SEGURIDAD INFORMATICA

RIESGOS INFORMATICOS El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total as como tambin el tratamiento del riesgo, evaluacin del riesgo y gestin del riesgo entre otras. La frmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles podremos obtener el Riesgo Residual. Como se describe en el BS ISO / IEC 27001:2005, la evaluacin del riesgo incluye las siguientes acciones y actividades.

Identificacin de los activos

Identificacin de los requisitos legales y de negocios que son relevantes para la identificacin de los activos

Valoracin de los activos identificados

Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una prdida de confidencialidad, integridad y disponibilidad. Identificacin de las amenazas y vulnerabilidades importantes para los activos identificados.

Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Clculo del riesgo. Evaluacin de los riesgos frente a una escala de riesgo preestablecidos.

Despus de efectuar el anlisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser: Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.

Pgina 1

SEGURIDAD INFORMATICA

Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. Aceptar el riesgo.- Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta.

TIPOS DE RIESGOS INFORMTICOS 1. Sabotaje informtico Comprende todas aquellas conductas dirigidas a causar daos en el hardware o en el software de un sistema. Los mtodos utilizados para causar destrozos en los sistemas informticos se puede diferenciar en dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos fsicos y, por el otro, los mtodos dirigidos a causar daos lgicos. a) Conductas dirigidas a causar daos fsicos Comprende todo tipo de conductas destinadas a la destruccin fsica del hardware y el software de un sistema por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar caf o agentes custicos en los equipos, etc. b) Conductas dirigidas a causar daos lgicos El segundo grupo, se refiere a las conductas que causan destrozos lgicos, o sea, todas aquellas conductas que producen, como resultado, la destruccin, ocultacin, o alteracin de datos contenidos en un sistema informtico. Podemos distinguir: Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo, o por la aparicin de determinada seal, como la presencia de un dato, de un cdigo, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la seal para empezar a actuar. Cncer de rutinas (cancer routine). En esta tcnica los programas destructivos tienen la particularidad de que se reproducen, por s mismos, en otros programas, arbitrariamente escogidos.

Pgina 2

SEGURIDAD INFORMATICA

2. Fraude a travs de computadoras Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin de datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias indebidas. Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la forma de trabajo de un sistema informtico: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realizacin se conoce como manipulacin del input. En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el programa o secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor. Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulacin del output. 3. Copia ilegal de software y espionaje informtico Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un sistema de informacin. Es comn el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del apoderamiento es el mismo programa de computacin (software) que suele tener un importante valor econmico. 4. Uso ilegtimo de sistemas informticos ajenos Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un sistema informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. 5. Delitos informticos contra la privacidad Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas informticos. Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o soportes

Pgina 3

SEGURIDAD INFORMATICA

informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o registro pblico o privado. Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra seal de comunicacin, se piensa que entre lo anterior se encuentra el pinchado de redes informticas. 6. Delitos informticos como instrumento o medio. En esta categora se encuentran las conductas criminales que se valen de las computadoras como mtodo, medio o smbolo en la comisin del ilcito, por ejemplo: - Falsificacin de documentos va computarizada (tarjetas de crdito, cheques, etc.) - Variacin de los activos y pasivos en la situacin contable de las empresas. - Planeamiento y simulacin de delitos convencionales (robo, homicidio, fraude, etc.) - Lectura, sustraccin o copiado de informacin confidencial. - Modificacin de datos tanto en la entrada como en la salida. - Uso no autorizado de programas de computo. - Alteracin en el funcionamiento de los sistemas, a travs de los virus informticos. - Obtencin de informacin residual impresa en papel luego de la ejecucin de trabajos. - Acceso a reas informatizadas en forma no autorizada. 7. Delitos informticos como fin u objetivo. En esta categora, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad fsica, como por ejemplo: - Programacin de instrucciones que producen un bloqueo total al sistema. - Destruccin de programas por cualquier mtodo. - Dao a la memoria. - Atentado fsico contra la mquina o sus accesorios.
Pgina 4

SEGURIDAD INFORMATICA

- Secuestro de soportes magnticos entre los que figure informacin valiosa con fines de chantaje (pago de rescate, etc.). COMO IMPLANTAR UNA POLITICA DE SEGURIDAD Generalmente, la seguridad de los sistemas informticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificacin y control que aseguran que los usuarios de estos recursos slo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez ms complicadas a medida que la red crece. Por consiguiente, la seguridad informtica debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y as puedan utilizar los sistemas de informacin en forma segura. Por esta razn, uno de los primeros pasos que debe dar una compaa es definir una poltica de seguridad que pueda implementar en funcin a las siguientes cuatro etapas: Identificar las necesidades de seguridad y los riesgos informticos que enfrenta la compaa as como sus posibles consecuencias Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organizacin Controlar y detectar las vulnerabilidades del sistema de informacin, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en el sentido general de la palabra). Por lo tanto, la administracin de la organizacin en cuestin debe encargarse de definirla, ya que afecta a todos los usuarios del sistema. En este sentido, no son slo los administradores de informtica los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informtica es el de asegurar que los recursos de informtica y los derechos de acceso a estos recursos coincidan con la poltica de seguridad definida por la organizacin. Es ms, dado que el/la administrador/a es la nica persona que conoce perfectamente el sistema, deber proporcionar informacin acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relacin con los problemas y las recomendaciones de seguridad.

Pgina 5

SEGURIDAD INFORMATICA

La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan las reglas a travs de sesiones de capacitacin y de concientizacin. Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y cubrir las siguientes reas: Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa y al uso de los empleados Un procedimiento para administrar las actualizaciones Una estrategia de realizacin de copias de seguridad (backup) planificada adecuadamente Un plan de recuperacin luego de un incidente Un sistema documentado actualizado

LAS CAUSAS DE INSEGURIDAD Generalmente, la inseguridad se puede dividir en dos categoras: Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dainas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita)

Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan)

Pgina 6