1. ANÁLISIS DE RIESGOS
Ing. Jorge Luis Pariasca León
Carrera Profesional de Computación e Informática
Unidad Didáctica: Seguridad Informática
Instituto Superior Tecnológico
Público
INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO
“Víctor Raúl Haya de la Torre”
“VÍCTOR RAÚL HAYA DE LA TORRE”
1
Semana 08
2. Introducción
2
El activo más importante que se posee es la información
y, por lo tanto, deben existir técnicas que la aseguren,
más allá de la seguridad física que se establezca sobre
los equipos en los cuales se almacena.
Estas técnicas las brinda la seguridad lógica que consiste
en la aplicación de barreras y procedimientos que
resguardan el acceso a los datos y sólo permiten acceder
a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que
dicta: "lo que no está permitido debe estar prohibido" y
ésta debe ser la meta perseguida.
3. Los medios para conseguirlo son:
3
Restringir el acceso (de personas de la organización y de las que
no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan
modificar los programas ni los archivos que no correspondan (sin
una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos
en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el
destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos
de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática,
con claves distintas y permisos bien establecidos, en todos y cada
uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los
sistemas de cómputo.
4. Elementos de un análisis de riesgo
4
Cuando se
pretende diseñar
o crear una
técnica para
implementar un
análisis de riesgo
informático se
pueden tomar los
siguientes puntos
como referencia a
seguir:
Planes para
reducir los
riesgos.
5. Análisis de impacto al negocio
5
El reto es asignar estratégicamente los recursos para cada
equipo de seguridad y bienes que intervengan, basándose en
el impacto potencial para el negocio, respecto a los diversos
incidentes que se deben resolver.
Para determinar el establecimiento de prioridades, el sistema
de gestión de incidentes necesita saber el valor de los
sistemas de información que pueden ser potencialmente
afectados por incidentes de seguridad.
Esto puede implicar que alguien dentro de la organización
asigne un valor monetario a cada equipo y un archivo en la
red o asignar un valor relativo a cada sistema y la información
sobre ella.
Dentro de los Valores para el sistema se pueden distinguir:
Confidencialidad de la información, la Integridad (aplicaciones
e información) y finalmente la Disponibilidad del sistema.
6. Análisis de impacto al negocio
6
Cada uno de estos valores es un sistema independiente
del negocio, supongamos el siguiente ejemplo: un
servidor Web público pueden poseer los requisitos de
confidencialidad de baja (ya que toda la información es
pública), pero de alta disponibilidad y los requisitos de
integridad.
En contraste, un sistema de planificación de recursos
empresariales (ERP), sistema puede poseer alto puntaje
en los tres variables.
Los incidentes individuales pueden variar ampliamente
en términos de alcance e importancia.
7. Puesta en marcha de una política de seguridad
7
Actualmente las legislaciones nacionales de los Estados,
obligan a las empresas, instituciones públicas a implantar
una política de seguridad. Ej: En España la Ley Orgánica
de Protección de Datos o también llamada LOPD y su
normativa de desarrollo.
Generalmente se ocupa exclusivamente a asegurar los
derechos de acceso a los datos y recursos con las
herramientas de control y mecanismos de identificación.
Estos mecanismos permiten saber que los operadores
tienen sólo los permisos que se les dio.
8. Puesta en marcha de una política de seguridad
8
La seguridad informática debe ser estudiada para que no
impida el trabajo de los operadores en lo que les es
necesario y que puedan utilizar el sistema informático
con toda confianza. Por eso en lo referente a elaborar
una política de seguridad, conviene:
Elaborar reglas y procedimientos para cada servicio de la
organización.
Definir las acciones a emprender y elegir las personas a
contactar en caso de detectar una posible intrusión
Sensibilizar a los operadores con los problemas ligados con la
seguridad de los sistemas informáticos.
9. Puesta en marcha de una política de seguridad
9
Los derechos de acceso de los operadores deben ser
definidos por los responsables jerárquicos y no por los
administradores informáticos, los cuales tienen que
conseguir que los recursos y derechos de acceso sean
coherentes con la política de seguridad definida.
Además, como el administrador suele ser el único en
conocer perfectamente el sistema, tiene que derivar a la
directiva cualquier problema e información relevante
sobre la seguridad, y eventualmente aconsejar
estrategias a poner en marcha, así como ser el punto de
entrada de la comunicación a los trabajadores sobre
problemas y recomendaciones en término de seguridad
informática.
10. Técnicas para asegurar el sistema
10
Codificar la
información: Criptología, Criptografía y Criptociencia,
contraseñas difíciles de averiguar a partir de datos
personales del individuo.
Vigilancia de red. Zona desmilitarizada (informática)
Tecnologías repelentes o
protectoras: cortafuegos, sistema de detección de
intrusos - antispyware, antivirus, llaves para protección
de software, etc.
Mantener los sistemas de información con las
actualizaciones que más impacten en la seguridad.
Sistema de Respaldo Remoto. Servicio de backup
remoto
11. Respaldo de Información
11
La información constituye el activo más importante de las
empresas, pudiendo verse afectada por muchos factores tales
como robos, incendios, fallas de disco, virus u otros.
Desde el punto de vista de la empresa, uno de los problemas
más importantes que debe resolver es la protección
permanente de su información crítica.
La medida más eficiente para la protección de los datos es
determinar una buena política de copias de seguridad o
backups: Este debe incluir copias de seguridad completa (los
datos son almacenados en su totalidad la primera vez) y
copias de seguridad incrementales (sólo se copian los
ficheros creados o modificados desde el último backup). Es
vital para las empresas elaborar un plan de backup en función
del volumen de información generada y la cantidad de
equipos críticos.
12. Respaldo de Información
12
Un buen sistema de respaldo debe contar con ciertas características
indispensables:
Continuo
El respaldo de datos debe ser completamente automático y continuo. Debe
funcionar de forma transparente, sin intervenir en las tareas que se encuentra
realizando el usuario.
Seguro
Muchos softwares de respaldo incluyen cifrado de datos (128-448 bits), lo cual
debe ser hecho localmente en el equipo antes del envío de la información.
Remoto
Los datos deben quedar alojados en dependencias alejadas de la empresa.
Mantención de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de versiones diarias,
semanales y mensuales de los datos.
Hoy en día los sistemas de respaldo de información online (Servicio de backup
remoto) están ganando terreno en las empresas y organismos gubernamentales.
La mayoría de los sistemas modernos de respaldo de información online cuentan
con las máximas medidas de seguridad y disponibilidad de datos. Estos sistemas
permiten a las empresas crecer en volumen de información sin tener que estar
preocupados de aumentar su dotación física de servidores y sistemas de
almacenamiento.
13. Consideraciones de software
13
Tener instalado en la máquina únicamente el software
necesario reduce riesgos. Así mismo tener controlado el
software asegura la calidad de la procedencia del mismo
(el software obtenido de forma ilegal o sin garantías
aumenta los riesgos). En todo caso un inventario de
software proporciona un método correcto de asegurar la
reinstalación en caso de desastre. El software con
métodos de instalación rápidos facilita también la
reinstalación en caso de contingencia.
Existe un software que es conocido por la cantidad de
agujeros de seguridad que introduce. Se pueden buscar
alternativas que proporcionen iguales funcionalidades
pero permitiendo una seguridad extra.
14. Consideraciones de una red
14
Los puntos de entrada en la red son generalmente el
correo, las páginas web y la entrada de ficheros desde
discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red sólo
en modo lectura, impide que ordenadores infectados
propaguen virus. En el mismo sentido se pueden reducir
los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores
de virus en modo batch puedan trabajar durante el
tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede
detectar, en fases de recuperación, cómo se ha
introducido el virus.
15. Algunas afirmaciones erróneas comunes acerca
de la seguridad
15
Mi sistema no es importante para un hacker
Esta afirmación se basa en la idea de que no introducir
contraseñas seguras en una empresa no entraña riesgos
pues ¿quién va a querer obtener información mía?. Sin
embargo, dado que los métodos de contagio se realizan
por medio de programas automáticos, desde unas
máquinas a otras, estos no distinguen buenos de malos,
interesantes de no interesantes, etc. Por tanto abrir
sistemas y dejarlos sin claves es facilitar la vida a los
virus.
16. Algunas afirmaciones erróneas comunes acerca
de la seguridad
16
Estoy protegido pues
no abro archivos que
no conozco
Esto es falso, pues
existen múltiples formas
de contagio, además los
programas realizan
acciones sin la
supervisión del usuario
poniendo en riesgo los
sistemas.
17. Algunas afirmaciones erróneas comunes acerca
de la seguridad
17
Como tengo antivirus estoy
protegido
En general los programas
antivirus no son capaces de
detectar todas las posibles
formas de contagio existentes, ni
las nuevas que pudieran
aparecer conforme los
ordenadores aumenten las
capacidades de comunicación,
además los antivirus son
vulnerables a desbordamientos
de búferque hacen que la
seguridad del sistema
operativo se vea más afectada
18. Algunas afirmaciones erróneas comunes acerca
de la seguridad
18
Como dispongo de un firewall no me contagio
Esto únicamente proporciona una limitada capacidad de
respuesta. Las formas de infectarse en una red son
múltiples. Unas provienen directamente de accesos al
sistema (de lo que protege un firewall) y otras de conexiones
que se realizan (de las que no me protege). Emplear
usuarios con altos privilegios para realizar conexiones puede
entrañar riesgos, además los firewalls de aplicación (los más
usados) no brindan protección suficiente contra el spoofing.
19. Algunas afirmaciones erróneas comunes acerca
de la seguridad
19
Tengo un servidor web cuyo
sistema operativo es
un Unix actualizado a la fecha
Puede que este protegido
contra ataques directamente
hacia el núcleo, pero si alguna
de las aplicaciones web (PHP,
Perl, Cpanel, etc.) está
desactualizada, un ataque
sobre algún script de dicha
aplicación puede permitir que el
atacante abra una shell y por
ende ejecutar comandos en el
unix.
20. ¿Qué es Administración de Riesgos?
Herramienta gerencial
que apoya la toma de
decisiones organizacionales
facilitando con ello el
cumplimiento de los
objetivos del negocio
21. RIESGOS
Proceso iterativo
basado en el
conocimiento,
valoración,
tratamiento y
monitoreo de los
riesgos y sus impactos
en el negocio
¿Qué es Administración de Riesgos?
22. Aplicable a cualquier
situación donde un
resultado no deseado o
inesperado podría ser
significativo en el
logro de los objetivos o
donde se identifiquen
oportunidades de
negocio
Ubicación
Geográfica
Unidad
Organizacional
Sistema de
Información
ProyectoProceso
Oportunidad
¿Qué es Administración de Riesgos?
23. 1. Establecer Marco General
2. Identificar Riesgos
3. Análisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear
y Revisar
Proceso de Administración de Riesgos
24. Administración de Riesgos
Cómo calificar – Criterios?
• Calidad del Control Interno
• Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Cambios recientes en procesos (políticas, sistemas, o
dirección)
• Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Liquidez de activos
• Cambio en personal clave
• Complejidad de operaciones
• Crecimiento rápido
• Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
De Negocio
IIA
• Exposición financiera
• Pérdida y riesgo potencial
• Requerimientos de la dirección
• Cambios importantes en operaciones,
programas, sistemas y controles
• Oportunidades de alcanzar beneficios
operativos
• Capacidades del persona
• Pérdida financiera
• Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
25. Confidencialidad
Integridad Disponibilidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
Previene la divulgación no autorizada de datos
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
26. Confidencialidad
Integridad Disponibilidad
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
Los activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadas
La modificación incluye escribir, cambiar, cambiar
estados, borrar y crear
PRECISIÓN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS
ACEPTABLES, MODIFICADO SOLO POR
PERSONAS AUTORIZADAS, MODIFICADO
SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA,
SIGNIFICADO Y RESULTADOS CORRECTOS
ACCIONES AUTORIZADAS, SEPARACIÓN Y
PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y
CORRECCIÓN DE ERRORES
“CONTROL RIGUROSO DE QUIEN PUEDE
ACCEDER CUALES RECURSOS EN QUE
FORMAS”
Previene la modificación no autorizada de datos
27. Confidencialidad
Integridad Disponibilidad
INDEPENDENCIA - TRASLAPO
Los activos son accesibles a partes autorizadas
Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS
EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE
SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO
ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA
A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso
simultáneo, administración de concurrencia y
acceso exclusivo)
NEGACIÓN O REPUDIACIÓN DEL
SERVICIO
Previene la negación de acceso autorizado a
datos
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
28. Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router,
bridge, hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente,
aplicaciones, herramientas (administrativas, mantenimiento, backup),
software bajo desarrollo
Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de
palabra, e-mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de
auditoria, configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del
usuario
Administración de Riesgos
Seguridad en Redes – Activos (Componentes)
29. R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no
disponibilidad de datos o servicios)
R4a = incluyendo perdida o degradación de las
comunicaciones
R4b = incluyendo destrucción de equipos y/o
datos
R4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Administración de Riesgos
Seguridad en Redes - Riesgos
30. Causa
Evento primario fundamento
u orígen de una consecuencia
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"
Consecuencia
Resultado de un evento o
situación expresado
cualitativa o
cuantitativamente
Evento
Situación que podría llegar a
ocurrir en un lugar
determinado en un momento
dado
Administración de Riesgos
2. Cómo escribir Riesgos?
31. Causa,
Evento primario
o Situación
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"
Evento,
Amenaza
Consecuencia,
Impacto,
Exposición
o Resultado
+
Administración de Riesgos
2. Cómo escribir Riesgos?
32. Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de Riesgos
Seguridad en redes – Impactos Significativos
34. Origen Amenaza directa Impacto inmediato
Terremotos,
tormentas
eléctricas
Fenómenos
astrofísicos
Fenómenos
biológicos
Interrupción de potencia,
temperatura extrema debido
a daños en construcciones,
Perturbaciones
electromagnéticas
Muerte de personal crítico
R4, R4a, R4b
R4, R4a
R4, R4c
Administración de Riesgos
Seguridad Informática – Amenazas Naturales
35. Origen Amenaza directa Impacto inmediato
Error del Usuario
Error del
Administrador
Fallas de equipos
Borrado de archivos, Formateo de
drive, mal empleo de equipos, errores
de entrada
Configuración inapropiada de
parámetros, borrado de información
Problemas técnicos con servidores de
archivos, servidores de impresión,
dispositivos de comunicación,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de café)
R3, R4
R1: R2, R3, R4, R5
R3, R4, R4b
Administración de Riesgos
Seguridad Informática – Amenazas Accidentales
37. Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)
• Interrupción: un activo se pierde, no está disponible, o no se
puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula
indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
38. Monitorear
y Revisar
Valorar prioridades de riesgo
Riesgo aceptable? Aceptar
SI
Considerar factibilidad, costos y beneficios, y niveles de riesgo
EvitarTransferir
total o
parcialmente
Reducir
consecuencia
Reducir
probabilidad
NO
Recomendar estrategias de tratamiento
Seleccionar estrategia de tratamiento
Preparar planes de tratamiento para reducir, transferir o
evitar el riesgo, financiando cuando sea apropiado
EvitarTransferir
total o
parcialmente
Reducir
consecuencia
Reducir
probabilidad
Riesgo residual aceptable? Retener
SINO
VALORAR Y
PRIORIZAR
RIESGOS
IDENTIFICAR
OPCIONES DE
TRATAMIENTO
EVALUAR
OPCIONES DE
TRATAMIENTO
PREPARAR
PLANES DE
TRATAMIENTO
IMPLEMENTAR
PLANES DE
TRATAMIENTO
Riesgo residual no aceptable
Porción
retenida
Porción
transferida
Asegurar la efectividad costo/beneficio de los controles
39. Actividad de aprendizaje N° 8
39
¿Cómo podrías restringir el acceso a determinados
usuarios?
¿Qué hacer para que los operadores no cometan errores
frecuentes?
¿Cuáles serían tus reglas para el uso de tu computador?
¿Cuál es la técnica para mantener a salvo tu información?
¿Cuáles son los errores más comunes que cometo con mi
información?