Está en la página 1de 12

GUIA PARA LA EVALUACION DE SEGURIDAD EN UN

SISTEMA

Resumen tres métodos tradicionales para


evaluar la seguridad de un sistema:
Este documento presenta una serie de análisis de riesgos, listas de chequeo y
delineamientos básicos productos de auditoria.
la experiencia e investigación para la
evaluación de seguridad en un En áreas donde las pérdidas esperadas
sistema, con el objeto de articular y frecuencia de las amenazas están
diversos conceptos y técnicas para la bien definidas, el análisis de riesgos
identificación y valoración de riesgos. puede ser usado. Donde las pérdidas
El artículo se enfoca primordialmente esperadas y frecuencia de las
en los métodos de análisis de riesgos, amenazas no esta claro, se pueden
checklist y auditoria. usar inicialmente listas de chequeo
para verificar los principios y
Palabras claves prácticas de seguridad estándares.
Requerimientos de seguridad
Riesgo, amenaza, impacto, adicionales pueden ser determinados
frecuencia, vulnerabilidad, checklist, con métodos de auditoria o
políticas de seguridad y auditoria. evaluaciones de protección de
seguridad. [FIPS-79]
1. INTRODUCCION
2. APLICACIÓN DE LOS
A nivel de investigación y academia METODOS DE EVALUACION
diversas metodologías para implantar
seguridad en sistemas han sido No se trata de especificar en qué
planteadas: Metodología de o cuáles casos se aplica un método u
implantación de seguridad en redes otro, los tres se complementan con el
[ACOS-98], “Metodología para la objeto de evaluar la seguridad, lo que
implantación de seguridad en si es posible diferenciar es los
aplicaciones distribuidas [SANT-99], espacios de tiempo en que se realizan.
etc; también se elaboran otra serie de
metodologías por analistas de Para empezar la evaluación de
seguridad que laboran en la empresa seguridad en un sistema resulta
privada. beneficioso aplicar listas de chequeo,
estas no son un sustituto del formal
Todas las metodologías llegan a un análisis de riesgos, más bien, al
punto donde se preguntan ¿cómo realizarse constituye un punto de
valorar el impacto que causaría a un partida a éste en aquellos puntos que
sistema la consecución de una quedan sujetos a revisión. Además
amenaza?, la respuesta no es fácil, que se pueden tomar medidas
requiere de un análisis serio por parte correctivas en forma rápida, que no
del grupo de personas encargado de implican mayor costo y esfuerzo.
realizar dicha valoración.
El proceso de auditoria es planeada
El objetivo del presente es exponer y para realizarse periódicamente, lo
presentar algunas reflexiones sobre que indica que se llevará a cabo

1
tiempo después que se ha realizado un realizar el proceso de análisis de
análisis de riesgos, con el objeto de riesgos, así sea en forma cualitativa,
verificar si se están cumpliendo los con el objeto de crear esta cultura en
controles y políticas de seguridad la organización.
previstos anteriormente.
Independiente de si existe en la A continuación la tabla 1 presenta los
organización o no información beneficios y dificultades que
estadística de los elementos que presentan los métodos tratados en este
determinan los riesgos, es artículo.
recomendable al grupo evaluador

Tabla 1. Pros/Contras
Métodos PROS CONTRAS
/
-Crea la cultura del riesgo y su manejo en -Existe resistencia a su aplicación, ya sea
una organización. por ignorancia, arrogancia o miedo.
-Expresa en mejores términos las pérdidas -Es un proceso que requiere gran cantidad
al ocurrir un evento desfavorable. de tiempo y de información disponible.
-Proceso costoso.
Metodología cuantitativa Metodología cuantitativa
Análisis -Las valoraciones son objetivas. -No es práctico realizar valoraciones
d -El valor de la información es expresado cuantitativas sin ayuda de herramientas y
e en términos monetarios. bases de conocimiento bien sólidas.
Ri -El presupuesto destinado a la seguridad -Requieren una cantidad sustancial de
es del sistema esta basado en análisis información.
g confiables y bien sustentados. -No existe un estándar sobre amenazas y
os sus frecuencias.
Metodología cualitativa Metodología cualitativa
-No es necesario determinar el valor -Toda valoración es esencialmente
monetario de la información, ni la subjetiva, en procesos y métricas.
frecuencia de las amenazas, ni el costo de -La percepción de valores puede no
las medidas a tomar y del análisis reflejar realmente el actual valor del
costo/beneficio. riesgo.
-Existen en forma abundante y libre. -Arbitrario y subjetivo
(Listas de chequeo técnicas) -Necesitan actualizarse constantemente,
-Fácil de aplicar, resumir y comparar. en el caso que sean listas de chequeo de
Listas de
-Flexibles tipo técnico.
chequeo
-Su análisis es rápido, consiste en -Pueden no tratar necesidades de un
(Check-
verificar si existe o no existe un control sistema particular.
list)
que es aplicable al sistema en análisis.
-Se pueden aplicar medidas correctivas
de inmediato.
-Propicia el mejoramiento de -Aptitud negativa de los encargados de las
procedimientos en el sistema. partes auditadas.
-Reduce errores organizacionales -Requiere tiempo y esfuerzo.
Auditori
-Promueve la aplicación de las políticas y -Requiere tener pistas de auditoria
a
estándares de seguridad.
-Descubre nuevas amenazas al sistema.
(Retroalimenta el análisis de riesgos)

3. ANALISIS DE RIESGOS es generalmente caracterizado como


manejo del riesgo [KRAU-99]. Hay
El proceso de identificar, analizar y una serie de preguntas que se hacen
valorar, mitigar o transferir el riesgo en este proceso:

2
análisis de riesgos por subsistemas, lo
1.¿Que podría ocurrir? (amenaza) que facilitará también la presentación
2.¿Sí ocurre, cuánto daño podría y comprensión de informes por parte
causar? (impacto) de los directivos de la empresa. Los
3.¿Qué tan a menudo podría ocurrir? siguientes ítem corresponden la parte
4.¿Qué tan ciertas son las respuestas a preliminar de el análisis de riesgos:
las anteriores preguntas?
a)La dirección del análisis: con el
Una vez respondidas acertadamente objeto de influenciar el estilo de
las anteriores preguntas, se responden análisis y la información de salida del
ahora las siguientes: proceso de valoración del riesgo. Se
identifica el proceso de valoración del
1.¿Qué puede ser hecho? (mitigación riesgo, tipo de salida requerida y
del riesgo) necesidades críticas.
2.¿Cuál es el costo de la medida? b)El alcance: se determina el alcance
(anual) del análisis. Cuales recursos del
3.¿Es la medida efectiva? (análisis sistema requiere o no el análisis de
costo/beneficio) riesgos. Cuales agentes de amenazas
no serán considerados, etc.
El manejo de riesgos compara el c)Los límites: se define en términos
costo de implementar medidas de de límites físicos y lógicos. El límite
seguridad contra los costos generados físico indica donde termina el sistema
al ocurrir un evento desfavorable en y comienza el sistema; indica las
el sistema que afecte directa o características de todas las interfaces
indirectamente la prestación de con otros sistemas. El límite lógico
servicios. define la amplitud y profundidad del
análisis.
3.1 ETAPAS DEL ANALISIS DE d)Descripción del sistema:
RIESGOS requerimientos (o misión) del sistema,
concepto de operación, e
El análisis de riesgos busca identificación de la naturaleza de los
cuantificar el impacto de las recursos del sistema. Está descripción
amenazas potenciales sobre un provee las bases para posteriores
sistema, comprende cuatro subetapas: análisis y es prerrequisito para iniciar
planeación del análisis de riesgos, la valoración de riesgos.
identificación de amenazas y e)Objeto del riesgo y certeza
vulnerabilidades, valoración del requerida: el objeto ayudará a
impacto y frecuencia de escenarios determinar si el riesgo está en los
recurso/amenazas y tratamiento del límites aceptables. La certeza define
riesgo. el nivel de acierto para la valoración
del riesgo, este factor determina el
3.1.1 Planeación del análisis de nivel de esfuerzo en el análisis.
riesgos
3.1.2 Identificación de amenazas y
Si el sistema a evaluar es muy vulnerabilidades
complejo y la organización es muy
grande, es conveniente para el Las amenazas en el sistema provienen
analista de seguridad elaborar un del personal encargado, personal

3
externo, daño en equipos, caída de  Vulnerabilidades de
enlaces, etc. Al momento se tiene la comunicaciones: inadecuados
información como lo muestra la controles de acceso a la red,
siguiente tabla. inadecuados mecanismos para
prevenir fallas en comunicaciones

Tabla 2. Relación recurso/amenazas  Vulnerabilidades de personal


(empleados): inadecuados
Recurso Amenazas controles de acceso físico,
Recurso 1 Amenaza 1 inadecuados controles de acceso
Amenaza 2 lógico
....
Recurso 2 Amenaza 1 Por medio de entrevistas con
Amenaza 2 cuestionarios previamente diseñados
.... que contemplen los principios y
prácticas de seguridad generalmente
Un análisis de vulnerabilidades, por aceptados, se encontrarán las
ejemplo puede identificar solo la vulnerabilidades que tiene el sistema.
ausencia de medidas para reducir los A continuación se relacionan una
riesgos, lo anterior se puede indicar serie de fuentes de información
cualitativamente en binario como si o importantes a esta subetapa:
no. Se encuentran las debilidades o
vulnerabilidad desde los siguientes  National Research Council
puntos de vista. Report “Computers at Risk”
 National Information
 Vulnerabilidades de software: Infraestructure Task Force (NITF)
errores de aplicaciones, errores de findings
sistemas operativos, rutinas de  Presidential National Security
acceso no autorizados, servicios and Telecommunications Advisory
no autorizados Council (NSTAC) report
 President’s Commission on
 Vulnerabilidades de hardware: Critical Infraestructure
inapropiada operación, fallas en Protection (PCCIP) report
mantenimiento, inadecuada
seguridad física, falta de Para cada una de las amenazas
protección contra desastres encontradas se define cuales
naturales vulnerabilidades presenta el sistema
que pueden llevar a su realización. Se
 Vulnerabilidades de datos: forman escenarios recurso/ amenaza/
inadecuados controles de acceso a vulnerabilidades como lo indica la
personal no autorizado tabla 3.

 Vulnerabilidades administrativas: Algunas debilidades observadas en el


ausencia de políticas de seguridad, sistema, dan píe a una serie de
ausencia de cultura de seguridad, recomendaciones de seguridad
ausencia de procedimientos, falta iniciales que se pueden poner en
de educación y entrenamiento en práctica de inmediato, por lo general
seguridad implican bajos costos, como respaldo

4
a estos controles se implanta las correspondientes políticas de
seguridad.

Tabla 3. Relación recurso/amenaza/vulnerabilidades

Recurso Amenaza Vulnerabilidades


Vulnerabilidad 1
Amenaza 1 Vulnerabilidad 2
...
Recurso 1
Vulnerabilidad 1
Amenaza 2 Vulnerabilidad 2
...
Vulnerabilidad 1
Recurso 2 Amenaza 1 Vulnerabilidad 2
...

3.1.3 Valoración del impacto y I  valor _ recurso * factor _ de _ exp osición


frecuencia de ocurrencia de las
amenazas Los impactos afectan la
confidencialidad, integridad y
a)Método cuantitativo: en este punto disponibilidad de los recursos del
se hace una revisión de la sistema. El impacto de una amenaza a
información que previamente se ha la integridad de los datos es diferente
recolectado, la frecuencia esta basada a sí ocurre modificación o destrucción
en las diferentes bitácoras, logs y de los datos. Igual ocurre con el
reportes de incidentes. El impacto se impacto de una amenaza a la
determina en forma cuantitativa disponibilidad, depende del tiempo
tomando diversos: criterios, pero en que el recurso de red permanezca no
últimas todos representan valores disponible y la frecuencia con que el
económicos: valor del # de sistema requiere los datos. Al final de
operaciones que deja el sistema de esta subetapa se genera la tabla 4.
procesar por la ocurrencia de un
evento. Lo ideal es poder expresar el La frecuencia se da en forma anual,
impacto en términos económicos. por ejemplo, si una amenaza ocurre
una vez en 10 años, tiene una
El impacto se determina de la frecuencia de 1/10 ó 0.1; una amenaza
siguiente fórmula: [KRAU-99] ocurriendo 50 veces en un año tiene
una frecuencia de 50.

Tabla 4. Recurso/Amenaza/Impactos

Integridad Datos Confiden- Disponibilidad


Modificac. Destrucción cialidad 2hrs 24hrs 72hr
Recurso

5
Amen. 1 i f i f i f i f i f i f
Amen. 2 i f i f i f i f i f i f
........
determinar el nivel de riesgo que se
b)Métodos cualitativos: estos tiene. "Aquí el riesgo indica las
métodos valoran de una forma muy pérdidas ante la posibilidad de
subjetiva el riesgo, a los elementos presentarse la amenaza"
para valorar los riesgos generalmente
se le asignan los valores de alto, Tabla 5. Nivel del riesgo
medio y bajo. Posibilidad de ocurrencia
Impacto Alta Media Baja
El grupo evaluador tenga o no el Alta A A M
impacto expresado en términos Media A M M
económicos puede escoger un nivel Baja B B B
de impacto cualitativamente como
Las áreas señaladas como A indican
bajo, medio o alto, teniendo en
que son riesgos que requieren pronta
cuenta rangos de pérdidas
atención, las áreas marcadas como B
económicas.
no es prioritario la toma de medidas
Algunas métodos utilizan como
3.1.5 Tratamiento del riesgo
elemento para valorar los riesgos la
posibilidad de ocurrencia de
Luego del análisis de riesgos se
presentarse una amenaza.
procede a determinar el tipo de
acción a tomar para cada riesgo. Se
3.1.4 Cálculo del riesgo
estudian las amenazas que presentan
los recursos del sistema y se
a)Tener el impacto y frecuencia
determina si es posible la
(cuantitativo). Como en toda
implantación de mecanismos que
disciplina la pérdida es igual al
reduzcan o eliminen el riesgo, en
producto de los valores de impacto y
frecuencia de ocurrencia (i x f). Para caso contrario las acciones a tomar
serían la aceptación o transferencia
f, el periodo anual es el común
del riesgo. El costo de proteger las
tomado como referencia en las
aplicaciones de una amenaza debe
metodologías y herramientas para
ser menor que el costo de la
análisis de riesgos. "Aquí el riesgo
recuperación. Para el tratamiento de
indica las pérdidas anuales que
un riesgo se puede seguir las
genera la amenaza". Se genera la
estrategias planteadas en [HIGU-
relación recurso/amenaza/impacto
94]: aceptar, transferir, eliminar,
anual como indica tabla 6.
reducir.

A los anteriores se agrega la


estrategia “evaluar”, en la cual los
b)Métodos cualitativos. No se tiene
controles quedan en un estado de
en cuenta la frecuencia para valorar
evaluación por desconocerse la
los riesgos. La tabla 5 muestra un
forma de llevarlo a cabo, requiere un
claro ejemplo donde se emplea una
tratamiento de más investigación y/o
matriz impacto/posibilidad de
consenso con el staff del sistema. Por
ocurrencia de una amenaza para

6
lo general en este tipo de casos la
fecha queda por definir.

Tabla 6. Recurso/Amenaza/Impacto Anual

Integridad Datos Confiden Disponibilidad Ries.


Modificac. Destrucción cialidad 2hrs 24hrs
Recurso
Amen. 1 ($) ($) ($) ($) ($) ($) ($)
Amen. 2 ($) ($) ($) ($) ($) ($) ($)
........

3.1.6 Mitigación del riesgo Posteriormente se identifican las


estrategias a seguir para mitigar los
El proceso de mitigación de riesgos riesgos. Su propósito es obtener
se sigue en caso de que la acción alternativas de solución para cada
sobre el riesgo sea reducirlo o riesgo. [SANT-99]
eliminarlo, incluye como primera
medida la identificación de metas, El diseño de controles es un proceso
cuyo propósito es describir el estado que requiere de mucho cuidado, se
deseado resultante después de la debe tener presente toda
mitigación del riesgo.

Tabla 7. Relación amenaza/estrategias/costo anual

RECURSO: XXX
AMENAZA ESTRATEGIAS COSTO
Estrategia 1
Amenaza n Estrategia ...
Estrategia n
la información de seguridad obtenida valor del impacto para determinado
anteriormente. Se plantean cuestiones riesgo.
como: ¿de qué forma puedo reducir
vulnerabilidades y por ende reducir el 4. OTROS METODOS DE
nivel de vulnerabilidad?, ¿qué EVALUACION DE SEGURIDAD
mecanismos aunque no reducen el
nivel de vulnerabilidad reducen el 4.1 AUDITORIA
impacto?, puede un mecanismo
determinado eliminar completamente La auditoria examina si el sistema
la amenaza, etc. esta cumpliendo con los
requerimientos de seguridad
Las estrategias aquí asignadas deben incluyendo políticas de la
ser valoradas en términos económicos organización y del sistema. Dentro de
para realizar un análisis las técnicas a emplear incluye
costo/beneficio, no se pueden investigación, observación y pruebas.
plantear soluciones que excedan el Una auditoria puede variar

7
ampliamente en alcance, examinar un han sufrido daño por hackers,
sistema entero para el proceso de intrusos o problemas técnicos. Los
reacreditación o puede investigar un logs deberían registrar como mínimo
solo evento malicioso. los siguientes eventos:

La auditoria puede ser interna o  Cualquier intento de logearse


externa, la diferencia puede radicar en (exitoso y no exitoso)
la objetividad con que se realice. La  Identidad
auditoria interna puede tener  Fecha
conflictos de intereses, o al contrario,  Tiempo de cada intento de entrada
estar motivado por el deseo de  Fecha y tiempo de salida
mejorar la seguridad del sistema,  Dispositivos usados
además de ser conocedores del  Las funciones ejecutadas.
sistema pueden encontrar problemas
ocultos. Una auditoria podría identificar
intentos de login fallidos,
La auditoria toma documentación especialmente si no se limita el
existente en cuanto a: políticas número de intentos en el sistema.
aplicables, análisis de riesgos, Algunos sistemas no tienen la función
descripción de procesos, lista de de registrar intentos de acceso
controles. La ausencia de algún fallidos, de esta forma sólo se puede
documento amerita la recomendación monitorear los intentos de acceso
de la realización del mismo. exitosos.

Los procesos de auditoria con el 4.1.2 Aplicación del control: dos


objeto de asegurar el funcionamiento procesos están involucrados en la
operacional de la seguridad en un aplicación de logs : definición e
sistema es planificada y basada en la implantación y revisión.
revisión de logs, por lo que a
continuación se presenta la a)Definición e implantación: al
importancia del establecimiento de implementar logs se deben considerar
logs y como se aplica este control. información confidencial y por lo
4.1.1 Establecimiento de logs. las tanto requieren protección contra
pistas de auditoria o logs mantienen borrado o modificación no autorizada.
un registro de las actividades que los Fuertes controles de acceso y
administradores y usuarios realizan encripción pueden ser mecanismos
sobre un sistema. Junto con efectivos para preservar la
herramientas y procedimientos confidencialidad e integridad. El
adecuados, los logs pueden ayudar a acceso en línea a logs debería estar
detectar violaciones de seguridad, estrictamente controlado, sólo visible
problemas de desempeño, etc. Los al personal de administración que lo
logs son usados como soporte para las requiera para propósitos de revisión.
operaciones requeridas del sistema
y/o medio para asegurar políticas. b)Revisión: los logs requieren ser
revisados ya sea ante la ocurrencia de
Como soporte para operaciones, los un incidente de seguridad,
logs son usados para ayudar a los automáticamente en tiempo real
administradores del sistema que no (monitoreo) o por una evaluación de

8
seguridad planeada. Los cuenta no afecte el desempeño del
administradores del sistema sistema.
determinarán la longitud de los logs
que será mantenido. Para el sistema el 4.2 CHECKLIST
establecimiento de logs ayudará en
los aspectos de control de acceso, La lista de chequeo es considerada
reconstrucción de eventos y detección como una herramienta de auditoria, es
de intrusos. uno de los métodos de evaluación
más viejos ampliamente usados, en
-Control de acceso: los logs trabajan seguridad informática consiste en
en conjunto con los controles de revisar si existen controles
acceso lógico, las cuales restringen el administrativos, operativos y técnicos,
uso de los recursos del sistema. El este proceso no evalúa la efectividad
acceso se concede teniendo en cuenta de los controles implantados. Además
lo que el usuario del sistema necesite se identifica que se cumplan los
para realizar sus labores. Los logs principios de seguridad generalmente
sirven para analizar las acciones que aceptados (GSSPs).
los usuarios autorizados realizan,
siempre que las cuentas y passwords Controles administrativos: estos
de acceso no sean genéricos. controles hacen referencia a la
recolección de documentos como:
-Reconstrucción de eventos: la políticas y normatividad general
operación del sistema no se escapa de referente a la seguridad del sistema.
la ocurrencia de problemas, estos [NIST1]
pueden ser resueltos fácilmente con la
revisión de logs para hacer Controles operativos: estos controles
seguimiento a las últimas operaciones hacen referencia a los procedimientos
realizadas y detectar como, cuando y que sirven para asegurar los
porque se originó el problema. El requerimientos de seguridad.
análisis de los logs ayuda a distinguir Ejemplo: planes de contingencia,
si los errores fueron inducidos por los manejo de incidentes, realización de
operadores o por errores del software. backups etc.
Adicionalmente, sí un problema
técnico ocurre (por ejemplo daño de Controles técnicos: estos controles
archivos) los logs pueden ayudar en el hacen referencia a cualquier
proceso de recuperación. dispositivo de hardware o software
que aseguran el cumplimiento de los
-Detección de intrusos: los logs requerimientos de seguridad.
deben diseñarse e implementarse con Ejemplo: control de acceso y
la información apropiada que asista autorización, firewalls, mecanismos
en la detección de intrusos. Las de auditoria de eventos, etc.
intrusiones pueden detectarse en
A continuación se amplia cada uno de
tiempo real o después de ocurrido el
los controles enfocados a un sistema
evento. Los equipos y sistemas
de redes:
críticos para el sistema podrían tener
implementado logs como
Controles Administrativos
herramientas en línea para monitorear
constantemente su estado, teniendo en

9
 Existe una política especifica del  Análisis de riesgos
sistema para el manejo de  Separación de deberes
seguridad  Identificación del personal clave
 Existen políticas para el manejo  Conocimiento y entrenamiento de
de redes, sistemas operativos, personal
aplicaciones, etc.  Efectiva administración de
 Existen políticas para el manejo usuarios
de Internet  Registro de intrusos
 Tipo de información que  Planes de contingencia
puede ser transmitida  Controles de acceso físico
 Tipos de sistemas que pueden  Seguridad física contra incendios
ser conectados a la red
 Uso de firewalls y gateways Controles Técnicos
seguros  Identificación y autenticación
 Requerimientos para  Manejo de llaves
autenticación de usuarios  Control de acceso lógico
 Existen políticas para el manejo  Protección a puertos
de otras redes externas  Firewalls, gateways seguros
 Existe un ente encargado de dar  Autenticación basada en hots
solución a incidentes de seguridad  Auditoria
 Las funciones de seguridad están  Detección de intrusos
integradas en las funciones del  Reconstrucción de eventos
personal  Logs, revisión
 Criptografía
Donde existan políticas los siguientes  Firmas electrónicas
tópicos son evaluados:  Certificados
 Define el objetivo?
 Esta respaldada por los Dependiendo del sistema en análisis
directivos? se establece los seis o más relevantes
 Define procedimientos, son controles que se identificaran con
claros y entendibles? letras mayúsculas. Los controles
 Indica la información, software y pueden tomar uno de cinco posibles
hardware a emplear? estados: implantado (I), en proceso de
 Designa personal responsable? ser implantado (P), control no
 Dicta las penalidades y acciones existente (N), se desconoce su
disciplinarias? estado/por verificar (V) ó no aplica
 Los procedimientos son (X). Por ejemplo si el recurso1 es un
actualizados periódicamente? servidor y el control A es “Backups de
 Conoce los usuarios y personal configuración y datos de equipos” el
adecuado las políticas? siguiente cuadro indica que si se
encuentra en funcionamiento dicho
Controles Operacionales control.

Tabla 8. Estado de los controles técnicos

Estado de los controles


Controles Técnicos
A B C D E F
Sistema

10
Recurso1 I N P N N N
Recurso2 I N P N N N
...
...
Recurson I N P N N N

5. CONCLUSIONES recomendación inmediata del


cumplimiento de esta.
En Colombia las organizaciones y/o
empresas no cuentan con registros 6. REFERENCIAS
acerca de los incidentes de seguridad,
lo que dificulta la labor de determinar [ACOS-98] Beatríz Acosta.
el impacto de los riesgos en términos Metodología de Implantación de
económicos, necesitando considerarse Seguridad en Redes, Tesis de
en la mayoría de los casos una serie Postgrado en Ingeniería de Sistemas y
de complicadas matrices para Computación, Universidad de los
determinar el impacto de los riesgos Andes, 1998.
en términos cualitativos de alto,
medio o bajo, siendo esto además un [FIPS-79] Federal Information
proceso bastante polémico y Processing Standards Publications
desgastante al interior de las FIPS PUB65 - Guideline for
Organizaciones. Automatic Data Processing Risk
Analysis, 1979.
Como recomendación de seguridad
fundamental a las empresas es [HIGU-94] Higuera Ronald, et al.,
importante empezar a llevar registros "An Introduction to team risk
sobre incidentes de seguridad con el management", Carnegie Mellon
fin de dar mayor confiabilidad y University, Pensilvania, 1.994.
mejorar los resultados en el ciclo de
vida del análisis de riesgos. [KRAU-99] Micki Krause and
Harold F. Tipton. “Handbook of
Es indispensable retroalimentar el Information Security Management”,
procceso de análisis de riesgos que 1999
obedecen a los siguientes: realización
de cambios en el sistema, incidentes [NIST1] NIST Computer Security
de seguridad y revisiones periódicas. Handbook.
[ORTI-88]
[ORTI-99] John Carlos Ortíz,
Son de vital importancia para el “Metodología para evaluación de
analista de seguridad informática la seguridad en sistemas distribuidos”,
puesta en práctica de los métodos de Tesis de Postgrado en Ingeniería de
checklist y auditoría para determinar Sistemas y Computación, Universidad
controles ausentes en el sistema, ya de los Andes, 1999.
que estas herramientas se basan en
estándares mínimos de seguridad que
debe cumplir todo sistema, la
ausencia de alguno de ellos implica la

11
[SANT-99] Santos Luz Marina, Los recursos de un sistema pueden
“Metodologia para la ser de naturaleza tangible o
implantación de seguridad en intangible, su valor depende de
aplicaciones distribuidas”. Tesis su naturaleza. Los recursos
de Postgrado en Ingeniería de tangibles incluyen hardware,
Sistemas y Computación, documentación, y presupuesto
Universidad de los Andes. que soportan el almacenamiento,
procesamiento y entrega de la
7. AUTORA información, su valor típicamente
Luz Marina Santos Jaimes se da en el costo de
Ingeniera de Sistemas reemplazarlos. El valor de los
Magíster en Ingeniería y Sistemas y recursos intangibles como por
Computación, Univ. de los Andes ejemplo la información, puede
Ocupación actual: Docente de tiempo darse en el costo y tiempo de
completo Universidad de Pamplona recuperación de la misma, o en el
Area de interés: seguridad valor de la confidencialidad,
computacional, internet, sistemas integridad y disponibilidad de la
distribuidos y trabajo cooperativo. información (ISSA-published
Correo: GIV reference).
lsantos@unipamplona.edu.co
teléfono: 5685303 Ext. 141 Impacto (i) es el daño potencial sobre
5681672 un sistema cuando una amenaza se
presenta. Este daño puede ser
8. GLOSARIO expresado en términos cuantitativos o
cualitativos.
Una amenaza es cualquier evento que
puede causar daño sobre los recursos La frecuencia de ocurrencia (f)
del sistema. determina las veces que una amenaza
puede ocurrir en un periodo de
Las vulnerabilidades son puntos tiempo. La frecuencia se da en
débiles de seguridad que presenta el número de ocurrencias por año.
sistema que podrían permitir la
ocurrencia de una amenaza. Posibilidad de ocurrencia: es una
El Factor de exposición representa medida cualitativa que indica la
una medida de la magnitud de opción que tiene la amenaza de
pérdidas o impacto sobre el materializarse o no.
valor de un recurso, es
expresado como un porcentaje
que va desde 0% a 100%.

12