Una inundación en la zona donde se encuentren los equipos informáticos puede producir daños materiales en los equipos. La zona donde se localiza la universidad no es propicia a que se produzcan lluvias torrenciales y tampoco existe ninguna presa cerca. Sí existe cerca del edificio donde se ubica la universidad un río y aunque se han producido desbordamientos existen pocas posibilidades de que llegue a desbordarse y que en tal caso que el agua llegue a las dependencias de la universidad. Sí podrían producirse inundaciones en la universidad debido a rotura de tuberías o humedades excesivas que pueden dañar los equipos informáticos y producir pérdida de datos e información crítica para la universidad Estructurales Amenazas debidas a fallos en los elementos del edificio tales como cableado eléctricos, conductos del aire acondicionado, elementos de comunicación, etc. Pueden ser controlados y evitados Incendios Fuego no controlado que puede ser extremadamente peligroso para los seres vivos y las estructuras, produciendo además gases tóxicos. Las causas de un incendio pueden ser diversas: Existencia de una fuente de ignición cercana a un material inflamable. Problemas en cuadros eléctricos. Cortocircuitos. Etc. Un incendio puede dañar gravemente el equipamiento informático de la universidad, pudiendo dejarlo completamente inservible, así como la documentación existente en formato papel.

6 Un incendio que afecte a la universidad puede deberse a causas naturales, accidentales o ser premeditado para infligir daño Cortes eléctricos Corte temporal del suministro de energía eléctrica por parte de la compañía suministradora. El corte puede ser de corta duración o puede llegar a ser de varios días. Un corte en la energía de alimentación de los equipos de la universidad puede llegar a provocar daños irreparables en algunos equipos. Las causas para que la compañía eléctrica corte el suministro eléctrico pueden ser naturales o provocadas Agua Corte temporal del suministro de agua por parte de la compañía suministradora. El corte puede ser de corta duración o incluso de varios días. En el caso de esta universidad ninguno de los equipos tiene instalada ningún tipo de refrigeración mediante conductos de agua por lo que un corte en el suministro de agua de la universidad no afectará en ninguna medida al equipamiento informático de la misma Comunicaciones Corte temporal en los sistemas de comunicación de la universidad debido a un problema externo (puede deberse a un fallo de la compañía telefónica suministradora). El corte puede ser de corta duración (un día) o más extenso (varios días). Las causas para que se produzca un fallo en las comunicaciones por problemas de la compañía telefónica puede deberse a factores naturales o a factores humanos. Un fallo en el sistema de comunicaciones puede producir un grave trastorno a la universidad, pues depende en gran medida de éstas para desarrollar sus procesos internos.

7 2.3. Amenazas de Hardware Amenazas debidas a problemas en el equipamiento físico de la universidad. Pueden ser controladas Fallo de servidores Fallo temporal en alguno o todos de los servidores de la universidad. El fallo puede deberse a un corte de la corriente eléctrica de los servidores, un fallo humano de la gestión de los mismos, errores en el Hardware o en el Software, etc. Fallos y pérdidas de servicio en los equipos de trabajo pueden afectar al trabajo normal de la universidad pudiéndose perder datos vitales para el correcto funcionamiento de los procesos internos. Un fallo en los equipos de trabajo puede ocasionar pérdidas de horas de trabajo o algo mucho más grave, pérdidas de información crítica para el correcto funcionamiento de la universidad Fallo de estaciones PC Fallo temporal en alguna o todas las estaciones de trabajo de que dispone la universidad. El fallo puede deberse a un corte de la corriente eléctrica de los equipos, un fallo humano de la gestión de los mismos, errores en el Hardware o en el Software, etc. Fallos y pérdidas de servicio en los equipos de trabajo pueden afectar al trabajo normal de la universidad pudiéndose perder datos vitales para el correcto funcionamiento de los procesos internos de la dependencia. Un fallo en los equipos de trabajo puede ocasionar pérdidas de horas de trabajo o algo mucho más grave, pérdidas de información crítica para el correcto funcionamiento de la universidad Fallo de portátiles Fallo temporal en alguna o todas las estaciones de trabajo portátiles de que dispone la universidad. El fallo puede deberse a un corte de la corriente eléctrica de los equipos, un fallo humano de la gestión de los mismos, errores en el Hardware o en el Software, etc.

8 Fallos y pérdidas de servicio en los equipos de trabajo portátiles pueden afectar al trabajo normal de la universidad pudiéndose perder datos vitales para el correcto funcionamiento de los procesos internos. Un fallo en los equipos de trabajo portátiles puede ocasionar pérdidas de horas de trabajo o algo mucho más grave, pérdidas de información crítica para el correcto funcionamiento de la universidad Amenazas de Software Fallos debidos a amenazas que pueden afectar al Software que emplea la universidad para desarrollar su actividad de negocio. Pueden ser evitados Errores en los SSOO Errores internos de los Sistemas Operativos instalados en los equipos de los que dispone los equipos de la universidad. Un fallo en los Sistemas Operativos de los equipos de la universidad puede provocar fallos en los procesos informáticos de la universidad, retrasos en los procesos que dependan del equipamiento informático, lo que constituiría un grave agujero en la seguridad informática de la universidad Errores en las aplicaciones Errores internos en las diferentes aplicaciones instalados en los equipos de los que dispone la universidad. El fallo se debe a errores de programación o a la no instalación de las actualizaciones que distribuye la empresa desarrolladora cada cierto tiempo. Un fallo en las aplicaciones que se utilizan dentro la universidad puede provocar problemas en el correcto funcionamiento de los procesos de la universidad.

9 Errores en los elementos de seguridad Errores en los elementos de seguridad que dispone la universidad, puede tratarse de errores Software tales como fallo de antivirus o firewall, o errores en los elementos físicos tales como fallo de las alarmas, etc. Los fallos en los elementos de seguridad pueden deberse a fallos en las actualizaciones de los antivirus o, por ejemplo, cortes de suministro eléctrico que afecten al correcto funcionamiento de la alarma. Un fallo en las medidas de seguridad dentro la universidad puede provocar graves problemas en el correcto funcionamiento de los procesos de la universidad, así como pérdidas de información importante Sistemas de seguridad de las comunicaciones Errores en los sistemas que aseguran que las comunicaciones de la universidad se van a poder realizar sin problemas y además no existen terceras personas ajenas a la organización que intercepten esas comunicaciones. Los fallos en los sistemas de seguridad pueden deberse a fallos en las actualizaciones de los antivirus, sobre todo en los antispyware y firewalls que no detecten intrusos en la red o fallos en el acceso al Router de comunicaciones y un intruso pueda modificar la configuración del mismo e impedir que se realicen las comunicaciones correctamente o interceptar las mismas. Un fallo en los sistemas de seguridad en las comunicaciones de la universidad puede provocar graves problemas de seguridad y cortes en las comunicaciones lo que puede producir, desde pérdidas importantes de información a la imposibilidad de comunicar la universidad con el exterior, al menos, vía Web Información Qué problemas pueden afectar a la información almacenada dentro de la universidad, la cual es valiosa para llevar a cabo los procesos de negocio.

10 Ficheros Fallos o pérdidas de los ficheros donde se almacena la información valiosa de la universidad. Los problemas con los ficheros pueden ser debidos a una mala gestión de los mismos, a fallos en los equipos donde están almacenados los ficheros, etc. Mucha información relevante se encuentra almacenada en ficheros por tanto una perdida inesperada de estos puede traer serias consecuencias en determinados procesos de la universidad Personal La mayoría de los ataques informáticos a una universidad provienen desde dentro de la misma perpetrados por sus propios empleados. Es importante contar con estrategias de control de los empleados, así como de las acciones que realizan en el sistema Errores y ataques de personal interno El personal que trabaja en la universidad puede provocar fallos en los sistemas de la universidad o pérdidas de información debido a falta de formación, falta de conocimiento, mala intencionalidad, etc. Un ataque interno puede ocasionar perdida o alteración importante para determinados procesos de la universidad Errores y ataques de personal externo Personas ajenas a la universidad pueden querer dañarla por algún motivo por lo que es necesario preparar a la organización para evitar ataques externos a sus sistemas. Los ataques externos pueden provenir de ex empleados descontentos, personas que desean obtener información confidencial para su propio beneficio, etc. Existe la posibilidad de que personal ajeno a la universidad desee hacerse con información confidencial de ella para usarla en su propio beneficio.

11 2.7. Riesgos contra el patrimonio Robo Cualquier universidad puede ser objetivo de un robo debido a que en sus dependencias suelen tener material valioso. Al igual que cualquier otra universidad o domicilio particular está expuesta a intentos de robos que pueden provocar la pérdida de equipamiento informático, documentación importante, etc Terrorismo Los actos de terrorismo son actos de violencia para infundir terror. En el mundo actual el terrorismo se está convirtiendo en una de las grandes amenazas para todo el conjunto de la sociedad. Cúcuta podría prestarse para ataques terroristas por parte de la FARC o algún grupo militar al margen de la ley.

12 3. Requisitos de seguridad ACTIVOS Sistemas de Información REQUISITOS El acceso a la información se requiere todo el tiempo. Puede ser visto solo por los que tiene necesidad de saber. Se debe garantizar la protección de los datos personales de los asociados a la dependencia. La información solo puede ser modificada por las personas con las claves de seguridad apropiadas. Estaciones de trabajo Infraestructura de red Recurso Humano isponibilidad El acceso se requiere todo el tiempo. Se debe realizar constantemente mantenimiento de los equipos y actualización de software antivirus. Acceso a la información todo el tiempo. Disponibilidad Saber acceder a la información solo en horarios regulares de oficina. Personal capacitado y comprometido con las políticas de seguridad de la dependencia. Archivos Físicos Acceso a la información todo el tiempo. Solo puede ser vista por los que tiene necesidad de saber La información personal está sujeta a la ley de privacidad Solo usuarios autorizados pueden añadir información a los archivos La información debe estar completa, organizada y ser precisa