@ivanwalkesmc

El significado de la vida no es la seguridad, las grandes oportunidades estn en los riesgos.

Shirley Hufstedler
Secretaria de Educacin de Estados Unidos

Por: Ivn Walkes

- Riesgos en una Empresa segn su tipo - Amenazas en una Empresa segn su tipo - Ejemplos de riesgos - Ejemplos de amenazas - Diferencias entre Riesgo y Amenaza

Toda amenaza pierde mucho de su peligro cuando se han descubierto sus causas.
Konrad Lorenz
uno de los padres de la etologa

 Activos: Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Vulnerabilidad: Definida como la potencialidad o posibilidad de ocurrencia de materializacin de una amenaza sobre un activo. Es una propiedad de la relacin entre un Activo y una Amenaza.

 Amenaza: Las amenazas son agentes capaces de explotar los fallos de seguridad que denominamos puntos dbiles y, como consecuencia de ello, causar prdidas o daos a los activos de una empresa, afectando sus negocios. Riesgo: El riesgo es la probabilidad de que las amenazas exploten los puntos dbiles, causando prdidas o daos a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la informacin.

 Impacto: Medir las consecuencias de una amenaza. Mecanismo de Salvaguarda: Procedimientos o dispositivos, fsicos o lgicos,", que reducen el riesgo. Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: Interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de cualquier sistema.

 Existen dos tipos de riesgos que pueden presentarse en una empresa, los cuales son:
riesgos menores riesgos mayores.

Los riesgos menores podemos definirlos, como aquellos que no son susceptibles de afectar significativamente las operaciones de la organizacin, las consecuencias que realicen pueden ser financiadas por esta misma; los riesgos mayores, son aquellos que pudiendo materializarse con una probabilidad considerable, pueden traducirse en la paralizacin de la empresa o en una grave crisis financiera.

 Riesgos Mayor
Beneficio Personal Sndrome de Robin Hood
(El empleado se siente explotado y poco a poco va robando informacin valiosa para la empresa y regalndosela a los competidores menores que tiene la misma).

Odio a la Organizacin Equivocacin de ego Deshonestidad del departamento El empleado tiene una mentalidad turbada Problemas financieros de algn individuo Fcil modo de desfalco
(El empleado roba o se apropia de los activos de gran valor sin que nadie se d cuenta en la organizacin).

Riesgos Menores
Incendios en la empresa. Beneficio de la organizacin.

 Los activos estn constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la informacin. Estas amenazas siempre existirn y estn relacionadas a causas que representan riesgos.

 Las mismas se podrn dividir en tres grandes grupos: Amenazas naturales

Condiciones de la naturaleza y la intemperie que podrn causar daos a los activos, tales como fuego, inundacin, terremotos.

Intencionales
Son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de informacin, entre otras.

Involuntarias
Son amenazas resultantes de acciones inconscientes de usuarios, por virus electrnicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.

Entre las principales amenazas, la ocurrencia de virus, la divulgacin de contraseas y la accin de hackers estn entre las ms frecuentes.

 Acceso no autorizado

Cuando los desarrolladores de Software acceden sin autorizacin al sistema.

Perdida de Manuales

En una empresa que se necesite la actualizacin de un sistema.

Personal mediocre

Cuando en el equipo de desarrollo se encuentra una persona que desconoce los mtodos de desarrollo de software.
Diseo inadecuado

En el proceso de desarrollo los diseadores no escatiman el tiempo necesario para la creacin del diseo por la rapidez de complementar la planeacin.

 La diferencia que hay entre amenaza y riesgo es la siguiente:

La amenaza es aquello que puede ocurrir, siempre est presente y que tiene como fin ocasionar algn tipo de dao. El riesgo es la medida de la posibilidad de que pueda ocurrir algo problemtico, como por ejemplo, que una amenaza suceda.

-Concepto -Importancia -Beneficios -Frmula Clculo de Riesgos Siempre me ro de la gente que dice que nunca han conocido a un analista rico. Me encanta, es una afirmacin tan arrogante y carente de sentido. Yo utilic el anlisis durante 9 aos y me hice rico.
Marty Schwartz
hizo su fortuna en el comercio de acciones, por anlisis tcnico.

 El anlisis de riesgo es una metodologa que se encarga de estudiar, evaluar, medir y prevenir las posibilidades de que haya una causa para las posibles amenazas o eventos no deseados que pueden ocurrir en un entorno de informtica y de informacin o, para abarcarlo todo, en una organizacin empresarial en la cual se manipule informacin tanto por medios informticos como por medios no informticos. Y se menciona todo ya que todo lo que est relacionado con la manipulacin de algn tipo de informacin en una organizacin est expuesto a tener riesgos, amenazas y daos.

 Identificar, medir y prevenir los riesgos que representa una instalacin industrial para los bienes de la empresa. Deducir los posibles accidentes graves que pudieran producirse. Determinar las consecuencias en el espacio y el tiempo de los accidentes, aplicando determinados criterios de vulnerabilidad. Analizar las causas de dichos accidentes y proponer soluciones. Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en la empresa. Definir medidas y procedimientos de prevencin y proteccin para evitar la ocurrencia y/o limitar las consecuencias de los accidentes.

 Pues es importante el tener suposiciones de lo que pueda ocurrir con aquello que est relacionado con la informacin, en algunas ocasiones dichas suposiciones se pueden volver realidad. Hay un refrn muy bueno para estos casos que dice:
Es mejor prevenir antes que lamentar. Qu se trata de prevenir? Se trata de prevenir las amenazas. Por medio de qu se previenen las amenazas? Con el anlisis de riesgo. Qu puede ser lamentable? Los daos que ha causado una suposicin que se ha vuelto real.

 Frmula:

RT (Riesgo Total) = Probabilidad x Impacto Promedio.

 Identifica, analiza y documenta de manera participativa las posibles amenazas naturales y socio naturales (inundaciones, incendios forestales, deslizamientos y otras), articulando el conocimiento tcnico-cientfico Especifica caractersticas de las amenazas en cuanto a duracin, intensidad y probabilidad de ocurrencia y pone un valor numrico a la amenaza. Hace el estudio sobre la capacidad de sistema o de un elemento expuesto (donde la persona es el centro de atencin) para hacer enfrentar, eludir o neutralizar los efectos de determinados eventos naturales o generados por los humanos. Cuantificar la vulnerabilidad y darle un valor para lo cual se obtiene un promedio de los valores de exposicin, fragilidad y resiliencia (capacidad que se posee para ser frente a las adversidades). Es una herramienta que permite disear y evaluar alternativas de accin con la finalidad de mejorar la toma de decisiones para priorizar las inversiones en el nivel local y nacional.

- Explicacin de cada etapa - Reacciones luego del anlisis Ahora que estoy viejo se que las etapas eran los pasos que me permitan llegar aqu, mejor que no me salte ninguno.
Annimo

 El proceso de anlisis de riesgo consiste en ocho pasos interrelacionados:

Identificacin y evaluacin de activo Identificar las amenazas correspondientes Identificar las vulnerabilidades Determinar el impacto de la ocurrencia de una amenaza Determinar los controles en el lugar Determinar los riesgos residuales (Conclusiones) Identificar los controles adicionales (Recomendaciones) Preparar el informe del anlisis de riesgo.

 Controlar el riesgo.
Fortalecer los controles existentes y/o agregar nuevos controles.

Eliminar el riesgo.
Eliminar el activo relacionado y con ello se elimina el riesgo.

Compartir el riesgo.
Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.

Aceptar el riesgo.
Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta.

- Tipo de metodologa Todo mtodo consiste en el orden y disposicin de aquellas cosas hacia las cuales es preciso dirigir la agudeza de la mente para descubrir alguna verdad.
Descartes
considerado el padre de la filosofa moderna

 Existen metodologas ampliamente reconocidas de manera internacional y de uso generalizado. Entre algunas podemos mencionar:
MAGERIT MECI EBIOS CRAMM OCTAVE

 MAGERIT
Es un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin, y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. Elaborada por un equipo interdisciplinar del Comit Tcnico SSITAD, del Consejo Superior de Informtica.

OBJETIVOS Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de interrumpirlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.

 MAGERIT PERMITE
Estudiar los riesgos que soporta un sistema de informacin y el entorno asociado a l. Realiza de un anlisis de los riesgos; seala los riesgos existentes, las amenazas que acechan al sistema de informacin, y determina la vulnerabilidad del sistema. Los resultados del anlisis permiten a la gestin de riesgos recomendar las medidas apropiadas que deberan adoptarse para prevenir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad.

Etapa1: Planificacin Actividades: I. Oportunidad de realizacin II. Definicin y diseo de los Objetivos III. Planificacin del proyecto IV. Lanzamiento del proyecto

Objetivos, estrategias, polticas de seguridad

Planificacin y otras fases de Gestin de la Seguridad de los S.I.

I. II.

III.

IV.

V.

Etapa2: Anlisis de Riesgos Actividades: Recogida de Informacin Identificacin y agrupacin de activos Identificacin y evaluacin de Amenazas Identificacin y estimacin de Vulnerabilidades Identificacin y valoracin de impactos

Etapa3: Gestin de Riesgos Actividades: I. Interpretacin del Riesgo II. Identificacin y estimacin de las Funciones Salvaguarda III. Seleccin de Funciones de Salvaguarda IV. Cumplimiento de objetivos

Etapa4: Seleccin de Salvaguardas Actividades: I. Identificacin de mecanismos de Seguridad II. Seleccin de mecanismos de Salvaguarda III. Especificacin de mecanismos a implantar IV. Planificacin de la implantacin V. Integracin de resultados

 Matriz de Calificacin, Evaluacin y Respuesta a los Riesgos

- Concepto - Control contra riegos - Clasificacin de Controles Evitad las menudas superfluidades, porque por una rendija puede naufragar un navo.
Benjamin Franklin
Poltico, cientfico e inventor estadounidense.

 El control es una etapa primordial en la administracin de seguridad, pues, aunque una empresa cuente con magnficos planes, una estructura organizacional adecuada y una direccin eficiente, el encargado de seguridad no podr verificar cul es la situacin real de la organizacin a nivel de seguridad si no existe un mecanismo que se cerciore e informe si los hechos van de acuerdo con los objetivos que se esperan. El concepto de control es muy general y puede ser utilizado en el contexto organizacional, no solo en seguridad, para evaluar el desempeo general frente a un plan estratgico.

 Arquitecturas inseguras
Una red o de programacin mal configurada o mal diseada es un punto de entrada principal para usuarios no autorizados. Al dejar una red local abierta, confiable, vulnerable a la Internet que es altamente insegura, equivale a dejar una puerta abierta en un vecindario con alta criminalidad puede que no ocurra nada durante un cierto tiempo, pero eventualmente alguien intentar aprovecharse de la oportunidad. Es un riesgo.

 Redes de difusin
Los administradores de sistemas a menudo fallan al darse cuenta de la importancia del hardware de la red en sus esquemas de seguridad. El hardware simple, tal como concentradores y enrutadores a menudo se basan en broadcast o en el principio de sin interruptores; esto es, cada vez que un nodo transmite datos a travs de la red a otro nodo recipiente, el concentrador o enrutador hace una difusin de los paquetes de datos hasta que el nodo recipiente recibe y procesa los datos. Este mtodo es el ms vulnerable para hacer engaos de direcciones spoofing al protocolo de resolucin de direcciones arp o control de acceso a la media MAC tanto por intrusos externos como por usuarios no autorizados. Es un riesgo.

 Servidores centralizados
Otro riego de redes y sistemas es el uso de computacin centralizada. Una forma comn de reducir costos para muchos negocios, es el de consolidar todos los servicios a una sola mquina poderosa. Esto puede ser conveniente porque es fcil de manejar y cuesta considerablemente menos que una configuracin de mltiples servidores.
Sin embargo, un servidor centralizado introduce un punto nico de falla en la red. Si el servidor central est comprometido, puede dejar la red totalmente intil o peor an, sensible a la manipulacin o robo de datos. En estas situaciones un servidor central se convierte en una puerta abierta, permitiendo el acceso a la red completa.

 Controles fsicos
El control fsico es la implementacin de medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial. Ejemplos de los controles fsicos son: Cmaras de circuito cerrado Sistemas de alarmas trmicos o de movimiento Guardias de seguridad Identificacin con fotos Puertas de acero con seguros especiales Biomtrica (incluye huellas digitales, voz, rostro, iris, escritura a mano y otros mtodos automatizados utilizados para reconocer individuos)

 Controles tcnicos
Los controles tcnicos utilizan la tecnologa como una base para controlar el acceso y uso de datos confidenciales a travs de una estructura fsica y sobre la red. Los controles tcnicos son mucho ms extensos en su mbito e incluyen tecnologas tales como: Encriptacin Tarjetas inteligentes Autenticacin a nivel de la red Listas de control de acceso (ACLs) Software de auditora de integridad de archivos

 Controles administrativos
Los controles administrativos definen los factores humanos de la seguridad. Incluye todos los niveles del personal dentro de la organizacin y determina cules usuarios tienen acceso a qu recursos e informacin usando medios tales como: Entrenamiento y conocimiento Planes de recuperacin y preparacin para desastres Estrategias de seleccin de personal y separacin Registro y contabilidad de personas.

 No hay riesgos en preguntar algo!!!