GUIA PARA LA EVALUACION DE SEGURIDAD EN UN

SISTEMA
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Telfono: 5685! "#t. $%$
&arrera ' ( 5)5 *do. Piso Pamplona
Resumen
"ste documento presenta una serie de
delineamientos +,sicos productos de
la e#periencia e investi-aci.n para la
evaluaci.n de se-uridad en un
sistema/ con el o+0eto de articular
diversos conceptos 1 tcnicas para la
identificaci.n 1 valoraci.n de ries-os.
"l art2culo se enfoca primordialmente
en los mtodos de an,lisis de ries-os/
checklist 1 auditoria.
Palabras claves
3ies-o/ amenaza/ impacto/
frecuencia/ vulnera+ilidad/ checklist/
pol2ticas de se-uridad 1 auditoria.
1. INTRODUCCION
4 nivel de investi-aci.n 1 academia
diversas metodolo-2as para implantar
se-uridad en sistemas 5an sido
planteadas: Metodologa de
implantacin de seguridad en redes
[ACOS!"#, 6Metodologa para la
implantacin de seguridad en
aplicaciones distribuidas [SANT!!#/
etc7 tam+in se ela+oran otra serie de
metodolo-2as por analistas de
se-uridad 8ue la+oran en la empresa
privada.
Todas las metodolo-2as lle-an a un
punto donde se pre-untan 9c.mo
valorar el impacto 8ue causar2a a un
sistema la consecuci.n de una
amenaza:/ la respuesta no es f,cil/
re8uiere de un an,lisis serio por parte
del -rupo de personas encar-ado de
realizar dic5a valoraci.n.
"l o+0etivo del presente es e#poner 1
presentar al-unas refle#iones so+re
tres mtodos tradicionales para
evaluar la se-uridad de un sistema:
an,lisis de ries-os/ listas de c5e8ueo 1
auditoria.
"n ,reas donde las prdidas esperadas
1 frecuencia de las amenazas est,n
+ien definidas/ el an,lisis de ries-os
puede ser usado. ;onde las prdidas
esperadas 1 frecuencia de las
amenazas no esta claro/ se pueden
usar inicialmente listas de c5e8ueo
para verificar los principios 1
pr,cticas de se-uridad est,ndares.
3e8uerimientos de se-uridad
adicionales pueden ser determinados
con mtodos de auditoria o
evaluaciones de protecci.n de
se-uridad. [$IPS%!#
&. APLICACI'N DE LOS
METODOS DE EVALUACION
<o se trata de especificar en 8u
o cu,les casos se aplica un mtodo u
otro/ los tres se complementan con el
o+0eto de evaluar la se-uridad/ lo 8ue
si es posi+le diferenciar es los
espacios de tiempo en 8ue se realizan.
Para empezar la evaluaci.n de
se-uridad en un sistema resulta
+eneficioso aplicar listas de c5e8ueo/
estas no son un sustituto del formal
an,lisis de ries-os/ m,s +ien/ al
$
realizarse constitu1e un punto de
partida a ste en a8uellos puntos 8ue
8uedan su0etos a revisi.n. 4dem,s
8ue se pueden tomar medidas
correctivas en forma r,pida/ 8ue no
implican ma1or costo 1 esfuerzo.
"l proceso de auditoria es planeada
para realizarse peri.dicamente/ lo
8ue indica 8ue se llevar, a ca+o
tiempo despus 8ue se 5a realizado un
an,lisis de ries-os/ con el o+0eto de
verificar si se est,n cumpliendo los
controles 1 pol2ticas de se-uridad
previstos anteriormente.
=ndependiente de si e#iste en la
or-anizaci.n o no informaci.n
estad2stica de los elementos 8ue
determinan los ries-os/ es
recomenda+le al -rupo evaluador
realizar el proceso de an,lisis de
ries-os/ as2 sea en forma cualitativa/
con el o+0eto de crear esta cultura en
la or-anizaci.n.
4 continuaci.n la ta+la $ presenta los
+eneficios 1 dificultades 8ue
presentan los mtodos tratados en este
art2culo.
Tabla 1. Pr(s)C(n*ras
M+*(,(s
)
PROS CONTRAS
Anlisis
d
e
Ri
es
g
os
)&rea la cultura del ries-o 1 su mane0o en
una or-anizaci.n.
)"#presa en me0ores trminos las prdidas
al ocurrir un evento desfavora+le.
Metodologa cuantitativa
)Las valoraciones son o+0etivas.
)"l valor de la informaci.n es e#presado
en trminos monetarios.
)"l presupuesto destinado a la se-uridad
del sistema esta +asado en an,lisis
confia+les 1 +ien sustentados.
Metodologa cualitativa
)<o es necesario determinar el valor
monetario de la informaci.n/ ni la
frecuencia de las amenazas/ ni el costo de
las medidas a tomar 1 del an,lisis
costo>+eneficio.
)"#iste resistencia a su aplicaci.n/ 1a sea
por i-norancia/ arro-ancia o miedo.
)"s un proceso 8ue re8uiere -ran cantidad
de tiempo 1 de informaci.n disponi+le.
)Proceso costoso.
Metodologa cuantitativa
)<o es pr,ctico realizar valoraciones
cuantitativas sin a1uda de 5erramientas 1
+ases de conocimiento +ien s.lidas.
)3e8uieren una cantidad sustancial de
informaci.n.
)<o e#iste un est,ndar so+re amenazas 1
sus frecuencias.
Metodologa cualitativa
)Toda valoraci.n es esencialmente
su+0etiva/ en procesos 1 mtricas.
)La percepci.n de valores puede no
refle0ar realmente el actual valor del
ries-o.
Listas de
chequeo
(Check
list!
)"#isten en forma a+undante 1 li+re.
?Listas de c5e8ueo tcnicas@
)A,cil de aplicar/ resumir 1 comparar.
)Ale#i+les
)Su an,lisis es r,pido/ consiste en
verificar si e#iste o no e#iste un control
8ue es aplica+le al sistema en an,lisis.
)Se pueden aplicar medidas correctivas
de inmediato.
)4r+itrario 1 su+0etivo
)<ecesitan actualizarse constantemente/
en el caso 8ue sean listas de c5e8ueo de
tipo tcnico.
)Pueden no tratar necesidades de un
sistema particular.
Auditori
a
)Propicia el me0oramiento de
procedimientos en el sistema.
)3educe errores or-anizacionales
)Promueve la aplicaci.n de las pol2ticas 1
est,ndares de se-uridad.
);escu+re nuevas amenazas al sistema.
?3etroalimenta el an,lisis de ries-os@
)4ptitud ne-ativa de los encar-ados de las
partes auditadas.
)3e8uiere tiempo 1 esfuerzo.
)3e8uiere tener pistas de auditoria
*
-. ANALISIS DE RIESGOS
"l proceso de identificar/ analizar 1
valorar/ miti-ar o transferir el ries-o
es -eneralmente caracterizado como
mane0o del ries-o [.RAU!!#. Ba1
una serie de pre-untas 8ue se 5acen
en este proceso:
$.9Cue podr2a ocurrir: ?amenaza@
*.9S2 ocurre/ cu,nto daDo podr2a
causar: ?impacto@
.9Cu tan a menudo podr2a ocurrir:
%.9Cu tan ciertas son las respuestas a
las anteriores pre-untas:
Una vez respondidas acertadamente
las anteriores pre-untas/ se responden
a5ora las si-uientes:
$.9Cu puede ser 5ec5o: ?miti-aci.n
del ries-o@
*.9&u,l es el costo de la medida:
?anual@
.9"s la medida efectiva: ?an,lisis
costo>+eneficio@
"l mane0o de ries-os compara el
costo de implementar medidas de
se-uridad contra los costos -enerados
al ocurrir un evento desfavora+le en
el sistema 8ue afecte directa o
indirectamente la prestaci.n de
servicios.
-.1 ETAPAS DEL ANALISIS DE
RIESGOS
"l an,lisis de ries-os +usca
cuantificar el impacto de las
amenazas potenciales so+re un
sistema/ comprende cuatro su+etapas:
planeaci.n del an,lisis de ries-os/
identificaci.n de amenazas 1
vulnera+ilidades/ valoraci.n del
impacto 1 frecuencia de escenarios
recurso>amenazas 1 tratamiento del
ries-o.
-.1.1 Planeac/0n ,el an1l/s/s ,e
r/es2(s
Si el sistema a evaluar es mu1
comple0o 1 la or-anizaci.n es mu1
-rande/ es conveniente para el
analista de se-uridad ela+orar un
an,lisis de ries-os por su+sistemas/ lo
8ue facilitar, tam+in la presentaci.n
1 comprensi.n de informes por parte
de los directivos de la empresa. Los
si-uientes 2tem corresponden la parte
preliminar de el an,lisis de ries-os:
a@La direccin del anlisis: con el
o+0eto de influenciar el estilo de
an,lisis 1 la informaci.n de salida del
proceso de valoraci.n del ries-o. Se
identifica el proceso de valoraci.n del
ries-o/ tipo de salida re8uerida 1
necesidades cr2ticas.
+@"l alcance: se determina el alcance
del an,lisis. &uales recursos del
sistema re8uiere o no el an,lisis de
ries-os. &uales a-entes de amenazas
no ser,n considerados/ etc.
c@Los l2mites: se define en trminos
de l2mites f2sicos 1 l.-icos. "l l2mite
f2sico indica donde termina el sistema
1 comienza el sistema7 indica las
caracter2sticas de todas las interfaces
con otros sistemas. "l l2mite l.-ico
define la amplitud 1 profundidad del
an,lisis.
d@;escripci.n del sistema:
re8uerimientos ?o misi.n@ del sistema/
concepto de operaci.n/ e
identificaci.n de la naturaleza de los
recursos del sistema. "st, descripci.n
provee las +ases para posteriores
an,lisis 1 es prerre8uisito para iniciar
la valoraci.n de ries-os.
e@E+0eto del ries-o 1 certeza
re8uerida: el o+0eto a1udar, a

determinar si el ries-o est, en los

l2mites acepta+les. La certeza define
el nivel de acierto para la valoraci.n
del ries-o/ este factor determina el
nivel de esfuerzo en el an,lisis.
-.1.& I,en*/3/cac/0n ,e amena4as 5
vulnerab/l/,a,es
Las amenazas en el sistema provienen
del personal encar-ado/ personal
e#terno/ daDo en e8uipos/ ca2da de
enlaces/ etc. 4l momento se tiene la
informaci.n como lo muestra la
si-uiente ta+la.
Tabla &. Relac/0n recurs()amena4as
Recurs( Amena4as
3ecurso $ 4menaza $
4menaza *
....
3ecurso * 4menaza $
4menaza *
....
Un an,lisis de vulnera+ilidades/ por
e0emplo puede identificar solo la
ausencia de medidas para reducir los
ries-os/ lo anterior se puede indicar
cualitativamente en +inario como si o
no. Se encuentran las de+ilidades o
vulnera+ilidad desde los si-uientes
puntos de vista.
Fulnera+ilidades de softGare:
errores de aplicaciones/ errores de
sistemas operativos/ rutinas de
acceso no autorizados/ servicios
no autorizados
Fulnera+ilidades de 5ardGare:
inapropiada operaci.n/ fallas en
mantenimiento/ inadecuada
se-uridad f2sica/ falta de
protecci.n contra desastres
naturales
Fulnera+ilidades de datos:
inadecuados controles de acceso a
personal no autorizado
Fulnera+ilidades administrativas:
ausencia de pol2ticas de se-uridad/
ausencia de cultura de se-uridad/
ausencia de procedimientos/ falta
de educaci.n 1 entrenamiento en
se-uridad
Fulnera+ilidades de
comunicaciones: inadecuados
controles de acceso a la red/
inadecuados mecanismos para
prevenir fallas en comunicaciones
Fulnera+ilidades de personal
?empleados@: inadecuados
controles de acceso f2sico/
inadecuados controles de acceso
l.-ico
Por medio de entrevistas con
cuestionarios previamente diseDados
8ue contemplen los principios 1
pr,cticas de se-uridad -eneralmente
aceptados/ se encontrar,n las
vulnera+ilidades 8ue tiene el sistema.
4 continuaci.n se relacionan una
serie de fuentes de informaci.n
importantes a esta su+etapa:
#ational Research Council
Report $Computers at Risk%
#ational &n'ormation
&n'raestructure (ask )orce (#&()!
'indings
*residential #ational +ecurit,
and (elecommunications Advisor,
Council (#+(AC! report
*resident-s Commission on
Critical &n'raestructure
*rotection (*CC&*! report
Para cada una de las amenazas
encontradas se define cuales
vulnera+ilidades presenta el sistema
%
8ue pueden llevar a su realizaci.n. Se
forman escenarios recurso> amenaza>
vulnera+ilidades como lo indica la
ta+la .
4l-unas de+ilidades o+servadas en el
sistema/ dan p2e a una serie de
recomendaciones de seguridad
iniciales 8ue se pueden poner en
pr,ctica de inmediato/ por lo -eneral
implican +a0os costos/ como respaldo
a estos controles se implanta las
correspondientes pol2ticas de
se-uridad.
Tabla -. Relac/0n recurs()amena4a)vulnerab/l/,a,es
Recurs( Amena4a Vulnerab/l/,a,es
3ecurso $
4menaza $
Fulnera+ilidad $
Fulnera+ilidad *
...
4menaza *
Fulnera+ilidad $
Fulnera+ilidad *
...
3ecurso * 4menaza $
Fulnera+ilidad $
Fulnera+ilidad *
...
-.1.- Val(rac/0n ,el /m6ac*( 5
3recuenc/a ,e (currenc/a ,e las
amena4as
a@Mtodo cuantitativo: en este punto
se 5ace una revisi.n de la
informaci.n 8ue previamente se 5a
recolectado/ la frecuencia esta +asada
en las diferentes +it,coras/ logs 1
reportes de incidentes. "l impacto se
determina en forma cuantitativa
tomando diversos: criterios/ pero en
Hltimas todos representan valores
econ.micos: valor del ( de
operaciones 8ue de0a el sistema de
procesar por la ocurrencia de un
evento. Lo ideal es poder e#presar el
impacto en trminos econ.micos.
"l impacto se determina de la
si-uiente f.rmula: [.RAU!!#
osicin de 'actor recurso valor & e#p I I J I =
Los impactos afectan la
confidencialidad/ inte-ridad 1
disponi+ilidad de los recursos del
sistema. "l impacto de una amenaza a
la inte-ridad de los datos es diferente
a s2 ocurre modificaci.n o destrucci.n
de los datos. =-ual ocurre con el
impacto de una amenaza a la
disponi+ilidad/ depende del tiempo
8ue el recurso de red permanezca no
disponi+le 1 la frecuencia con 8ue el
sistema re8uiere los datos. 4l final de
esta su+etapa se -enera la ta+la %.
La frecuencia se da en forma anual/
por e0emplo/ si una amenaza ocurre
una vez en $! aDos/ tiene una
frecuencia de $>$! . !.$7 una amenaza
ocurriendo 5! veces en un aDo tiene
una frecuencia de 5!.
5
Tabla 7. Recurs()Amena4a)Im6ac*(s
=nte-ridad ;atos &onfiden)
cialidad
;isponi+ilidad
Modificac. ;estrucci.n *5rs *%5rs K*5r
3ecurso
4men. $ i f i f i f i f i f i f
4men. * i f i f i f i f i f i f
........
+@Mtodos cualitativos: estos
mtodos valoran de una forma mu1
su+0etiva el ries-o/ a los elementos
para valorar los ries-os -eneralmente
se le asi-nan los valores de alto/
medio 1 +a0o.
"l -rupo evaluador ten-a o no el
impacto e#presado en trminos
econ.micos puede esco-er un nivel
de impacto cualitativamente como
+a0o/ medio o alto/ teniendo en
cuenta ran-os de prdidas
econ.micas.
4l-unas mtodos utilizan como
elemento para valorar los ries-os la
posi+ilidad de ocurrencia de
presentarse una amenaza.
-.1.7 C1lcul( ,el r/es2(
a@Tener el impacto 1 frecuencia
?cuantitativo@. &omo en toda
disciplina la prdida es i-ual al
producto de los valores de impacto 1
frecuencia de ocurrencia ?i # f@. Para
f/ el periodo anual es el comHn
tomado como referencia en las
metodolo-2as 1 5erramientas para
an,lisis de ries-os. .Aqu el riesgo
indica las p/rdidas anuales que
genera la amena0a.. Se -enera la
relaci.n recurso>amenaza>impacto
anual como indica ta+la 6.
+@Mtodos cualitativos. <o se tiene
en cuenta la frecuencia para valorar
los ries-os. La ta+la 5 muestra un
claro e0emplo donde se emplea una
matriz impacto>posi+ilidad de
ocurrencia de una amenaza para
determinar el nivel de ries-o 8ue se
tiene. .Aqu el riesgo indica las
p/rdidas ante la posibilidad de
presentarse la amena0a.
Tabla 8. N/vel ,el r/es2(
P(s/b/l/,a, ,e (currenc/a
Im6ac*( Alta Media Baja
Alta A A M
Media A M M
Baja B B B
Las ,reas seDaladas como 4 indican
8ue son ries-os 8ue re8uieren pronta
atenci.n/ las ,reas marcadas como L
no es prioritario la toma de medidas
-.1.8 Tra*am/en*( ,el r/es2(
Lue-o del an,lisis de ries-os se
procede a determinar el tipo de
acci.n a tomar para cada ries-o. Se
estudian las amenazas 8ue presentan
los recursos del sistema 1 se
determina si es posi+le la
implantaci.n de mecanismos 8ue
reduzcan o eliminen el ries-o/ en
caso contrario las acciones a tomar
ser2an la aceptaci.n o transferencia
del ries-o. "l costo de prote-er las
aplicaciones de una amenaza de+e
ser menor 8ue el costo de la
recuperaci.n. Para el tratamiento de
un ries-o se puede se-uir las
6
estrate-ias planteadas en [9IGU
!7#: aceptar/ transferir/ eliminar/
reducir.
4 los anteriores se a-re-a la
estrate-ia 6evaluarM/ en la cual los
controles 8uedan en un estado de
evaluaci.n por desconocerse la
forma de llevarlo a ca+o/ re8uiere un
tratamiento de m,s investi-aci.n 1>o
consenso con el staff del sistema. Por
lo -eneral en este tipo de casos la
fec5a 8ueda por definir.
Tabla ;. Recurs()Amena4a)Im6ac*( Anual
=nte-ridad ;atos &onfiden
cialidad
;isponi+ilidad 3ies.
Modificac. ;estrucci.n *5rs *%5rs
3ecurso
4men. $ ?N@ ?N@ ?N@ ?N@ ?N@ ?N@ ?N@
4men. * ?N@ ?N@ ?N@ ?N@ ?N@ ?N@ ?N@
........
-.1.; M/*/2ac/0n ,el r/es2(
"l proceso de miti-aci.n de ries-os
se si-ue en caso de 8ue la acci.n
so+re el ries-o sea reducirlo o
eliminarlo/ inclu1e como primera
medida la identificaci.n de metas/
cu1o prop.sito es descri+ir el estado
deseado resultante despus de la
miti-aci.n del ries-o.
Posteriormente se identifican las
estrate-ias a se-uir para miti-ar los
ries-os. Su prop.sito es o+tener
alternativas de soluci.n para cada
ries-o. [SANT!!#
"l diseDo de controles es un proceso
8ue re8uiere de muc5o cuidado/ se
de+e tener presente toda
Tabla %. Relac/0n amena4a)es*ra*e2/as)c(s*( anual
RECURSO: XXX
AMENAZA ESTRATEGIAS COSTO
Amena0a n
"strategia 1
"strategia 222
"strategia n
la informaci.n de se-uridad o+tenida
anteriormente. Se plantean cuestiones
como: 9de 8u forma puedo reducir
vulnera+ilidades 1 por ende reducir el
nivel de vulnera+ilidad:/ 98u
mecanismos aun8ue no reducen el
nivel de vulnera+ilidad reducen el
impacto:/ puede un mecanismo
determinado eliminar completamente
la amenaza/ etc.
Las estrate-ias a8u2 asi-nadas de+en
ser valoradas en trminos econ.micos
para realizar un an,lisis
c(s*()bene3/c/(< no se pueden
plantear soluciones 8ue e#cedan el
valor del impacto para determinado
ries-o.
7. OTROS METODOS DE
EVALUACION DE SEGURIDAD
K
7.1 AUDITORIA
La auditoria e#amina si el sistema
esta cumpliendo con los
re8uerimientos de se-uridad
inclu1endo pol2ticas de la
or-anizaci.n 1 del sistema. ;entro de
las tcnicas a emplear inclu1e
investi-aci.n/ o+servaci.n 1 prue+as.
Una auditoria puede variar
ampliamente en alcance/ e#aminar un
sistema entero para el proceso de
reacreditaci.n o puede investi-ar un
solo evento malicioso.
La auditoria puede ser interna o
e#terna/ la diferencia puede radicar en
la o+0etividad con 8ue se realice. La
auditoria interna puede tener
conflictos de intereses/ o al contrario/
estar motivado por el deseo de
me0orar la se-uridad del sistema/
adem,s de ser conocedores del
sistema pueden encontrar pro+lemas
ocultos.
La auditoria toma documentaci.n
e#istente en cuanto a: pol2ticas
aplica+les/ an,lisis de ries-os/
descripci.n de procesos/ lista de
controles. La ausencia de al-Hn
documento amerita la recomendaci.n
de la realizaci.n del mismo.
Los procesos de auditoria con el
o+0eto de ase-urar el funcionamiento
operacional de la se-uridad en un
sistema es planificada 1 +asada en la
revisi.n de logs/ por lo 8ue a
continuaci.n se presenta la
importancia del esta+lecimiento de
logs 1 como se aplica este control.
7.1.1 Es*ablec/m/en*( ,e logs. las
pistas de auditoria o logs mantienen
un re-istro de las actividades 8ue los
administradores 1 usuarios realizan
so+re un sistema. Ounto con
5erramientas 1 procedimientos
adecuados/ los logs pueden a1udar a
detectar violaciones de se-uridad/
pro+lemas de desempeDo/ etc. Los
logs son usados como soporte para las
operaciones re8ueridas del sistema
1>o medio para ase-urar pol2ticas.
&omo soporte para operaciones/ los
logs son usados para a1udar a los
administradores del sistema 8ue no
5an sufrido daDo por hackers/
intrusos o pro+lemas tcnicos. Los
logs de+er2an re-istrar como m2nimo
los si-uientes eventos:
&ual8uier intento de lo-earse
?e#itoso 1 no e#itoso@
=dentidad
Aec5a
Tiempo de cada intento de entrada
Aec5a 1 tiempo de salida
;ispositivos usados
Las funciones e0ecutadas.
Una auditoria podr2a identificar
intentos de login fallidos/
especialmente si no se limita el
nHmero de intentos en el sistema.
4l-unos sistemas no tienen la funci.n
de re-istrar intentos de acceso
fallidos/ de esta forma s.lo se puede
monitorear los intentos de acceso
e#itosos.
7.1.& A6l/cac/0n ,el c(n*r(l: dos
procesos est,n involucrados en la
aplicaci.n de logs : definici.n e
implantaci.n 1 revisi.n.
a=De3/n/c/0n e /m6lan*ac/0n: al
implementar logs se de+en considerar
informaci.n confidencial 1 por lo
tanto re8uieren protecci.n contra
+orrado o modificaci.n no autorizada.
Auertes controles de acceso 1
encripci.n pueden ser mecanismos
efectivos para preservar la
confidencialidad e inte-ridad. "l
8
acceso en l2nea a logs de+er2a estar
estrictamente controlado/ s.lo visi+le
al personal de administraci.n 8ue lo
re8uiera para prop.sitos de revisi.n.
b=Rev/s/0n: los lo-s re8uieren ser
revisados 1a sea ante la ocurrencia de
un incidente de se-uridad/
autom,ticamente en tiempo real
?monitoreo@ o por una evaluaci.n de
se-uridad planeada. Los
administradores del sistema
determinar,n la lon-itud de los logs
8ue ser, mantenido. Para el sistema el
esta+lecimiento de logs a1udar, en
los aspectos de control de acceso/
reconstrucci.n de eventos 1 detecci.n
de intrusos.
)&ontrol de acceso: los logs tra+a0an
en con0unto con los controles de
acceso l.-ico/ las cuales restrin-en el
uso de los recursos del sistema. "l
acceso se concede teniendo en cuenta
lo 8ue el usuario del sistema necesite
para realizar sus la+ores. Los lo-s
sirven para analizar las acciones 8ue
los usuarios autorizados realizan/
siempre 8ue las cuentas 1 pass3ords
de acceso no sean -enricos.
)3econstrucci.n de eventos: la
operaci.n del sistema no se escapa de
la ocurrencia de pro+lemas/ estos
pueden ser resueltos f,cilmente con la
revisi.n de logs para 5acer
se-uimiento a las Hltimas operaciones
realizadas 1 detectar como/ cuando 1
por8ue se ori-in. el pro+lema. "l
an,lisis de los logs a1uda a distin-uir
si los errores fueron inducidos por los
operadores o por errores del softGare.
4dicionalmente/ s2 un pro+lema
tcnico ocurre ?por e0emplo daDo de
arc5ivos@ los logs pueden a1udar en el
proceso de recuperaci.n.
);etecci.n de intrusos: los logs
de+en diseDarse e implementarse con
la informaci.n apropiada 8ue asista
en la detecci.n de intrusos. Las
intrusiones pueden detectarse en
tiempo real o despus de ocurrido el
evento. Los e8uipos 1 sistemas
cr2ticos para el sistema podr2an tener
implementado logs como
5erramientas en l2nea para monitorear
constantemente su estado/ teniendo en
cuenta no afecte el desempeDo del
sistema.
7.& C9EC.LIST
La lista de c5e8ueo es considerada
como una 5erramienta de auditoria/ es
uno de los mtodos de evaluaci.n
m,s vie0os ampliamente usados/ en
se-uridad inform,tica consiste en
revisar si e#isten controles
administrativos/ operativos 1 tcnicos/
este proceso no evalHa la efectividad
de los controles implantados. 4dem,s
se identifica 8ue se cumplan los
principios de se-uridad -eneralmente
aceptados ?PSSPs@.
Controles administrativos: estos
controles 5acen referencia a la
recolecci.n de documentos como:
pol2ticas 1 normatividad -eneral
referente a la se-uridad del sistema.
[NIST1]
Controles operativos: estos controles
5acen referencia a los procedimientos
8ue sirven para ase-urar los
re8uerimientos de se-uridad.
"0emplo: planes de contin-encia/
mane0o de incidentes/ realizaci.n de
+acQups etc.
Controles tnios: estos controles
5acen referencia a cual8uier
dispositivo de 5ardGare o softGare
8ue ase-uran el cumplimiento de los
re8uerimientos de se-uridad.
'
"0emplo: control de acceso 1
autorizaci.n/ 'ire3alls/ mecanismos
de auditoria de eventos/ etc.
4 continuaci.n se amplia cada uno de
los controles enfocados a un sistema
de redes:
Controles Administrativos
"#iste una pol2tica especifica del
sistema para el mane0o de
se-uridad
"#isten pol2ticas para el mane0o
de redes/ sistemas operativos/
aplicaciones/ etc.
"#isten pol2ticas para el mane0o
de =nternet
Tipo de informaci.n 8ue
puede ser transmitida
Tipos de sistemas 8ue pueden
ser conectados a la red
Uso de 'ire3alls 1 gate3a,s
se-uros
3e8uerimientos para
autenticaci.n de usuarios
"#isten pol2ticas para el mane0o
de otras redes e#ternas
"#iste un ente encar-ado de dar
soluci.n a incidentes de se-uridad
Las funciones de se-uridad est,n
inte-radas en las funciones del
personal
;onde e#istan pol2ticas los si-uientes
t.picos son evaluados:
;efine el o+0etivo:
"sta respaldada por los
directivos:
;efine procedimientos/ son
claros 1 entendi+les:
=ndica la informaci.n/ softGare 1
5ardGare a emplear:
;esi-na personal responsa+le:
;icta las penalidades 1 acciones
disciplinarias:
Los procedimientos son
actualizados peri.dicamente:
&onoce los usuarios 1 personal
adecuado las pol2ticas:
C(n*r(les O6erac/(nales
4n,lisis de ries-os
Separaci.n de de+eres
=dentificaci.n del personal clave
&onocimiento 1 entrenamiento de
personal
"fectiva administraci.n de
usuarios
3e-istro de intrusos
Planes de contin-encia
&ontroles de acceso f2sico
Se-uridad f2sica contra incendios
C(n*r(les T+cn/c(s
=dentificaci.n 1 autenticaci.n
Mane0o de llaves
&ontrol de acceso l.-ico
Protecci.n a puertos
)ire3alls/ gate3a,s se-uros
4utenticaci.n +asada en hots
4uditoria
;etecci.n de intrusos
3econstrucci.n de eventos
Logs/ revisi.n
&ripto-raf2a
Airmas electr.nicas
&ertificados
;ependiendo del sistema en an,lisis
se esta+lece los seis o m,s relevantes
controles 8ue se identificaran con
letras ma1Hsculas. Los controles
pueden tomar uno de cinco posi+les
estados: implantado ?=@/ en proceso de
ser implantado ?P@/ control no
e#istente ?<@/ se desconoce su
estado>por verificar ?F@ . no aplica
?R@. Por e0emplo si el recurso$ es un
servidor 1 el control 4 es 6LacQups de
confi-uraci.n 1 datos de e8uiposM el
si-uiente cuadro indica 8ue si se
encuentra en funcionamiento dic5o
control.
$!
Tabla ". Es*a,( ,e l(s c(n*r(les *+cn/c(s
C(n*r(les T+cn/c(s
Es*a,( ,e l(s c(n*r(les
A > C D E $
Sistema
3ecurso$ = < P < < <
3ecurso* = < P < < <
...
...
3ecurson = < P < < <
8. CONCLUSIONES
"n &olom+ia las or-anizaciones 1>o
empresas no cuentan con re-istros
acerca de los incidentes de se-uridad/
lo 8ue dificulta la la+or de determinar
el impacto de los ries-os en trminos
econ.micos/ necesitando considerarse
en la ma1or2a de los casos una serie
de complicadas matrices para
determinar el impacto de los ries-os
en trminos cualitativos de alto/
medio o +a0o/ siendo esto adem,s un
proceso +astante polmico 1
des-astante al interior de las
Er-anizaciones.
&omo recomendaci.n de se-uridad
fundamental a las empresas es
importante empezar a llevar re-istros
so+re incidentes de se-uridad con el
fin de dar ma1or confia+ilidad 1
me0orar los resultados en el ciclo de
vida del an,lisis de ries-os.
"s indispensa+le retroalimentar el
procceso de an,lisis de ries-os 8ue
o+edecen a los si-uientes: realizaci.n
de cam+ios en el sistema/ incidentes
de se-uridad 1 revisiones peri.dicas.
[ORTI""#
Son de vital importancia para el
analista de se-uridad inform,tica la
puesta en pr,ctica de los mtodos de
c5ecQlist 1 auditor2a para determinar
controles ausentes en el sistema/ 1a
8ue estas 5erramientas se +asan en
est,ndares m2nimos de se-uridad 8ue
de+e cumplir todo sistema/ la
ausencia de al-uno de ellos implica la
recomendaci.n inmediata del
cumplimiento de esta.
;. RE$ERENCIAS
[ACOS!"# Leatr2z 4costa.
Metodologa de &mplantacin de
+eguridad en Redes/ Tesis de
Post-rado en =n-enier2a de Sistemas 1
&omputaci.n/ Universidad de los
4ndes/ $''8.
[$IPS%!# Aederal =nformation
Processin- Standards Pu+lications
A=PS PUL65 ) Puideline for
4utomatic ;ata Processin- 3isQ
4nal1sis/ $'K'.
[9IGU!7# Bi-uera 3onald/ et al./
.An &ntroduction to team risk
management., &arne-ie Mellon
Universit1/ Pensilvania/ $.''%.
[.RAU!!# MicQi Srause and
Barold A. Tipton. $4andbook o'
&n'ormation +ecurit, ManagementM/
$'''
$$
[NIST1# <=ST &omputer Securit1
Band+ooQ.
[ORTI!!# Oo5n &arlos Ert2z,
$Metodologa para evaluacin de
seguridad en sistemas distribuidosM/
Tesis de Post-rado en =n-enier2a de
Sistemas 1 &omputaci.n/ Universidad
de los 4ndes/ $'''.
[SANT!!# Santos Luz Marina/
6Metodologia para la
implantacin de seguridad en
aplicaciones distribuidas%2 Tesis
de Post-rado en =n-enier2a de
Sistemas 1 &omputaci.n/
Universidad de los 4ndes.
%. AUTORA
Luz Marina Santos Oaimes
=n-eniera de Sistemas
Ma-2ster en =n-enier2a 1 Sistemas 1
&omputaci.n/ Univ. de los 4ndes
Ecupaci.n actual: ;ocente de tiempo
completo Universidad de Pamplona
4rea de inters: se-uridad
computacional/ internet/ sistemas
distri+uidos 1 tra+a0o cooperativo.
&orreo:
lsantos@unipamplona.edu.co
telfono: 5685! "#t. $%$
568$6K*
". GLOSARIO
Una amena!a es cual8uier evento 8ue
puede causar daDo so+re los recursos
del sistema.
Las v"lnera#ilidades son puntos
d+iles de se-uridad 8ue presenta el
sistema 8ue podr2an permitir la
ocurrencia de una amenaza.
"l $ator de e%posii&n representa
una medida de la ma-nitud de
prdidas o impacto so+re el
valor de un recurso/ es
e#presado como un porcenta0e
8ue va desde !T a $!!T.
Los recurs(s de un sistema pueden
ser de naturaleza tan-i+le o
intan-i+le/ su val(r depende de
su naturaleza. Los recursos
tan-i+les inclu1en 5ardGare/
documentaci.n/ 1 presupuesto
8ue soportan el almacenamiento/
procesamiento 1 entre-a de la
informaci.n/ su valor t2picamente
se da en el costo de
reemplazarlos. "l valor de los
recursos intan-i+les como por
e0emplo la informaci.n/ puede
darse en el costo 1 tiempo de
recuperaci.n de la misma/ o en el
valor de la confidencialidad/
inte-ridad 1 disponi+ilidad de la
informaci.n ?=SS4)pu+lis5ed
P=F reference@.
Impato 'i( es el daDo potencial so+re
un sistema cuando una amenaza se
presenta. "ste daDo puede ser
e#presado en trminos cuantitativos o
cualitativos.
La )re"enia de o"rrenia ')(
determina las veces 8ue una amenaza
puede ocurrir en un periodo de
tiempo. La frecuencia se da en
nHmero de ocurrencias por aDo.
*osi#ilidad de o"rrenia: es una
medida cualitativa 8ue indica la
opci.n 8ue tiene la amenaza de
materializarse o no.
$*