Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pamplona
Pamplona
SISTEMA
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Teléfono: 5685303 Ext. 141
Carrera 9 # 5-53 2do. Piso Pamplona
1
realizarse constituye un punto de Independiente de si existe en la
partida a éste en aquellos puntos que organización o no información
quedan sujetos a revisión. Además estadística de los elementos que
que se pueden tomar medidas determinan los riesgos, es
correctivas en forma rápida, que no recomendable al grupo evaluador
implican mayor costo y esfuerzo. realizar el proceso de análisis de
riesgos, así sea en forma cualitativa,
El proceso de auditoria es planeada con el objeto de crear esta cultura en
para realizarse periódicamente, lo la organización.
que indica que se llevará a cabo
tiempo después que se ha realizado un A continuación la tabla 1 presenta los
análisis de riesgos, con el objeto de beneficios y dificultades que
verificar si se están cumpliendo los presentan los métodos tratados en este
controles y políticas de seguridad artículo.
previstos anteriormente.
Tabla 1. Pros/Contras
Métodos PROS CONTRAS
/
-Crea la cultura del riesgo y su manejo en -Existe resistencia a su aplicación, ya sea
una organización. por ignorancia, arrogancia o miedo.
-Expresa en mejores términos las pérdidas -Es un proceso que requiere gran cantidad
al ocurrir un evento desfavorable. de tiempo y de información disponible.
-Proceso costoso.
Metodología cuantitativa Metodología cuantitativa
-Las valoraciones son objetivas. -No es práctico realizar valoraciones
-El valor de la información es expresado cuantitativas sin ayuda de herramientas y
Análisis en términos monetarios. bases de conocimiento bien sólidas.
de -El presupuesto destinado a la seguridad -Requieren una cantidad sustancial de
Riesgos del sistema esta basado en análisis información.
confiables y bien sustentados. -No existe un estándar sobre amenazas y
sus frecuencias.
Metodología cualitativa Metodología cualitativa
-No es necesario determinar el valor -Toda valoración es esencialmente
monetario de la información, ni la subjetiva, en procesos y métricas.
frecuencia de las amenazas, ni el costo de -La percepción de valores puede no
las medidas a tomar y del análisis reflejar realmente el actual valor del
costo/beneficio. riesgo.
-Existen en forma abundante y libre. -Arbitrario y subjetivo
(Listas de chequeo técnicas) -Necesitan actualizarse constantemente,
-Fácil de aplicar, resumir y comparar. en el caso que sean listas de chequeo de
Listas de
-Flexibles tipo técnico.
chequeo
-Su análisis es rápido, consiste en -Pueden no tratar necesidades de un
(Check-
verificar si existe o no existe un control sistema particular.
list)
que es aplicable al sistema en análisis.
-Se pueden aplicar medidas correctivas
de inmediato.
-Propicia el mejoramiento de -Aptitud negativa de los encargados de las
procedimientos en el sistema. partes auditadas.
-Reduce errores organizacionales -Requiere tiempo y esfuerzo.
Auditori
-Promueve la aplicación de las políticas y -Requiere tener pistas de auditoria
a
estándares de seguridad.
-Descubre nuevas amenazas al sistema.
(Retroalimenta el análisis de riesgos)
2
3. ANALISIS DE RIESGOS recurso/amenazas y tratamiento del
riesgo.
El proceso de identificar, analizar y
valorar, mitigar o transferir el riesgo 3.1.1 Planeación del análisis de
es generalmente caracterizado como riesgos
manejo del riesgo [KRAU-99]. Hay
una serie de preguntas que se hacen Si el sistema a evaluar es muy
en este proceso: complejo y la organización es muy
grande, es conveniente para el
1.¿Que podría ocurrir? (amenaza) analista de seguridad elaborar un
2.¿Sí ocurre, cuánto daño podría análisis de riesgos por subsistemas, lo
causar? (impacto) que facilitará también la presentación
3.¿Qué tan a menudo podría ocurrir? y comprensión de informes por parte
4.¿Qué tan ciertas son las respuestas a de los directivos de la empresa. Los
las anteriores preguntas? siguientes ítem corresponden la parte
preliminar de el análisis de riesgos:
Una vez respondidas acertadamente
las anteriores preguntas, se responden a)La dirección del análisis: con el
ahora las siguientes: objeto de influenciar el estilo de
análisis y la información de salida del
1.¿Qué puede ser hecho? (mitigación proceso de valoración del riesgo. Se
del riesgo) identifica el proceso de valoración del
2.¿Cuál es el costo de la medida? riesgo, tipo de salida requerida y
(anual) necesidades críticas.
3.¿Es la medida efectiva? (análisis b)El alcance: se determina el alcance
costo/beneficio) del análisis. Cuales recursos del
sistema requiere o no el análisis de
El manejo de riesgos compara el riesgos. Cuales agentes de amenazas
costo de implementar medidas de no serán considerados, etc.
seguridad contra los costos generados c)Los límites: se define en términos
al ocurrir un evento desfavorable en de límites físicos y lógicos. El límite
el sistema que afecte directa o físico indica donde termina el sistema
indirectamente la prestación de y comienza el sistema; indica las
servicios. características de todas las interfaces
con otros sistemas. El límite lógico
3.1 ETAPAS DEL ANALISIS DE define la amplitud y profundidad del
RIESGOS análisis.
d)Descripción del sistema:
El análisis de riesgos busca requerimientos (o misión) del sistema,
cuantificar el impacto de las concepto de operación, e
amenazas potenciales sobre un identificación de la naturaleza de los
sistema, comprende cuatro subetapas: recursos del sistema. Está descripción
planeación del análisis de riesgos, provee las bases para posteriores
identificación de amenazas y análisis y es prerrequisito para iniciar
vulnerabilidades, valoración del la valoración de riesgos.
impacto y frecuencia de escenarios e)Objeto del riesgo y certeza
requerida: el objeto ayudará a
3
determinar si el riesgo está en los Vulnerabilidades de datos:
límites aceptables. La certeza define inadecuados controles de acceso a
el nivel de acierto para la valoración personal no autorizado
del riesgo, este factor determina el
nivel de esfuerzo en el análisis. Vulnerabilidades administrativas:
ausencia de políticas de seguridad,
3.1.2 Identificación de amenazas y ausencia de cultura de seguridad,
vulnerabilidades ausencia de procedimientos, falta
de educación y entrenamiento en
Las amenazas en el sistema provienen seguridad
del personal encargado, personal
externo, daño en equipos, caída de Vulnerabilidades de
enlaces, etc. Al momento se tiene la comunicaciones: inadecuados
información como lo muestra la controles de acceso a la red,
siguiente tabla. inadecuados mecanismos para
prevenir fallas en comunicaciones
4
que pueden llevar a su realización. Se recomendaciones de seguridad
forman escenarios recurso/ amenaza/ iniciales que se pueden poner en
vulnerabilidades como lo indica la práctica de inmediato, por lo general
tabla 3. implican bajos costos, como respaldo
a estos controles se implanta las
Algunas debilidades observadas en el correspondientes políticas de
sistema, dan píe a una serie de seguridad.
5
Tabla 4. Recurso/Amenaza/Impactos
6
estrategias planteadas en [HIGU- evaluación por desconocerse la
94]: aceptar, transferir, eliminar, forma de llevarlo a cabo, requiere un
reducir. tratamiento de más investigación y/o
consenso con el staff del sistema. Por
A los anteriores se agrega la lo general en este tipo de casos la
estrategia “evaluar”, en la cual los fecha queda por definir.
controles quedan en un estado de
RECURSO: XXX
AMENAZA ESTRATEGIAS COSTO
Estrategia 1
Amenaza n Estrategia ...
Estrategia n
la información de seguridad obtenida Las estrategias aquí asignadas deben
anteriormente. Se plantean cuestiones ser valoradas en términos económicos
como: ¿de qué forma puedo reducir para realizar un análisis
vulnerabilidades y por ende reducir el costo/beneficio, no se pueden
nivel de vulnerabilidad?, ¿qué plantear soluciones que excedan el
mecanismos aunque no reducen el valor del impacto para determinado
nivel de vulnerabilidad reducen el riesgo.
impacto?, puede un mecanismo
determinado eliminar completamente 4. OTROS METODOS DE
la amenaza, etc. EVALUACION DE SEGURIDAD
7
4.1 AUDITORIA adecuados, los logs pueden ayudar a
detectar violaciones de seguridad,
La auditoria examina si el sistema problemas de desempeño, etc. Los
esta cumpliendo con los logs son usados como soporte para las
requerimientos de seguridad operaciones requeridas del sistema
incluyendo políticas de la y/o medio para asegurar políticas.
organización y del sistema. Dentro de
las técnicas a emplear incluye Como soporte para operaciones, los
investigación, observación y pruebas. logs son usados para ayudar a los
Una auditoria puede variar administradores del sistema que no
ampliamente en alcance, examinar un han sufrido daño por hackers,
sistema entero para el proceso de intrusos o problemas técnicos. Los
reacreditación o puede investigar un logs deberían registrar como mínimo
solo evento malicioso. los siguientes eventos:
8
acceso en línea a logs debería estar -Detección de intrusos: los logs
estrictamente controlado, sólo visible deben diseñarse e implementarse con
al personal de administración que lo la información apropiada que asista
requiera para propósitos de revisión. en la detección de intrusos. Las
intrusiones pueden detectarse en
b)Revisión: los logs requieren ser tiempo real o después de ocurrido el
revisados ya sea ante la ocurrencia de evento. Los equipos y sistemas
un incidente de seguridad, críticos para el sistema podrían tener
automáticamente en tiempo real implementado logs como
(monitoreo) o por una evaluación de herramientas en línea para monitorear
seguridad planeada. Los constantemente su estado, teniendo en
administradores del sistema cuenta no afecte el desempeño del
determinarán la longitud de los logs sistema.
que será mantenido. Para el sistema el
establecimiento de logs ayudará en 4.2 CHECKLIST
los aspectos de control de acceso,
reconstrucción de eventos y detección La lista de chequeo es considerada
de intrusos. como una herramienta de auditoria, es
uno de los métodos de evaluación
-Control de acceso: los logs trabajan más viejos ampliamente usados, en
en conjunto con los controles de seguridad informática consiste en
acceso lógico, las cuales restringen el revisar si existen controles
uso de los recursos del sistema. El administrativos, operativos y técnicos,
acceso se concede teniendo en cuenta este proceso no evalúa la efectividad
lo que el usuario del sistema necesite de los controles implantados. Además
para realizar sus labores. Los logs se identifica que se cumplan los
sirven para analizar las acciones que principios de seguridad generalmente
los usuarios autorizados realizan, aceptados (GSSPs).
siempre que las cuentas y passwords
de acceso no sean genéricos. Controles administrativos: estos
controles hacen referencia a la
-Reconstrucción de eventos: la recolección de documentos como:
operación del sistema no se escapa de políticas y normatividad general
la ocurrencia de problemas, estos referente a la seguridad del sistema.
pueden ser resueltos fácilmente con la [NIST1]
revisión de logs para hacer
seguimiento a las últimas operaciones Controles operativos: estos controles
realizadas y detectar como, cuando y hacen referencia a los procedimientos
porque se originó el problema. El que sirven para asegurar los
análisis de los logs ayuda a distinguir requerimientos de seguridad.
si los errores fueron inducidos por los Ejemplo: planes de contingencia,
operadores o por errores del software. manejo de incidentes, realización de
Adicionalmente, sí un problema backups etc.
técnico ocurre (por ejemplo daño de
archivos) los logs pueden ayudar en el Controles técnicos: estos controles
proceso de recuperación. hacen referencia a cualquier
dispositivo de hardware o software
que aseguran el cumplimiento de los
requerimientos de seguridad.
9
Ejemplo: control de acceso y Conoce los usuarios y personal
autorización, firewalls, mecanismos adecuado las políticas?
de auditoria de eventos, etc.
Controles Operacionales
A continuación se amplia cada uno de Análisis de riesgos
los controles enfocados a un sistema Separación de deberes
de redes: Identificación del personal clave
Conocimiento y entrenamiento de
Controles Administrativos personal
Existe una política especifica del Efectiva administración de
sistema para el manejo de usuarios
seguridad Registro de intrusos
Existen políticas para el manejo Planes de contingencia
de redes, sistemas operativos, Controles de acceso físico
aplicaciones, etc. Seguridad física contra incendios
Existen políticas para el manejo
de Internet Controles Técnicos
Tipo de información que Identificación y autenticación
puede ser transmitida Manejo de llaves
Tipos de sistemas que pueden Control de acceso lógico
ser conectados a la red Protección a puertos
Uso de firewalls y gateways Firewalls, gateways seguros
seguros Autenticación basada en hots
Requerimientos para Auditoria
autenticación de usuarios Detección de intrusos
Existen políticas para el manejo Reconstrucción de eventos
de otras redes externas Logs, revisión
Existe un ente encargado de dar Criptografía
solución a incidentes de seguridad Firmas electrónicas
Las funciones de seguridad están Certificados
integradas en las funciones del
personal Dependiendo del sistema en análisis
se establece los seis o más relevantes
Donde existan políticas los siguientes controles que se identificaran con
tópicos son evaluados: letras mayúsculas. Los controles
Define el objetivo? pueden tomar uno de cinco posibles
Esta respaldada por los estados: implantado (I), en proceso de
directivos? ser implantado (P), control no
Define procedimientos, son existente (N), se desconoce su
claros y entendibles? estado/por verificar (V) ó no aplica
Indica la información, software y (X). Por ejemplo si el recurso1 es un
hardware a emplear? servidor y el control A es “Backups
Designa personal responsable? de configuración y datos de equipos”
Dicta las penalidades y acciones el siguiente cuadro indica que si se
disciplinarias? encuentra en funcionamiento dicho
Los procedimientos son control.
actualizados periódicamente?
10
Tabla 8. Estado de los controles técnicos
11
[ORTI-99] John Carlos Ortíz, Los recursos de un sistema pueden
“Metodología para evaluación de ser de naturaleza tangible o
seguridad en sistemas distribuidos”, intangible, su valor depende de su
Tesis de Postgrado en Ingeniería de naturaleza. Los recursos tangibles
Sistemas y Computación, Universidad incluyen hardware, documentación, y
de los Andes, 1999. presupuesto que soportan el
almacenamiento, procesamiento y
[SANT-99] Santos Luz Marina, entrega de la información, su valor
“Metodologia para la implantación típicamente se da en el costo de
de seguridad en aplicaciones reemplazarlos. El valor de los
distribuidas”. Tesis de Postgrado en recursos intangibles como por
Ingeniería de Sistemas y ejemplo la información, puede darse
Computación, Universidad de los en el costo y tiempo de recuperación
Andes. de la misma, o en el valor de la
confidencialidad, integridad y
7. AUTORA disponibilidad de la información
Luz Marina Santos Jaimes (ISSA-published GIV reference).
Ingeniera de Sistemas
Magíster en Ingeniería y Sistemas y Impacto (i) es el daño potencial sobre
Computación, Univ. de los Andes un sistema cuando una amenaza se
Ocupación actual: Docente de tiempo presenta. Este daño puede ser
completo Universidad de Pamplona expresado en términos cuantitativos o
Area de interés: seguridad cualitativos.
computacional, internet, sistemas
distribuidos y trabajo cooperativo. La frecuencia de ocurrencia (f)
Correo: determina las veces que una amenaza
lsantos@unipamplona.edu.co puede ocurrir en un periodo de
teléfono: 5685303 Ext. 141 tiempo. La frecuencia se da en
5681672 número de ocurrencias por año.
12