Ministerio del Poder Popular para la Educacin Universitaria
Colegio Universitario Francisco de Miranda Ctedra! "eguridad #n$or%tica &ra'ecto ( ) &ri%estre * "eccin! #+,-+,* Trabajo Final Realizado por! Vanessa .l%os /els's 0errera Rodol$o Ra%os 1ess Vs2uez Caracas3 Marzo de 4+*( Anlisis y Gestin de Riesgos 5Conceptos Bsicos6 Evaluacin de riesgos Una violacin de la seguridad es cual2uier suceso 2ue co%pro%ete el ob7etivo de la "eguridad de los "iste%as de #n$or%acin ""#8 El 9nlisis ' :estin de Riesgos es un %;todo $or%al para investigar los riesgos de un "# ' reco%endar las %edidas apropiadas 2ue deber<an adoptarse para controlar estos riesgos8 Evaluacin de riesgos &ener en cuenta tres costos! Cr! Valor del "# = Valor del Recursos > Valor de la #n$or%acin8 Ca! Costo de los %edios necesarios para ro%per las %edidas de seguridad8 Cs! Coste de las %edidas de seguridad8 Relacin econ%ica lgica! Ca ? Cr ? Cs Valor de un SI (Cr! 9l evaluar un "# su valor puede desglosarse en 5Cr6 dos partes $unda%entales! *8 Valor intr<nseco del producto a proteger8 48 @os costes derivados de su p;rdida 5a veces no son %ensurables6 Valor intr!nseco" Fcil de valorar! Valores ob7etivos ' %ensurables 5recursos e in$or%acin68 E7e%plo! "ervidor de un departa%ento con varios grupos de investigacin! Valor del AardBare8 Valor del so$tBare8 Valor de los resultados de investigacin al%acenados8 Coste del es$uerzo ' %aterial invertido para obtener los datos8 Valor de la in$or%acin personal 2ue contiene8 Costes derivados" Ms di$<ciles de enu%erar ' cuanti$icar8 Cependen del tipo de "#D su valor e i%portancia pueden variar8 Conce#tos! Valor de sustituir el AardBare8 Valor de sustituir el so$tBare8 Valor de los resultados8 Valor de reproducir los eEperi%entos signi$icativos8 Coste de regenerar la in$or%acin personal8 Prestigio Plani$icacin Etc8 Vulnerabilidad! 9specto del siste%a 2ue es susceptible de ser atacado o de daFar la seguridad del %is%o8 @a seguridad total es di$<cil de lograr8 Esto i%plicar<a describir todos los riesgos ' a%enazas a 2ue puede verse so%etido el siste%a8 /o se puede Aablar de "# total%ente seguro3 sino de uno en el 2ue no se conocen tipos de ata2ues 2ue puedan vulnerarlo8 Ti#os de vulnerabilidades$ Vulnerabilidad $<sica! /ivel de edi$icio o entorno $<sico8 GC%o se solucionaH Vulnerabilidad natural! Cesastres naturalesIa%bientales8 Vulnerabilidad del AardBare ' del so$tBare! Ciertos tipos de dispositivos pueden ser %s vulnerables 2ue otros8 Bugs de los ".8 Vulnerabilidad de los %edios o dispositivos! robos3 daFos3 etc8 Vulnerabilidad por e%anacin! Radiaciones electro%agn;ticas8 Vulnerabilidad de las co%unicaciones! 5*6 penetrar en el siste%a a trav;s de la red3 546 interceptar in$or%acin en la trans%isin8 Vulnerabilidad Au%ana! El J+K de los proble%as son debidos a los usuarios8 A%ena&a! Posible peligro del siste%a o atacante 2ue aprovecAa las debilidades 5vulnerabilidades6 del siste%a8 Persona8 Progra%a8 "uceso natural o de otra <ndole8 A%ena&as Interce#cin! Una persona3 progra%a o proceso logra el acceso a una parte del siste%a a la 2ue no est autorizado8 59%enaza di$<cil de detectar6 Interru#cin! "e interru%pe %ediante algn %;todo el $unciona%iento del siste%a8 5Puede ser intencionada o accidental6 'odi(icacin! "e accede no slo a una parte del siste%a a la 2ue no se tiene autorizacin3 sino 2ue se ca%bia en todo o en parte el contenido o %odo de $unciona%iento8 Fabricacin! Posibilidad de aFadir in$or%acin o progra%as no autorizados en el siste%a8 Clasi(icacin de las a%ena&as $ 0ardBare! "iste%a8 "o$tBare! progra%as de usuario3 aplicaciones3 bases de datos3 ".3 etc8 Catos8 )rinci#ios de seguridad ado#tados #ara el desarrollo del cuadro de Anlisis y Gestin de riesgo *a seguridad no se obtiene a trav+s de la oscuridad" Un siste%a no es %s seguro por2ue esconda%os sus posibles de$ectos o vulnerabilidades3 sino por2ue los conozca%os ' corri7a%os estableciendo las %edidas de seguridad adecuadas8 El AecAo de %antener posibles errores o vulnerabilidades en secreto no evita 2ue eEistan3 ' de AecAo evita 2ue se corri7an8 /o es una buena %edida basar la seguridad en el AecAo de 2ue un posible atacante no conozca las vulnerabilidades de nuestro siste%a8 @os atacantes sie%pre disponen de los %edios necesarios para descubrir las debilidades %s insospecAadas de nuestro siste%a8 )rinci#io del eslabn %s d+bil" En todo siste%a de seguridad3 el %Ei%o grado de seguridad es a2uel 2ue tiene su eslabn %s d;bil8 Cuando diseFe%os una pol<tica de seguridad o establezca%os los %ecanis%os necesarios para ponerla en prctica3 debe%os conte%plar todas las vulnerabilidades ' a%enazas8 /o basta con establecer unos %ecanis%os %u' $uertes ' co%ple7os en algn punto en concreto3 sino 2ue Aa' 2ue proteger todos los posibles puntos de ata2ue8 ,e(ensa en #ro(undidad" @a seguridad de nuestro siste%a no debe depender de un solo %ecanis%o por %u' $uerte 2ue este sea3 sino 2ue es necesario establecer varios %ecanis%os sucesivos8 Ce este %odo cual2uier atacante tendr 2ue superar varias barreras para acceder a nuestro siste%a8 )unto de control centrali&ado" "e trata de establecer un nico punto de acceso a nuestro siste%a3 de %odo 2ue cual2uier atacante 2ue intente acceder al %is%o tenga 2ue pasar por ;l8 Este nico canal de entrada si%pli$ica nuestro siste%a de de$ensa3 puesto 2ue nos per%ite concentrarnos en un nico punto8 9de%s nos per%ite %onitorizar todos los accesos o acciones sospecAosas8 )artici#acin universal" Para 2ue cual2uier siste%a de seguridad $uncione es necesaria laparticipacin universal3 o al %enos la no oposicin activa de los usuarios del siste%a8 Si%#licidad @a si%plicidad es un principio de seguridad por dos razones! En pri%er lugar3 %antener las cosas lo %s si%ples posibles las Aace %s $ciles de co%prender8 "i no se entiende algo di$<cil%ente puede saberse si es seguro8 En segundo lugar3 la co%ple7idad per%ite esconder %ltiples $allos8 @os progra%as %s largos ' co%ple7os son propensos a contener %ltiples $allos ' puntos d;biles8 Cuadro de 9nlisis ' :estin de Riesgo de la seguridad del siste%a de in$or%acin CE"9RR.@@. CE P9:#/9 LEB C#/MM#C9 P9R9 E@ C./&R.@ 9C9CNM#C. O 9CM#/#"&R9&#V. CE @." E"&UC#9/&E" PER&E/EC#E/&E" 9 @9 M#"#P/ "UCRE 9C"CR#&." 9@ C8U8F8M Activos Vulnerabilidad A%ena&as Riesgo Soluciones 'ecanis%os de Accin #n$raestructura ' AardBare asociado al siste%a de in$or%acin F<sica Medios ' Cispositivos El ata2ue a esta Vulnerabilidad a%enaza a el AardBare3 so$tBare ' los datos8 #ntercepcin #nterrupcin Modi$icacin Fabricacin 9cceso no autorizado sabota7e Aurto Perdida de activos AardBare3 so$tBare ' datos Perdida de continuidad en el $lu7o de traba7o 9$ectacin de la i%agen institucional "e deben elaborar pol<ticas ' %ecanis%os de seguridad 2ue sean $actibles de i%ple%entar para i%pedir el acceso directo o $<sico no autorizado a la in$raestructura ' AardBare asociado al siste%a de in$or%acin8 Acceso no autori&ado Pol<ticas de "eguridad! Reuniones con RR00 Reuniones con 1e$es de Cptos8 #%ple%entar control de acceso $<sico8 Monitoreo del personal Uso de Bitcoras -urto y sabotaje Con$igurar e2uipos espe7os para pronta recuperacin de los servicios Elaboracin de Respaldos Peridica%ente Plizas de seguro para el AardBare critico Cesastres /aturales E%anaciones El desarrollo a esta Vulnerabilidad a%enaza a el AardBare3 so$tBare ' los datos8 #nterrupcin Perdida de activos AardBare3 so$tBare ' datos Perdida de continuidad en el $lu7o de traba7o 9$ectacin de la i%agen institucional "e deben elaborar pol<ticas ' %ecanis%os de seguridad 2ue sean $actibles de i%ple%entar para la pronta recuperacin ' puesta en %arcAa de los servicios cr<ticos necesarios para el restableci%iento del $lu7o de traba7o de la institucin )ronta Recu#eracin Con$igurar e2uipos espe7os en ubicaciones re%ota para pronta recuperacin de los servicios Elaboracin de Respaldos Peridica%ente ' al%acenarlos en ubicaciones seguras Plizas de seguro para el AardBare critico Activos Vulnerabilidad A%ena&as Riesgo Soluciones 'ecanis%os de Accin 0ardBare3 "o$tBare3 #n$or%acin 0ardBare ' "o$tBare El ata2ue a esta Vulnerabilidad a%enaza a el AardBare3 so$tBare ' los datos8 #ntercepcin #nterrupcin Modi$icacin Fabricacin Perdida de Rendi%iento en el 0ardBare Posibilidad de acceso no autorizado corrupcin de so$tBare 'Io datos 9$ectacin de la i%agen institucional Elaborar pol<ticas 2ue conte%ple el %onitoreo continuo del AardBare ' el so$tBare3 en cuanto a versiones3 actualizaciones bugQs3 li%ites de $ecAas de servicio8 Elaborar pol<ticas para la %igracin de AardBare ' so$tBare Mantener los ". al d<a con los parcAes de seguridad disponer de un personal dedicado eEclusiva%ente para el %onitoreo del AardBare ' el so$tBare E$ectuar UP:R9CE" de ". $recuentes apo'ados por las pol<ticas de %igracin #n$or%acin Co%unicaciones El ata2ue a esta Vulnerabilidad a%enaza a los datos8 #ntercepcin #nterrupcin Modi$icacin Fabricacin Perdida de Con$idencialidad corrupcin de so$tBare 'Io datos 9$ectacin de la i%agen institucional Elaboracin de pol<ticas de seguridad en las co%unicaciones de la institucin3 to%ando co%o alternativa viable el ci$rado de las co%unicaciones por %edio de la ad2uisicin ' utilizacin de un certi$icador de seguridad para el servidor LEB Elaborar pol<ticas de seguridad 2ue conte%plen el uso ' %ane7os de los %ecanis%os de autenticacin 2ue per%itan un %a'or grado de con$idencialidad e integridad de los datos8 9decuar ' Condigurar el "ervidor LEB 59pacAe6 para la utilizacin de ""@ ' asR poder utilizar los protocolos Attps ' $tps revisar ' adecuar la utilizacin de algorit%os de ci$rado actuales para las claves de usuarios Utilizacin de dos algorit%os de ci$rado en serie por e7e%plo pri%ero aplicar MCJ ' al resultado aplicarle "094 Activos Vulnerabilidad A%ena&as Riesgo Soluciones 'ecanis%os de Accin #n$raestructura3 0ardBare3 "o$tBare3 #n$or%acin8 0u%ana El ata2ue a esta Vulnerabilidad a%enaza a el AardBare3 so$tBare ' los datos8 #ntercepcin #nterrupcin Modi$icacin Fabricacin Perdida de Con$idencialidad corrupcin de so$tBare 'Io datos Perdida de activos AardBare3 so$tBare ' datos Perdida de continuidad en el $lu7o de traba7o 9$ectacin de la i%agen institucional 9cceso no autorizado sabota7e Aurto Elaboracin de pol<ticas de seguridad conte%plen la %otivar ' concienciar de $or%a continua el personal 2ue labora en la institucin 9diestrar de $or%a continua del personal en el rea de seguridad llevar a cabo si%ulacros #%partir ponencias3 cAarlas3 conversatorios3 $oros3 en las reas de ingenier<a social3 pol<ticas de seguridad3 i%portancia de las contraseFas3 seguridad personal3 todas estas dirigidos a todo el personal 2ue labora en la institucin3 Con la i%ple%entacin de las soluciones ' %ecanis%os reco%endados en este cuadro se garantizara un nivel pti%o ' aceptable de la seguridad para la e7ecucin $iable del siste%a de in$or%acin3 Estas soluciones ' %ecanis%os garantiza al la institucin la Con$idencialidad3 #ntegridad ' Cisponibilidad del siste%a de in$or%acin Este cuadro de anlisis ' gestin de riesgo debe revisarse ' adecuarlo o a%pliarlo peridica%ente3 se debe recordar sie%pre Aa' nuevas $or%as de ata2ues ' sie%pre se descubren nuevas vulnerabilidades8
Introducción al derecho internacional privado: Tomo III: Conflictos de jurisdicciones, arbitraje internacional y sujetos de las relaciones privadas internacionales