Seguridad Informática

Análisis de Riesgos Metodología OCTAVE

Tobón Romero Yair – 040045832Zárate Aviña Jorge – 040045726

México, D.F. a 01 de Agosto de 2015

La empresa integrar soluciones informáticas específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en General. Estas soluciones de hardware, software y servicios especializados dan como resultado sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office)Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos, financieros y de planeación.

Introducción

Asociación de Consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración del software de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejero, al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que conllevan y el posible impacto que se tendría.

Situación Actual

Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones estratégicas.Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad.

Objetivo

Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware.

Alcance

• Para el desarrollo del análisis de riesgo dentro de este proyecto, se seleccionó la metodología OCTAVE (Operationally Critial Threat, Assest and Vulnerability Evaluation), debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información.

• Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas.

Metodología

• Establecer criterios de medición de riesgos.• Desarrollar un perfil de activos de información.• Identificar contenedores de activos de información.• Identificar áreas de preocupación.• Identificar escenarios de amenaza.• Identificar riesgos.• Analizar riesgos.• Seleccionar un enfoque de mitigación.

Fases de OCTAVE

• Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios.

• Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros.

• Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realizan a mano.

Activos Críticos

• Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo

• Único usuario y contraseña para personal de Help Desk para ingresar al Back Office.

• Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones.

• No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable.

• No existe antivirus en las laptops de Help Desk.• Se puede ejecutar en la PC del BackOffice una sesión de SQL.• Que el personal de restaurante tenga a su disposición el generador de claves de

soporte para la POS.• Implementación de alguna promoción en POS y que esta afecte su

funcionamiento.• No existe seguridad para usuarios de Windows en las POS y se puede acceder a los

recursos de dichos equipos

Riesgos

• Hacer que los POS sean inoperantes• Robo de base de datos• Robo de logs de transacciones de TC• Manipulación de datos en inventario de los restaurantes• Manipulación de ventas en POS, por medio de clave de

soporte• Virus o software malicioso  

Amenazas

Identificación de Amenazas y Vulnerabilidades

Amenaza Área Afectada Resultado de la Amenaza ImpactoRobo de logs de transacciones de TC

Toda la organización

Puede causar una mala imagen para la empresa, además de prestarse a fraudes con este tipo de cobro de TC.

Alto

Manipulación de ventas en POS, por medio de clave de soporte

Operación - Informática – Contabilidad

Si el personal del restaurante tiene en su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas ventas no se reflejarían en el balance de la POS.

Alto

Virus o software malicioso Informática

Puede causar perdida de la integridad y disponibilidad de la información. Alto

Mala implementación de promociones en POS

Operación

Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo en la preparación de alimentos.

Medio

Robo de base de datos

Informática

En este caso ser daría la fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario.

Medio

Manipulación de datos en inventario de los restaurantes

Operación – Contabilidad

Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de manera económica a la empresa

Bajo

Características Control Seguridad

Activo Controles de Seguridad Categorías de Información Riesgo

Activos de Información

Disponibilidad- Este Activo debe de contar con respaldos periodos- Debe de permanecer disponible para cualquier consulta.Confidencialidad- Se debe de tener un control de acceso para los diferentes niveles jerárquicos del personalIntegridad- Se debe de asegurar que la información es completa e integra- Debe de aplicarse políticas de control cambios- Debe de aplicarse un control contra desastres en los repositorios de los restaurantes- Aplicación de protocolos seguros para la transferencia de datos.

Prioritaria Alto

Características Control Seguridad

Activo Controles de Seguridad Categorías de Información Riesgo

Activos de Software

Disponibilidad- Creación de base de conocimiento tanto para el personal de operación como el de Help Desk para atender incidentes conocidos.- Garantizar la disponibilidad de aplicativos y bases de datos.Confidencialidad- Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk- Creación de políticas para autenticación de usuario en equipos de Help Desk- Autenticación a BackOffice para cada miembro de Help Desk.- Uso exclusivo de correo electrónico corporativoIntegridad- Políticas de depuración de información- Implementación de plan de recuperación de desastres

Necesario Alto

Características Control Seguridad

Activo Controles de Seguridad Categorías de Información Riesgo

Activos Físicos

Disponibilidad- Los activos deben de estar siempre disponibles para su uso.- Los activos debe de estar en niveles óptimos de performance.Confiabilidad- Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help DeskIntegridad- Creación de procedimiento de respaldos de información- Plan de mantenimiento correctivos y preventivos.

Necesario Alto

Personal

Disponibilidad-Planeación de horarios.- Salarios competitivos.Confiabilidad- Aplicar acuerdos de confiabilidad- Aplicar políticas de Escritorio Limpio- Promover valores de la empresa en el personalIntegridad- Capacitación- Políticas de seguridad en los puestos de trabajo- Creación de canales de comunicación con sus superiores

Necesario Medio

Matriz de Ponderación

La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según corresponda, como se muestra a continuación.

Reconocimiento y Aceptación del Riesgo

Amenaza Riesgo Impacto Ponderación Riesgo

Ponderación Impacto

Ponderación

Robo de logs de transacciones de TC

Se pueden cometer fraudes de TC con este tipo de información

Causa mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por parte del banco.

Alto Alto 5

Manipulación de ventas en POS, por medio de clave de soporte

Que algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden.

Fuga de dinero a través de fraude.

Bajo Medio 3

Virus o software malicioso

Puede causar perdida de la integridad y disponibilidad de la información.

Alteración a la información lo que ocasiona que se

Alto Bajo 3

Reconocimiento y Aceptación del RiesgoAmenaza Riesgo Impacto Ponderación

RiesgoPonderación

ImpactoPonderación

Mala implementación de promociones en POS

Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual

Causa una mala imagen al cliente y mayor tiempo en la entrega de las órdenes.

Medio Alto 4

Robo de base de datos

Perdida de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario.

Fuga de información sensible del personal de operación, así como días de entrega de mercancía y promedio de dinero recaudado por día en el restaurante.

Medio Medio 3

Manipulación de datos en inventario de los restaurantes

Se puede a realizar robo hormiga de materia prima.

Afectación económica a la empresa al tener que reabastecer el restaurante.

Bajo Bajo 1

Monitoreo y Evaluación de Controles de SeguridadAmenaza Control Estatus Ponderación

ActualRobo de logs de transacciones de TC

- Restricción uso de Logs.- Cambio de rutas de creación de log, además del nombre del archivo- Cifrado de Logs de transacciones.- Eliminación de historial de Logs cada semana.- Bloqueo de puerto USB para POS, PC de Restaurante y Laptops de Help Desk

Por Implementar 5

Manipulación de ventas en POS, por medio de clave de soporte

- Creación de un nuevo archivo generador de claves de soporte.- Modificación de la lógica a NewPOS para solicitar claves de soporte- Se distribuirá de manera diaria la clave de soporte a los supervisores de soporte.

Implementado 1

Virus o software malicioso

- Implementación de un antivirus corporativo para Help Desk- Propuesta para que el cliente compre una licencia corporativa de antivirus para las POS.- Implementar accesos restringido a la configuración de antivirus- Bloqueo de puertos USB tanto en POS, PC del restaurante como en laptops de Help Desk

Por Implementar 4

Monitoreo y Evaluación de Controles de SeguridadAmenaza Control Estatus Ponderació

n ActualMala implementación de promociones en POS

- Realizar pruebas integrales en un laboratorio cada vez que se tenga que implantar una promoción.- Integración de un comité de validación para realizar pruebas integrales.- Envío de promoción a todas las POS a nivel nacional.- Validación por parte de Help Desk con personal de operación que no exista ninguna falla después de la implementación de la promoción.

Implementado

2

Robo de base de datos

- Restricción de consola de comandos de SQL en el BackOffice.- Creación de usuario y contraseña por cada restaurante para acceso de la instancia de SQL.- Publicación de usuario y contraseñas solo a supervisores, gerente de Help Desk.- Eliminación de Software de base de datos en laptops de Help Desk- Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk

Por Implemenar

4

Monitoreo y Evaluación de Controles de Seguridad

Amenaza Control Estatus Ponderación Actual

Manipulación de datos en inventario de los restaurantes

- Los niveles de abastecimiento deben de ser corroborados diariamente al cierre del día en el restaurante.- Los datos capturados se deben de almacenar tanto en el Back Office como en el Head Office- Reporte centralizado en el Head Office en donde se visualicé el nivel de abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por las ventas de productos.

Aplicado 1

• http://www.expresionbinaria.com/8-pasos-para-hacer-una-evaluacion-de-riesgos-con-octave-allegro/

• http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

Referencias