Está en la página 1de 8

ANALISIS DE RIEGOS EN UN DATA CENTER Estudiante Carlos Arzabe Ortuo Maestra Seguridad y Tecnologas de la informacin Para poder ver

las amenazas, vulnerabilidades y riegos ms frecuentes que se pueden presentar en nuestro Data Center debemos investigar la zona geogrfica donde se encuentra y los medios de seguridad tanto fsico como lgico que tiene la empresa. La empresa XXX es una empresa que se dedica a hacer reservas de viajes para realizar vuelos por el interior del pas tanto para personas, como empresas, esta empresa cuenta con un departamento financiero, un departamento de sistema y un departamento de ventas La empresa se encuentra ubicada en la calle Tomas Delgadillo N 325 del sector A de Alto Obrajes como se muestra en la figura:

La seguridad fsica est compuesta por un guardia de seguridad que vigila la entrada a la empresa y pide la documentacin necesaria para ingresar a esta (Carnet de Identidad) y una cmara de seguridad que realiza grabaciones constantes solo en la noche en el Data center, adems la empresa XXX cuenta con una salida de emergencia. La empresa XXX no cuenta con extinguidores, un botiqun de primeros auxilios y UPS pero si con polticas de seguridad donde algunas de estas son tomadas a la ligera.

En cuanto a la seguridad lgica esta cuenta con la configuracin adecuada de Routers, Switches, Firewall y un sistema de almacenamiento de respaldo, carece de un sistema de deteccin de intrusos y un sistema de registro de accesos al Data Center. AMENAZAS MAS FRECUENTES Las amenazas ms frecuentes son:

3 4 5

8 9

10 11 12

AMENAZA DEFINICION Temperatura irregular del Temperatura del aire en aire en el Data Center la sala el rack y el data center Humedad Humedad relativa de la sala y del rack a una temperatura determinada Filtracin de lquidos Filtracin de agua o refrigerante Robo de equipos Sustraccin del Data Center Empleados resentidos Empleados inconformes con la empresa y su manejo Hackers Persona con altos conocimientos informticos que invaden los sistemas Piezas Defectuosas Alguna falla fsica en el data Center o sus sistemas de proteccin Causas Naturales Inundacin, terremoto, etc Crackers Persona con altos conocimientos informticos que invaden los sistemas para obtener un beneficio Usuarios no Autorizados Personas externas a la empresa Usuarios Autorizados Personas que trabajan con la empresa Proveedores de servicio Empresas que brindan el mantenimiento del data

13

14

15 16

17

18

19

20

21

22

center Clientes Personas que acuden a la empresa por sus servicios Competidores Empresas que estn en el mismo rubro de la empresa y buscan de alguna manera hacerse con los clientes de esta Falla en el diseo de Error en el diseo de implementacin implementacin Falta de procedimiento No existe una forma de de emergencias cmo debe actuar la empresa frente a una emergencia ya sea de causa origen natural o no. Falta de cumplimiento a Los empleados no las polticas de seguridad siguen las buenas conductas y procedimientos para mantener la seguridad de los datos Gastos incontrolados Gastos en otras reas de la empresa que evitan que esto recursos vayan al fortalecimiento de la seguridad Sabotaje informtico Es una accin deliberada por una persona para debilitar destruir o interrumpir los servicios del Data Center Manipulacin informtica Es una accin deliberada por una persona para cambiar los datos en el Data Center Robo de datos Es una accin deliberada por una persona para sustraer los datos en el Data Center Divulgacin de datos Es una accin deliberada por una persona para divulgar la informacin contenida en el Data Center

23

Mal manejo de los equipos Dispositivos porttiles Falla elctrica

24 25

26

Perdida de informacin

27

Mala Ubicacin en el edificio Error Humano

28

29

Espionaje informtico

30

Implicaciones con la ley

Manipulacin del Data Center por personal no capacitado Flash Memories, Cds, etc Corte del suministro elctrico ya sea por causas naturales o de manera intencional Informacin destruida o eliminada del Data Center Ubicacin incorrecta para un buen funcionamiento del Data Center Falla Humana debido al cansancio, stress o distraccin del personal Es una accin deliberada por una persona para Obtener la informacin contenida en el Data Center Incumplimiento con alguna norma o pago

VULNERABILIDADES DE LA EMPRESA De acuerdo a lo planteado anteriormente se identificara las vulnerabilidades que puedan aprovechar. AMENAZA Temperatura del aire en el Data Center Humedad Filtracin de lquidos VULNERABILIDAD Falta de un sistema de aire acondicionado en el Data Center Falta de un detector de humedad Falta de mantenimiento en la caera de la empresa Falta de guardias de seguridad en la puerta de emergencia Falta de incentivos y bajo salario para jornadas de

2 3

Robo de equipos

Empleados resentidos

7 8

10

11 12 13 14

15

16

17

18

trabajo altas Hackers Falta de control de acceso en la base de datos Hackers Inexistencia de un sistema de control de intrusos Piezas Defectuosas Falta de mantenimiento adecuado Causas Naturales Inexistencia de un plan de continuidad de negocio y de prevencin frente a desastres naturales Crackers Falta de control de acceso en la base de datos Crackers Inexistencia de un sistema de control de intrusos Usuarios no Autorizados Falta de control de las personas que ingresan a la empresa con solo su C.I Usuarios Autorizados Incumplimiento a las polticas de seguridad. Proveedores de servicio Incumplimiento de contratos Usuarios Autorizados Falta de auditoria internas Competidores Falta de control en el acceso de la red e inexistencia id y contrasea Falla en el diseo de Inexistencia de informes implementacin acerca del diseo del sistema de seguridad Incumplimiento en el Inexistencia de un plan procedimiento de de continuidad de emergencias negocios ya sea por falla humana o intrusin Incumplimiento en las Inexistencia de polticas de seguridad sanciones al momento de incumplir una poltica Gastos incontrolados Falta de concientizacin acerca de la seguridad

19 20 21 22

Sabotaje informtico Manipulacin informtica Robo de datos Divulgacin de datos

23

Mal manejo de los equipos Dispositivos porttiles

24

25 26

Falla elctrica Perdida de informacin

27 28 29

Mala Ubicacin en el edificio Error Humano Espionaje informtico

30

Implicaciones con la ley

de informacin Falta de eliminacin de las puertas traseras Falta de id y contraseas de seguridad Falta de seguridad lgica Inexistencia de polticas de seguridad acerca de escritorios limpios Inexistencia de seguridad al momento de ingresar al Data Center Falta de concientizacin acerca del uso de los dispositivos porttiles Inexistencia de UPS y tomas a tierra Inexistencia de un Backup acerca de los datos almacenados en el Data Center Falta de campo en la empresa Personal ineficiente en la empresa Falta de un equipo de deteccin de intrusos y monitoreo de la red Inexistencia de personal capacitado en leyes

RIESGOS Segn las amenazas y vulnerabilidades halladas se toma los 10 riesgos ms significativos en la empresa. Mal funcionamiento del Data Center debido al sobrecalentamiento y la falta de mantenimiento Perdida de informacin en el Data Center debido a una falla elctrica Perdida, Manipulacin y sabotaje informtico debido a un ataque externo Inundacin debido a la filtracin de lquidos o causas naturales. Incendio Divulgacin de la informacin acerca de los clientes y sus reservas de vuelo Perdida de informacin debido a un ataque interno.

Virus informticos. Perdida de informacin por falta de capacitacin del personal Derrumbe de la propiedad Robo del Data Center

RIESGO

PROBABILI DAD DE PERDIDA

MAGNITUD DE LA PERDIDAD (horas)

EXPOSIC ION AL RIESGO (horas)

RESOLUCION

Mal funcionamiento 75% del Data Center debido al sobrecalentamiento y la falta de mantenimiento Perdida de 30% informacin en el Data Center debido a una falla elctrica Perdida, 10% Manipulacin y sabotaje informtico debido a un ataque externo Inundacin debido a la filtracin de lquidos o causas naturales. 5%

24

18

Comprar un sistema de enfriamiento para el Data Center

1,5

Colocar tomas a tierra y comprar UPS Comprar un sistema de deteccin de intrusos y de registro de acceso al data center. Realizar el mantenimiento adecuado a las caeras, debido a que el data Center est en el segundo piso no sufrir de una inundacin por causas naturales Comprar extinguidores y revisar las conexiones elctricas Premiar y concientizar a los empleados acerca de las polticas de

0,4

0,4

Incendio

1%

10

0,1

Divulgacin de la informacin acerca de los clientes y sus reservas de vuelo

20%

Perdida de informacin debido a un ataque interno Virus informticos.

1%

0,1

50%

Perdida de informacin por falta de capacitacin del personal Derrumbe de la propiedad Robo del Data Center

1%

5%

0,5

seguridad Inhabilitar los accesos lgicos a los empleados que son despedidos Colocacin de antivirus y su respectiva actualizacin Capacitacin al personal tcnico

20%

24

4,8

0,5%

0,025

Traslado de la empresa a un lugar ms estable Aumento del sistema de seguridad fisico