Descripción: |
En la presente tesina hemos desarrollado un análisis de los riesgos que puede
correr la información manejada por el SRI en la ciudad de Cuenca, para lo cual
hemos seguido una serie de pasos que forman parte de este análisis tan
importante dentro de la seguridad informática.
En primer lugar nos enfocamos en clasificar la información que maneja la
empresa, obteniendo en esta clasificación información de tipo privada y
pública en los distintos departamentos de la empresa. Para el desarrollo de éste
punto se realizó una auditoria de la información para recopilar todos los datos
necesarios, en donde se realizó una encuesta al personal que labora en el SRI
con lo cual se obtuvo datos precisos para dividir la diferente información
utilizada por los diferentes departamentos de la empresa, además obtuvimos un
cuadro estadístico sobre los porcentajes de los tipos de información utilizados
actualmente por la empresa siendo estas: 50% de información pública, 20%
privada crítica, 20% privada sensible, 10% privada valiosa.
Al tener una clasificación clara de la información procedimos a la tasación del
este activo, para lo cual nos basamos en información obtenida mediante una
entrevista al personal encargado del Departamento de Informática del SRI que
nos ayudó en dar un valor a cada tipo de información según el grado de pérdida
que ésta pueda ocasionar a la empresa en caso de ser afectada.
Una vez que tuvimos la información clasificada y valorada, se procedió a
identificar y analizar todas las amenazas posibles que puedan presentarse en
contra del buen uso de la información. La utilización de la red y correo
electrónico son uno de los medios por los cuales existen varias malicias que
ocasionan serios daños a la información almacenada y a la que se transmite por
la red, por ejemplo al compartir archivos innecesarios, puede provocar que
varios usuarios realicen cambios accidentales.
El correo electrónico es muy utilizado por la empresa ya que es un medio que
permite de una manera rápida el intercambio de información publica o privada,
es así que se convierte en uno de los métodos más aptos a posibles amenazas.
Los usuarios a más de utilizar el correo para aspectos laborales también lo usan
para aspectos personales por lo que existen varias posibilidades de presentarse
amenazas de virus que atacan varios archivos procediendo a ocasionar daños a
distinta información de la empresa, otro de los problemas que se presenta a
través del correo electrónico es el uso inadecuado que los usuarios le dan al
mismo; por ejemplo el llamado repudio, es decir cuando el usuario niega haber
recibido un mensaje, o también el llamado spoot en el que un usuario intercepta
un mensaje y pretende ser el remitente del mismo por beneficio propio,
también se puede mencionar otras imprudencias como cuando olvidan cerrar
sus sesiones o comparten sus contraseñas.
Dentro de las amenazas a la información confidencial, las principales amenazas
analizadas son las ocasionadas por los propios empleados de la empresa ya sea
por malicia, por descuido o por errores sin intención que se dan por la falta de
capacitación, otro aspecto es el manejo de claves y la asignación de roles que al
no ser efectuados de una manera adecuada pueden ser una entrada para
diversos ataques.
Luego de haber identificado a las posibles amenazas, pasamos a dar un
porcentaje de ocurrencia a cada una de ellas de acuerdo al grado en el que se
cumplen las políticas establecidas por el SRI. Una vez que cada amenaza se
encuentra valorada tomamos las que alcanzaron un porcentaje del 50% en
adelante y de estas partimos para identificar las diferentes vulnerabilidades que
pueden hacer posible que se cumplan dichas amenazas.
El análisis de las vulnerabilidades es un proceso mediante el cual se determina
el nivel de exposición y la predisposición a la pérdida de un elemento o grupo
de elementos ante una amenaza especifica. Todas las vulnerabilidades son en
base a cada una de las amenazas encontradas tanto en el correo electrónico
como en la información confidencial. Paso seguido procedimos a dar una
posible explotación de todas las vulnerabilidades encontradas, y al igual que en
el caso de las amenazas tomamos para nuestro análisis las que tienen un mayor
porcentaje en hacer realidad una amenaza.
Finalmente luego de tener la distinta información manejada por la empresa y de
haber analizado cada una de las amenazas con todas sus vulnerabilidades,
pasamos a definir los riesgos que azotan a toda la información confidencial y a
la información manejada por correo electrónico.
Para la estimación del riesgo que se presenta en contra del activo dimos un
valor basado en el grado de pérdida que éste ocasionaría a la empresa en caso
de presentarse, se utilizó A para estimación alta, M para estimación media y B
para estimación baja. El porcentaje de ocurrencia que obtuvo cada riesgo
identificado, fue gracias a una entrevista personal con el encargado del
Departamento de Seguridad Informática, la misma que nos permitió tener una
mejor visión de cómo los riesgos podrían atacar a la información que maneja la
empresa, es decir el grado de peligrosidad que cada uno podría poseer.
Para el valor final que tomó el riesgo se consideró el tipo de información a la
que azota, así como también las amenazas y las vulnerabilidades que lo
conforman; obteniendo de esta manera los riesgos con mayor posibilidad de
ocurrencia y con mayor cantidad de pérdida para la empresa. Es entonces sobre
éstos riesgos en los que la empresa deberá poner mayor atención y establecer
planes de seguridad que permitan evitar la presencia de los mismos.
Con el análisis de riesgos realizado hemos podido constatar que incluso las
grandes empresas como el SRI son victimas de ataques en contra de sus
activos, razón por la cuál es aconsejable se de a la seguridad informática el
verdadero valor que esta tiene, pues de ese modo evitaremos pérdidas de
cualquier índole que se pudieran presentar. El personal de seguridad
informática de una empresa antes de establecer políticas de seguridad siempre
debe realizar el respectivo análisis de los riesgos que azotan a sus activos, esto
simplificará su labor y tendrán un enfoque más preciso hacia lo que se desea
proteger, para qué y por qué. Del mismo modo cada vez que se den cambios en
el sistema y en la red de la empresa este análisis debe ser actualizado y porque
no mejorado logrando así una mayor protección a la información y demás
activos de la empresa. |