Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTRODUCCION
de
Riesgo
segn
la
gua
de sistema, la conectividad
encuentre documentado o no.
todo
lo
que
se
diseo
del
requerimientos.
sistema,
Manual
de
Vulnerabilidades
Fuentes de
Amenaza
Empleados
Despedidos
El firewall de la compaa
permite el acceso de telnet por
medio del usuario invitado sobre
un servidor XYZ.
Usuarios
no
autorizados
El
vendedor
ha
detectado
defectos sobre el diseo de
seguridad de un sistema de
software,
sin
embargo,
los
nuevos parches no han sido
aplicados al sistema
Usuarios no
autorizados (Por
Ej.Hackers,
Empleados
descontentos,
Criminales,
terroristas)
Fuego,
Negligencia del
Personal.
Acciones de
la amenaza
Ingreso a la
red de la
compaa y
acceso a los
datos
utilizando la
autentificacin
del empleado
despedido.
Usar
el
telnet
al
servidor XYZ y
buscar
archivos con
el perfil del
usuario
invitado.
Obtener el
acceso no
autorizado al
sistema de
software
inestable
conociendo la
Vulnerabilidad
del sistema.
Los
rociadores
de agua son
encendidos en
el centro de
datos e
impresiones.
1.1.3.1.1.
Mtodos
vulnerabilidades
-
para
identificar
las
Herramienta automatizada de exploracin de
vulnerabilidades
Evaluacin y pruebas de seguridad (E&PS)
Pruebas de Penetracin.
Una herramienta automatizada de exploracin de
vulnerabilidades es usada para
detectar
grupos
de
usuarios
que
poseen
servicios
conocidos
como
vulnerables en una red, por ejemplo el reconocimiento
del Protocolo de Transferencia de
Archivos
(FTP)
con
usuario annimo habilitado es considerada como una
vulnerabilidad en el sistema de TI. Sin embargo, debemos
aadir, que algunas vulnerabilidades identificadas por la
herramienta de
exploracin automatizada
no
pueden representar verdaderas vulnerabilidades en el
contexto del entorno del sistema. Por ejemplo, algunas de
estas
herramientas
de
exploracin
detectan
vulnerabilidades sin considerar los requerimientos y el
entorno de la organizacin. Algunas vulnerabilidades
sealadas por el software de exploracin en realidad
no son consideradas como
vulnerables,
depende
particularmente
del
sistema
de
informacin,
posiblemente fueron configuradas as porque su ambiente lo
requiere. Por lo tanto, este mtodo de prueba puede
producir aspectos positivos falsos.
E&PS es otra tcnica que puede ser usada en la
identificacin
de vulnerabilidades del sistema de
informacin durante el proceso de evaluacin de riesgo.
Esto incluye el desarrollo y la ejecucin de un plan de
prueba (por ejemplo: descripcin
de
pruebas,
procedimientos de pruebas, y resultados esperados de las
pruebas). El objetivo de pruebas de seguridad del sistema
es de examinar la eficacia de los controles de
seguridad de un sistema de informacin y como ellos han
sido aplicados en un ambiente operacional.
El objetivo es asegurar que los controles aplicados
encuentran
en
el esquema
de
especificacin
seguridad para el software y el hardware y ponen
prctica la poltica de seguridad de la organizacin
acuerdo a las normas de la industria.
se
de
en
de
comprobacin
rea de Seguridad
Controles de S
eguridad
Asignacin de responsabilidades,So
porte continuo, Capacidad de
Respuesta inmediata a los incident
es
Revisin continua de controles
de
seguridad, Autorizacin de personal
Administracin de la seguridad Evaluacin de Riesgos, Entrenamie
nto
tcnico
y
de seguridad,
Establecimiento de Responsabilida
des,Autorizacin y Reautorizaci
n del
sistema,
Plan
de
seguridad
de aplicaciones y del sistema.
Seguridad Operacional
Seguridad Tcnica
Control de contaminacin en el me
dio
ambiente (humo, desperdicios, bas
ura)
Controles para asegurar la calidad
del
suministro
elctrico),
Acceso
y
Disponibilidad a los datos. Distribu
cin
y etiquetado de informacin ext
erna.
Protecciones, Control de la Humed
ad
Comunicaciones, Criptografa, Co
ntrol
de Acceso libre, Identificaci
n y
Autentificacin,
Deteccin
de
intromisin, Reutilizacin de ob
jetos, Auditora de sistemas
CSA de 1987
Publicaciones
de
Normas
referentes
al
procesamiento de informacin
Circular A-130 del OMB - Noviembre del 2000
Acto de Aislamiento de 1974
Plan de seguridad del Sistema informacin
Poltica de seguridad de la organizacin, pautas, y
normas
Prcticas de industria.
EL
NIST
SP
800-26,
Gua
de
Autovaloracin
de
Seguridad para la tecnologa de la informacin de Sistemas,
proporciona un cuestionario extenso con objetivos de control
especficos contra los cuales un sistema o el grupo de sistemas
interconectados pueden ser probados y medidos.
Los objetivos de control han sido abstrados directamente de
requerimientos encontrados en el estatuto, las polticas, y la
direccin sobre la seguridad y la privacidad. Los resultados de la
lista de comprobacin (o el cuestionario) pueden ser usados
para una evaluacin de cumplimiento e incumplimiento.
Este proceso identifica el sistema, el proceso, y
debilidades que representan vulnerabilidades potenciales.
las
Mtodos de Control
como
y de
Categoras de Control
de
de
de
de
el
NIVEL
PROBABEILIDAD
ALTA
MEDIA
BAJA
DE
DEFINICION DE LA
PROBABILIDAD
La
fuente
de
amenazas
es
altamente
motivada
y
suficientemente
capaz
de
ser
ejecutada,
y
los
controles
para
prevenir
esta
probabilidad
son
realizados pero no
efectivos.
La fuente de amenaza
es motivada y capaz,
pero los
Controles
aplicados
pueden dificultar
la
ejecucin exitosa de
la vulnerabilidad.
La
fuente
de
amenaza
es
pobremente
motivada,
Existe
controles
realizados
para
prevenir
las
amenazas,
existe
dificultad
para
la
ejecucin de la
Vulnerabilidad.
Algunos
impactos
tangibles
pueden
ser
medidos
cuantitativamente en las utilidades perdidas, el coste de
reparar el sistema, o el nivel de esfuerzo requerido para
corregir problemas causados por una accin de una amenaza
acertada.
Otros impactos (por ejemplo, la prdida de confianza pblica,
prdida de credibilidad, dao al inters de una organizacin) no
pueden ser medidos en unidades especficas, pero pueden ser
calificados o descritos en trminos de alto, medio, y bajo como se
lo hacen en el impacto. A causa de la naturaleza genrica de
esta discusin, esta metodologa designa y describe slo las
categoras cualitativas altas, medias, y bajas de la magnitud del
impacto.
Alto
Medio
Bajo
de
riesgo
La
determinacin
de riesgo
para una
amenaza/vulnerabilidad particular puede ser expresada como una
funcin de:
La
determinacin
de
controles
de
seguridad
planeados o existentes para reducir o eliminar el
riesgo.
Para medir el riesgo, debe desarrollarse una escala de riesgo y
una matriz de nivel de riesgo.
Descripcin del Nivel de Riesgo
La siguiente tabla describe los niveles de riesgo mostrados
en la matriz anterior. Esta escala de riesgo, con sus posiciones de
los Altos, Medio, y Bajo, representa el grado o el nivel de
riesgo al cual un sistema de informacin podran ser expuesto
si una vulnerabilidad dada fuera ejercida.
La escala de riesgo tambin presenta acciones que la direccin,
los dueos de la organizacin, deben tomar para cada nivel de
riesgo.
La evaluacin de alto, medio y bajo, se utiliza
para determinar el nivel de ocurrencia de una amenaza
adems nos permite establecer el impacto de una amenaza sobre
la confidencialidad, integridad y disponibilidad de un activo.
Nivel de Riesgo
Alto
Medio
Bajo
se proporcionan
los
o
eliminar
los riesgos
Opciones recomendadas de
compatibilidad de sistema)
Legislacin y regulacin
Poltica de organizacin
Impacto operacional
Seguridad y fiabilidad.
eficacia
(por
ejemplo,
9. REFERENCIAS BIBLIOGRAFICAS
[1]