Riesgos básicos en el Tratamiento de Información

Curso: Seguridad de Sistemas 28/08/2019 1

 Riesgos básicos en el Tratamiento de Información (cont.)

Flujo normal de Tratamiento:

Incluirá un Sistema Básico de Comunicaciones, cuyo flujo de Información
sigue el procedimiento normal de operaciones, utilizando los medios y
mecanismos disponibles y autorizados para el efecto.
Este Sistema se ve afectado por el Ruido, la Atenuación y la Distorsión.
Ej: El desarrollo de una clase magistral, la interacción entre el tutor (el
catedrático) y los estudiantes.

Interrupción:
Cuando el flujo de Información inicia su recorrido desde su fuente
legítima, pero se ve afectado por una interrupción de manera abrupta, la
cual impide que dicho flujo llegue a su destinatario legítimo, o bien, a
cualquier destinatario.
Implicaciones:

Intercepción:
Cuando el flujo de Información inicia su recorrido desde su fuente
legítima, llegando a su destinatario legítimo, pero con el inconveniente
presentado cuando el mismo flujo de Información, es interceptado para
dirigirlo hacia otro destinatario, el cual no es legítimo.
Implicaciones:

Curso: Seguridad de Sistemas 28/08/2019 2

 Riesgos básicos en el Tratamiento de Información (cont.)

Modificación:
Cuando el flujo de Información inicia su recorrido desde su fuente
legítima, pero con el inconveniente presentado cuando el mismo flujo de
Información, es interceptado para dirigirlo hacia otro destinatario
(intermedio, ilegítimo), lo cual le permitirá la posibilidad de alterar el
contenido del flujo de Información. Posteriormente llegará a su
destinatario legítimo, obviamente con el contenido alterado.
Implicaciones:

Fabricación:
Cuando el flujo de Información inicia su recorrido desde una fuente
ilegítima, la cual no es conocida por la fuente legítima, lo cual le
permitirá la posibilidad de fabricar el contenido del flujo de Información.
Posteriormente llegará a su destinatario legítimo, obviamente con el
contenido fabricado.
Implicaciones:

Curso: Seguridad de Sistemas 28/08/2019 3

 Riesgos básicos en el Tratamiento de Información (cont.)
Modalidades de acceso

Modalidades no invasivas:
Las modalidades de Flujo Normal y de Intercepción son consideradas
como no invasivas, ya que en ningún momento alteran el Sistema
Básico de Comunicaciones.
La modalidad de Flujo Normal, por naturaleza lo permite.
La modalidad de Intercepción, aún y cuando su finalidad es obtener
información de manera fraudulenta, permite la llegada del flujo de
Información original.

Modalidades invasivas:
Las modalidades de Interrupción, Modificación y Fabricación, son
consideradas como invasivas, ya que en algún(as) instancia(s) de su
actuación, alteran el Sistema Básico de Comunicaciones.
La modalidad de Interrupción impide la llegada del flujo de
Información original.
La modalidad de Modificación permite la llegada del flujo de
Información, pero puede alterarlo en el camino.
La modalidad de Fabricación permite la llegada del flujo de
Información, pero puede fabricarlo en el camino.
Curso: Seguridad de Sistemas 28/08/2019 4
 Riesgos básicos en el Tratamiento de Información (cont.)
Modalidades de ataques – según el formato de daños

Ataques pasivos:
Cuando la entidad atacante no altera el Sistema de Comunicación,
únicamente la escucha o monitorea, para obtener el Flujo de
Información que está siendo transmitido.
Sus objetivos son la intercepción de datos y el análisis del tráfico
(regularmente dentro de una red, pero puede ser dentro de un
sistema)

Ataques activos:
Cuando la entidad atacante si altera el Sistema de Comunicación,
tanto en el mecanismo utilizado por dicho sistema, como en el
contenido del Flujo de Información.
Los Flujos de Información pueden ser modificados dentro del
proceso, o bien, fabricados desde una instancia intermedia.

Curso: Seguridad de Sistemas 28/08/2019 5

 Riesgos básicos en el Tratamiento de Información (cont.)
Modalidades de Incidentes – según su origen

Incidentes Internos:
Aquellos planeados, provocados, motivados y/o ejecutados, por
personal interno de las instituciones, que tiene el nivel de
autorización necesario para administrar y/o operar, los distintos
componentes de los Sistemas de Información.
Estadísticamente se conoce que el 80% de la totalidad de incidentes
generados, pertenecen a esta modalidad.
Implicaciones:

Incidentes Externos:
Aquellos planeados, provocados, motivados y/o ejecutados, por
personal externo a las instituciones, que no tiene el nivel de
autorización necesario para administrar y/o operar, los distintos
componentes de los Sistemas de Información.
Implicaciones:

Curso: Seguridad de Sistemas 28/08/2019 6

Encuesta de seguridad informática 2003. PwC + CIO

Curso: Seguridad de Sistemas 28/08/2019 7

Encuesta de seguridad informática 2003. PwC + CIO

Curso: Seguridad de Sistemas 28/08/2019 8

 Riesgos básicos en el Tratamiento de Información (cont.)
Modalidades de acción

Modalidades Proactivas:
Las modalidades Proactivas son aquellas en las que las medidas de
control, serán tomadas e implementadas ‘a priori’, es decir, en
previsión de los posibles hechos que violenten la Seguridad de la
Información.

Modalidades Reactivas:
Las modalidades Reactivas son aquellas en las que las medidas de
control, serán tomadas e implementadas ‘a posteriori’, es decir, en
corrección de los hechos que violenten la Seguridad de la
Información.

Medidas Medidas
Hechos
Proactivas Reactivas

Curso: Seguridad de Sistemas 28/08/2019 9

 Riesgos básicos en el Tratamiento de Información (cont.)
Principios de Ingeniería

Metodologías Cualitativas:
Aquellas en las que las mediciones de control, serán tomadas en base
a la Calidad o las Cualidades del producto final. Es decir, serán
tomadas con base al conocimiento, la experiencia y la intuición, del
encargado de realizar las mediciones.
Estas metodologías están sujetas a la percepción y la susceptibilidad.

Metodologías Cuantitativas:
Aquellas en las que las mediciones de control, serán tomadas en base
a modelos matemáticos plenamente establecidos, aplicados al
producto final. Es decir, serán tomadas por medio de un
procedimiento estándar, que será aplicado y razonado por el
encargado de realizar las mediciones.
Estas metodologías están sujetas al grado de conocimiento del
evaluador.

Curso: Seguridad de Sistemas 28/08/2019 10

 Prácticas

Propuestas de Prácticas a desarrollar al finalizar este Día:

1. Diseño de Escenarios complejos:

 Diseñe un escenario que alcance el nivel de complejidad necesario,
para permitir reflejar una de las formas básicas de Tratamiento de
Información (no tomar en cuenta el Flujo Normal de Tratamiento).
 Diseñe un escenario que alcance el nivel de complejidad necesario,
para permitir reflejar los impactos de los incidentes de seguridad. Este
escenario debe hacer referencia a su ambiente de trabajo actual (sin
anotar detalles específicos de su trabajo, que le compromentan).

2. Propuestas de Ante-Proyectos:
 Desarrolle un Ante-Proyecto para diseñar un artefacto o herramienta
de Protección, que siendo direccionado a áreas, operaciones o
funciones específicas, permitan actuar en modalidad Proactiva
para monitorear aquellos posibles casos, en los que se tengan
sospechas fundamentadas sobre utilización de modalidades invasivas,
enfocadas a nuestros sistemas de información.

Curso: Seguridad de Sistemas 28/08/2019 11