Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4. Identificación de Riesgos
1. Procedimiento de análisis de riesgos
explotar
Amenaza Vulnerabilidades
au
m
en t ar exponer
proteger contra
ta en
r um
a
reducir
Activos de
Controles * Riesgos
información
ar
au
c
di
m
se cumple n tener
en
i
ta
Protecciones r Valor del
Requeridas activo
Confidencialidad de la información
La información de la organización nunca debería ser accesible
a los usuarios sin la autorización correspondiente.
Planear H-V-A
Determinación Gestión de Riesgos
del alcance de
Seguridad Evaluación de Riesgos
de la
información Análisis de Riesgos
Desarrollo del
Creación de la Valoración de Evaluación de Tratamiento
política
método sis-
temático de la activos de la amenazas y
Evaluación de de
Aceptación de
riesgos
P H
riesgos riesgos
evaluación de
información vulnerabilidades V A
riesgos
Procedimiento Reporte de
Lista de Tabla de
de evaluación Evaluación de
activos análisis de
de riesgos riesgos
riesgos
¿Por qué es necesario hacer un Análisis de
Riesgos?
•Confidencialidad
•Integridad
•Disponibilidad
2.1 ¿Qué son los Activos de Información?
Un activo es algo que tiene valor para la organización y por lo tanto tiene que
protegerse. Los activos incluyen toda la información y soporte que la organización
requiera para conducir el negocio.
Ejemplos de activos de información
TIPO DE ACTIVO EJEMPLOS
•Servicio critico
•Nombre del activo de información.
•Tipo de activo
•Intención del uso
•Usuario y Administrador.
•Medios de almacenamientos (ej. discos duros, documentos en papel).
•Ubicación lógica y física (ej. Servidor ss3t-fsdinafi-01 en el salón de servidores).
•Valoración del impacto en términos de la pérdida de confidencialidad,
integridad y disponibilidad
Estimación de vulnerabilidades
3.1 Amenazas y Vulnerabilidades
Fallo de
Robo de dispositivos de hardware
hardware
Infección de virus
Acceso no
autorizado
desde la
internet
Errores de operación
Interrumpir
o entrar
Acceso no autorizado
para la internet
Significado y Probabilidad de las
Amenazas (Cuándo y Cómo)
¿Cuándo ocurren las amenazas?
Tipos de amenazas • En autenticación
• En transferencia de datos
Amenazas ambientales • En procesos de mantenimiento
Terremotos, inundación, huracanes, ¿Cuáles son las oportunidades para
tormentas que ocurran las amenazas?
•Todos los días
•Una vez a la semana
Amenazas humanas •Una vez al mes
•Intencionales / amenazas deliberadas
•Una vez al año
Alteración de datos o robo, destrucción
de datos, robo de hardware, accesos no
autorizados, intervenciones. La probabilidad depende de las características
del sistema
No intencionales / amenazas • ¿Cómo es valorado el ataque en el sistema?
accidentales • ¿Tiene la red muchos puntos de entrada?
Errores de operación, errores de
(ej.: WAN, modem, internet)
diseño, errores de software o
• Tipos de usuarios (ej.: con o sin limitantes)
programación, errores de usuarios,
tropezar con cables eléctricos, fallas de
• Ubicación de los sistemas
hardware
Probables Fuentes de Amenazas (Quién)
¿Cuáles son las fuentes de amenaza para los sistemas de información?
Externos e intencionales
Hackers – accesando a servidores y robando información personal.
Crackers – destruyendo los sistemas.
Lugar de las Amenazas (Dónde)
¿Dónde ocurren las amenazas?
¿De dónde vienen las amenazas?
•Dinero, beneficio
•Ventajas competitivas
•Queja, venganza
•Curiosidad
•Travesura
•Llamar la atención
•Ignorancia
3.1.2 Identificación de Vulnerabilidades
Ejemplos:
Políticasde seguridad no están implementadas
Los roles y responsabilidades no son precisas
Organización
El entrenamiento de seguridad a los empleados es inadecuado
La entrada a los edificios no es revisada adecuadamente
Edificio
Dentro de la oficina
Sistema
Red
Amenazas y Vulnerabilidades Ambientales
Amenazas Vulnerabilidades
Falla del •No se tiene UPS o planta eléctrica para cuando se interrumpe el suministro de
suministro energía eléctrica.
•No se tiene un plan de continuidad del negocio o procedimientos
eléctrico que protejan la información y los activos de información
•Los respaldos de expedientes y sistemas no están disponibles
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (1/4)
Amenazas Vulnerabilidades
Código malicioso •No se tiene software anti-virus
(virus, gusanos, •El software anti-virus no se actualiza regularmente.
caballos troyanos) •Falta de entrenamiento al personal de apoyo en virus de software
•Descargas y usos de software de internet no controladas.
•Carencia de políticas respecto a la apertura de correos con
archivos adjuntados.
•Carencia de políticas en el uso de disquete, cds, usb memory sin
ser escaneadas con un software de antivirus previamente.
Ataque de •Carencia de firewall
denegación de •Carencia de un sistema de detección y prevención de intrusos
servicio/ataque de •Los sistemas operativos no se actualizan regularmente con los
distribución de parches de seguridad.
denegación de
servicio/ataque de
tope de memoria
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (2/4)
Amenazas Vulnerabilidades
Escucha a •Comunicaciones sin encriptar
escondidas/interven •Carencia de seguridad física sobre la comunicación de la data.
ir la red •Uso compartido de Ethernet: todo el tráfico es transmitido a
cualquier máquina en un mismo segmento.
Acceso no • Carencia de logs de auditoria para detectar accesos no
autorizado a través autorizados
de la red • Carencia de autenticación de usuarios
• Carencia de un sistema de detección y prevención de intrusos
• Carencia de firewalls
• Políticas inadecuadas de firewalls
• Los sistemas operativos no se actualizan regularmente con los
parches de seguridad.
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (3/4)
Amenazas Vulnerabilidades
Accesos no •Carencia de seguridad física (sin vigilantes, sin llaves)
autorizados •Carencia de accesos lógicos de seguridad (número de
(intrusión en los identificación, contraseñas)
edificios)
Alteración/destrucci •Carencia de seguridad física (sin vigilantes, sin llaves)
ón maliciosa por •Carencia de accesos lógicos de seguridad (número de
personal con acceso identificación, contraseñas)
a información •Carencia de gestión del control de cambios.
confidencial •Derechos de acceso incorrectos
Repudiación •Carencia de pruebas de envío o recibo de mensajes
•Carencia de uso de firmas digitales
Envío fraudulento •Carencia de mecanismos de identificación y autenticación
de correo, usando •Tablas de contraseñas sin protección
un nombre o una •Carencia de identificación del remitente y del destinatario
dirección falsa
(spoofing)
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (4/4)
Amenazas Vulnerabilidades
Robo •Carencia de seguridad física (sin vigilantes, sin llaves)
•Carencia de accesos lógicos de seguridad (número de
identificación, contraseñas)
•Carencia de controles de administración de hardware y software
•Copiado de datos y software no controlados
•Carencia de rastros de auditorias
Ingeniería social • Carencia de políticas que regulen la entrega de información por
teléfono.
• Carencia de políticas que requieran que toda petición de
información pueda ser suspendida has taque la identidad del
solicitante pueda ser verificada.
Ingeniería Social
Atacante Usuario
Amenazas y Vulnerabilidades No
Intencionales o Accidentales (1/3)
Amenazas Vulnerabilidades
Errores de usuario o •Carencia de conciencia de los usuarios
del Personal de •Insuficiente entrenamiento de seguridad
operaciones. •Carencia de documentación (ej. guía de usuarios)
•Interface de usuarios complicada
•Carencia de control de cambios en las configuraciones.
Errores de • Procedimientos inadecuados en el del ciclo de vida de desarrollo
programación de de sistemas.
software • Especificaciones confusas o incompletas
• Carencia de un control eficiente y efectivo de los cambios en las
configuración.
• Personal no cualificado / no capacitado.
Amenazas y Vulnerabilidades No
Intencionales o Accidentales(2/3)
Amenazas Vulnerabilidades
Fallas de hardware •Falta de entrenamiento a los usuarios.
•Mantenimiento inapropiado del hardware.
•Carencia de procedimiento o recursos para hacer respaldos.
•No se tienen planes o procedimientos de continuidad del negocio
Fallas en los •Carencia de redundancia y respaldos
servicios de •Diseño y administración inadecuada de redes
comunicación •Manejo inadecuado de incidentes
Amenazas y Vulnerabilidades No
Intencionales o Accidentales (3/3)
Amenazas Vulnerabilidades
Falla de operaciones • Obligaciones no claras en los contratos de servicios en
ejecutadas mediante outsourcing.
outsourcing • No se tiene procedimientos o plan de continuidad del negocio
que cubran a la información y los activos de información
Pérdida o ausencia •No se tiene reemplazo del personal clave.
de personal clave •Procedimientos no documentados
3.2 Estimación de las Amenazas
Ejemplos, experiencias
Frecuencia
Atractividad
Motivación
Capacidades
Recursos
3.3 Estimación de las Vulnerabilidades
Identificación de Riesgos
Evaluación de Evaluación de Riesgos
amenazas y
vulnerabilidades
Tabla de Reporte de
análisis de Tratamiento de riesgos evaluación
riesgos de riesgos
Aceptación de Riesgos
4.1 Evaluación de Riesgos
Nivel de Bajo Medio Alto Bajo Medio Alto Bajo Medio Alto
Vulnerabilidades (1) (2) (3) (1) (2) (3) (1) (2) (3)
Valoración Bajo
1 2 3 2 4 6 3 6 9
del Impacto (1)
en términos
Medio
de la 2 4 6 4 8 12 6 12 18
pérdida de (2)
(CID) en los Alto
activos 3 6 9 6 12 18 9 18 27
(3)
Alto
Transferir el
Retener el riesgo riesgo
(Nivel aceptable)
Técnicas de detección:
Técnicas para descubrir acciones ilegales o intentos ilegales
de acceso (ej. Análisis de logs de accesos, uso de herramientas
de monitoreo)
Técnicas de recuperación:
Técnicas para minimizar los daños y restaurar la
Confidencialidad, Integridad y Disponibilidad de los activos
(ej. respaldos de los sistemas y las bases de datos) .
Tipos de Controles de Seguridad
Operacionales
Los controles de seguridad operacionales se clasifican en 3 tipos:
Prevención:
Introducir y mantener políticas de seguridad
Entrenamiento periódico en seguridad (Ej: 1 vez al año)
Realizar auditorias de seguridad periódicamente.
Recopilar información de vulnerabilidades nuevas y aplicar los parches
cuando sea necesario
Detección:
Monitorear la red y las transacciones de los sistemas para detectar cualquier
incidente de seguridad
Analizar los logs.
Recuperación (respuesta a incidentes):
Personas quienes violan las políticas de seguridad son penalizadas
Restaurar datos/sistemas destruidos, basado en un plan de continuidad del
negocio pre determinado.
Controles Basados en las Mejores Prácticas
de ventas
Encripción
por internet y firma digital
Equipo de
Oficina Principal mantenimiento
Cliente
Red pública
Nivel de Vulnerabilidades Bajo Medio Alto Bajo Medio Alto Bajo Medio Alto
(V) (1) (2) (3) (1) (2) (3) (1) (2) (3)
Bajo
Valoración del (1) 1 2 3 2 4 6 3 6 9
Impacto en
términos de la Medio
(2) 2 4 6 4 8 12 6 12 18
perdida de
(CID) en los Alto
Activos (3) 3 6 9 6 12 18 9 18 27
Consideración de la Aceptación del Riesgo
• Riesgo (actual y residual) = Valor del activo de la Información (CID) x Amenaza x Vulnerabilidad.
• El nivel aceptable del riesgo es 8.
4.3 Documentos de Seg. De la Inform.
Especificaciones de cómo la
política y los estándares
serán implementados en el
Procedimientos ambiente actual.
y
Lineamientos Específicos
de Seguridad de la Información
Estándares y Procedimientos (Caso 1)
Estándares
Estándares Las contraseñas deben
Reglas y regulaciones generales. de ser fáciles de
recordar,
pero no deben ser fáciles
de adivinar por una
tercera persona.
Procedimientos
Procedimientos
Reglas y regulaciones acorde a Procedimientos
(Para admtres.)
(Para usuarios)
departamentos, y descripción del Las contraseñas Las contraseñas
deben ser como
trabajo (detalles específicos de deben ser como
mínimo de 14
mínimo de 8
cada estándar son descritos en caracteres de caracteres de
largo.
documentos diferentes). largo.
Estándares y Procedimientos (Caso 2)
Caso 2 Ejemplos
Estándares
Estándares Las contraseñas deben
de ser fáciles de recordar… para
Reglas y regulaciones comunes usuarios en general las contraseñas
para todos los usuarios en la deben ser como mínimo de 8
caracteres de largo, para
organización. administradores las contraseñas deben
ser como mínimo de 14 caracteres de
largo.
Procedimientos Procedimiento
Detalles específicos de cada estándar De acuerdo con el formulario del
(manuales como información de los sistema XYZ enviado por el usuario,
procedimientos de administración de el administrador podrá crear una
cuenta y le asigna una nueva
contraseñas, configuración de contraseña. El administrador es
Firewalls, etc.). responsable de …