Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pamplona
Pamplona
SISTEMA
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Telfono: 5685! "#t. $%$
&arrera ' ( 5)5 *do. Piso Pamplona
Resumen
"ste documento presenta una serie de
delineamientos +,sicos productos de
la e#periencia e investi-aci.n para la
evaluaci.n de se-uridad en un
sistema/ con el o+0eto de articular
diversos conceptos 1 tcnicas para la
identificaci.n 1 valoraci.n de ries-os.
"l art2culo se enfoca primordialmente
en los mtodos de an,lisis de ries-os/
checklist 1 auditoria.
Palabras claves
3ies-o/ amenaza/ impacto/
frecuencia/ vulnera+ilidad/ checklist/
pol2ticas de se-uridad 1 auditoria.
1. INTRODUCCION
4 nivel de investi-aci.n 1 academia
diversas metodolo-2as para implantar
se-uridad en sistemas 5an sido
planteadas: Metodologa de
implantacin de seguridad en redes
[ACOS!"#, 6Metodologa para la
implantacin de seguridad en
aplicaciones distribuidas [SANT!!#/
etc7 tam+in se ela+oran otra serie de
metodolo-2as por analistas de
se-uridad 8ue la+oran en la empresa
privada.
Todas las metodolo-2as lle-an a un
punto donde se pre-untan 9c.mo
valorar el impacto 8ue causar2a a un
sistema la consecuci.n de una
amenaza:/ la respuesta no es f,cil/
re8uiere de un an,lisis serio por parte
del -rupo de personas encar-ado de
realizar dic5a valoraci.n.
"l o+0etivo del presente es e#poner 1
presentar al-unas refle#iones so+re
tres mtodos tradicionales para
evaluar la se-uridad de un sistema:
an,lisis de ries-os/ listas de c5e8ueo 1
auditoria.
"n ,reas donde las prdidas esperadas
1 frecuencia de las amenazas est,n
+ien definidas/ el an,lisis de ries-os
puede ser usado. ;onde las prdidas
esperadas 1 frecuencia de las
amenazas no esta claro/ se pueden
usar inicialmente listas de c5e8ueo
para verificar los principios 1
pr,cticas de se-uridad est,ndares.
3e8uerimientos de se-uridad
adicionales pueden ser determinados
con mtodos de auditoria o
evaluaciones de protecci.n de
se-uridad. [$IPS%!#
&. APLICACI'N DE LOS
METODOS DE EVALUACION
<o se trata de especificar en 8u
o cu,les casos se aplica un mtodo u
otro/ los tres se complementan con el
o+0eto de evaluar la se-uridad/ lo 8ue
si es posi+le diferenciar es los
espacios de tiempo en 8ue se realizan.
Para empezar la evaluaci.n de
se-uridad en un sistema resulta
+eneficioso aplicar listas de c5e8ueo/
estas no son un sustituto del formal
an,lisis de ries-os/ m,s +ien/ al
$
realizarse constitu1e un punto de
partida a ste en a8uellos puntos 8ue
8uedan su0etos a revisi.n. 4dem,s
8ue se pueden tomar medidas
correctivas en forma r,pida/ 8ue no
implican ma1or costo 1 esfuerzo.
"l proceso de auditoria es planeada
para realizarse peri.dicamente/ lo
8ue indica 8ue se llevar, a ca+o
tiempo despus 8ue se 5a realizado un
an,lisis de ries-os/ con el o+0eto de
verificar si se est,n cumpliendo los
controles 1 pol2ticas de se-uridad
previstos anteriormente.
=ndependiente de si e#iste en la
or-anizaci.n o no informaci.n
estad2stica de los elementos 8ue
determinan los ries-os/ es
recomenda+le al -rupo evaluador
realizar el proceso de an,lisis de
ries-os/ as2 sea en forma cualitativa/
con el o+0eto de crear esta cultura en
la or-anizaci.n.
4 continuaci.n la ta+la $ presenta los
+eneficios 1 dificultades 8ue
presentan los mtodos tratados en este
art2culo.
Tabla 1. Pr(s)C(n*ras
M+*(,(s
)
PROS CONTRAS
Anlisis
d
e
Ri
es
g
os
)&rea la cultura del ries-o 1 su mane0o en
una or-anizaci.n.
)"#presa en me0ores trminos las prdidas
al ocurrir un evento desfavora+le.
Metodologa cuantitativa
)Las valoraciones son o+0etivas.
)"l valor de la informaci.n es e#presado
en trminos monetarios.
)"l presupuesto destinado a la se-uridad
del sistema esta +asado en an,lisis
confia+les 1 +ien sustentados.
Metodologa cualitativa
)<o es necesario determinar el valor
monetario de la informaci.n/ ni la
frecuencia de las amenazas/ ni el costo de
las medidas a tomar 1 del an,lisis
costo>+eneficio.
)"#iste resistencia a su aplicaci.n/ 1a sea
por i-norancia/ arro-ancia o miedo.
)"s un proceso 8ue re8uiere -ran cantidad
de tiempo 1 de informaci.n disponi+le.
)Proceso costoso.
Metodologa cuantitativa
)<o es pr,ctico realizar valoraciones
cuantitativas sin a1uda de 5erramientas 1
+ases de conocimiento +ien s.lidas.
)3e8uieren una cantidad sustancial de
informaci.n.
)<o e#iste un est,ndar so+re amenazas 1
sus frecuencias.
Metodologa cualitativa
)Toda valoraci.n es esencialmente
su+0etiva/ en procesos 1 mtricas.
)La percepci.n de valores puede no
refle0ar realmente el actual valor del
ries-o.
Listas de
chequeo
(Check
list!
)"#isten en forma a+undante 1 li+re.
?Listas de c5e8ueo tcnicas@
)A,cil de aplicar/ resumir 1 comparar.
)Ale#i+les
)Su an,lisis es r,pido/ consiste en
verificar si e#iste o no e#iste un control
8ue es aplica+le al sistema en an,lisis.
)Se pueden aplicar medidas correctivas
de inmediato.
)4r+itrario 1 su+0etivo
)<ecesitan actualizarse constantemente/
en el caso 8ue sean listas de c5e8ueo de
tipo tcnico.
)Pueden no tratar necesidades de un
sistema particular.
Auditori
a
)Propicia el me0oramiento de
procedimientos en el sistema.
)3educe errores or-anizacionales
)Promueve la aplicaci.n de las pol2ticas 1
est,ndares de se-uridad.
);escu+re nuevas amenazas al sistema.
?3etroalimenta el an,lisis de ries-os@
)4ptitud ne-ativa de los encar-ados de las
partes auditadas.
)3e8uiere tiempo 1 esfuerzo.
)3e8uiere tener pistas de auditoria
*
-. ANALISIS DE RIESGOS
"l proceso de identificar/ analizar 1
valorar/ miti-ar o transferir el ries-o
es -eneralmente caracterizado como
mane0o del ries-o [.RAU!!#. Ba1
una serie de pre-untas 8ue se 5acen
en este proceso:
$.9Cue podr2a ocurrir: ?amenaza@
*.9S2 ocurre/ cu,nto daDo podr2a
causar: ?impacto@
.9Cu tan a menudo podr2a ocurrir:
%.9Cu tan ciertas son las respuestas a
las anteriores pre-untas:
Una vez respondidas acertadamente
las anteriores pre-untas/ se responden
a5ora las si-uientes:
$.9Cu puede ser 5ec5o: ?miti-aci.n
del ries-o@
*.9&u,l es el costo de la medida:
?anual@
.9"s la medida efectiva: ?an,lisis
costo>+eneficio@
"l mane0o de ries-os compara el
costo de implementar medidas de
se-uridad contra los costos -enerados
al ocurrir un evento desfavora+le en
el sistema 8ue afecte directa o
indirectamente la prestaci.n de
servicios.
-.1 ETAPAS DEL ANALISIS DE
RIESGOS
"l an,lisis de ries-os +usca
cuantificar el impacto de las
amenazas potenciales so+re un
sistema/ comprende cuatro su+etapas:
planeaci.n del an,lisis de ries-os/
identificaci.n de amenazas 1
vulnera+ilidades/ valoraci.n del
impacto 1 frecuencia de escenarios
recurso>amenazas 1 tratamiento del
ries-o.
-.1.1 Planeac/0n ,el an1l/s/s ,e
r/es2(s
Si el sistema a evaluar es mu1
comple0o 1 la or-anizaci.n es mu1
-rande/ es conveniente para el
analista de se-uridad ela+orar un
an,lisis de ries-os por su+sistemas/ lo
8ue facilitar, tam+in la presentaci.n
1 comprensi.n de informes por parte
de los directivos de la empresa. Los
si-uientes 2tem corresponden la parte
preliminar de el an,lisis de ries-os:
a@La direccin del anlisis: con el
o+0eto de influenciar el estilo de
an,lisis 1 la informaci.n de salida del
proceso de valoraci.n del ries-o. Se
identifica el proceso de valoraci.n del
ries-o/ tipo de salida re8uerida 1
necesidades cr2ticas.
+@"l alcance: se determina el alcance
del an,lisis. &uales recursos del
sistema re8uiere o no el an,lisis de
ries-os. &uales a-entes de amenazas
no ser,n considerados/ etc.
c@Los l2mites: se define en trminos
de l2mites f2sicos 1 l.-icos. "l l2mite
f2sico indica donde termina el sistema
1 comienza el sistema7 indica las
caracter2sticas de todas las interfaces
con otros sistemas. "l l2mite l.-ico
define la amplitud 1 profundidad del
an,lisis.
d@;escripci.n del sistema:
re8uerimientos ?o misi.n@ del sistema/
concepto de operaci.n/ e
identificaci.n de la naturaleza de los
recursos del sistema. "st, descripci.n
provee las +ases para posteriores
an,lisis 1 es prerre8uisito para iniciar
la valoraci.n de ries-os.
e@E+0eto del ries-o 1 certeza
re8uerida: el o+0eto a1udar, a