CALCULO DE LA EVALUACIÓN DE RIESGOS
Enviado por Laura Karina Reveles Calzada • 17 de Septiembre de 2020 • Tarea • 1.327 Palabras (6 Páginas) • 122 Visitas
En una empresa localizada en Oaxaca, se cuenta con una sola persona en el área de informática, la cual acaba de ser contratada, al integrase a sus funciones encuentra lo siguiente:
- El servidor de base de datos no ha sido actualizado en los últimos 6 meses del sistema operativo ni del gestor de base de datos.
- La licencia del antivirus está vencida.
- El servidor se encuentra conectado a Internet.
- Este servidor almacena las bases de datos críticas para la operación del proceso de negocios de la empresa.
- La cuenta de administrador no tiene asignada una contraseña y no se ha realizado el respaldo de la información.
-CALCULO DE LA EVALUACIÓN DE RIESGOS.
El proceso de evaluación de riesgos permitirá a la empresa evaluar sus necesidades y calcular la posibilidad de que ocurran cosas negativas. (INCIBE, 2017)
FASE | DESCRIPCIÓN |
Alcance | Soporte Técnico del Departamento de TI |
Activos | Servidor de base de datos |
Amenazas | -Mal funcionamiento del equipo. -Errores de Software. -Acceso a la red o al sistema de información por personas no autorizadas. -Comprometer información confidencial. -Fuga de información. -Destrucción de registros. |
Vulnerabilidades | -Respaldo inapropiado o irregular. -Inadecuada gestión y protección de contraseñas -Inadecuada gestión de red. -Falta de control sobre los datos de entrada y salida. -Los ciberdelincuentes pueden aprovechar vulnerabilidades existentes para desplegar malware o cualquier tipo de amenaza, no se trata únicamente de solo el sistema operativo, sino de todos los programas que se tengan instalados en el servidor. |
Evaluar Riesgo | Se debe tener en cuenta la probabilidad que suceda cada una de las amenazas y esto se puede representar con criterios cuantitativos o cualitativos para tener las condiciones de calcular el riesgo. Solo así se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado. |
Tratar Riesgo | En esta fase se puede proceder con diferentes estrategias, las principales serían el transferir el riesgo a un tercero, eliminar el riesgo, asumir el riesgo o Implantar medidas para mitigar el riesgo. |
-Evaluación cuantitativa de riesgo
Probabilidad | Impacto | Riesgo | |
Errores de Software | 0.5 | 0.5 | 0.25 |
Mal funcionamiento del equipo | 0.6 | 0.7 | 0.42 |
Acceso a la red o al sistema de información por personas no autorizadas | 0.6 | 0.9 | 0.54 |
Fuga de información | 0.7 | 0.8 | 0.56 |
Comprometer información confidencial | 0.8 | 0.9 | 0.72 |
Destrucción de registros | 0.9 | 0.9 | 0.81 |
Riesgo = Probabilidad * Impacto
Si se representa en riesgo cualitativo sería 0.0 a 0.3 = riesgo bajo, 0.4 a 0.6 = riesgo moderado, y 0.7 a 1.0 = riesgo alto.
(EvaluandoSoftware.com, 2018)
-RECOMENDACIONES
-Actualizaciones automáticas de Software programadas.
-Programación de respaldos calendarizado.
-Gestión de contraseñas de acceso al servidor y a cada uno de los datos importantes de este.
-Gestionar adecuadamente la seguridad en la red.
-Recomendaciones de seguridad.
-Gestión de contraseñas de acceso al servidor y a cada uno de los datos importantes de este.
El motivo principal del hackeo a los servidores es que no tengan contraseñas seguras de acceso que garantice la protección de la información. Contraseñas como “123456” o “Password” hace que el robo de claves de seguridad sea muy fácil. Otro motivo más común es que se use la misma contraseña para varias cuentas o varios servidores.
Crear y gestionar el conjunto de contraseñas seguras se requiere de un gran esfuerzo por lo que podemos recomendar el uso de herramientas de gestión de contraseñas que solucionan el inconveniente de la complejidad, siendo un método de mucha ayuda para las empresas que usan un número elevado de claves de acceso y al mismo tiempo buscan estar protegidos. Este tipo de software trabaja encriptando automáticamente las diferentes contraseñas de acceso a servidores y a bases de datos, protegiendo también todos los datos del sistema.
Para encontrar la herramienta adecuada se debe saber las necesidades que debe cumplir el software y se debe conocer muy bien sobre las características del software que se va a usar. (Seguridad, 2018)
-Gestionar adecuadamente la seguridad en la red.
Tener un servidor que es funcional pero no tener en cuenta las necesidades de seguridad asociadas a la infraestructura que se está utilizando, podría acarrear consecuencias devastadoras.
Hay algunas prácticas que se pueden seguir para incrementar la calidad de la seguridad en los servidores, por ejemplo:
...