Embed Size (px)
DESCRIPTION
seguridad informatica
Citation preview
UNIVERSIDAD JOSÉ CARLOS MARIÁTEGUIFACULTAD DE INGENIERÍA
CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS E INFORMÁTICA
AMENAZA Y VULNERABILIDAD DE LA INFORMACION ANALISIS DE RIEZGOS
PRESENTADO POR:Johann D. Chambilla Flores & Juan C. Cahuana Neyra
CURSO:SEGURIDAD INFORMATICA
DOCENTE:ING. LUIS ALBERTO PALOMINO CHURA
MOQUEGUA - PERÚAbril del 2016
INDICE:
I AMENAZAS Y VULNERABILIDAD DE LA INFORMACION…………………………………………4
Página 1
1.-OBJETIVOS……………………………………………………………………………………………..72.-CLASIFICACION DE AMENAZAS……………………………………………………………….83.-TIPOS DE VULNERABILIDAD………………………………………………………………….13
II ANALISI DE RIESGOS…………………………………………………………………………………………22
1.-ANALISIS DE RIESGOS………………………………………………………………………….22
1.1 TEMINOLOGIA BASICA…………………………………………………………..32 ACTIVOS……………………………………………………
……………………..33 RIESGOS……………………………………………………
………………………33 ACEPTACION DEL RIESGO
………………………………………………..34 ANALISIS DE RIESGO
………………………………………………………..34 MANEJO DE
RIESGO…………………………………………………………34
EVALUACION DE RIESGO………………………………………………….34
IMPACTO………………………………………………………………………….35
PERDIDA SEPARADA…………………………………………………………35
VULNERABILIDAD…………………………………………………………….35
Página 2
AMENAZA………………………………………………………………………..35
RIESGO RESIDUAL…………………………………………………………….35
CONTROLES……………………………………………………………………..36
INTRODUCCION:
Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management)
En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado.
Página 3
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos)
I AMENAZAS Y VULNERABILIDAD DE LA INFORMACION
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informática, los Elementos de Información. Debido a que la Seguridad Informática tiene como propósitos de garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, las amenazas y los consecuentes daños que puede causar un evento exitoso, también hay que ver en relación con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones.
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo como por ejemplo las agresiones técnicas, naturales o humanos, sino también amenazas de origen interno, como la negligencia del propio personal o las condiciones técnicas, procesos operativos internos (Nota: existen conceptos que defienden la opinión que amenazas siempre tienen carácter externo!)
Generalmente se distingue y divide tres grupos
Criminalidad: son todas las acciones, causado por la intervención humana, que violan la ley y que están penadas por esta. Con criminalidad política se entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil.
Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos indirectamente causados por la intervención humana.
Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionado con el comportamiento humano.
Existen amenazas que difícilmente se dejan eliminar (virus de computadora) y por eso es la tarea de la gestión de riesgo de preverlas, implementar medidas de protección para evitar o minimizar los daños en caso de que se realice una amenaza.
Página 4
Para mostrar algunas de las amenazas más preocupantes, consultamos dos estadísticas, el primer grafo sale de la “Encuesta sobre Seguridad y Crimen de Computación – 2008” del Instituto de Seguridad de Computación (CSI por sus siglas en inglés) que base en 433 respuestas de diferentes entidades privadas y estatales en los EE.UU
El segundo tiene su origen en una encuesta que se hizo en el año 2007, con 34 organizaciones sociales a nivel centroamericano
Ambos grafos, muestran el porcentaje de todos los encuestados que sufrieron ese tipo de ataque.
Como se observa, existen algunas similitudes respecto a las amenazas más preocupantes
Página 5
Ataques de virus (>50%) Robo de celulares, portátiles y otros equipos (>40%)
Pero también existen otras amenazas que, aunque no aparezcan en ambas encuestas, son muy alarmantes y que se debe tomar en consideración
Falta de respaldo de datos Perdida de información por rotación, salida de personal Abuso de conocimientos internos (no consultado en encuesta de organizaciones sociales) Mal manejo de equipos y programas Acceso non-autorizado
VULNERABILIDAD
La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un daño [4].
Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño.
1.- OBJETIVOS
La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.
La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:
Página 6
La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios,boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
La información: Ésta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
2.- CLASIFICACION DE AMENAZAS
No sólo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tomadas en cuenta e incluso «no informáticas». Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.
Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
Página 7
Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general. Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
Ingeniería Social:
Existen diferentes tipos de ataques en Internet como virus, troyanos u otros, dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo de ataque, que no afecta directamente a los ordenadores, sino a sus usuarios, conocidos como “el eslabón más débil”. Dicho ataque es capaz de almacenar conseguir resultados similares a un ataque a través de la red, saltándose toda la infraestructura creada para combatir programas maliciosos. Además, es un ataque más eficiente, debido a que es más complejo de calcular y prever. Se pueden utilizar infinidad de influencias psicológicas para lograr que los ataques a un servidor sean lo más sencillo posible, ya que el usuario estaría inconscientemente dando autorización para que dicha inducción se vea finiquitada hasta el punto de accesos de administrador.
Tipos de amenaza:
Página 8
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una clasificación. Por ejemplo, un caso de phishing puede llegar a robar la contraseña de un usuario de una red social y con ella realizar una suplantación de la identidad para un posterior acoso, o el robo de la contraseña puede usarse simplemente para cambiar lafoto del perfil y dejarlo todo en una broma (sin que deje de ser delito en ambos casos, al menos en países con legislación para el caso, como lo es España).
Amenazas por el origen
El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, y con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos de amenazas:
Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son:
Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, etc. Además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite unos mínimos de movimientos.
Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas por, habitualmente, no estar orientados al tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.
Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.
Página 9
Amenazas por el efecto
El tipo de amenazas por el efecto que causan a quien recibe los ataques podría clasificarse en:
Robo de información. Destrucción de información. Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. Suplantación de la identidad, publicidad de datos personales o confidenciales,
cambio de información, venta de datos personales, etc. Robo de dinero, estafas,...
Amenazas por el medio utilizado:
Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto para un mismo tipo de ataque:
Virus informático: malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.
Phishing. Ingeniería social. Denegación de servicio. Spoofing: de DNS, de IP, de DHCP, etc.
Amenaza informática del futuro:
Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los certificados que contienen la información digital. El área semántica, era reservada para los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0.
Se puede afirmar que “la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales -por medio de
Página 10
técnicas de inteligencia artificial- son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a las personas”.
Es decir, se trata de dotar de significado a las páginas Web, y de ahí el nombre de Web semántica o Sociedad del Conocimiento, como evolución de la ya pasada Sociedad de la Información
En este sentido, las amenazas informáticas que viene en el futuro ya no son con la inclusión de troyanos en los sistemas o softwares espías, sino con el hecho de que los ataques se han profesionalizado y manipulan el significado del contenido virtual.
“La Web 3.0, basada en conceptos como elaborar, compartir y significar, está representando un desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que optan por modificar los significados del contenido digital, provocando así la confusión lógica del usuario y permitiendo de este modo la intrusión en los sistemas”, La amenaza ya no solicita la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo del capital”.
Obtención de perfiles de los usuarios por medios, en un principio, lícitos: seguimiento de las búsquedas realizadas, históricos de navegación, seguimiento con geoposicionamiento de los móviles, análisis de las imágenes digitales subidas a Internet, etc.
Para no ser presa de esta nueva ola de ataques más sutiles, se recomienda:
Mantener las soluciones activadas y actualizadas. Evitar realizar operaciones comerciales en computadoras de uso público o en redes
abiertas. Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en
caso de duda. DMS en el Data Center
3.- TIPOS DE VULNERABILIDAD
En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en:
Hardware: elementos físicos del sistema informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
Página 11
Software: elementos ló́gicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como las aplicaciones.
Datos: comprenden la información lógica que procesa el software haciendo uso del hardware. En general serán informaciones estructuradas en bases de datos o paquetes de información que viajan por la red.
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.
De ellos los mas críticos son los datos, el hardware y el software. Es decir, los datos que están almacenados en el hardware y que son procesados por las aplicaciones software.
Incluso de todos ellos, el activo mas crítico son los datos. El resto se puede reponer con facilidad y los datos ... sabemos que dependen de que la empresa tenga una buena política de copias de seguridad y sea capaz de reponerlos en el estado mas próximo al momento en que se produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y dinero.
Vulnerabilidad: definición y clasificaciónDefinimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema informático.
Página 12
Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de:
Diseño Debilidad en el diseño de protocolos utilizados en las redes. Políticas de seguridad deficientes e inexistentes.
Implementación Errores de programación. Existencia de “puertas traseras” en los sistemas informáticos. Descuido de los fabricantes.
Uso Mala configuración de los sistemas informáticos. Desconocimiento y falta de sensibilización de los usuarios y de los responsables de
informática. Disponibilidad de herramientas que facilitan los ataques. Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una
solución “conocida”, pero se sabe como explotarla.
Vulnerabilidades conocidas Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes.
En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador.
Vulnerabilidad de condición de carrera (race condition).Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.
Vulnerabilidad de Cross Site Scripting (XSS).
Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio
Página 13
diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.
Vulnerabilidad de denegación del servicio.
La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.
Vulnerabilidad de ventanas engañosas (Window Spoofing).
Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.
Políticas de seguridad
¿Cómo podemos proteger el sistema informático?Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.
A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.
Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad” (Villalón).
La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.
Esquemáticamente:
Página 14
Los mecanismos de seguridad se dividen en tres grupos:
1. Prevención:Evitan desviaciones respecto a la política de seguridad.
Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.
2. Detección:Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
3. Recuperación:Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.
Ejemplo: las copias de seguridad.
Dentro del grupo de mecanismos de prevención tenemos:
Mecanismos de identificación e autenticación
Página 15
Permiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.
Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.
En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.
Mecanismos de control de accesoLos objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.
Mecanismos de separaciónSi el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.
Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.
Mecanismos de seguridad en las comunicacionesLa protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.
Políticas de seguridad
El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.
Página 16
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.
Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma definir la filosofía respecto al acceso a los datos establecer responsabilidades inherentes al tema establecer la base para poder diseñar normas y procedimientos referidos a:
o Organización de la seguridado Clasificación y control de los datoso Seguridad de las personaso Seguridad física y ambientalo Plan de contingenciao Prevención y detección de viruso Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Página 17
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones Una estrategia de realización de copias de seguridad planificada adecuadamente Un plan de recuperación luego de un incidente Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.
II ANALISI DE RIESGOS
1.- ANALISIS DE RIESGOS
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin
Página 18
de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesto una Organización, y que el activo más importante que esta posee es la información, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida.Los medios para conseguirlo son:
-Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
-Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Página 19
-Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
PROCESOS DE ANALISIS DE RIESGOS INFORMATICOS
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
Identificación de los activos. Identificación de los requisitos legales y de negocio que son relevantes para la
identificación de los activos. Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de
negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Página 20
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles. Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un
tercero. Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto
se acepta.
Herramientas
En el caso de servidores Linux/Unix para hacer el análisis de vulnerabilidades se suele utilizar el programa 'Nessus'.
Nessus es de arquitectura cliente-servidor OpenSource, dispone de una base de datos de patrones de ataques para lanzar contra una máquina o conjunto de máquinas con el objetivo de localizar sus vulnerabilidades.
Existe software comercial que utiliza Nessus como motor para el análisis. Por ejemplo está Catbird (www.catbird.com) que usa un portal para la gestión centralizada de las vulnerabilidades, analiza externamente e internamente la red teniendo en cuenta los accesos inalámbricos. Además hace monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las organizaciones.En otros sistemas tipo Windows está el MBSA “Microsoft Baseline Security Analyzer” que permite verificar la configuración de seguridad, detectando los posibles problemas de seguridad en el sistema operativo y los diversos componentes instalados.
¿De qué queremos proteger el sistema informático?
Ya hemos hablado de los principales activos o elementos fundamentales del sistema informático que son vulnerables y ahora veremos a qué son vulnerables dichos elementos.
Comenzamos definiendo el concepto de amenaza.
Entendemos la amenaza como el escenario en el que una acción o suceso, ya sea o no deliberado, compromete la seguridad de un elemento del sistema informático.
Cuando a un sistema informático se le detecta una vulnerabilidad y existe una amenaza asociada a dicha vulnerabilidad, puede ocurrir que el suceso o evento se produzca y nuestro sistema estará en riesgo.
Página 21
Si el evento se produce y el riesgo que era probable ahora es real, el sistema informático sufrirá daños que habrá que valorar cualitativa y cuantitativamente, y esto se llama 'impacto'.
Integrando estos conceptos podemos decir que “un evento producido en el sistema informático que constituye una amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre él”.
Si queremos eliminar las vulnerabilidades del sistema informático o queremos disminuir el impacto que puedan producir sobre él, hemos de proteger el sistema mediante una serie de medidas que podemos llamar defensas o salvaguardas.
ELEMENTOS DE ANALISIS DE RIESGOS
Cuando se pretende diseñar una técnica para implementar un análisis de riesgo informático se pueden tomar los siguientes puntos como referencia a seguir:
1. Construir un perfil de las amenazas que esté basado en los activos de la organización.
2. Identificación de los activos de la organización.
3. Identificar las amenazas de cada uno de los activos listados.
4.Conocer las prácticas actuales de seguridad.
5. Identificar las vulnerabilidades de la organización. Recursos humanos, Recursos técnicos, Recursos financieros
6. Identificar los requerimientos de seguridad de la organización.
7. Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.
8. Detección de los componentes claves
9. Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:
Riesgo para los activos críticos
Medidas de riesgos Estrategias de protección
Planes para reducir los riesgos.
Página 22
Tipos de amenaza. El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma.
Basado en esto podemos decir que existen 2 tipos de amenazas:Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son: Los usuarios conocen la red y saben cómo es su funcionamiento.Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.
Tipos de Virus
Los Virus se pueden clasificar en función de múltiples características y criterios: según su origen, las técnicas que utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los daños que causan, el sistema operativo o la plataforma tecnológica que atacan, etc.
Virus residentes
La característica principal de estos virus es que se ocultan en la memoria RAM de forma permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados, copiados, Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky.
Página 23
Virus de acción directa
Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo directorio para contagiarlos.
Virus de sobreescritura
Estos virus se caracterizan por destruir la información contenida en los ficheros que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden total o parcialmente inservibles.
Virus de boot o de arranque
Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la información esencial sobre las características del disco y se encuentra un programa que permite arrancar el ordenador.
Virus de macro
El objetivo de estos virus es la infección de los ficheros creados usando determinadas aplicaciones que contengan macros: documentos de Word (ficheros con extensión DOC), hojas de cálculo de Excel (ficheros con extensión XLS), bases de datos de Access (ficheros con extensión MDB), presentaciones de PowerPoint (ficheros con extensión PPS), ficheros de Corel Draw, etc.
Las Macros son micro-programas asociados a un fichero, que sirven para automatizar complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con ellos.
Virus encriptados
Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran o
Página 24
encriptan a sí mismos para no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar.
Virus polimórficos
Son virus que en cada infección que realizan se cifran o encriptan de una forma distinta (utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más costosos de detectar.
Virus multipartites
Virus muy avanzados, que pueden realizar múltiples infecciones, combinando diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, macros, discos, etc.
Virus de Fichero
Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.
Virus de FAT
La Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema.
Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal funcionamiento del ordenador.
Consideraciones de software
Página 25
Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre.
El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.
Organismos oficiales de seguridad informática
La Oficina de Seguridad para las Redes Informáticas (OSRI) es una entidad nacional adscripta al Ministerio de la Informática y las Comunicaciones, que tiene por objeto social:
- Llevar a cabo la prevención, evaluación, aviso, investigación y respuesta a las acciones, tanto internas como externas, que afecten el normal funcionamiento de las Tecnologías de la Información del país.
- Trabaja por fortalecer la seguridad durante el empleo de las Tecnologías de la Información. Su propósito consiste en implementar un sistema que contribuya al
Página 26
ordenamiento de las actividades asociadas con las redes informáticas y de comunicaciones, mediante el establecimiento de un esquema que garantice niveles aceptables de seguridad.
1.1 TEMINOLOGIA BASICA
Conocer las vulnerabilidades e implementar procedimientos para combatirlos es importante, sin embargo hasta ahora no existe ninguna medida de seguridad que garantize completamente la protección contra las vulnerabilidades.
Incluso cuando se desea evitar la materialización de un desastre, también es necesario conocer los efectos que provocan en los activos de una organización a corto y largo plazo.El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.
No se necesita estar expuesto a grandes amenazas informáticas para que dé un momento a otro ocurra un desastre
1.1.1 ACTIVOS
Página 27
Es todo aquello con valor para una organización y que necesita protección, en el ámbito informático pueden ser datos, infraestructura, hardware, software, personal, información, servicios.
1.1.2 RIESGOS
Un riesgo es la posibilidad de que se presente algún daño o pérdida, esto es, la posibilidad de que se materialice una amenaza.
1.1.3 ACEPTACION DEL RIESGO
Es la decisión de recibir, reconocer, tolerar o admitir un riesgo. Esta decisión se toma una vez que se han estudiado los diferentes escenarios posibles para una misma amenaza y se han aplicado todos los procedimientos posibles para contrarrestar sus efectos y probabilidad de que ocurra.
1.1.4 ANALISIS DE RIESGO
Uso sistemático de la información disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias.
1.1.5 MANEJO DE RIESGO
Proceso de identificación, control y minimización o eliminación de riesgos de seguridad que pueden afectar a los sistemas de información, por un costo aceptable.
1.1.6 EVALUACION DE RIESGO
Comparación de los resultados de un análisis del riesgo con los criterios estándares del riesgo u otros criterios de decisión.
Página 28
1.1.7 IMPACTO
Son las pérdidas resultantes de la actividad de una amenaza, las pérdidas son normalmente expresadas en una o más áreas de impacto – destrucción, denegación de servicio, revelación o modificación-.
1.1.8 PERDIDA SEPARADA
El impacto anticipado y negativo a los activos debido a una manifestación de la amenaza.
1.1.9 VULNERABILIDAD
Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí mismos sin tratarse de un ataque intencionado.
1.1.10 AMENAZA
Una acción o situación potencial que tiene la posibilidad de causar daño.
1.1.11 RIESGO RESIDUAL
Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.
1.1.12 CONTROLES
Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización. Un mismo
Página 29
control puede ser implementado para una o varias políticas de seguridad, lo que indica que la relación no es forzosamente de uno a uno.
ANALISIS CUANTITATIVO
El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.Un modelo cuantitativo habitual es aquel en el que las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto en función de la estimación del coste económico que suponen para la organizaciónEn resumen, el análisis de riesgo cuantitativo se ocupa específicamente de la revisión cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias, determinando numéricamente la frecuencia de ocurrencia de una amenaza, el valor monetario del activo, el impacto económico y el daño producido.
ANALISIS CUALITATIVO
Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo). Las consecuencias de la materialización de amenazas seasocian a un determinado nivel de impacto en función de multitud de factores (Pérdidas económicas efectivas, pérdida de conocimiento, pérdida decompetitividad, interrupción de negocio, pérdida de imagen, etc)
Pasos del análisis de riesgo
El proceso de análisis de riesgo consiste en ocho pasos interrelacionados:
1-Identificación y evaluación de activo
2-Identificar las amenazas correspondientes
3-Identificar las vulnerabilidades
4-Determinar el impacto de la ocurrencia de una amenaza
5-Determinar los controles en el lugar
Página 30
6-Determinar los riesgos residuales (Conclusiones)
7-Identificar los controles adicionales (Recomendaciones)
8-Preparar el informe del análisis de riesgo
Como en todos los procesos, los pasos de un analisis de riesgos pueden variar pero comparten enfoques comunes importantes
Identificación y evaluación de los activos
El primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección. El valor de los activos es un factor significante en la decisión para realizar cambios operacionales o para incrementar la protección de los activos. El valor del activo se basa en su costo, sensibilidad, misión crítica, o la combinación de estas propiedades.El valor del activo se usará para determinar la magnitud de la pérdida cuando la amenaza ocurra.
Página 31
Identificación de amenazas
Después de identificar los activos que requieren protección, las amenazas a éstos deben identificarse y examinarse para determinar cuál sería la pérdida si dichas amenazas se presentan. Este paso envuelve la identificación y la descripción de las amenazas correspondientes al sistema que está siendo utilizado y se estima qué tan seguido se puede presentar.
Identificación de vulnerabilidades
El nivel de riesgo se determina analizando la relación entre las amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay áreas de alta vulnerabilidad que no tienen consecuencias si no presentan amenazas.
Impacto de la ocurrencia de una amenaza
Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto. Las pérdidas son catalogadas en áreas de impacto llamadas:
Revelación: Cuando la información es procesada y se pierde la confidencialidad
Modificación: El efecto de la manifestación de una amenaza cambia el estado original del activo.
Destrucción: El activo se pierde completamente.
Denegación de servicio: Pérdida temporal de los servicios.
Controles en el lugar
Página 32
La identificación de los controles es parte de la recolección de datos en cualquier proceso de análisis de riesgo. Existen dos tipos principales de controles:
1.- Controles requeridos: Todos los controles de esta categoría pueden ser definidos con base en una o mas reglas escritas. La clasificación de los datos almacenados y procesados en un sistema o red y su modo de operación determinan las reglas a aplicar, y éstas indican cuáles son los controles requeridos.
2.-Controles discrecionales: Este tipo de controles es elegido por los administradores. En muchos casos los controles requeridos no reducen el nivel de vulnerabilidad a un nivel aceptable, por lo que se deben elegir e implementar este tipo de controles para ajustar el nivel de vulnerabilidad a un nivel aceptable.
Riesgos residuales
Siempre existirá un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es aceptable o no. El riesgo residual toma la forma de las conclusiones alcanzadas en el proceso de evaluación. Las conclusiones deben identificar:
-Las áreas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia de la amenaza.
-Todos los controles que no están dentro del lugar.
El resultado de estos pasos permite comenzar la selección necesaria de controles adicionales.
Identificación de los controles adicionales
Una vez que el riesgo residual haya sido determinado, el siguiente paso es identificar la forma mas efectiva y menos costosa para reducir el riesgo a un nivel aceptable. Un intercambio operacional –el cual puede tomar la forma de costo, conveniencia, tiempo, o una mezcla de los anteriores- debe realizarse al mismo tiempo que los controles adicionales son implementados. Las recomendaciones son:
-Controles requeridos: Controles requeridos u obligatorios que no se encuentran en el lugar son la primera recomendación.
Página 33
-Controles discrecionales: La segunda recomendación generalmente identifica los controles discrecionales necesarios para reducir el nivel de riesgo.
Preparación de un informe del análisis del riesgo.
El proceso de análisis de riesgo ayuda a identificar los activos de información en riesgo y añade un valor a los riesgos, adicionalmente identifica las medidas protectoras y minimiza los efectos del riesgo y asigna un costo a cada control. El proceso de análisis del riesgo también determina si los controles son efectivos. Cuando el análisis está completo, un informe de la evaluación de riesgo debe prepararse. Los detalles técnicos del reporte deben incluir como mínimo:
-Amenazas correspondientes y su frecuencia.
-El ambiente usado.
-Conexión del sistema.
-Nivel o niveles de sensibilidad e los datos
-Riesgo residual, expresado en una base individual de vulnerabilidad.
-Cálculos detallados de la expectativa de pérdida anual.
El análisis del riesgo de seguridad es fundamental en la seguridad de cualquier organización ya que es un método formal para investigar los riesgos de un sistema informático y recomendar las medidas apropiadas que deben adoptase para controlar estos riesgos. Es esencial asegurarse que los controles y el gasto que implican sean completamente proporcionales a los riesgos a los cuales se expone la organización.
ANALISIS DE COSTO BENEFICIO
El análisis costo/beneficio es una importante técnica que nos ayuda en la toma de decisiones, pues brinda información necesaria para determinar si una actividad es rentable, o por el contrario representa un impractico desperdicio de recursos.Este tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.Primero debe entenderse que los costos son tangibles, es decir, se pueden medir en alguna unidad económica, mientras que los beneficios pueden ser intangibles, es decir, pueden darse en forma objetiva o subjetiva.Dependiendo del enfoque que use una organización, el análisis costo beneficio puede
Página 34
ser un proceso independiente del análisis de riesgo, pero es necesario que todos los controles instaurados sean evaluados en términos de funcionalidad y viabilidad.
En el campo de seguridad informática, tanto para el análisis de riesgo como para el análisis costo beneficio deben tomarse en cuenta tres costos o valores fundamentales:
- Costo del sistema informático (Ca): valor de los recursos y la información a proteger.
- Costos de los medios necesarios (Cr): los medios y el costo respectivo que un criptoanalista requiere para romper las medidas de seguridad establecidas en el sistema.
- Costo de las medidas de seguridad necesarias (Cs): medidas y su costo para salvaguardar los bienes informáticos.
Para que la política de seguridad del sistema sea lógica debe cumplirse la siguiente relación:
Cr > Ca >Cs
El que Cr sea mayor que Ca significa que el ataque al sistema debe ser mas costoso que el valor del sistema. Por lo que los beneficios obtenidos al romper las medidas de seguridad no compensan el costo de desarrollar el ataque.
El que Ca sea mayor que Cs significa que no debe costar mas la información que la información protegida. Si esto ocurre, resultaría conveniente no proteger el sistema y volver a obtener la información en caso de pérdida.
Página 35
CONCLUCIONES:
En conclusión la amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad(conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones.
REFERENCIAS:
Página 36
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica#Objetivos
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-seguridad-informatica?start=3
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap5.html
http://www.ecured.cu/Seguridad_Inform%C3%A1tica
http://www.dian.gov.co/descargas/operador/documentos/2015/CTPAT_Analisis_de_riesgo_abril_2015.pdf
https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
Página 37
