2. La guerra es un asunto de importancia vital para
el Estado; un asunto de vida o muerte, el camino
hacia la supervivencia o la destrucción. Por lo
tanto, es imperativo estudiarla profundamente.
Hay que valorarla en términos de cinco factores
fundamentales, y hacer comparaciones entre
diversas condiciones de los bandos antagonistas,
de cara a determinar el resultado de la contienda.
El primero de estos factores es la política; el
segundo, el clima; el tercero, el terreno; el
cuarto, el comandante; y el quinto, la doctrina.
Mediante todo esto, uno puede adivinar el
resultado final de la batalla.
El arte de la guerra
Sun Tzu, 2.000 a.C.
3. ¿Seguro con respecto a qué?
◦ Para el dinero, para sus empleados, para sus
clientes.
¿Ante qué es seguro?
◦ Un robo, un incendio, una crisis económica, etc.
¿Qué medidas incluye para aumentar la
seguridad?
¿El reducir la cantidad de dinero efectivo,
aumenta la seguridad?
¿Las medidas de seguridad hacen que no
exista ningún riesgo para el banco?
4.
5. Pérdida de Perjuicio de la
beneficios reputación
Pérdida o
Deterioro de la
compromiso
confianza del
de la seguridad
inversor
de los datos
Deterioro de la Interrupción de
confianza del Consecuencias los procesos
cliente legales empresariales
6. Seguridad es la capacidad de las redes o de
los sistemas de información para resistir, con
un determinado nivel de confianza, los
accidentes o acciones ilícitas o
malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas
redes y sistemas ofrecen o hacen accesibles.
7. La norma UNE-ISO/IEC 17799 define la seguridad
de la información como la preservación de...
◦ ... su confidencialidad.
Sólo quienes estén autorizados pueden acceder a la
información.
◦ ... su integridad.
La información y sus métodos de proceso son exactos
y completos.
◦ ... su disponibilidad.
Los usuarios autorizados tienen acceso a la
información y a sus activos asociados cuando lo
requieran.
8. Protegemos los activos.
Se denominan activos los recursos del
sistema de información o relacionados con
éste, necesarios para que la Organización
funcione correctamente y alcance los
objetivos propuestos por su dirección.
9. El activo esencial es la información que maneja el sistema;
o sea los datos. Y alrededor de estos datos se pueden
identificar otros activos relevantes:
◦ Los servicios que se pueden prestar gracias a aquellos datos, y los
servicios que se necesitan para poder gestionar dichos datos.
◦ Las aplicaciones informáticas (software) que permiten manejar los
datos.
◦ Los equipos informáticos (hardware) y que permiten hospedar
datos, aplicaciones y servicios.
◦ Los soportes de información que son dispositivos de
almacenamiento de datos.
◦ El equipamiento auxiliar que complementa el material
informático.
◦ Las redes de comunicaciones que permiten intercambiar datos.
◦ Las instalaciones que acogen equipos informáticos y de
comunicaciones.
◦ Las personas que explotan u operan todos los elementos
anteriormente citados.
10. Protegemos los activos de las amenazas.
Las amenazas son “cosas que ocurren”. Y, de
todo lo que puede ocurrir, interesa lo que
puede pasarle a nuestros activos y causar un
daño.
11. Las vulnerabilidades son debilidades
asociadas a activos de información. En sí
mismas no causan daño.
Esas debilidades pueden ser explotadas por
amenazas que pueden causar una rotura de
seguridad que tenga como consecuencia
daño o perdida de esos activos de
información
12. Reduciendo su riesgo.
El riesgo es una estimación del grado de
exposición a que una amenaza se materialice
sobre uno o más activos causando daños o
perjuicios a la Organización (impacto).
El riesgo crece con el impacto y con la
frecuencia.
13.
14. Implantar controles o salvaguardas con el
objetivo de reducir el riesgo.
Las salvaguardas pueden tener
vulnerabilidades por lo que es necesario
realizar pruebas y seguimiento de las
mismas.
La seguridad absoluta no existe
◦ siempre hay que aceptar un riesgo que, eso sí, debe
ser conocido y sometido al umbral de calidad que
se requiere del servicio.
15.
16.
17. ACTIVO: recurso del sistema de información o
relacionado con éste, necesario para que la
organización funcione correctamente y alcance los
objetivos propuestos por su dirección.
Vulnerabilidades: debilidades asociadas a activos de
información
AMENAZA: Evento que puede desencadenar un incidente
en la organización, produciendo daños o pérdidas en
sus activos.
RIESGO: Posibilidad de que una amenaza se materialice.
IMPACTO: Consecuencia sobre un activo de la
materialización de una amenaza.
CONTROL: Práctica, procedimiento o mecanismo que
reduce el nivel de riesgo.
18.
19. Es de sentido común que no se puede invertir
en salvaguardas más allá del valor de los
propios activos a proteger.
20. Evaluación
◦ Evaluar y valorar los activos
◦ Identificar los riesgos de la seguridad
◦ Analizar y asignar prioridad a los riesgos de la
seguridad
Desarrollo e implementación
◦ Desarrollar métodos correctivos de seguridad
◦ Probar los métodos correctivos de seguridad
◦ Obtener información de seguridad
Funcionamiento
◦ Volver a valorar los activos nuevos y los que
han sufrido cambios, así como los riesgos de
seguridad
◦ Estabilizar e implementar medidas preventivas
nuevas o que han cambiado
21. 1 2
Identificación Análisis
5 3
Declaración de
Control Plan
riesgos
4
Seguimiento
22. Análisis de riesgos: proceso sistemático para
estimar la magnitud de los riesgos a que está
expuesta una Organización.
Gestión de riesgos: selección e implantación
de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos
identificados.
Análisis de riesgos + Tratamientos de riesgos
= Gestión de riesgos
23.
24.
25.
26. Paso 1. Identificar los activos.
Paso 2. Valorar los activos.
Paso 3. Identificar las amenazas.
Paso 4. Determinar el impacto de una
amenaza.
Paso 5. Determinación del riesgo.
Paso 6. Establecer salvaguardas.
Paso 7. Revisión del paso 4, determinar el
impacto residual.
Paso 8. Revisión del paso 5, determinar el
riesgo residual.
27. ¿Por qué interesa un activo? Por lo que vale.
◦ Si algo no vale para nada, prescíndase de ello. Si no
se puede prescindir impunemente de un activo, es
que algo vale; eso es lo que hay que averiguar pues
eso es lo que hay que proteger.
El valor de un activo puede ser propio o
acumulado.
◦ Si un activo A depende de otro activo B, el valor de
B se incrementa.
28. La valoración es la determinación del coste que
supondría salir de una incidencia que degradara el
activo.
Hay muchos factores a considerar:
◦ coste de reposición: adquisición e instalación
◦ coste de mano de obra (especializada) invertida en
recuperar (el valor) del activo
◦ lucro cesante: pérdida de ingresos
◦ capacidad de operar: confianza de los usuarios y
proveedores que se traduce en una pérdida de actividad o
en peores condiciones económicas
◦ sanciones por incumplimiento de la ley u obligaciones
contractuales
◦ daño a otros activos, propios o ajenos
◦ daño a personas
◦ daños medioambientales.
29.
30. La valoración puede ser cuantitativa (con una
cantidad numérica) o cualitativa (en alguna
escala de niveles). Los criterios más
importantes a respetar son:
◦ la homogeneidad: es importante poder comparar
valores aunque sean de diferentes dimensiones a
fin de poder combinar valores propios y valores
acumulados, así como poder determinar si es más
grave el daño en una dimensión o en otra
◦ la relatividad: es importante poder relativizar el
valor de un activo en comparación con otros activos
31. D disponibilidad
◦ ¿Qué importancia tendría que el activo no estuviera
disponible?
I integridad
◦ ¿Qué importancia tendría que el activo fuera
modificado fuera de control?
C confidencialidad
◦ ¿Qué importancia tendría que el activo fuera conocido
por personas no autorizadas?
A autenticidad
◦ ¿Qué importancia tendría que quien accede al activo
no sea realmente quien se cree?
T trazabilidad (accountability)
◦ ¿Qué importancia tendría que no quedara constancia
del uso del activo?
32. 1. El servidor proporciona una funcionalidad
básica pero no tiene un impacto financiero
en el negocio.
3. El servidor contiene información
importante,
pero los datos se pueden recuperar rápida y
fácilmente.
5. El servidor contiene datos importantes
que llevaría algún tiempo recuperar.
8. El servidor contiene información
importante para los objetivos empresariales
de la compañía. La pérdida de este
equipamiento
tendría un efecto considerable en la
productividad de todos los usuarios.
10.El servidor tiene un efecto considerable
en el negocio de la compañía. La pérdida de
este equipamiento resultaría en una
desventaja con respecto a la competencia.
33. Tipos de amenazas Ejemplos
Falsificar
mensajes de correo electrónico
Suplantación
Reproducir paquetes de autenticación
Alterar
datos durante la transmisión
Alteración
Cambiar datos en archivos
Eliminar un archivo esencial y denegar este hecho
Repudio
Adquirir un producto y negar posteriormente que se ha
adquirido
Exponer la información en mensajes de error
Divulgación de
información Exponer el código de los sitios Web
Inundar una red con paquetes de sincronización
Denegación de
servicio Inundar una red con paquetes ICMP falsificados
Explotar la saturación de un búfer para obtener privilegios
Elevación de en el sistema
privilegios
Obtener privilegios de administrador de forma ilegítima
34. Cuando un activo es víctima de una amenaza,
no se ve afectado en todas sus dimensiones,
ni en la misma cuantía.
Una vez determinado que una amenaza
puede perjudicar a un activo, hay que estimar
cuán vulnerable es el activo, en dos sentidos:
◦ degradación: cuán perjudicado resultaría el activo
◦ frecuencia: cada cuánto se materializa la amenaza
35. Se denomina impacto a la medida del daño
sobre el activo derivado de la materialización
de una amenaza.
36. DREAD
◦ Daño
◦ Capacidad de reproducción
◦ Capacidad de explotación
◦ Usuarios afectados
◦ Capacidad de descubrimiento
37. Las salvaguardas entran en el cálculo del riesgo
de dos formas:
◦ Reduciendo la frecuencia de las amenazas. Se llaman
salvaguardas preventivas. Las ideales llegan a impedir
completamente que la amenaza se materialice.
◦ Limitando el daño causado. Hay salvaguardas que
directamente limitan la posible degradación, mientras
que otras permiten detectar inmediatamente el ataque
para frenar que la degradación avance. Incluso algunas
salvaguardas se limitan a permitir la pronta recuperación
del sistema cuando la amenaza lo destruye. En
cualquiera de las versiones, la amenaza se materializa;
pero las consecuencias se limitan.
38. Las salvaguardas se caracterizan, además de por
su existencia, por su eficacia frente al riesgo que
pretenden conjurar.
La salvaguarda ideal es 100% eficaz, lo que implica
que:
es teóricamente idónea
está perfectamente desplegada, configurada y mantenida
se emplea siempre
existen procedimientos claros de uso normal y en caso de
incidencias los usuarios están formados y concienciados
existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que están de
adorno y el 100% para aquellas que son perfectas, se
estimará un grado de eficacia real en cada caso concreto.
39. Algunas salvaguardas, notablemente las de tipo
técnico, se traducen en el despliegue de más
Equipamiento que se convierte a su vez en un activo
del sistema.
◦ Estos activos soportan parte del valor del sistema y están a
su vez sujetos a amenazas que pueden perjudicar a los
activos de valor.
Hay que repetir el análisis de riesgos, ampliándolo
con el nuevo despliegue de medios y, por supuesto,
cerciorarse de que el riesgo del sistema ampliado es
menor que el del sistema original; es decir, que las
salvaguardas efectivamente disminuyen el estado de
riesgo de la Organización.
40. Si se puede, se evita
Si no, hay que plantear una estrategia
◦ hay que tener medidas preventivas
◦ hay que tener un plan de emergencia
◦ hay que tener un plan de recuperación
41.
42. Controles disuasorios: reducen la posibilidad
de incidente (cámaras de vigilancia).
Controles preventivos: reduce la
vulnerabilidad (ej. Parches en los Sistemas
operativos)
Controles detectores: detectan incidente en
curso (sensores IDS en las redes).
Controles correctivos: posterior al incidente
(copias de seguridad).
43.
44.
45.
46. Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información.
Promovido por CSAE: Consejo Superior de
Administración Electrónica.
47. Directos:
◦ concienciar a los responsables de los sistemas de
información de la existencia de riesgos y de la
necesidad de atajarlos a tiempo
◦ ofrecer un método sistemático para analizar tales
riesgos
◦ ayudar a descubrir y planificar las medidas
oportunas para mantener los riesgos bajo
control.
Indirectos:
◦ preparar a la Organización para procesos de
evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso
48.
49.
50.
51.
52. The Security Risk Management Guide.
◦ Microsoft.
MAGERIT – versión 2 Metodología de Análisis
y Gestión de Riesgos de los Sistemas de
Información.
◦ Ministerio español de Administraciones Públicas
Fundamentos de seguridad – Microsoft
Technet.