GESTIÓN DE SEGURIDAD DE LA IMFORMACIÓN Caso de estudio: LA ERNIA Trabajo Práctico Nº 2 GRUPO Nº1: Maksimchuk, Fabio Nicoletti, Mariela Romero, Melisa Sgrinzi, Agustina Tomasella, Mauricio Planilla de Análisis de Riesgo Evento de Riesgo Robo de laptop o teléfono móvil con información critica. Probabilidad Alto CREO QUE DIJO QUE REVICEMOS ESTO… Intrusión a la red interna. Infecciones de virus, troyanos o gusanos. Robo de código por hackers. Medio Alto - TERERÉ no tiene clave de acceso a la red Alto Medio Bajo Medio Alto puesto que las redes están abiertas Impacto Medio - Perdida de ventaja competitiva, pérdida de imagen reputacional. Alto - Puede implicar la perdida de código fuente de ambas empresas. Calificación Total del Riesgo Medio Alto Alto Medio Alto - Interrupción de servicios, captura no autorizada de datos, pérdida de imagen. Alto - puede accederse a información confidencial de los empleados y códigos fuentes. Medio Alto Alto Medio - Interrupción de servicios, captura no autorizada de datos, pérdida de productividad. Alto – porque se han encontrado troyanos instalados en varios equipos de la red de TERERÉ, lo cual puede afectar el código fuente almacenado en los mismos. Medio - interrupción de servicios, captura no autorizada de datos, posible pérdida de imagen. Alto - porque la interrupción de servicios impide la operato- Medio Alto Alto Medio Medio Alto Pro del Cambio Contra del Cambio Se Implementarán más controles por la desconfianza que genera el nuevo personal perteneciente a la empresa TERERÉ. Los controles generarán rechazo y desconfianza por parte del nuevo personal que se sentirá controlado. La incorporación de una clave de acceso a la red impedirá que se acceda a información confidencial de los empleados y al código fuente. Mantener una conciencia y seguir fomentando una cultura de seguridad respecto a la importancia de contar con protección contra intrusiones. La concientización al personal respecto a la confidencialidad de las contraseñas y la necesidad de realizar un cambio periódico de las mismas. Evitar la pérdida de código fuente y demás información confidencial. Posible rechazo del personal a las nuevas operaciones a incorporar. Costo asociado al mantenimiento, como ser pago de licencias y actualización de antivirus. ria. Ataque de denegación de servicios (DoS). Medio Medio Alto puesto que las redes están abiertas Brecha de Seguridad para datos personales, financieros o de clientes. Medio Bajo Medio Alto – porque la conexión a la red interna no requiere contraseña, facilitando así el acceso al servidor que contiene dichos datos. Bajo Infraestructura de TI fuera de servicio por tiempo prolongado. Utilización de software, música o videos piratas. Bajo Medio – Por la cultura de TERERÉ. Medio - Interrupción de servicios, captura no autorizada de datos, posible pérdida de imagen. Alto - porque la interrupción de servicios impide la operatoria. Medio Alto - Imagen reputacional negativa, posible pérdida de clientes, penalidades legales. Alto - Imagen reputacional negativa, posible pérdida de clientes, penalidades legales, violación de derechos de privacidad y confidencialidad. Medio Medio Alto Asegurar la continuidad de los servicios. Costo de implementación de las medidas. Medio Alto Conservar la imagen de la empresa, evitar la pérdida de clientes y la posibilidad de penalidades legales. Idear nuevas medidas de protección. Alto - Perdida de productividad, posible pérdida de imagen, posible necesidad de restauración de backups. Medio Costo de contar y de no contar con la infraestructura de soporte. Medio Alto a Alto - Perdida de imagen, pérdida de productividad, penalidades legales. Medio Al no contar con un Data Center alternativo para reanudar las operaciones en caso de caídas, es de suma importancia considerar a este riesgo como de alto impacto. Reducir el ingreso de software espía que puede venir infiltrado en archivos piratas. Dificultad de lograr que el personal deje de descargar software de Internet. Ataques hacia terceros iniciados desde la empresa. Bajo Medio Alto - Perdida de imagen, perdida potencial de clientes, penalidades legales. Medio Bajo Bajo El personal de TERERÉ se sentirá apoyado por la empresa. Un exceso de confianza de la empresa podría derivar en la posible realización del evento por parte del personal de TERERÉ. Rechazo del personal al no poder usar con total libertad las redes inalámbricas. Fuga de información por intercepción de red inalámbrica Medio Alto Bajo – Existe una política que prohíbe la transferencia de archivos por wireless. Alto - porque TERERÉ no dispone de políticas de transferencia de archivos por wireless. Medio Bajo Alto Sabotaje de código fuente. Medio Bajo Medio Alto Medio Bajo - Perdida de productividad (máximo 2 días para revertir a código bueno). Medio Medio Bajo Medio Ataques a la empresa, previa realización de análisis de tráfico. Medio Alto - Posible pérdida de confidencialidad de la información crítica. Medio Alto Acceso a código fuente duplicado y disperso en todos los equipos de trabajo TERERÉ. Pérdida y desactualización del código fuente e información. Alto Alto - Pérdida de productividad, pérdida de información valiosa y alteración del código fuente. Alto Medio Alto Medio Alto - Pérdida de productividad, pérdida de información valiosa, inconsistencia, desactualización. Medio Alto Ya que TERERÉ no cuenta con políticas para la transferencia de a archivos por wireless, es importante considerar este riesgo como alto y tomar las medidas correspondientes. Al no contar con políti- Tiempo de elaboración de cas de seguridad para el las políticas. código fuente en TERERÉ, el nuevo personal que se incorpore podría llevar a cabo sabotaje. Justificación: debido a que es sencillo acceder a la red interna, esto posibilitaría que potenciales atacantes puedan realizar análisis de tráfico a fin de interceptar información de valor para la empresa o emprender un ataque contra la misma. Justificación: el código fuente de TERERÉ se encuentra en casi todas las máquinas, lo cual facilita su robo y alteración, provocando problemas de integridad y en el desarrollo, así como también un efecto negativo sobre la imagen de la empresa. Justificación: los empleados de TERERÉ no realizan copias de seguridad por lo que ante un fallo en los servicios, el RPO puede resultar ineficiente y lejano, con la consecuente pérdida y desactualización de la información.