1.7.3 Vulnerabilidades Las vulnerabilidades se corresponden con fallos en los sistemas fisicos y/o logicos, aunque también pueden tener su origen en los defectos de ubicacién, instalacién, configuracién y mantenimiento de los equipos. tos mal definidos © Pueden estar ligadas a aspectos organizativos (procedi sin actualizar, ausencia de politicas de seguridad...), al factor humano (falta de formacién y/o de sensibitizacién del personal con acceso a los recursos del sistema), a {os propios equipos, a los programas y herramientas ldgicas del sistema, a los locales y |as condiciones ambientales del sistema (deficientes medidas de seguridad fisicas, scasa proteccién contra incendios, mala ubicacién de los locales con recursos criticos Para el sistema, eteétera). cuantitativa o cualitativa para definir ¢} nive te Se suck emplear una ecala SONY curso: Baja, Media y Aa ‘vulnerabilidad de un determinado equipo ©4.7.5 Impactos Para valorar el impacto es necesario tener en cuenta tanto los dafios tangibles ‘como la estimacién de los dafios intangibles (incluida la informacion). En este sentido, podria resultar de gran ayuda la realizacién de entrevistas en profundidad con los responsables de cada departamento, funcin o proceso de negocio, tratando de determinar cuil es el impacto real de la revelacién, alteracién 0 pérdida de la informacién para la organizacin, y no s6lo del elemento TIC que la soporta. También en este caso se puede emplear una escala cuantitativa o cualtativa para medir el impacto del dafo en la organizacién: Bajo, Moderado y Alto. > Péndida 0 mhabilitaci de recursos criticos > Incrrupién de los procesos de negocio > Datos en la imagen reputacin de la organizacién > Robo o revelacién de informacién estratégica o especialmente protegida > Pérdida oinhabiltacin de recursos criticos pero que cuentan con elementas > Caida i procesos Eo et ad iin dl de negocio o en Ia actividad > Robo orevelacién de informacibn confidencial, pero no considera estate » Perdia oinabiltacin de recursos seundarios > Disminucio dl rendimiento dels procesos de negocio > Robo 0 evelacién de informacién interna no publicada Tab! la 1.1. Escala propuesta para medir el impacto del dafto en la organizaciénprobabilidad de que una ameniaza se materialice lidad del sistema informético, causando El nivel de riesgo depende, por lo tanto, de andlisis previo de vulnerabilidades del sistema, de las amenazas y del posible impacto que éstas puedan tener en ef funcionamiento de la organizacién. Se han propuesto distintas metodologias como CRAMM (CCTA Risk Analysis and Management Method, http://www cramm.com) para la evaluacion de riesgos en Gstemas informéticos. Esta metodologia fue desarrollada por la agencia CCTA (Central Computer and Telecommunications Agency) del gobierno del Reino Unido en 1985, Se han publicado distintas revisiones desde entonces, la ultima de ellas (versiGn 5) en 2003, incluyendo varias escalas para la valoracién del impacto en wna onganizacién. Vulnerabilities Eee eed Figura 112. Esquema propueso por la metodologia CRAMM kn Espafe cabria destacar la metodologia MAGERIT, Metodologia de Andlss y Gestion de Riesgos de os Sistemas de Informacion de las Administraiones Piblicas,publicada en 1997 por el Ministerio de Administraciones Pablicas, y que fue revisada posteriormente en el af0 2005. Otros paises europeos han elaborado sus propias metodologias de andlisis y evaluacién de riesgos, como las francesss MARION (propuesia en 1985 por le Asociacién de Empresas Aseguradoras Francesas) y MELISA (definida en 1984 dentro del entoro militar francés). Los abjetivos de MAGERIT son cuatro: > Concienciar a los responsables de los Sistemas de Informacion de. la cexistencia de riesgosy de la necesidad de adoplar as medidas para imitar su impact. > Ofrever un método sistematico para analizar tales riesgos.oo oma CAPITULO 1 PRINCIFIOS ELA SEGURIDAD INFORMATICA 68 Por otra parte, wmbién se han propuesto otras herramientas y metodologias que permiten evaluat el rlesgo, entre las que podriamos destaca las corns melon a otinuneidt » OCTAVE (Operationally Critical Threat, Anaiysis and Vulnerability Evaluations), metodologia de anélisis y evaluacion de riesgos (www.certorploctave). >» “RishWatch", software de evaluacién del riesgo que contempla los ccontroles previstos por la norma ISO 17799 (www.riskwatch.com). >» COBRA (Consultative, Objective and Bi-functional Risk Analysis soflware de evaluacién del riesgo que tambien contempla los controles previstos por Ia norma ISO 17799 (www.security-risk-analysis com). 1.7.7 Defensas, salvaguardas o medidas de seguridad ‘Una defensa, salvaguarda o medida de ‘seguridad es cualquicr | ‘medio empleado para eliminar o reducir un riesgo. Su objetivo <3 reducit las vulnerabilidades de los acti i vos, la probabilidad de ocurrencia 0 en la organizacién Una medida de seguridad activa es cualquier medida utilizada para anular 0 reducit el riesgo de una amenaza. Las medidas activas podrian, a su vez, clasificarse ‘en medidas de prevencién (de aplicacién antes del incidente) y medidas de dereccion (de aplicacién durante el incidente). una medida de seguridad pasiva es cualquier medida empleada jo se produzca un incidente de seguridad. Por ello, a las las conoce como medidas de correccion (se aptican Por su parte, para reducir el impacto cuand ‘medidas pasivas también se despues del incidente). ‘Asi, como ejemplos de medidas preventivas podriamos citar la autenticacion de usuarios, el control de accesos a los recursos, el cifrado de datos sensibles, la formacién de los usuarios, elcétera. Entre las medidas detectivas se encuentran los mas de Deteccidn de Intrusiones (IDS) o las herramientas y procedimientos para ¢l andlisis de los “logs” (registros de actividad de los equipos). Por ultimo, como ‘medidas correctivas se podrian considerar las copias de seguridad, el plan de respuess2 'incidentes y de continuidad del negocio, etcétera.Por otra parte, también podemos distinguir entre defensas fisicas y defensas Yogleas. Las primera se refieren a medidas que implican el eontrl de acceso fio & los recursos y de las condiciones ambientles en que tienen que ser utilizes (emperatura, humedad, suminiso elético, intererencis..., Mienias ve as Sequndus se encueriran relacionadas con laproteccin consepuida mediante disines {4 _ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA, ‘herramientas y téenicas informéticas: autenticacién de usuarios, control de accesg 4 'os ficheros,cifrado de los datos sensibles, etcéters La organizacién debe llevar a cabo una adecusda y cuidosa implanuacién y verificacién de las medidas de seguridad. En la etapa de selecign puede resular de ayuda estindares aprobados & nivel intemacional como el 150, 17799, que incluye una relacién de contoles y de buenas pricticas de seguridad ‘Ademis, seri necesari tener en cuenta una serie de parimetros que permitan analizay In aplcablidad de cada medida propuesla: coste econémico de la medida; dificult para su implantacin tanto a nivel tecnico, como en el plano humano y organizativo, disminucin del riesgo que se prevé conseguit tras la implantacién de la medid erctierPor iltimo, tras la correcta implantacién de las medidas seleccionadas, ia corganizacién deberd determinar el “Nivel de Riesgo Residual”, obtenido tas un nuevo proceso de evaluacién de riesgos teniendo en cuenta que los recursos ya se ‘encuentran protegidos por las medidas de seguridad seleccionadas. Si el nivel de riesgo resultante para un determinado activo todavia continuase siendo demasiado alto para los objetivos fijados por la organizacién, se tendrian que seleccionar medidas de seguridad adicionales y repetir nuevamente el proceso. No obstante, es necesario asumir que siempre existiré un cierto Riesgo Residual en el sistema informatico. Este “Nivel de Riesgo Residual” representa el nivel de riesgo que la organizacién estaria dispuesta a aceptar, teniendo en cuenta que no resultaria beneficioso reducirlo atin mas debido al esfuerzo técnico y econdmico que ello conlievaria. Se trata, por lo tanto, de mantener un equilibro entre el esfuerzo técnico y y el nivel de riesgo aceptable por la organizacién, tal y como se representa cen la siguiente figura: Elbo eee ese tei y condmico y el nivel de esgoacepable Iworgnizaein — Nivel de riesgo