grupo nº1 - tps5to-utn-frre

Anuncio
GESTIÓN DE SEGURIDAD DE LA IMFORMACIÓN
Caso de estudio:
LA ERNIA
Trabajo Práctico Nº 2
GRUPO Nº1:
 Maksimchuk, Fabio
 Nicoletti, Mariela
 Romero, Melisa
 Sgrinzi, Agustina
 Tomasella, Mauricio
Planilla de Análisis de Riesgo
Evento de Riesgo
Robo de laptop o
teléfono móvil con
información critica.
Probabilidad
Alto
CREO QUE DIJO
QUE REVICEMOS
ESTO…
Intrusión a la red
interna.
Infecciones de virus,
troyanos o gusanos.
Robo de código por
hackers.
Medio
Alto - TERERÉ no tiene
clave de acceso a la red
Alto
Medio Bajo
Medio Alto puesto que las
redes están
abiertas
Impacto
Medio - Perdida de ventaja
competitiva, pérdida de imagen
reputacional.
Alto - Puede implicar la perdida de código fuente de ambas
empresas.
Calificación Total
del Riesgo
Medio Alto
Alto
Medio Alto - Interrupción de
servicios, captura no autorizada
de datos, pérdida de imagen.
Alto - puede accederse a información confidencial de los
empleados y códigos fuentes.
Medio Alto
Alto
Medio - Interrupción de servicios, captura no autorizada de
datos, pérdida de productividad.
Alto – porque se han encontrado troyanos instalados en
varios equipos de la red de
TERERÉ, lo cual puede afectar el
código fuente almacenado en
los mismos.
Medio - interrupción de servicios, captura no autorizada de
datos, posible pérdida de imagen.
Alto - porque la interrupción
de servicios impide la operato-
Medio Alto
Alto
Medio
Medio Alto
Pro del Cambio
Contra del Cambio
Se Implementarán más
controles por la desconfianza que genera el
nuevo personal perteneciente a la empresa
TERERÉ.
Los controles generarán
rechazo y desconfianza
por parte del nuevo personal que se sentirá controlado.
La incorporación de
una clave de acceso a la
red impedirá que se
acceda a información
confidencial de los empleados y al código fuente.
Mantener una conciencia y seguir fomentando una cultura de
seguridad respecto a la
importancia de contar
con protección contra
intrusiones.
La concientización al
personal respecto a la
confidencialidad de las
contraseñas y la necesidad
de realizar un cambio
periódico de las mismas.
Evitar la pérdida de
código fuente y demás
información confidencial.
Posible rechazo del personal a las nuevas operaciones a incorporar.
Costo asociado al mantenimiento, como ser pago
de licencias y actualización
de antivirus.
ria.
Ataque de denegación de servicios
(DoS).
Medio
Medio Alto puesto que las
redes están
abiertas
Brecha de Seguridad
para datos personales, financieros o de
clientes.
Medio Bajo
Medio Alto –
porque la
conexión a la
red interna no
requiere contraseña, facilitando así el
acceso al
servidor que
contiene dichos datos.
Bajo
Infraestructura de TI
fuera de servicio por
tiempo prolongado.
Utilización de software, música o videos
piratas.
Bajo
Medio – Por
la cultura de
TERERÉ.
Medio - Interrupción de servicios, captura no autorizada de
datos, posible pérdida de imagen.
Alto - porque la interrupción
de servicios impide la operatoria.
Medio Alto - Imagen reputacional negativa, posible pérdida de clientes, penalidades
legales.
Alto - Imagen reputacional
negativa, posible pérdida de
clientes, penalidades legales,
violación de derechos de privacidad y confidencialidad.
Medio
Medio Alto
Asegurar la continuidad de los servicios.
Costo de implementación de las medidas.
Medio
Alto
Conservar la imagen de
la empresa, evitar la
pérdida de clientes y la
posibilidad de penalidades legales.
Idear nuevas medidas de
protección.
Alto - Perdida de productividad, posible pérdida de imagen,
posible necesidad de restauración de backups.
Medio
Costo de contar y de no
contar con la infraestructura de soporte.
Medio Alto a Alto - Perdida de
imagen, pérdida de productividad, penalidades legales.
Medio
Al no contar con un
Data Center alternativo
para reanudar las operaciones en caso de caídas,
es de suma importancia
considerar a este riesgo
como de alto impacto.
Reducir el ingreso de
software espía que puede venir infiltrado en
archivos piratas.
Dificultad de lograr que
el personal deje de descargar software de Internet.
Ataques hacia terceros iniciados desde la
empresa.
Bajo
Medio Alto - Perdida de imagen, perdida potencial de clientes, penalidades legales.
Medio Bajo
Bajo
El personal de TERERÉ
se sentirá apoyado por la
empresa.
Un exceso de confianza
de la empresa podría derivar en la posible realización del evento por parte
del personal de TERERÉ.
Rechazo del personal al
no poder usar con total
libertad las redes inalámbricas.
Fuga de información
por intercepción de
red inalámbrica
Medio
Alto
Bajo – Existe una política que
prohíbe la transferencia de
archivos por wireless.
Alto - porque TERERÉ no dispone de políticas de transferencia de archivos por wireless.
Medio Bajo
Alto
Sabotaje de código
fuente.
Medio Bajo
Medio Alto
Medio Bajo - Perdida de productividad (máximo 2 días para
revertir a código bueno).
Medio
Medio Bajo
Medio
Ataques a la empresa, previa realización
de análisis de tráfico.
Medio
Alto - Posible pérdida de confidencialidad de la información
crítica.
Medio Alto
Acceso a código
fuente duplicado y
disperso en todos los
equipos de trabajo
TERERÉ.
Pérdida y desactualización del código
fuente e información.
Alto
Alto - Pérdida de productividad, pérdida de información
valiosa y alteración del código
fuente.
Alto
Medio Alto
Medio Alto - Pérdida de productividad, pérdida de información valiosa, inconsistencia,
desactualización.
Medio Alto
Ya que TERERÉ no
cuenta con políticas para
la transferencia de a
archivos por wireless, es
importante considerar
este riesgo como alto y
tomar las medidas correspondientes.
Al no contar con políti- Tiempo de elaboración de
cas de seguridad para el
las políticas.
código fuente en TERERÉ, el nuevo personal
que se incorpore podría
llevar a cabo sabotaje.
Justificación: debido a que es sencillo acceder a la
red interna, esto posibilitaría que potenciales atacantes puedan realizar análisis de tráfico a fin de interceptar información de valor para la empresa o emprender
un ataque contra la misma.
Justificación: el código fuente de TERERÉ se encuentra en casi todas las máquinas, lo cual facilita su robo y
alteración, provocando problemas de integridad y en
el desarrollo, así como también un efecto negativo
sobre la imagen de la empresa.
Justificación: los empleados de TERERÉ no realizan
copias de seguridad por lo que ante un fallo en los
servicios, el RPO puede resultar ineficiente y lejano,
con la consecuente pérdida y desactualización de la
información.
Descargar