En la siguiente entrada hablare un poco del análisis de riesgos que implemente en 5 activos de red de la torre norte del sena, en la ciudad de Medellín.
Recordemos que un análisis de riesgos es aquel estudio que se le hace a los activos (generan valor para la empresa) con el objetivo de determinar los componentes que requieren protección para que estos no sean vulnerables ante cualquier amenaza, dentro del analisis de riesgo es importante tener en cuenta la siguiente formula matemática que define la valoración del riesgo:
R = PxM
en donde, Riesgo = Probabilidad de Amenaza x Magnitud de Daño.
Entre más alta la probabilidad de amenaza y Magnitud de daño, más grande es el riesgo y el peligro que corre este activo.
Para realizar este análisis tuve que tener en cuenta los siguientes pasos:
- Lo primero que se hace es determinar todos los activos que posee una empresa, en este caso el SENA.
- Luego los clasificamos, si son activos de hardware, software, humano, etc, en este caso se pueden clasificar en dos, los de hardware como la cámara, computador, access point, servidor (cabe decir que el servidor también lo podemos ubicar en la clasificación de software siempre y cuando el análisis sea enfoque a la aplicacion que se esta ejecutando en tal servidor como por ejemplo un DNS, DHCP, etc, en este ejercicio no tome la clasificación del servidor como un activo de software.
- Después de la clasificación lo que se le hace a cada uno es indagar mas de aquel sistema, como por ejemplo que marca es? - que dirección ip contiene? - sistema operativo que contiene el activo? y todo lo que se quiera saber de estos.
- Sacar un valor final entre Disponibilidad (acceso garantizado en todo momento) - Integridad (datos completos y no modificados) - Confidencialidad (acceso autenticado y controlado) estos datos se sacan de acuerdo con el responsable de aquel activo, ya que esta persona esta capacitada para saber el valor de estas tres condiciones y características; el valor final se saca de la multiplicación de Disponibilidad e integridad.
- Otro paso que se realiza es indicarle a aquel activo cuales podrían ser la amenazas que atenten contra la disponibilidad, confidencialidad e integridad, cual seria la probabilidad de ocurrencia y el impacto que genera para la empresa, el valor que se saca de la probabilidad de ocurrencia se multiplica por el valor de impacto y este ultimo valor seria el riesgo, que luego se lleva a un porcentaje.
En el siguiente diagrama de tortas se especifica el porcentaje que contiene 5 activos de la torre Norte, SENA, los cuales son :
- Con un total de 16% una de las cámaras marca ACTi-ACM
- Con un total de 18% el siguiente activo es un servidor de repositorios de aplicaciones
- Con un total de 20% es un computador marca Apple
- Con un total de 21 % un Access Point marca cisco
- y por ultimo con un total de 25 % de riesgo un computador marca SURE
En conclusión el análisis de riesgo nos ayuda a tomar conciencia de la importancia de saber cuales activos tengo a disposición y cuales son mas vulnerables que otros para así implementar un método que ayude a reforzar esos indices de vulnerabilidades que contiene aquel activo y también a darnos cuenta de que activos que menos pensamos que serian vulnerables, lo podrían ser.