Академический Документы
Профессиональный Документы
Культура Документы
FACULTAD DE INGENIERA
CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS E INFORMTICA
I AMENAZAS Y VULNERABILIDAD DE LA
INFORMACION4
1.OBJETIVOS
..7
2.-CLASIFICACION DE
AMENAZAS.8
Pgina
1
3.-TIPOS DE
VULNERABILIDAD.13
II ANALISI DE
RIESGOS
22
1.-ANALISIS DE
RIESGOS.22
1.1 TEMINOLOGIA
BASICA..32
ACTIVOS
..33
RIESGOS
33
ACEPTACION DEL RIESGO
..34
ANALISIS DE RIESGO
..34
MANEJO DE
RIESGO34
EVALUACION DE
RIESGO.34
IMPACTO
.35
PERDIDA
SEPARADA35
VULNERABILIDAD
.35
AMENAZA
..35
RIESGO
RESIDUAL.35
CONTROLES
..36
Pgina
2
INTRODUCCION:
Los riesgos de seguridad de informacin deben ser considerados en el contexto del negocio, y las
interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, produccin,
operaciones, administracin, TI, finanzas, etctera y los clientes deben ser identificados para lograr una
imagen global y completa de estos riesgos.
Cada organizacin tiene una misin. En esta era digital, las organizaciones que utilizan sistemas
tecnolgicos para automatizar sus procesos o informacin deben de ser conscientes de que la
administracin del riesgo informtico juega un rol crtico.
La meta principal de la administracin del riesgo informtico debera ser proteger a la organizacin y
su habilidad de manejar su misin no solamente la proteccin de los elementos informticos. Adems,
el proceso no solo debe de ser tratado como una funcin tcnica generada por los expertos en
tecnologa que operan y administran los sistemas, sino como una funcin esencial de administracin
por parte de toda la organizacin.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes
rasgos que la administracin de riesgos es el proceso de identificacin, evaluacin y toma de decisiones
para reducir el riesgo a un nivel aceptable.
El anlisis de riesgo informtico es un elemento que forma parte del programa de gestin de
continuidad de negocio (Business Continuity Management)
En el anlisis de riesgo informtico es necesario identificar si existen controles que ayudan a minimizar
la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad
ser de riesgo no controlado.
Dentro de la evaluacin del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en
caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y
evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando
pesos) de forma cualitativa (matriz de riesgos)
Criminalidad: son todas las acciones, causado por la intervencin humana, que violan la ley y
que estn penadas por esta. Con criminalidad poltica se entiende todas las acciones dirigido desde el
gobierno hacia la sociedad civil.
Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino tambin eventos
indirectamente causados por la intervencin humana.
Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por
parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas
menos predecibles porque estn directamente relacionado con el comportamiento humano.
Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y por eso es la tarea de la
gestin de riesgo de preverlas, implementar medidas de proteccin para evitar o minimizar los daos en
caso de que se realice una amenaza.
Para mostrar algunas de las amenazas ms preocupantes, consultamos dos estadsticas, el primer grafo
sale de la Encuesta sobre Seguridad y Crimen de Computacin 2008 del Instituto de Seguridad de
Computacin (CSI por sus siglas en ingls) que base en 433 respuestas de diferentes entidades privadas
y estatales en los EE.UU
Pgina
4
El segundo tiene su origen en una encuesta que se hizo en el ao 2007, con 34 organizaciones
sociales a nivel centroamericano
Ambos grafos, muestran el porcentaje de todos los encuestados que sufrieron ese tipo de ataque.
Como se observa, existen algunas similitudes respecto a las amenazas ms preocupantes
Acceso non-autorizado
VULNERABILIDAD
La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo (incluyendo la
entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algn dao. En
otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o
de recuperarse de un dao [4].
Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no existe una amenaza,
tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un dao.
1.- OBJETIVOS
La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o
infraestructura informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos
lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo
necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo
de los trabajadores y de la organizacin en general y como principal contribuyente al uso de programas
realizados por programadores.
La seguridad informtica est concebida para proteger los activos informticos, entre los que se
encuentran los siguientes:
Pgina
6
Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones
y que gestionan la informacin. Debe protegerse el sistema en general para que el uso por parte de
ellos no pueda poner en entredicho la seguridad de la informacin y tampoco que la informacin
que manejan o almacenan sea vulnerable.
amenaza. La actualizacin de parches de los sistemas operativos y aplicaciones permite evitar este
tipo de amenazas.
Intrusos: personas que consiguen acceder a los datos o programas a los cuales no estn
autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
Un siniestro (robo, incendio, inundacin): una mala manipulacin o una mala intencin derivan
a la prdida del material o de los archivos.
Ingeniera Social:
Existen diferentes tipos de ataques en Internet como virus, troyanos u otros, dichos ataques pueden ser
contrarrestados o eliminados pero hay un tipo de ataque, que no afecta directamente a los ordenadores,
sino a sus usuarios, conocidos como el eslabn ms dbil. Dicho ataque es capaz de almacenar
conseguir resultados similares a un ataque a travs de la red, saltndose toda la infraestructura creada
para combatir programas maliciosos. Adems, es un ataque ms eficiente, debido a que es ms
complejo de calcular y prever. Se pueden utilizar infinidad de influencias psicolgicas para lograr que
los ataques a un servidor sean lo ms sencillo posible, ya que el usuario estara inconscientemente
dando autorizacin para que dicha induccin se vea finiquitada hasta el punto de accesos de
administrador.
Tipos de amenaza:
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir ms de una
clasificacin. Por ejemplo, un caso de phishing puede llegar a robar la contrasea de un usuario de
una red social y con ella realizar una suplantacin de la identidad para un posterior acoso, o el robo de
la contrasea puede usarse simplemente para cambiar lafoto del perfil y dejarlo todo en una broma (sin
que deje de ser delito en ambos casos, al menos en pases con legislacin para el caso, como lo
es Espaa).
Pgina
8
Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por
varias razones como son:
Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener
informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer
qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es
que el administrador de la red puede prevenir una buena parte de los ataques externos.
Pgina
10
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la
tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen
en ese medio, etc.
De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.
Incluso de todos ellos, el activo mas crtico son los datos. El resto se puede reponer con facilidad y los
datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de seguridad y
sea capaz de reponerlos en el estado mas prximo al momento en que se produjo la prdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que
conllevara de prdida de tiempo y dinero.
Vulnerabilidad: definicin y clasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema
informtico.
Pgina
12
Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficientes e inexistentes.
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
Vulnerabilidad del da cero
Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solucin
conocida, pero se sabe como explotarla.
Vulnerabilidades conocidas
Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un
momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en
zonas de memoria adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.
Vulnerabilidad de condicin de carrera (race condition).
Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo
de vulnerabilidad. Es el caso tpico de una variable, que cambia su estado y puede obtener de
esta forma un valor no esperado.
La denegacin de servicio hace que un servicio o recurso no est disponible para los usuarios.
Suele provocar la prdida de la conectividad de la red por el consumo del ancho de banda de la
red de la vctima o sobrecarga de los recursos informticos del sistema de la vctima.
Vulnerabilidad de ventanas engaosas (Window Spoofing).
Las ventanas engaosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es
mentira y lo nico que quieren es que el usuario de informacin. Hay otro tipo de ventanas que
si las sigues obtienen datos del ordenador para luego realizar un ataque.
Polticas de seguridad
A partir de este anlisis habr que disear una poltica de seguridad en la que se establezcan las
responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a
producir.
Definimos Poltica de seguridad como un documento sencillo que define las directrices organizativas
en materia de seguridad (Villaln).
La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad que
constituyen las herramientas para la proteccin del sistema. Estos mecanismos normalmente se apoyan
en normativas que cubren reas mas especficas.
Esquemticamente:
Pgina
14
2. Deteccin:
Detectan las desviaciones si se producen, violaciones o intentos de violacin de la seguridad del
sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
3. Recuperacin:
Se aplican cuando se ha detectado una violacin de la seguridad del sistema para recuperar su
normal funcionamiento.
Ejemplo: las copias de seguridad.
Pgina
15
Mecanismos de separacin
Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que
permitan separar los objetos dentro de cada nivel.
Los mecanismos de separacin, en funcin de como separan los objetos, se dividen en los
grupos siguientes: separacin fsica, temporal, lgica, criptogrfica y fragmentacin.
Polticas de seguridad
Pgina
16
El objetivo de la Poltica de Seguridad de Informacin de una organizacin es, por un lado, mostrar el
posicionamiento de la organizacin con relacin a la seguridad, y por otro lado servir de base para
desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser
divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaracin de
intenciones. Lo ms importante para que estas surtan efecto es lograr la concienciacin, entendimiento
y compromiso de todos los involucrados.
Las polticas deben contener claramente las practicas que sern adoptadas por la compaa. Y estas
polticas deben ser revisadas, y si es necesario actualizadas, peridicamente.
Organizacin de la seguridad
Clasificacin y control de los datos
Seguridad de las personas
Seguridad fsica y ambiental
Plan de contingencia
Prevencin y deteccin de virus
Administracin de los computadores
A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que sern la gua para la realizacin de las actividades.
Pgina
17
La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en el
sentido general de la palabra). Por lo tanto, la administracin de la organizacin en cuestin debe
encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan las
reglas a travs de sesiones de capacitacin y de concienciacin.
Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y cubrir las siguientes
reas:
Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa y al
uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realizacin de copias de seguridad planificada adecuadamente
Un plan de recuperacin luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la poltica de seguridad es el documento de referencia que define los
objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos
objetivos.
Pgina
18
II ANALISI DE RIESGOS
1.- ANALISIS DE RIESGOS
Es un proceso sistemtico para estimar la magnitud de los riesgos a que est expuesto una
Organizacin, y que el activo ms importante que esta posee es la informacin, deben existir
tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en
los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la
aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten
acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar
prohibido" y sta debe ser la meta perseguida.Los medios para conseguirlo son:
Pgina
19
-Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y
archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin minuciosa).
-Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento
elegido. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisin entre diferentes puntos.
-Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y
permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseas de accesos a los sistemas de cmputo.
Como se describe en el BS ISO/IEC 27001:2005, la evaluacin del riesgo incluye las siguientes
actividades y acciones:
Identificacin de los requisitos legales y de negocio que son relevantes para la identificacin de
los activos.
Valoracin de los activos identificados, teniendo en cuenta los requisitos legales y de negocio
identificados anteriormente, y el impacto de una prdida de confidencialidad, integridad y
disponibilidad.
Pgina
20
Despus de efectuar el anlisis debemos determinar las acciones a tomar respecto a los riesgos
residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta.
Herramientas
Pgina
21
Existe software comercial que utiliza Nessus como motor para el anlisis. Por ejemplo est Catbird
(www.catbird.com) que usa un portal para la gestin centralizada de las vulnerabilidades, analiza
externamente e internamente la red teniendo en cuenta los accesos inalmbricos. Adems hace
monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las
organizaciones.
En otros sistemas tipo Windows est el MBSA Microsoft Baseline Security Analyzer que permite
verificar la configuracin de seguridad, detectando los posibles problemas de seguridad en el sistema
operativo y los diversos componentes instalados.
Ya hemos hablado de los principales activos o elementos fundamentales del sistema informtico que
son vulnerables y ahora veremos a qu son vulnerables dichos elementos.
Comenzamos definiendo el concepto de amenaza.
Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o no deliberado,
compromete la seguridad de un elemento del sistema informtico.
Cuando a un sistema informtico se le detecta una vulnerabilidad y existe una amenaza asociada a
dicha vulnerabilidad, puede ocurrir que el suceso o evento se produzca y nuestro sistema estar en
riesgo.
Si el evento se produce y el riesgo que era probable ahora es real, el sistema informtico sufrir daos
que habr que valorar cualitativa y cuantitativamente, y esto se llama 'impacto'.
Integrando estos conceptos podemos decir que un evento producido en el sistema informtico que
constituye una amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre l.
Si queremos eliminar las vulnerabilidades del sistema informtico o queremos disminuir el impacto que
puedan producir sobre l, hemos de proteger el sistema mediante una serie de medidas que podemos
llamar defensas o salvaguardas.
ELEMENTOS DE ANALISIS DE RIESGOS
Cuando se pretende disear una tcnica para implementar un anlisis de riesgo informtico se pueden
tomar los siguientes puntos como referencia a seguir:
1. Construir un perfil de las amenazas que est basado en los activos de la organizacin.
Pgina
22
Pgina
23
Tipos de Virus
Los Virus se pueden clasificar en funcin de mltiples caractersticas y criterios: segn su origen, las
tcnicas que utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los
daos que causan, el sistema operativo o la plataforma tecnolgica que atacan, etc.
Virus residentes
La caracterstica principal de estos virus es que se ocultan en la memoria RAM de forma
permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones
llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que
sean ejecutados, abiertos, cerrados, renombrados, copiados, Algunos ejemplos de este tipo de
virus son: Randex, CMJ, Meve, MrKlunky.
informacin esencial sobre las caractersticas del disco y se encuentra un programa que permite
arrancar el ordenador.
Virus de macro
El objetivo de estos virus es la infeccin de los ficheros creados usando determinadas
aplicaciones que contengan macros: documentos de Word (ficheros con extensin DOC), hojas
de clculo de Excel (ficheros con extensin XLS), bases de datos de Access (ficheros con
extensin MDB), presentaciones de PowerPoint (ficheros con extensin PPS), ficheros de Corel
Draw, etc.
Las Macros son micro-programas asociados a un fichero, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por unidad
de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con
ellos.
Virus encriptados
Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos, que a su
vez pueden pertenecer a otras clasificaciones. Estos virus se cifran o encriptan a s mismos para
no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a
s mismo y, cuando ha finalizado, se vuelve a cifrar.
Virus polimrficos
Son virus que en cada infeccin que realizan se cifran o encriptan de una forma distinta
(utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada
cantidad de copias de s mismos e impiden que los antivirus los localicen a travs de la
bsqueda de cadenas o firmas, por lo que suelen ser los virus ms costosos de detectar.
Virus multipartites
Virus muy avanzados, que pueden realizar mltiples infecciones, combinando diferentes
tcnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos,
programas, macros, discos, etc.
Virus de Fichero
Pgina
25
Consideraciones de software
Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener
controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma
ilegal o sin garantas aumenta los riesgos). En todo caso un inventario de software proporciona un
mtodo correcto de asegurar la reinstalacin en caso de desastre.
El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de
contingencia.
Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden
buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros
desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores
infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al
mnimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante
el tiempo inactivo de las mquinas.Controlar y monitorizar el acceso a Internet puede detectar, en fases
de recuperacin, cmo se ha introducido el virus.
Pgina
26
Pgina
27
No se necesita estar expuesto a grandes amenazas informticas para que d un momento a otro
ocurra un desastre
1.1.1
ACTIVOS
Es todo aquello con valor para una organizacin y que necesita proteccin, en
el mbito informtico pueden ser datos, infraestructura, hardware, software, personal,
informacin, servicios.
1.1.2
RIESGOS
1.1.3
1.1.4
ANALISIS DE RIESGO
1.1.5
MANEJO DE RIESGO
1.1.6
EVALUACION DE RIESGO
1.1.7 IMPACTO
Son las prdidas resultantes de la actividad de una amenaza, las prdidas son
normalmente expresadas en una o ms reas de impacto destruccin, denegacin de
servicio, revelacin o modificacin-.
1.1.8 PERDIDA SEPARADA
El impacto anticipado y negativo a los activos debido a una manifestacin de
la amenaza.
1.1.9 VULNERABILIDAD
Una vulnerabilidad informtica es un elemento de un sistema informtico que
puede ser aprovechado por un atacante para violar la seguridad, as mismo pueden
causar daos por s mismos sin tratarse de un ataque intencionado.
Pgina
29
1.1.10 AMENAZA
Una accin o situacin potencial que tiene la posibilidad de causar dao.
1.1.11 RIESGO RESIDUAL
Es el nivel de riesgo que queda despus de la consideracin de todas las
medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. ste
debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.
1.1.12 CONTROLES
Protocolos y mecanismos de proteccin que permiten el cumplimiento de las
polticas de seguridad de la organizacin. Un mismo control puede ser implementado
para una o varias polticas de seguridad, lo que indica que la relacin no es
forzosamente de uno a uno.
ANALISIS CUANTITATIVO
El anlisis cuantitativo es una tcnica de anlisis que busca entender el
comportamiento de las cosas por medio de modelos estadsticos y tcnicas
matemticas para ello se encarga de asignar un valor numrico a las variables, e
intenta replicar la realidad matemticamente.
Un modelo cuantitativo habitual es aquel en el que las consecuencias de la
materializacin de amenazas se asocian a un determinado nivel de impacto en funcin
de la estimacin del coste econmico que suponen para la organizacin
En resumen, el anlisis de riesgo cuantitativo se ocupa especficamente de la revisin
cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias,
determinando numricamente la frecuencia de ocurrencia de una amenaza, el valor
monetario del activo, el impacto econmico y el dao producido.
ANALISIS CUALITATIVO
Las mtricas asociadas con el impacto causado por la materializacin de las
amenazas se valoran en trminos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o
Muy Bajo). Las consecuencias de la materializacin de amenazas se
asocian a un determinado nivel de impacto en funcin de multitud de factores (Prdidas
Pgina
30
Pgina
31
Como en todos los procesos, los pasos de un analisis de riesgos pueden variar pero comparten
enfoques comunes importantes
Identificacin y evaluacin de los activos
El primer paso en la evaluacin de riesgo es identificar y asignar un valor a los activos que
necesitan proteccin.
El valor de los activos es un factor significante en la decisin para realizar cambios
operacionales o para incrementar la proteccin de los activos. El valor del activo se basa en su
costo, sensibilidad, misin crtica, o la combinacin de estas propiedades.
El valor del activo se usar para determinar la magnitud de la prdida cuando la amenaza ocurra.
Identificacin de amenazas
Despus de identificar los activos que requieren proteccin, las amenazas a stos deben
identificarse y examinarse para determinar cul sera la prdida si dichas amenazas se presentan.
Pgina
32
Identificacin de vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las amenazas y las vulnerabilidades.
Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay reas
de alta vulnerabilidad que no tienen consecuencias si no presentan amenazas.
Controles en el lugar
La identificacin de los controles es parte de la recoleccin de datos en cualquier proceso de
anlisis de riesgo. Existen dos tipos principales de controles:
1.- Controles requeridos: Todos los controles de esta categora pueden ser definidos con base en
una o mas reglas escritas. La clasificacin de los datos almacenados y procesados en un sistema o
red y su modo de operacin determinan las reglas a aplicar, y stas indican cules son los
controles requeridos.
2.-Controles discrecionales: Este tipo de controles es elegido por los administradores. En muchos
casos los controles requeridos no reducen el nivel de vulnerabilidad a un nivel aceptable, por lo
que se deben elegir e implementar este tipo de controles para ajustar el nivel de vulnerabilidad a
un nivel aceptable.
Pgina
33
Riesgos residuales
Siempre existir un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es
aceptable o no. El riesgo residual toma la forma de las conclusiones alcanzadas en el proceso de
evaluacin. Las conclusiones deben identificar:
-Las reas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia de la amenaza.
-Todos los controles que no estn dentro del lugar.
El resultado de estos pasos permite comenzar la seleccin necesaria de controles adicionales.
El que Cr sea mayor que Ca significa que el ataque al sistema debe ser mas costoso que el valor
del sistema. Por lo que los beneficios obtenidos al romper las medidas de seguridad no
compensan el costo de desarrollar el ataque.
El que Ca sea mayor que Cs significa que no debe costar mas la informacin que la informacin
protegida. Si esto ocurre, resultara conveniente no proteger el sistema y volver a obtener la
informacin en caso de prdida.
CONCLUCIONES:
En conclusin la amenaza representa el tipo de accin que tiende a ser daina, mientras que
la vulnerabilidad(conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de
exposicin a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las
acciones que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no slo son soluciones tcnicas, sino tambin reflejan la
capacitacin y la toma de conciencia por parte del usuario, adems de reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y
prever el curso de accin del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva
general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cmo funcionan
para conocer la mejor forma de reducir el riesgo de intrusiones.
Pgina
36
REFERENCIAS:
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica#Objetivos
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-laseguridad-informatica?start=3
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap5.html
http://www.ecured.cu/Seguridad_Inform%C3%A1tica
http://www.dian.gov.co/descargas/operador/documentos/2015/CTPAT_Analisis_de_riesgo_abril_2015.
pdf
Pgina
37
https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicasestandares-y-analisis-de-riesgos/
http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
Pgina
38