Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria

Colegio Universitario Francisco de Miranda
Ctedra! "eguridad #n$or%tica
&ra'ecto ( ) &ri%estre *
"eccin! #+,-+,*
Trabajo Final
Realizado por!
Vanessa .l%os
/els's 0errera
Rodol$o Ra%os
1ess Vs2uez
Caracas3 Marzo de 4+*(
Anlisis y Gestin de Riesgos 5Conceptos Bsicos6
Evaluacin de riesgos
Una violacin de la seguridad es cual2uier suceso 2ue co%pro%ete el ob7etivo de la "eguridad
de los "iste%as de #n$or%acin ""#8
El 9nlisis ' :estin de Riesgos es un %;todo $or%al para investigar los riesgos de un "# '
reco%endar las %edidas apropiadas 2ue deber<an adoptarse para controlar estos riesgos8
Evaluacin de riesgos
&ener en cuenta tres costos!
Cr! Valor del "# = Valor del Recursos > Valor de la #n$or%acin8
Ca! Costo de los %edios necesarios para ro%per las %edidas de seguridad8
Cs! Coste de las %edidas de seguridad8
Relacin econ%ica lgica! Ca ? Cr ? Cs
Valor de un SI (Cr! 9l evaluar un "# su valor puede desglosarse en 5Cr6 dos partes $unda%entales!
*8 Valor intr<nseco del producto a proteger8
48 @os costes derivados de su p;rdida 5a veces no son %ensurables6
Valor intr!nseco"
Fcil de valorar! Valores ob7etivos ' %ensurables 5recursos e in$or%acin68
E7e%plo! "ervidor de un departa%ento con varios grupos de investigacin!
Valor del AardBare8
Valor del so$tBare8
Valor de los resultados de investigacin al%acenados8
Coste del es$uerzo ' %aterial invertido para obtener los datos8
Valor de la in$or%acin personal 2ue contiene8
Costes derivados"
Ms di$<ciles de enu%erar ' cuanti$icar8 Cependen del tipo de "#D su valor e i%portancia pueden
variar8
Conce#tos!
Valor de sustituir el AardBare8
Valor de sustituir el so$tBare8
Valor de los resultados8
Valor de reproducir los eEperi%entos signi$icativos8
Coste de regenerar la in$or%acin personal8
Prestigio
Plani$icacin
Etc8
Vulnerabilidad!
9specto del siste%a 2ue es susceptible de ser atacado o de daFar la seguridad del %is%o8
@a seguridad total es di$<cil de lograr8 Esto i%plicar<a describir todos los riesgos ' a%enazas a
2ue puede verse so%etido el siste%a8
/o se puede Aablar de "# total%ente seguro3 sino de uno en el 2ue no se conocen tipos de
ata2ues 2ue puedan vulnerarlo8
Ti#os de vulnerabilidades$
Vulnerabilidad $<sica! /ivel de edi$icio o entorno $<sico8 GC%o se solucionaH
Vulnerabilidad natural! Cesastres naturalesIa%bientales8
Vulnerabilidad del AardBare ' del so$tBare! Ciertos tipos de dispositivos pueden ser %s
vulnerables 2ue otros8 Bugs de los ".8
Vulnerabilidad de los %edios o dispositivos! robos3 daFos3 etc8
Vulnerabilidad por e%anacin! Radiaciones electro%agn;ticas8
Vulnerabilidad de las co%unicaciones! 5*6 penetrar en el siste%a a trav;s de la red3 546
interceptar in$or%acin en la trans%isin8
Vulnerabilidad Au%ana! El J+K de los proble%as son debidos a los usuarios8
A%ena&a!
Posible peligro del siste%a o atacante 2ue aprovecAa las debilidades 5vulnerabilidades6 del
siste%a8
Persona8
Progra%a8
"uceso natural o de otra <ndole8
A%ena&as
Interce#cin! Una persona3 progra%a o proceso logra el acceso a una parte del siste%a a la 2ue
no est autorizado8 59%enaza di$<cil de detectar6
Interru#cin! "e interru%pe %ediante algn %;todo el $unciona%iento del siste%a8 5Puede ser
intencionada o accidental6
'odi(icacin! "e accede no slo a una parte del siste%a a la 2ue no se tiene autorizacin3 sino
2ue se ca%bia en todo o en parte el contenido o %odo de $unciona%iento8
Fabricacin! Posibilidad de aFadir in$or%acin o progra%as no autorizados en el siste%a8
Clasi(icacin de las a%ena&as $
0ardBare! "iste%a8
"o$tBare! progra%as de usuario3 aplicaciones3 bases de datos3 ".3 etc8
Catos8
)rinci#ios de seguridad ado#tados #ara el desarrollo del cuadro de Anlisis y Gestin de riesgo
*a seguridad no se obtiene a trav+s de la oscuridad"
Un siste%a no es %s seguro por2ue esconda%os sus posibles de$ectos o vulnerabilidades3 sino
por2ue los conozca%os ' corri7a%os estableciendo las %edidas de seguridad adecuadas8 El AecAo de
%antener posibles errores o vulnerabilidades en secreto no evita 2ue eEistan3 ' de AecAo evita 2ue se
corri7an8
/o es una buena %edida basar la seguridad en el AecAo de 2ue un posible atacante no conozca
las vulnerabilidades de nuestro siste%a8 @os atacantes sie%pre disponen de los %edios necesarios para
descubrir las debilidades %s insospecAadas de nuestro siste%a8
)rinci#io del eslabn %s d+bil"
En todo siste%a de seguridad3 el %Ei%o grado de seguridad es a2uel 2ue tiene su eslabn %s
d;bil8 Cuando diseFe%os una pol<tica de seguridad o establezca%os los %ecanis%os necesarios para
ponerla en prctica3 debe%os conte%plar todas las vulnerabilidades ' a%enazas8
/o basta con establecer unos %ecanis%os %u' $uertes ' co%ple7os en algn punto en concreto3
sino 2ue Aa' 2ue proteger todos los posibles puntos de ata2ue8
,e(ensa en #ro(undidad"
@a seguridad de nuestro siste%a no debe depender de un solo %ecanis%o por %u' $uerte 2ue
este sea3 sino 2ue es necesario establecer varios %ecanis%os sucesivos8 Ce este %odo cual2uier
atacante tendr 2ue superar varias barreras para acceder a nuestro siste%a8
)unto de control centrali&ado"
"e trata de establecer un nico punto de acceso a nuestro siste%a3 de %odo 2ue cual2uier
atacante 2ue intente acceder al %is%o tenga 2ue pasar por ;l8
Este nico canal de entrada si%pli$ica nuestro siste%a de de$ensa3 puesto 2ue nos per%ite
concentrarnos en un nico punto8
9de%s nos per%ite %onitorizar todos los accesos o acciones sospecAosas8
)artici#acin universal"
Para 2ue cual2uier siste%a de seguridad $uncione es necesaria laparticipacin universal3 o al
%enos la no oposicin activa de los usuarios del siste%a8
Si%#licidad
@a si%plicidad es un principio de seguridad por dos razones!
En pri%er lugar3 %antener las cosas lo %s si%ples posibles las Aace %s $ciles de
co%prender8 "i no se entiende algo di$<cil%ente puede saberse si es seguro8
En segundo lugar3 la co%ple7idad per%ite esconder %ltiples $allos8 @os progra%as %s largos
' co%ple7os son propensos a contener %ltiples $allos ' puntos d;biles8
Cuadro de
9nlisis ' :estin de Riesgo
de la seguridad del siste%a de in$or%acin
CE"9RR.@@. CE P9:#/9 LEB C#/MM#C9 P9R9 E@ C./&R.@ 9C9CNM#C. O
9CM#/#"&R9&#V. CE @." E"&UC#9/&E"
PER&E/EC#E/&E" 9 @9 M#"#P/ "UCRE 9C"CR#&." 9@ C8U8F8M
Activos Vulnerabilidad A%ena&as Riesgo Soluciones 'ecanis%os de Accin
#n$raestructura '
AardBare asociado al
siste%a de in$or%acin
F<sica
Medios ' Cispositivos
El ata2ue a esta
Vulnerabilidad
a%enaza a el
AardBare3 so$tBare
' los datos8
#ntercepcin
#nterrupcin
Modi$icacin
Fabricacin
9cceso no
autorizado
sabota7e
Aurto
Perdida de
activos
AardBare3
so$tBare ' datos
Perdida de
continuidad en
el $lu7o de
traba7o
9$ectacin de la
i%agen
institucional
"e deben elaborar pol<ticas
' %ecanis%os de
seguridad 2ue sean
$actibles de i%ple%entar
para i%pedir el acceso
directo o $<sico no
autorizado a la
in$raestructura ' AardBare
asociado al siste%a de
in$or%acin8
Acceso no autori&ado
Pol<ticas de "eguridad!
Reuniones con
RR00
Reuniones con
1e$es de Cptos8
#%ple%entar control de
acceso $<sico8
Monitoreo del personal
Uso de Bitcoras
-urto y sabotaje
Con$igurar e2uipos
espe7os para pronta
recuperacin de los
servicios
Elaboracin de
Respaldos
Peridica%ente
Plizas de seguro para
el AardBare critico
Cesastres /aturales
E%anaciones
El desarrollo a esta
Vulnerabilidad
a%enaza a el
AardBare3 so$tBare
' los datos8
#nterrupcin
Perdida de
activos
AardBare3
so$tBare ' datos
Perdida de
continuidad en
el $lu7o de
traba7o
9$ectacin de la
i%agen
institucional
"e deben elaborar pol<ticas
' %ecanis%os de
seguridad 2ue sean
$actibles de i%ple%entar
para la pronta recuperacin
' puesta en %arcAa de los
servicios cr<ticos
necesarios para el
restableci%iento del $lu7o
de traba7o de la institucin
)ronta Recu#eracin
Con$igurar e2uipos
espe7os en ubicaciones
re%ota para pronta
recuperacin de los
servicios
Elaboracin de
Respaldos
Peridica%ente '
al%acenarlos en
ubicaciones seguras
Plizas de seguro para
el AardBare critico
Activos Vulnerabilidad A%ena&as Riesgo Soluciones 'ecanis%os de Accin
0ardBare3
"o$tBare3
#n$or%acin
0ardBare ' "o$tBare
El ata2ue a esta
Vulnerabilidad
a%enaza a el
AardBare3 so$tBare
' los datos8
#ntercepcin
#nterrupcin
Modi$icacin
Fabricacin
Perdida de
Rendi%iento
en el 0ardBare
Posibilidad de
acceso no
autorizado
corrupcin de
so$tBare 'Io
datos
9$ectacin de
la i%agen
institucional
Elaborar pol<ticas 2ue
conte%ple el %onitoreo
continuo del AardBare
' el so$tBare3 en cuanto
a versiones3
actualizaciones bugQs3
li%ites de $ecAas de
servicio8
Elaborar pol<ticas para
la %igracin de
AardBare ' so$tBare
Mantener los ". al
d<a con los parcAes
de seguridad
disponer de un
personal dedicado
eEclusiva%ente para
el %onitoreo del
AardBare ' el
so$tBare
E$ectuar UP:R9CE"
de ". $recuentes
apo'ados por las
pol<ticas de
%igracin
#n$or%acin Co%unicaciones
El ata2ue a esta
Vulnerabilidad
a%enaza a los datos8
#ntercepcin
#nterrupcin
Modi$icacin
Fabricacin
Perdida de
Con$idencialidad
corrupcin de
so$tBare 'Io datos
9$ectacin de la
i%agen
institucional
Elaboracin de pol<ticas de
seguridad en las
co%unicaciones de la
institucin3 to%ando co%o
alternativa viable el ci$rado
de las co%unicaciones por
%edio de la ad2uisicin '
utilizacin de un
certi$icador de seguridad
para el servidor LEB
Elaborar pol<ticas de
seguridad 2ue conte%plen
el uso ' %ane7os de los
%ecanis%os de
autenticacin 2ue per%itan
un %a'or grado de
con$idencialidad e
integridad de los datos8
9decuar ' Condigurar el
"ervidor LEB 59pacAe6
para la utilizacin de
""@ ' asR poder utilizar
los protocolos Attps '
$tps
revisar ' adecuar la
utilizacin de algorit%os
de ci$rado actuales para
las claves de usuarios
Utilizacin de dos
algorit%os de ci$rado en
serie por e7e%plo
pri%ero aplicar MCJ ' al
resultado aplicarle "094
Activos Vulnerabilidad A%ena&as Riesgo Soluciones 'ecanis%os de Accin
#n$raestructura3
0ardBare3
"o$tBare3
#n$or%acin8
0u%ana
El ata2ue a esta
Vulnerabilidad
a%enaza a el
AardBare3 so$tBare
' los datos8
#ntercepcin
#nterrupcin
Modi$icacin
Fabricacin
Perdida de
Con$idencialidad
corrupcin de
so$tBare 'Io datos
Perdida de activos
AardBare3 so$tBare
' datos
Perdida de
continuidad en el
$lu7o de traba7o
9$ectacin de la
i%agen
institucional
9cceso no
autorizado
sabota7e
Aurto
Elaboracin de pol<ticas de
seguridad conte%plen la
%otivar ' concienciar de
$or%a continua el personal
2ue labora en la institucin
9diestrar de $or%a
continua del personal en
el rea de seguridad
llevar a cabo si%ulacros
#%partir ponencias3
cAarlas3 conversatorios3
$oros3 en las reas de
ingenier<a social3
pol<ticas de seguridad3
i%portancia de las
contraseFas3 seguridad
personal3 todas estas
dirigidos a todo el
personal 2ue labora en la
institucin3
Con la i%ple%entacin de las soluciones ' %ecanis%os reco%endados en este cuadro se garantizara un nivel pti%o ' aceptable de la
seguridad para la e7ecucin $iable del siste%a de in$or%acin3
Estas soluciones ' %ecanis%os garantiza al la institucin la Con$idencialidad3 #ntegridad ' Cisponibilidad del siste%a de in$or%acin
Este cuadro de anlisis ' gestin de riesgo debe revisarse ' adecuarlo o a%pliarlo peridica%ente3 se debe recordar sie%pre Aa' nuevas
$or%as de ata2ues ' sie%pre se descubren nuevas vulnerabilidades8