1.2.

2 Activo
Cada organizacin tiene activos y recursos valiosos. La identificacin de activos es el proceso por Medio del cual una compaa intenta valuar la informacin y sus sistemas

Recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de

usuario,

Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo

y utilitarios.

Activos fsicos:
mdems)

equipamiento informtico (procesadores, monitores, computadoras porttiles,

Servicios: servicios informticos y de comunicaciones, utilitarios generales, por ej., Calefaccin, iluminacin, energa elctrica, aire acondicionado.

Recursos humanos.

1.2.3 Vulnerabilidades
El modelo STRIDE de Microsoft proporciona una estructura para identificar las amenazas y los posibles puntos dbiles:

La suplantacin de identidades es la capacidad de obtener y usar la informacin de

autenticacin de otro usuario. Un ejemplo de suplantacin de identidad es la utilizacin del nombre y la contrasea de otro usuario

La alteracin de datos implica su modificacin. Un ejemplo sera alterar el contenido del

cookie de un cliente

El repudio es la capacidad de negar que algo ha ocurrido. La divulgacin de informacin implica la exposicin de informacin ante usuarios que se
Supone que no deben disponer de ella

Los ataques de denegacin de servicio privan a los usuarios del servicio normal. Un
ejemplo de denegacin de servicio consistira en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP. La elevacin de privilegios es el proceso que siguen los intrusos para realizar una funcin que no tienen derecho a efectuar

1.3.1 RIESGO Y CONTROL

El anlisis de riesgos implica determinar lo siguiente: Qu necesita proteger: Evaluacin de los activos y su importancia De quin debe protegerlo: Evaluacin de amenazas y vulnerabilidades Cmo protegerlo: Evaluacin de contramedidas

Entre los factores que tenemos que considerar para realizar una correcta evaluacin del riesgo, encontramos:
El riesgo de prdida del recurso, que depender de las amenazas a las que est expuesto, las
contra medidas implementadas para protegerlo y sus vulnerabilidades asociadas. Es un arte que depende del conocimiento y experiencia del evaluador.

La importancia que representa el recurso para la empresa, evaluada segn cada tipo, de
acuerdo a los siguientes factores:

Disponibilidad: es la medida de qu tan importante es tener el recurso disponible todo el

tiempo.

Integridad: es la medida de cun importante es que el recurso o los datos del mismo sean
consistentes. Esto es de particular trascendencia para los recursos de bases de datos.

Confidencialidad: es la medida de cun importante es que los recursos slo sean observados
por las personas autorizadas.

1.3.2 Evaluacin del riesgo de un recurso

Las tcnicas de evaluacin de riesgos pueden aplicarse a toda la organizacin, o slo a partes de la misma, Necesitaremos determinar los siguientes factores: Estimacin del riesgo de prdida del recurso (Ri) Estimacin de la importancia del recurso (Wi)

Para realizar la cuantificacin del riesgo de perder un recurso, podremos asignarle un valor numrico. Por ejemplo, al riesgo (Ri) de perder un recurso se le asigna un valor de cero a diez, donde cero indica que no hay riesgo y diez es el riesgo ms alto.

1.3.3 Objetivos de la Gestin de Riesgo

La gestin del riesgo o Information Risk Management, no es otra cosa que el proceso de identificar, analizar, determinar y tratar el riesgo. Dicho proceso se encuentra principalmente compuesto por dos fases claramente definidas, siendo estas las mencionadas a continuacin:

1. Anlisis de Riesgos (Risk Assessment): Comprende la Identificacin de

vulnerabilidades y amenazas, el anlisis de probabilidad de ocurrencia e impacto y el anlisis de las medidas para aceptar, evitar o transferir el riesgo. 2. Tratamiento de Riesgos: Comprende las tareas de priorizacin, presupuestado, Implementacin y mantenimiento de medidas seleccionadas para la mitigacin de riesgos. Si bien no todos los riesgos a los que se enfrenta una organizacin se encuentran relacionados con la computacin, cuando la gestin de riesgos se centra en seguridad de la informacin, es posible observar entre otros los siguientes riesgos que es necesario direccionar: Dao Fsico: Fuego, agua, vandalismo, perdida de energa y desastres naturales. Acciones Humanas: Accin intencional o accidental que pueda atentar contra la productividad. Fallas del Equipamiento: Fallas del sistema o dispositivos perifricos. Ataques Internos o Externos: Hacking, Cracking y/o cualquier tipo de ataque. Prdida de Datos: Divulgacin de secretos comerciales, fraude, espionaje y robo. Errores en las Aplicaciones: Errores de computacin, errores de entrada, buffers overflows

1.3.4 Preguntas a responder

Muchas veces resulta ms sencillo comprender el verdadero alcance de los procesos relacionados con la Gestin del Riesgo, viendo alguno de los componentes intervinientes en el proceso, como una serie de interrogantes que requieren de respuesta: Que puede pasar? (Amenaza) Si Pasa, qu tan malo puede ser? (Impacto de la amenaza) Qu tan seguido puede pasar? (Frecuencia de la amenaza) Qu tan seguro estoy de las respuestas anteriores? (Falta de Certeza, Incertidumbre) Qu puedo hacer? (Mitigar el riesgo) Cuanto me costar? (Siempre calculado en forma anualizado) Dicho costo es efectivo? (Relacin costo beneficio!)

1.3.5 El equipo de Gestin de Riesgo

la Poltica de Seguridad de la Informacin y con la Estrategia de la Organizacin contemple entre otros los siguientes puntos: Objetivos Definicin de niveles aceptables de riesgo Procesos de anlisis y tratamiento de riesgos Metodologas

 Definicin de roles y responsabilidades Indicadores claves para el monitoreo de los controles implementados para la mitigacin del riesgo

1.3.6 Tipos de Anlisis de Riesgo

El anlisis de riesgo de tipo Cuantitativo, intenta asignar valores reales y
objetivos a cada componente de la evaluacin de riesgos y a cada potencial perdida. el anlisis del tipo Cualitativo utiliza elementos soft de la organizacin (opinin, mejores prcticas, intuicin, experiencia, etc.) para ponderar el riesgo y sus componentes

1.3.7 Tratamiento de Riesgo

Tratamiento de Riesgos, que como mencionramos anteriormente, incluye las tareas de priorizacin, presupuestado, implementacin y mantenimiento de los controles seleccionados a efectos de mitigar el riesgo.

1.4.1 CONCEPTOS 1.4.2 Exposicin

Solemos referirnos bajo el termino Exposicin, a la instancia en la cua l la informacin o un activo de informacin, es susceptible a daarse o perderse por el accionar de un agente de amenaza.

1.4.3 Contramedidas
Formalmente, el trmino Contramedida o Salvaguarda es utilizado para referirnos a cualquier tipo de medida que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especfica.

1.4.4 Hacker, Cracker y Script Kiddies los Hacker es alguien que penetra sistemas con el nico fin de obtener un beneficio
econmico o por simple malicia. Los Crackers forman pequeos grupos, secretos y privados, se adentran en el terreno de lo ilegal, que tienen muy poco que ver con la cultura abierta que se describe en el mundo Hacker. Todos los Hackers tienen
Script kiddie es un trmino despectivo utilizado para describir a aquellos que utilizan programas y scripts desarrollados por otros para atacar sistemas de computadoras y redes.

1.4.5 Black Hat, Grey Hat y White Hat

Black Hat, es el trmino con el que se llama a aquellos quienes comprometen la
seguridad de un sistema, sin el permiso de su propietario, usualmente con la intencin de lograr acceso no autorizado a las computadoras de la red. el termino White Hat, suele ser utilizado para aquellas personas quienes se encuentran ticamente opuestas al abuso de redes y sistemas. los White Hat utilizan sus conocimientos con el objeto de proteger los sistemas de informacin, ya sea actuando como oficiales de seguridad, o reportando vulnerabilidades a los vendors Grey Hat, es el trmino que la comunidad utiliza para referirse a un Hacker que poseyendo el skill suficiente, algunas veces acta legalmente (Tal como un White Hat) y otras no.

1.4.6 Lamer y Wannabe Lamer es Lo utilizan para hacer referencia a aquella persona que se aprovecha de los
recursos que ofrece la comunidad underground sin aportar nada a cambio. el trmino wannabes, para designar a aquellos que podrn llegar a ser un Hacker, pero que an le falta conocimiento para serlo.

1.4.7 Breve resumen histrico

1878: Menos de dos aos despus de que el sistema telefnico de Alexander Graham Bell empezara a funcionar, un grupo de adolescentes ech abajo la red. 1958: EE.UU. crea ARPA ( Advanced Re search Projects Agency ), ciencia y tecnologa aplicada al campo militar. 1960: Los Hackers originales utilizaron los primeros mainframes del MIT para desarrollar habilidades y explorar el potencial de la informtica. En esa poca, Hacker era un trmino elogioso para los usuarios con un conocimiento exponencial de los ordenadores. 1969: La agencia de proyectos de investigacin avanzados del Departamento de Defensa (DoD), construy Arpanet. 1971: Antes del uso masivo de los ordena dores y de Internet, los phreakers utilizaron la extensa base de redes telefnicas. John Draper (Cap'n Crunch), descubri que un simple silbato permita a los usuarios entrar en los sistemas de facturacin de las llamadas a larga distancia. 1973: Kahn desarrolla un nuevo protocolo, el TCP/IP (Transmisin Control Protocol/ Internet Protocol). 1976: Dos miembros del Homebrew Com puter Club lanzaron las llamadas blue box, que se utilizaban para Hacker sistemas telefnicos. La pareja (Steve Jobs y Steve Wozniak) con seguiran hacerse famosos despus al fundar Apple Computer. 1983: Primer arresto de Hackers por el FBI despus de que invadieran el centro de investigacin de Los Alamos. Se estrena la pelcula Juegos de guerra , que cambi la percepcin del pblico con relacin a los Hackers y estableci su prestigio. 1984: Se funda la publicacin trimestral 2600 (nombrada como la frecuencia del silbato de John Draper), que ofreca una plataforma a los Hackers y phreakers para expresar sus conocimientos y habilidades. Se forma Legion of Doom (LoD). 1987: Herbert Zinn, de 17 aos de edad, es arrestado despus de entrar en el sistema de AT&T. Los expertos afirman que estuvo a punto de bloquear todo el sistema telefnico norte americano. Se crea el primer virus conocido de MS-DoS, Brain. Los investigadores creen que se escribi en Pakistn. Infectaba el sector de arranque de los disquetes de 360 KB. 1988: Robert Morris bloquea 6.000 ordenadores a travs de ARPANET con su famoso virus, que lanz, segn sus propias palabras, de forma accidental. Se funda la CERT ( Computer Emergency Response Team). Aparece el primer software antivirus, escrito por un desarrollador de Indonesia. 1989: Primer caso de ciberespionaje en Alemania Occidental. The Mentor lanza el manifiesto

Conscience of a Hacker , que finaliza con una frase inquietante: pueden detener a una persona, pero no pueden detenernos a todos. 1990: Se lanza el grupo de apoyo Freedom on the Internet . Aparecen sofisticados tipos de virus como los polimrficos (que se modifican a s mismos cuando se expanden) o los de multiparticin (que infectan diversas zonas de una mquina). El First National Citibank de Chicago sufre el primer robo informtico reconocido por una cantidad de 70 millones de dlares. El Hacker Dark Dante, Kevin Lee Poulsen, es arrestado despus de una bsqueda de 17 meses. Robaba secretos militares. Mitnick y