Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Riesgos IT
Índice
1. Introducción a la Gestión de Riesgos IT .......................................................... 1
Abstract............................................................................................................... 2
2. Introducción ..................................................................................................... 3
4.1 Process for Attack Simulation and Threat Analysis (PASTA). ...................... 9
8.1 Estándares.................................................................................................. 22
10. Bibliografía.................................................................................................. 27
Introducción a la gestión de riesgos IT
Objetivos de la Clase
El propósito de esta clase es proporcionar al alumno unas definiciones formales del
concepto de amenaza, vulnerabilidad y ataque. Es esencial diferenciar estos tres
términos para poder aplicar controles de seguridad de manera efectiva.
Conocimientos Previos
No se requieren conocimientos previos sobre técnicas de análisis y modelado de
amenazas. No obstante, es importante que se tenga conocimiento de los marcos y
principios generales de la gestión del riesgo para encontrar similitudes y/o encaje
con los mismos.
Abstract
A medida que los sistemas de información se arraigan más en la sociedad, las
amenazas de seguridad asociadas a ellos cobran una mayor relevancia. Esto
provoca que, entre otras cosas, la ciberseguridad cobre un papel cada vez más
relevante en las organizaciones.
2. Introducción
El uso de las Tecnologías de la Información (IT en inglés) en las últimas décadas
se ha multiplicado exponencialmente. Su utilización es completamente masiva por
parte de los ciudadanos, las administraciones y las compañías.
Big Data. Todos los datos que genera la actividad en internet producen 2.5
quintillones de bytes al día. Algunos opinan que el Big Data será el petróleo del
futuro y generará millones de euros a las compañías y los estados que sepan sacar
partido a los datos. Ya en 2013 las revelaciones de Edward Snowden pusieron de
manifiesto las capacidades y el interés de las agencias de inteligencia por tener
acceso a todos los datos y comunicaciones que circulan por la red.
Internet de las Cosas (IoT). Los dispositivos estarán conectados cada vez más a la
red: televisores, coches, relojes, gafas, electrodomésticos, etc. Sirva como ejemplo
de falla de seguridad que este año Siemens descubrió cómo unos cibercriminales
usaban los frigoríficos conectados a la red para realizar envíos masivos de correos
electrónicos. Pensando en otro nivel más peligroso, un ataque terrorista realizado
sobre una infraestructura crítica como la red eléctrica o la de abastecimiento de
Una amenaza a menudo se asocia a una fuente de amenaza que, de acuerdo con
el NIST, se corresponde con:
Para una página web que procesa datos de tarjetas de crédito Internet representa
un entorno de amenazas, ya que está potencialmente expuesto a diferentes
amenazas que caracterizan ese entorno.
Por otro lado, las vulnerabilidades son debilidades en los controles de seguridad de
los sistemas de información que estas amenazas podrían tratar de explotar.
Por último, deben relacionarse cada una de las amenazas identificadas con los
componentes funcionales del sistema previamente analizados.
Dominio
Amenaza Definición
Seguridad
Spoofing Autenticidad Un atacante intenta ser algo o alguien que no es.
Un atacante intenta modificar los datos que
Tampering Integridad
intercambia entre su aplicación y un usuario legítimo.
Un atacante o actor puede realizar una acción con su
Repudiation No repudio
aplicación que no es atribuible.
Information Un atacante puede leer los datos privados que su
Confidencialidad
disclosure aplicación está transmitiendo o almacenando.
Por último, debe calcularse el riesgo que implican las vulnerabilidades y debilidades
teniendo en cuenta su exposición a amenazas potenciales.
un conjunto de técnicas, que representan muchas de las acciones que los atacantes
podrían realizar para lograr el objetivo.
Una vez analizados los riesgos, es necesario gestionarlos para reducir el impacto
a niveles aceptables siguiendo una estrategia de gestión de riesgos que esté
alineada con los objetivos de negocio y los objetivos de mitigación de riesgos
definidos en la fase I.
Debido a este contexto tan cambiante, los controles de seguridad no son estáticos.
Esto implica que el control que se establece para proteger un sistema en un
momento determinado es posible que no sea eficaz en el futuro. Una de las
maneras más comunes y satisfactorias de verificar que los controles de seguridad
aplicados siguen siendo eficaces es mediante ejercicios de auditoría técnica.
Una vez realizado el análisis, se debe redactar un documento que reporte los
resultados obtenidos, así como las medidas preventivas y/o de refuerzo que deben
aplicarse para mejorar y garantizar un nivel aceptable de seguridad en los sistemas.
El proceso de auditoría técnica está formado por varias fases, que abarcan desde
enumeración de las redes, sistemas en la red y sistemas operativos de los nodos,
hasta el establecimiento de una serie de medidas de corrección y de
recomendaciones sobre su implantación.
En otros casos, pueden solicitarse este tipo de actividades para asegurar que la
empresa cumple con una regulación determinada. Este puede ser el caso, por
ejemplo, del estándar PCI DSS (Estándar de Seguridad de Datos para la Industria
de Tarjeta de Pago).
Por otro lado, una prueba de penetración pretende verificar la seguridad de los
sistemas aplicando un enfoque más práctico. Realiza un análisis de
vulnerabilidades, que consiste en determinar todos los sistemas y aplicaciones
Este ejercicio es muy similar y puede formar parte de las actividades que se realizan
en las fases V y VI de la metodología PASTA, presentada anteriormente en el
capítulo 2.
En función del estándar o la guía de buenas prácticas que se utilice, las fases de
una prueba de penetración pueden variar levemente. Algunas de las fases más
comunes en la realización de este tipo de ejercicios suelen ser:
Estas fases para la realización de una prueba de penetración han sido obtenidas
del PTES (Penetration Testing Execution Standard). Este documento es una guía
aceptada a nivel mundial e implementada por algunas de las compañías líderes en
el sector de la ciberseguridad. A continuación, se presenta el enlace a través del
cual se puede acceder a sus contenidos:
http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
Sin embargo, existen otros estándares que también han sido aceptados
internacionalmente por muchas organizaciones, como, por ejemplo, el Open
Source Security Testing Methodology Manual (OSSTMM) que puede encontrarse
en el siguiente enlace:
https://www.isecom.org/OSSTMM.3.pdf.
Una de las técnicas que suele utilizarse para la realización de este proceso es lo
que se conoce como OSINT (Open Source Intelligence). Las técnicas OSINT
comienzan por la recolección de información de fuentes abiertas de forma que,
Como hemos visto, para gestionar los riesgos existen múltiples estándares o
normas creadas por distintos estados u organizaciones. Veamos cuáles son las
más utilizadas en general.
8.1 Estándares
Podemos destacar los siguientes estándares normativos:
8.2 Metodologías
Los países y organizaciones han desarrollado varias metodologías según sus
intereses. Sin embargo, todas tienen varios puntos en común:
MAGERIT
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
(MAGERIT) es de las metodologías más conocidas en España para el análisis de
riesgos IT.
Activos
Amenaza
s
Valor
Degradación
Impact
o
Probabilidad
Riesgo
OCTAVE
Su objetivo principal es el riesgo organizacional y pone el foco en lo relativo a la
estrategia, desmitificando la falsa creencia de que la seguridad informática es
solamente un asunto técnico. El método se enfoca en tres fases: la identificación
de la información a nivel gerencial, la de nivel operacional y la del usuario final.
NIST SP 800-30
En Estados Unidos, mediante la metodología NIST SP 800-300, el Instituto
Nacional de Estándares y Tecnología (NIST) marca los patrones.
CRAMM
En Reino Unido la Agencia Central de Cómputo y Telecomunicaciones (CCTA)
desarrolla la metodología que utiliza mayoritariamente la administración británica.
MEHARI
La principal metodología en Francia es MEHARI. Fue desarrollada en su primera
versión en 1995 por la CLUSIF (Club de la Sécurité de l`Information Français)
conforme a la ISO / IEC 27005. Esta organización también ha desarrollado varias
CORAS
En 2001 la Unión Europea desarrolló el proyecto CORAS a través de un grupo de
investigación noruego llamado SINTEF, formado por organizaciones públicas y
privadas. Utiliza una metodología basada en la elaboración de modelos.
Por último, como consecuencia del cambio tecnológico acelerado en el que todas
las organizaciones se encuentran inmersas, los controles de seguridad que se
aplican no son estáticos. Una de las maneras más eficaces de asegurar que el
desempeño de los controles de seguridad implementados sigue siendo adecuado
es mediante la realización de un ejercicio de auditoría práctica o pentesting.
10. Bibliografía
Las siguientes tres referencias bibliográficas permiten ampliar el conocimiento
expuesto a lo largo de esta lección:
• Threat Modeling: Designing for Security. Adam Shostack, 2014.
• OSSTMM 3: The Open Source Security Testing Methodology Manual. Pete Herzog,
2010
• Penetration Testing: A Hands-On Introduction to Hacking. Georgia Weidman, 2014.
• MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información. - Edita: © Ministerio de Hacienda y Administraciones
Públicas, octubre 2012.- NIPO: 630-12-171-8
• R. Johnson and M. Merkow, Eds., Security Policies and Implementation Issues 2010.
• Caralli, J. Stevens, L. Young and W. Wilson, Eds., Introducing OCTAVE Allegro:
Improving the Information Security Risk Assessment Process. 2007
• CLUSIF, Ed., MEHARI. 2010.
• Herramienta de Evaluación de Seguridad de Microsoft (MSAT). Available:
https://technet.microsoft.com/es-es/library/cc185712.aspx.
• Barco and J. Mañas, Eds., GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC- 470D) -
MANUAL DE USUARIO PILAR Versión 5.1. 2011.
Repositorios