INDICE
I. Categorizaci\u00f3n de Componentes II. Identificaci\u00f3n o Inventario de Activos Identificaci\u00f3n del Personal Identificaci\u00f3n de Procedimientos Identificaci\u00f3n de Datos Identificaci\u00f3n de Software Identificaci\u00f3n de Hardware III. Categorizaci\u00f3n de Activos IV. Asignaci\u00f3n de Impactos V. Identificaci\u00f3n de Amenazas a los Activos Categorizados 8 VI. Identificaci\u00f3n de Vulnerabilidades VII. Evaluaci\u00f3n de Riesgos VIII. Control de Riesgos IX. C\u00e1lculo de SLE, ARO y ALE
3 4 4 5 5 6 6 7 7 9 11 11 13
INDICE
I. Categorizaci\u00f3n de Componentes II. Identificaci\u00f3n o Inventario de Activos Identificaci\u00f3n del Personal Identificaci\u00f3n de Procedimientos Identificaci\u00f3n de Datos Identificaci\u00f3n de Software Identificaci\u00f3n de Hardware III. Categorizaci\u00f3n de Activos IV. Asignaci\u00f3n de Impactos V. Identificaci\u00f3n de Amenazas a los Activos Categorizados 8 VI. Identificaci\u00f3n de Vulnerabilidades VII. Evaluaci\u00f3n de Riesgos VIII. Control de Riesgos IX. C\u00e1lculo de SLE, ARO y ALE
3 4 4 5 5 6 6 7 7 9 11 11 13
El presente trabajo trata de un estudio de An\u00e1lisis de Riesgos para el Sistema Integral de Administraci\u00f3n Financiera SIAF del Municipio de Ate Vitarte.
I. CATEGORIZACI\u00d3N DE COMPONENTES: Los activos de la organizaci\u00f3n los vamos a categorizar de la siguiente forma: Componentes Tradicionales Personas
Componentes del CDSS y de gesti\u00f3n de riesgos
Datos
Transmisi\u00f3n: presupuesto, expedientes Informaci\u00f3n Procesamiento: datos del expediente, pagos de impuestos Almacenamiento: historial de expedientes, historial de pagos de contribuyentes, balance contable. Aplicaciones: Software
Empleado Gerentes, subgerentes, jefes de \u00e1rea, asistentes, auxiliar No empleados Proveedores Procedimientos Procedimientos \ u 2 0 2 2 Registrar presupuesto \ u 2 0 2 2 Transmitir presupuesto \ u 2 0 2 2 Registrar expediente (adquisiciones, com \ u 2 0 2 2 Transmitir expediente \ u 2 0 2 2 Calcular planillas \ u 2 0 2 2 Registrar pagos de impuestos \ u 2 0 2 2 Tramitar documentos
Software
\
u
2
0
2
2
\
u
2
0
2
2
\
u
2
0
2
2
\
u
2
0
2
2
\
u
2
0
2
2
SIAF v. 4.9.5
Sistema Operativo:
Sistema Integral de Administraci\u00f3n Sistema de Rentas Sistema de Tr\u00e1mite Documentario Sistema de Catastro Microsoft Office 2000
Windows 98 (clientes) \ u 2 0 2 2 Windows XP (clientes) \ u 2 0 2 2 Windows 2003 (servidores) \ u 2 0 2 2 Linux kernel 2.4 (Servidor Proxy) Componentes de Seguridad: \
u
2
0
2
2
\
u
2
0
2
2
\
u
2
0
2
2
Hacker Antivirus 5.9 Firewall Linux 2.0rc10
Hardware
Sistemas, dispositivos periféricos
• •
• •
Componentes de Red
• • • •
II.
200 PCs Pentium 4 (toda la red municipal) 7 Servidores: • 1 de dominio • 3 de producción • 1 de correo • 1 Proxy • 1 Web 1 UPS Dispositivo de Seguridad Informática:--Red inalámbrica (desde Salamanca hasta Huaycán) Routers Switchs Hubs
IDENTIFICACIÓN O INVENTARIO DE ACTIVOS
Una vez identificadas las categorías Personas (PE), Procedimientos (PR), Datos (DA), Software (SW) y Hardware (HW), procedemos a realizar un inventario de los principales activos de información de la organización.
1) IDENTIFICACIÓN DELPERSONAL (PE) Cargo
Funciones
Supervisor
1 Gerente de Planificación
Elaborar plan presupuestal
2 Gerente de Administración
Ejecutar y controlar el presupuesto aprobado Registrar las adquisiciones y compras. Elaborar los cuadros de planillas de los trabajadores Proveer del material logístico a las demás áreas Realizar los pagos de planillas y proveedores Monitorear las tareas de
3 Subgerente de Contabilidad 4 Subgerente de personal 5 Subgerente de Abastecimiento 6 Subgerente de Tesorería 7 Subgerente de Servicios
Gerente General
Nivel Autorización Confidencial
Habilidades especiales Coordinación con demás gerencias
Gerente General
Confidencial
Toma de decisiones
Gerente de Administración
Interno
Supervisión y Control
Gerente de Administración
Interno
Empatía, cordialidad
Gerente de Administración
Interno
Orden, firmeza
Gerente de Administración
Interno
Amabilidad, tolerancia
Gerente de Administración
Interno
---
generales 8 Subgerente de presupuesto 9 Asistente de Contabilidad
2)
limpieza y seguridad Apoyar en la elaboración del plan presupuestal Apoyar en el registro de las adquisiciones y comprar
Gerente de Planificación
Interno
Orden, honestidad
Subgerente de Contabilidad
Interno
Compromiso
IDENTIFICACIÓN DE PROCEDIMIENTOS (PR) Descripción
1 2
3 4 5 6 7 8 9
3)
Propósito Relacionado previsto con: Ingresar el Registrar presupuesto SIAF plan presupuestal Transmitir presupuesto SIAF Solicitar la aprobación del plan presupuestal Registrar expediente Crear nuevo SIAF expediente Transmitir expediente SIAF Solicitar aprobación del expediente Calcular planillas Pagar al Sistema de personal Planillas Consultar estado de cuenta Ver pagos Sistema de realizados y contribuyente Rentas pendientes Registrar pagos de impuestosIngresar pagos Sistema de Rentas de los contribuyentes Canalizar Sistema de Tramitar documentos solicitudes de Trámite la comunidad Documentario Actualizar expediente SIAF Recibir aprobación del MEF
Almacén para Almacén para referencia actualización BD SIAF BD SIAF
BD SIAF
BD SIAF
BD SIAF
BD SIAF
BD SIAF
BD SIAF
BD Planillas
BD Planillas
BD Rentas
BD Rentas
BD Rentas
BD Rentas
BD Trámite BD Trámite Documentario Documentario BD SIAF
BD SIAF
IDENTIFICACIÓN DE DATOS (DA)
Nombre
1
Presupuesto
Clasificación (*) Confidencial
2 3
Expediente Impuestos
Interno Público
Gerente Planificación Subgerente Contab. SecuencialSi Gerente Rentas Relacional Si
Confidencial
Subgerente de
4 Sueldos y
Dueño
Estructura (**) Secuencial
Relacional
¿Es Online? Si
Si
Ubicación
BD SIAF BD SIAF BD Rentas BD
Proced. respaldo PR1,PR2
PR3,PR4 PR6,PR7 PR5
salarios 5 Solicitudes de Interno documentos 6 Datos del Interno contribuyente 7 Balance Público Contable
Personal Subgerente TrámiteSecuencial Documentario Subgerencia de Relacional Rentas Gerencia General Secuencial
Planillas BD T. PR8 Document BD PR6,PR7 Rentas BD SIAF PR9
Si Si Si
(*) Clasificación de los datos: • •
Confidencial: Plan presupuestal, Sueldos y salarios. Interno: Adquisiciones, compras, datos del contribuyente, solicitud de documentos.
Público: Tasas, impuestos, balance contable. (**) La estructura es Secuencial o Relacional •
4)
IDENTIFICACIÓN DE SOFTWARE (SW) Nombre Sistema Integral de Administración Financiera SIAF Sistema de Rentas
Versión 4.9.5
Ubicación física Servidor 1 de producción
1.5
Servidor 2 de producción
Sistema de Trámite Documentario
2.3
Servidor 2 de producción
3
Sistema de Catastro
1.0
Servidor 2 de producción
4 5 6 7 8 9
Microsoft Office Microsoft Windows Microsoft Windows Microsoft Windows Hacker Antivirus Linux
2000 98 XP 2003 5.9 Kernel 2.4
Clientes Clientes Clientes Servidores Clientes Servidor Proxy
1 2
5)
1 2 3 4
Ubicación lógica Disco D: Directorio de aplicaciones Disco D: Directorio de aplicaciones Disco D: Directorio de aplicaciones Disco D: Directorio de aplicaciones Unidad C Unidad C Unidad C Unidad D Disco D Disco E
IDENTIFICACIÓN DE HARDWARE (HW) Tipo de elemento PCs
Servidor Dominio Servidor PRD 1 Servidor
IP address
MAC address
Ubicación
Número Fabricante de Serie 192.168.1.10 00:0E:F1:66:G4:A2 Palacio DFE 530 Microsoft 0 Municipal TX de 192.168.1.10 00:0C:E5:45:C2:D8 Sala de DFE 530 IBM 0 Servidores TX 192.168.1.110 00:0F:E5:45:C2:D8 Sala deDFE 530 IBM Servidores TX 192.168.1.12 00:0D:88:52:39:A2 Sala de DFE 530 IBM
PRD 2 0 5 Servidor 192.168.1.13 PRD 3 0 6 Servidor de 192.168.1.14 Correo 0 7 Servidor 192.168.1.15 Proxy 0 8 Servidor 192.168.1.16 Web 0 10 Router 192.168.1.1
11
Switch
192.168.2.4
12
Hub
192.168.2.5
Servidores TX 00:0A:E4:44:55:E3 Sala de DFE 530 Servidores TX 00:0G:E9:21:D1:I4 Sala de DFE 530 Servidores TX 00:0B:C8:54:D6:E7 Sala de DFE 530 Servidores TX 00:0C:E5:40:C1:F9 Sala de DFE 530 Servidores TX 00:a0:o5:90:ea:38 Sala de Prestige Servidores 645RA1 ADSL Router 00:a0:o5:90:ea:38 Sala de Prestige Servidores 160R-B1 Switch Prestige 00:a0:o5:90:ea:38 Sala de Servidores 475J-X3 Hub
IBM IBM IBM IBM Zyxel
Zyxel Zyxel
III. CATEGORIZACIÓN DE ACTIVOS De todos los activos vistos, analizaremos los relacionados con el Sistema Integral de Administración Financiera SIAF, y el impacto que tendrían sobre la rentabilidad en caso se lograse concretar las amenazas. Nombre del Sistema: SIAF Fecha de Evaluación: Junio 2006. Evaluado por: Pérez Sánchez, Walter Yván Rivera Pérez, Christian Enrique Activos de Información Información transmitida, DA1: Presupuesto DA2: Expediente DA4: Sueldos y salarios DA5: Solicitudes de documentos DA6: Datos del contribuyente DA7: Balance contable SW1: SIAF HW1: Router
IV.
Clasificación de datos procesada y almacenada Confidencial Interno Confidencial Interno
Impacto a Rentabilidad
Interno
Alto
Público Interno Público
Medio Alto Alto
Alto Alto Medio Medio
ASIGNACIÓN DE IMPACTOS
Activo de Información
Criterio 1: Impacto a Ingreso
Puntaje Ponderado
30
Criterio 2: Criterio 3: Impacto a Impacto en rentabilidad imagen pública 50 20
Peso de criterio(1-100) Debe totalizar 100 DA1: Presupuesto DA2: Expediente DA4: Sueldos y salarios DA5: Solicitudes de documentos DA6: Datos del contribuyente DA7: Balance General SW1: SIAF HW1: Router
0.6 1 0.4
0.8 1 0.8
0.6 1 0.4
70 100 60
0.4
1.0
0.8
82
0.5
0.8
0.9
77
0.1 0.4 0.4
0.7 0.9 1.0
0.5 0.8 0.8
48 77 68
V. IDENTIFICACIÓN DE AMENAZAS A LOS ACTIVOS CATEGORIZADOS En la siguiente tabla se muestran las amenazas que podrían presentar cada activo categorizado. Código AM1 AM2 AM3 AM4 AM5 AM6 AM7 AM8 AM9 AM10 AM11 AM12
DA1 DA2 DA4 DA5 DA6 DA7
Amenazas Actos de Falla o error humano Desviación en calidad de servicio Compromisos a propiedad intelectual Actos deliberados de Espionaje y Traspase Actos deliberados de Extorsión de información Actos deliberados de Vandalismo o Sabotaje Actos deliberados de robo Ataques deliberados al software Fuerzas de la naturaleza Fallas o errores Técnicos de Hardware Fallas o errores Técnicos de Software Obsolescencia Tecnológicas
AM1 AM2 AM3 AM4 AM5 AM6 X X X X X X X X X X X X X X X X X X X
AM7
AM8
AM9
X X X X
X X
X X
AM10
AM11 AM12 X X X X X
SW1 X HW1 X
X X
X X
X X
X X
X X
X X
X X
X X
VI. IDENTIFICACIÓN DE VULNERABILIDADES
Veamos que vulnerabilidades específicas podrían presentar cada activo categorizado, por lo menos para los de mayor impacto
Amenaza AM1 AM2
AM3 AM4 AM5 AM6 AM7 AM8 AM9 AM10 AM11 AM12
Amenaza AM1
AM2 AM3 AM4 AM5 AM6
Para el Activo Software SIAF (SW1) Vulnerabilidades Los empleados pueden equivocarse al ingresar datos Técnico puede equivocarse en configuración de parches y actualización del SW El modelo de Gestión es de vital importancia para la organización, estaría en un plagio por parte de un mal empleado Activo de información tiene valor importante para la organización y puede ser comprometido Pueden ocurrir fallas de energía eléctrica y el UPS no funciona. El sistema SIAF esta expuesto libremente al personal de la oposición política. Activo de la información tiene un valor vital para la organización y puede ser comprometido Software puede fallar y causar la caída y/o discontinuidad del negocio Todos los activos de información son sujetos a estos tipos de desastres. Hardware donde es aplicado el SIAF puede fallar. Software puede fallar y causar la caída y/o discontinuidad del negocio Para el Activo Router (HW1) Vulnerabilidades Personal de soporte puede causar caída si comete errores de configuración Pueden haber cortes de energía eléctrica o inestabilidad de voltaje Pérdida significativa para la gestión del negocio No presenta mayor relevancia -
AM7 AM8 AM9 AM10 AM11 AM12
Amenaza AM1
AM2 AM3 AM4 AM5 AM6 AM7 AM8 AM9 AM10 AM11 AM12
Se cuenta con acceso restringido a la sala de servidores Rastreo a IP pueden revelar información sensitiva Incendios, terremotos, inundaciones pueden dañar el equipo Algunos puertos del router pueden colgarse por la gran cantidad de transacciones, Software puede fallar inesperadamente. Se debe actualizar constantemente el modelo, caso contrario se quedaría sin soporte.
Para el Activo Expediente (DA2) Vulnerabilidades Empleados pueden cometer errores al manipular datos de la organización que se va ha transferir al MEF Fallas energéticas pueden afectar los datos en proceso de transferencia, reparar el UPS debe ser analizado. Los datos correctos de la organización son prescinbles para el negocio, la pérdida de los mismo pueden conllevar a un desequilibrio en el Balance General Falta de un control de acceso al sistema puede comprometer la confidencialidad de los mismos, por parte de malos trabajadores. Activo de información tiene un valor importante para la organización y puede ser comprometido. El sabotaje y vandalismo puede ser realizado tanto en el SW como el HW comprometiendo la integridad de los datos de la organización Activo de información tiene un valor importante para la organización y puede ser comprometido. Incendios, terremotos, inundaciones pueden ocurrir, dañando la integridad de los datos de la organización Software puede comprometer la integridad de los datos si ocurre alguna falla -
Lista de activos de información con sus vulnerabilidades más importantes. Activo de Información Software SIAF
Router
Vulnerabilidad V1: Técnico puede equivocarse en configuración de parches y actualización del SW V2: Pueden ocurrir fallas de energía eléctrica y el UPS no funciona. V3: Software puede fallar y causar la caída y/o discontinuidad del negocio V4: Algunos puertos del router pueden colgarse por la gran cantidad de transacciones
Datos de Expediente
V5: Software puede fallar inesperadamente. V6: Pueden haber cortes de energía eléctrica o inestabilidad de voltaje V7: Fallas energéticas pueden afectar los datos en proceso de transferencia V8: Falta de un control de acceso al sistema puede comprometer la confidencialidad de los mismos, por parte de malos trabajadores. V9: Empleados pueden cometer errores al manipular datos de la organización que se va ha transferir al MEF
VII. EVALUACIÓN DE RIESGOS Calculo de Riesgos riesgo= impacto∗ (probab.vulnerabilidad)∗ (1 − (%riesgo_ controlado bre)) ) + (%incertidum
Donde: (% certeza) = 1-(% incertidumbre)
Vulnerabilidad Impacto Probabilidad % % (0 - 100) Vulnerabilidadcontrolado certeza
Riesgo %
V1
72
0.444
0
10%
60.7392
V2
72
0.2
0
25%
25.2
V3
72
0.35
0
30%
42.84
V4
80
0.1
0
10%
15.2
V5
80
0.18
0
20%
25.92
V6
80
0.2
0
50%
24
V7
100
0.28
0
40%
44.8
V8
100
0.32
0
10%
60.8
V9
100
0.2
0
25%
35
certeza, de las asunciones y datos.
VIII. CONTROL DE RIESGOS Estrategia Eludir, evitar
Evaluar diariamente si se cumplen los procedimientos de acuerdo al manual. Educar a los trabajadores (porqué tengo que hacer algo)
Estrategia Mitigar:
V2: Pueden ocurrir fallas de energía eléctrica y el UPS no funciona. 1. Plan de Respuesta a incidentes – IRP Empezar a trabajar con el UPS o generador Eléctrico 2. Plan de recuperación de desastre – DRP Si el tiempo se prolonga, cerrar los aplicativos y llamar a los proveedores del servicio energético. 3. Plan de continuidad del negocio – BCP Realizar los procedimientos de factura y presupuesto en forma manual mientras se soluciona el problema V3: Software puede fallar y causar la caída y/o discontinuidad del negocio 1. Plan de Respuesta a incidentes – IRP Cerrar la aplicación SIAF y reiniciarlo 2. Plan de recuperación de desastre – DRP Reiniciar la PC y volver a cargar el aplicativo 3. Plan de continuidad del negocio – BCP Verificar el estado de los expedientes V5: Software puede fallar inesperadamente. 1. Plan de Respuesta a incidentes – IRP Cerrar la aplicación SIAF y reiniciarlo 2. Plan de recuperación de desastre – DRP Reiniciar la PC, volver a cargar el aplicativo y buscar posibles errores físicos y lógicos del hardware 3. Plan de continuidad del negocio – BCP Verificar el estado de los expedientes y la integridad de los datos V6: Pueden haber cortes de energía eléctrica o inestabilidad de voltaje 1. Plan de Respuesta a incidentes – IRP Empezar a trabajar con el UPS 2. Plan de recuperación de desastre – DRP Si el tiempo se prolonga, cerrar los aplicativos y llamar a los proveedores del servicio energético. 3. Plan de continuidad del negocio – BCP Realizar los procedimientos de factura y presupuesto en forma manual mientras se soluciona el problema V7: Fallas energéticas pueden afectar los datos en proceso de transferencia 1. Plan de Respuesta a incidentes – IRP Verificar que disco duro no esté dañada físicamente ni lógicamente. 2. Plan de recuperación de desastre – DRP Reiniciar el(los) computador y volver a ejecutar el aplicativo SIAF, verificar la integridad de los datos, caso contrario restaura la base de datos del aplicativo. 3. Plan de continuidad del negocio – BCP
Utilizar un UPS como alternativa o generador de corriente V8: Falta de un control de acceso al sistema puede comprometer la confidencialidad de los mismos, por parte de malos trabajadores. 1. Plan de Respuesta a incidentes – IRP Detectar al mal empleado, y hacer uso del reglamento a este empleado 2. Plan de recuperación de desastre – DRP Cambiar contraseña, cifrar información, restringir acceso para mantener el uso no autorizado a la información de la organización 3. Plan de continuidad del negocio – BCP Concienciar a los empleados sobre los riesgos que acarrea la mala manipulación de los datos. V9: Empleados pueden cometer errores al manipular datos de la organización que se va ha transferir al MEF 4. Plan de Respuesta a incidentes – IRP Detectar al mal empleado, y hacer uso del reglamento a este empleado 5. Plan de recuperación de desastre – DRP Cambiar contraseña, cifrar información, restringir acceso para mantener el uso no autorizado a la información de la organización 6. Plan de continuidad del negocio – BCP Concienciar a los empleados sobre los riesgos que acarrea la mala manipulación de los datos.
IX. CALCULO DE SLE, ARO Y ALE ALE = SLE*ARO
Vulnerabilidad V1 V2 V3 V4 V5 V6 V7 V8 V9
Costo por Frecuencia( Pérdida anual Frecuencia an u a l A R O incidente SLE ANUAL) esperada ALE 400 4 4 1600 200 1 1 200 1000 12 12 12000 250 1 1 250 300 12 12 3600 200 1 1 200 400 0.5 0.5 200 800 12 12 9600 1000 6 6 6000