25 julio, 2015 Alberto

Análisis de riesgos de un entorno Cloud [2 de 2]

Portada análisis de riesgos

Segunda y última parte del análisis de riesgos de un entorno Cloud.

2.2 Relación de los activos clasificados.

Las dimensiones de seguridad (Confidencialidad, Integridad y Disponibilidad) son valoradas tomando como referencia el valor 1 como el más importante y el 5 el valor menos importante.

Valoración de las dimensiones de la seguridad

Valoración de las dimensiones de la seguridad

De acuerdo a estos valores los activos se distribuyen de la siguiente forma:

Distribución de los activos

Algunas de las consideraciones que hacemos son:

 

  • Aplicaciones finales desarrolladas

La información de las aplicaciones como aplicativos, código fuente, prototipos, consideramos que se hace un uso restringido dentro del área donde se trabaja. Como es el producto que desarrolla la empresa, respecto a su integridad debería incluirse un registro de actualizaciones, requiere de precisión de datos para validarlos, con lo que necesita una puntuación alta. Los servicios web que se desarrollan en la empresa, son la marca que los caracteriza y al ser el producto final tiene que tener una alta disponibilidad, si por alguna razón caen, deben de estar disponibles en no más de un par de horas, de ello depende la imagen de la organización.

 

  • Información de los clientes

La  confidencialidad de la información de los clientes es solo para uso interno. La integridad debe ser alta, trazando quién accede a esta información. La disponibilidad de los datos de clientes es vital, no se puede estar mucho tiempo sin poder consultar esta información.

 

  • Herramientas de desarrollo y Software

La confidencialidad de la información del software es restringida a los departamentos donde se utiliza.  La integridad debe de ser garantizada porque debe de ser totalmente correcta aunque no llega a ser sensible en el ámbito del Cloud.  Y la disponibilidad es crítica para el negocio.

 

  • Información de la arquitectura de red

La confidencialidad de esta información está restringida para su uso interno de manera que los administradores de sistemas, sobre todo, la conozcan en detalle. La integridad tendrá un valor medio, periódicamente se revisará esta información. Su disponibilidad es vital, al apoyarse el negocio en la red, esta información tiene que estar disponible para resolver incidentes.

 

  • Información de configuración de los sistemas

La confidencialidad de la información de la configuración de los sistemas debe de ser restringida la departamento de sistemas, ya que el conocimiento de determinadas configuraciones por parte de terceros puede comprometer la seguridad de la organización.  En cuanto a la integridad es sensible ya que compromete el normal funcionamiento de los sistemas sin llegar a ser crucial para todo el negocio.  La disponibilidad tiene que ser crítica debido a la importancia de los sistemas dentro del negocio.

 

 

  • Información del personal

La confidencialidad de la información del personal es restringida a los departamentos donde trabajan, o en el caso de la seguridad a las empresas subcontratadas que proveen este servicio.  La integridad de la información debe de estar garantizada por terceros.  Y la disponibilidad no es crítica pudiendo estar algunos días sin estar disponible sin que ello afecte al funcionamiento normal de los servicios web.

 

  • Información del edificio

La confidencialidad de la información que se maneja en el edificio está disponible únicamente entre los trabajadores de la sede, y el personal externo. Debe haber una validación periódica de la integridad de estos datos, en los que se haga un seguimiento de los controles de acceso, entre otros aspectos.  Y la disponibilidad no es crítica aunque si recuperable, no pudiendo exceder muchos días sin la disposición de esta información.

Sobre los activos en los que se apoyan directamente los activos de información, heredarán los valores CID de los mismos:

  • Plataforma web de los desarrolladores: los programadores acceden a través de esta plataforma para trabajar y hacer pruebas. Su valoración CID depende directamente de la información de las aplicaciones que se desarrollan. Es vital que esté constantemente en funcionamiento para que el equipo de desarrollo haga su trabajo.
  • Plataforma de Red: coge información de la topología de red y de la configuración de los sistemas. En integridad pasaría a tener un valor de 2, ya que es una necesidad de que la información que pase a través de ella sea exacta y se puede hacer un trazado sobre ella. Es vital que esté disponible en todo momento.
  • Equipos de usuario: por los equipos pasará información sobre el software que se utiliza en la organización y la información que el personal almacena en los mismos, ambas de uso restringido. La integridad de la información se quedará con un valor que sea garantizable. Y la disponibilidad coge la puntuación más alta del activo de información de software.
  • Plataforma de clientes: hereda directamente del activo de información de clientes. Es por tanto información de uso interno con una confianza razonable para los datos de los clientes que contratan los servicios de la empresa, y es vital que ellos tengan una disponibilidad total a través de esta plataforma para ver el estado de sus productos.
  • Plataforma de gestión del edificio: la información de la sede pasa por gestionarse a través de esta plataforma. Se revisará periódicamente y no se requiere inmediatamente esta información al poder operar la organización sin problemas durante algún tiempo.
  • Plataforma de preproducción y producción: La Plataforma de Preproducción es prácticamente igual de importante que la plataforma de Producción. Necesita la misma disponibilidad de información para poder probar los futuros componentes de software que vayan a subir a producción.  Sobre todo para poder dar rápida respuesta contra incidencias urgentes.  Se busca tener agilidad para probar los cambios en preproducción y poder realizar el alta en producción.  Esta disponibilidad es crítica pero sin llegar a ser vital para el funcionamiento habitual del negocio, ya que al trabajar en arquitectura x86 de Cloud los servidores pueden entrar y salir de producción con facilidad. La información debe de ser igual de íntegra en preproducción que en producción para que no haya diferencias en las pruebas que se realizan con la información que se trabaja en producción.  En este negocio se trabaja con información garantizada. La confidencialidad de la información en preproducción es menor, decimos de uso interno, ya que en los entornos de preproducción se utilizan sistemas de anonimización de datos para que los empleados cumplan con normativas como la LOPD a nivel de España.  En cambio en producción debemos de trabajar con información restringida. Servidores Dell…
  • CPD: los datos que maneja están restringidos, para la validación de las operaciones debe hacerse una trazabilidad y el centro de procesamiento de datos está replicado para garantizar su máxima disponibilidad.
  • Edificio: todo el personal de dentro de la empresa e incluso el personal que eventualmente tenga tarjeta de invitado, dispone de la información de la estructura del edificio: accesos, salas, plantas, salidas de emergencia. Si no hay cambios significativos en la distribución y accesos al edificio no se actualizara la información relativa al complejo. La información está a la vista del personal que esté dentro de la sede y distribuida a lo largo del mismo. En caso de pérdida de toda esta información no se requiere de inmediato que se restablezca sino que sería posible no disponer de ella en algunos días.

 

2.3 Diagrama de activos

El diagrama de activos tras aplicar la tabla CID es el siguiente:

Diagrama de activos

Diagrama de activos

Normalizamos el diagrama de activos basándonos en la tabla CID del apartado anterior de manera que los activos hijos heredan la dimensión de seguridad más importante de los activos padres.

El resultado tras la normalización es el siguiente:

Diagrama de activos normalizado

Diagrama de activos normalizado

De este modo en los activos Plataforma de preproducción y de Producción la disponibilidad pasa de un 2 a un 1 porque son hijos de los activos Red, plataforma de equipos de usuario y plataforma de desarrolladores.  La integridad pasa de un 3 a un 2.  Y por último, la confidencialidad de la Plataforma de Preproducción se queda en un 3.

La tabla CID normalizada:

Tabla CID normalizada

Tabla CID normalizada

2.4 Valoración de los activos

Para la valoración de los activos tomamos como referencia la siguiente tabla:

Valor del activo

Valor del activo

 

Valor del activo

Valor del activo

 

Relación de Amenazas identificadas

Relación de amenazas identificadas

Relación de amenazas identificadas

 

2.5 Distribución de la vulnerabilidad

Distribución de la vulnerabilidad por amenaza para cada requisito de seguridad

Distribución de la vulnerabilidad

Distribución de la vulnerabilidad

 

2.6 Cálculo del riesgo intrínseco

A partir de aquí calculamos el riesgo (intrínseco) valorando el impacto y la probabilidad de cada una de las amenazas sobre los activos. Tenemos los valores de los activos y la probabilidad de ocurrencia de los mismos a través de:

Probabilidad

Probabilidad

Tabla del impacto que provoca a la empresa y al servicio web cuando se materializa la amenaza sobre el activo:

Impacto de la amenaza

Impacto de la amenaza

2.7 Relación amenazas – activos

Tablas de las amenazas que afectan a cada uno de los activos para poder determinar el riesgo:

7amenazas-activos 8Puntuación del riesgo 9Puntuación del riesgo

 

 

2.8 Identificar salvaguardas existentes

Se ha hecho una lista de las salvaguardas más comunes de las que dispone la organización, clasificadas en diferentes ámbitos y para un alcance que incluye la seguridad lógica y seguridad física (control de accesos, salvaguardas). La clasificación de las salvaguardas se describe en la siguiente tabla:

Salvaguardas

Se estudiará, dentro de todas las salvaguardas que ofrece la empresa,  aquellas que se van a aplicar en función de las amenazas que tengamos y de la puntuación del riesgo.

Una vez identificadas las salvaguardas hay que aplicarlas. Hay que tener en cuenta si es probable que existan unas determinadas salvaguardas en la empresa. En caso contrario, y en función del valor del riesgo, se valora si se asume en vez de adquirir esa salvaguarda con el coste que conlleva; o se transfiere (es decir otros se harán cargo de la amenaza); o se mitiga aplicando directamente la salvaguarda, y en caso de que no se disponga de una solución, adquirirla.

 

Recomendaciones para mitigar el riesgo:

Recomendaciones riesgo

Recomendaciones riesgo

Aplicación de las salvaguardas:

Recomendaciones salvaguardas

Recomendaciones salvaguardas

 

2.9 Determinar el riesgo después de aplicar las salvaguardas

Puntuación del riesgo después

Puntuación del riesgo después de las salvaguardas

Puntuación del riesgo después

Puntuación del riesgo después de las salvaguardas

 

3. Conclusiones

Para terminar se hablará sobre los riesgos que están en un nivel alto después de las salvaguardas que corresponden a las dos últimas tablas de valoración del riesgo. Se proponen las siguientes salvaguardas para mitigar los riesgos de manera inmediata:

  • Ante los fallos en la refrigeración y en el sistema de abastecimiento de agua, se recomienda tener sistemas alternativos como los de refrigeración pasiva (sistema de ventilación mecánica centralizada, o descentralizada), revisar los contratos de la empresa suministradora.
  • Respecto a la pérdida de suministro eléctrica se recomienda revisar y/o reparar la subestación que provee al edificio.
  • Poseer un gestor de actualizaciones de software en el servidor y programar las ejecuciones supondría bajar la probabilidad de fallo de software o su mal funcionamiento.
  • El problema de interceptación de señales que afectan a la información y servidores, desaparecerían aplicando software o hardware de cifrado.
  • Los fallos sobre el equipamiento de telecomunicaciones se mitigarían subcontratando los servicios por medio de SLAs (NLA).
  • Los visionados/copias no autorizados en la plataforma de producción, que supondrían espías sobre información crítica, habría que hacer una gestión adecuada de la continuidad de negocio y auditar el sistema para intentar identificar a los posibles atacantes. Podría usarse una solución de honeypod opensource o de pago para verificar que desde dentro se podría estar accediendo a información importante. Auditar los sistemas críticos para trazarlos.
  • Toda la información que no se utilice más debe ser convenientemente destruida si es el caso, aplicar cifrado y copias de respaldo (backups). Con esto mitigaríamos riesgos de robo de información entre otras cosas.
  • Uso de copias de respaldo cuando se hacer referencia a software o información corrupta.
  • Se podría hacer una revisión de las políticas de permisos y privilegios en los distintos roles y/o grupos para evitar el abuso de ciertos derechos para evitar posibles fugas de información.
  • Implementar buenas prácticas para evitar errores en el uso de los sistemas, equipos, red.
  • Para los fallos de funcionamiento de equipos una solución de balanceado de carga.
  • Gestión de software legítimo.
  • Además de implementar buenas prácticas, mejorar los programas de formación y concienciar sobre el buen uso de los dispositivos, equipos, etc.
  • Sobre el abuso de derechos en los servidores de producción o en la red, de nuevo unas políticas adecuados de permisos, limitando, por ejemplo, el tiempo de uso de cuentas con permisos de administrador.
  • Para la denegación de acciones (repudio) y contra la falsificación de derechos, implementar el uso de firma electrónica. El uso no autorizado se puede mitigar con una gestión de permisos adecuada, formación y control de accesos.

En resumen, esta tabla con soluciones:

Soluciones propuestas

Soluciones propuestas

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies