UNIVERSIDAD JOS CARLOS MARITEGUI

FACULTAD DE INGENIERA
CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS E INFORMTICA

AMENAZA Y VULNERABILIDAD DE LA INFORMACION ANALISIS DE RIEZGOS

PRESENTADO POR:
Johann D. Chambilla Flores & Juan C. Cahuana Neyra
CURSO:
SEGURIDAD INFORMATICA
DOCENTE:
ING. LUIS ALBERTO PALOMINO CHURA
MOQUEGUA - PER
Abril del 2016
INDICE:

I AMENAZAS Y VULNERABILIDAD DE LA
INFORMACION4
1.OBJETIVOS
..7
2.-CLASIFICACION DE
AMENAZAS.8
Pgina
1

3.-TIPOS DE
VULNERABILIDAD.13

II ANALISI DE
RIESGOS
22
1.-ANALISIS DE
RIESGOS.22
1.1 TEMINOLOGIA
BASICA..32
ACTIVOS
..33
RIESGOS
33
ACEPTACION DEL RIESGO
..34
ANALISIS DE RIESGO
..34
MANEJO DE
RIESGO34
EVALUACION DE
RIESGO.34
IMPACTO
.35
PERDIDA
SEPARADA35
VULNERABILIDAD
.35
AMENAZA
..35
RIESGO
RESIDUAL.35
CONTROLES
..36

Pgina
2

INTRODUCCION:
Los riesgos de seguridad de informacin deben ser considerados en el contexto del negocio, y las
interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, produccin,
operaciones, administracin, TI, finanzas, etctera y los clientes deben ser identificados para lograr una
imagen global y completa de estos riesgos.
Cada organizacin tiene una misin. En esta era digital, las organizaciones que utilizan sistemas
tecnolgicos para automatizar sus procesos o informacin deben de ser conscientes de que la
administracin del riesgo informtico juega un rol crtico.
La meta principal de la administracin del riesgo informtico debera ser proteger a la organizacin y
su habilidad de manejar su misin no solamente la proteccin de los elementos informticos. Adems,
el proceso no solo debe de ser tratado como una funcin tcnica generada por los expertos en
tecnologa que operan y administran los sistemas, sino como una funcin esencial de administracin
por parte de toda la organizacin.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes
rasgos que la administracin de riesgos es el proceso de identificacin, evaluacin y toma de decisiones
para reducir el riesgo a un nivel aceptable.
El anlisis de riesgo informtico es un elemento que forma parte del programa de gestin de
continuidad de negocio (Business Continuity Management)
En el anlisis de riesgo informtico es necesario identificar si existen controles que ayudan a minimizar
la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad
ser de riesgo no controlado.
Dentro de la evaluacin del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en
caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y
evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando
pesos) de forma cualitativa (matriz de riesgos)

I AMENAZAS Y VULNERABILIDAD DE LA INFORMACION

Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre los elementos de un sistema, en el caso de
Pgina
3

la Seguridad Informtica, los Elementos de Informacin. Debido a que la Seguridad Informtica

tiene como propsitos de garantizar la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e informaciones, las
amenazas y los consecuentes daos que puede causar un evento exitoso, tambin hay que ver en
relacin con la confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de origen externo
como por ejemplo las agresiones tcnicas, naturales o humanos, sino tambin amenazas de
origen interno, como la negligencia del propio personal o las condiciones tcnicas, procesos
operativos internos (Nota: existen conceptos que defienden la opinin que amenazas siempre
tienen carcter externo!)
Generalmente se distingue y divide tres grupos

Criminalidad: son todas las acciones, causado por la intervencin humana, que violan la ley y
que estn penadas por esta. Con criminalidad poltica se entiende todas las acciones dirigido desde el
gobierno hacia la sociedad civil.
Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino tambin eventos
indirectamente causados por la intervencin humana.
Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por
parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas
menos predecibles porque estn directamente relacionado con el comportamiento humano.
Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y por eso es la tarea de la
gestin de riesgo de preverlas, implementar medidas de proteccin para evitar o minimizar los daos en
caso de que se realice una amenaza.
Para mostrar algunas de las amenazas ms preocupantes, consultamos dos estadsticas, el primer grafo
sale de la Encuesta sobre Seguridad y Crimen de Computacin 2008 del Instituto de Seguridad de
Computacin (CSI por sus siglas en ingls) que base en 433 respuestas de diferentes entidades privadas
y estatales en los EE.UU

Pgina
4

El segundo tiene su origen en una encuesta que se hizo en el ao 2007, con 34 organizaciones
sociales a nivel centroamericano

Ambos grafos, muestran el porcentaje de todos los encuestados que sufrieron ese tipo de ataque.
Como se observa, existen algunas similitudes respecto a las amenazas ms preocupantes

Ataques de virus (>50%)

Robo de celulares, porttiles y otros equipos (>40%)

Pero tambin existen otras amenazas que, aunque no aparezcan en ambas encuestas, son muy
alarmantes y que se debe tomar en consideracin
Pgina
5

Falta de respaldo de datos

Perdida de informacin por rotacin, salida de personal

Abuso de conocimientos internos (no consultado en encuesta de organizaciones sociales)

Mal manejo de equipos y programas

Acceso non-autorizado

VULNERABILIDAD
La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo (incluyendo la
entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algn dao. En
otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o
de recuperarse de un dao [4].
Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no existe una amenaza,
tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un dao.

1.- OBJETIVOS
La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o
infraestructura informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos
lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo
necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo
de los trabajadores y de la organizacin en general y como principal contribuyente al uso de programas
realizados por programadores.
La seguridad informtica est concebida para proteger los activos informticos, entre los que se
encuentran los siguientes:

La infraestructura computacional: Es una parte fundamental para el almacenamiento y

gestin de la informacin, as como para el funcionamiento mismo de la organizacin. La funcin
de la seguridad informtica en esta rea es velar que los equipos funcionen adecuadamente y
anticiparse en caso de fallas, robos, incendios,boicot, desastres naturales, fallas en el suministro
elctrico y cualquier otro factor que atente contra la infraestructura informtica.

Pgina
6

Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones
y que gestionan la informacin. Debe protegerse el sistema en general para que el uso por parte de
ellos no pueda poner en entredicho la seguridad de la informacin y tampoco que la informacin
que manejan o almacenan sea vulnerable.

La informacin: sta es el principal activo. Utiliza y reside en la infraestructura computacional

y es utilizada por los usuarios.

2.- CLASIFICACION DE AMENAZAS

No slo las amenazas que surgen de la programacin y el funcionamiento de un dispositivo de
almacenamiento, transmisin o proceso deben ser consideradas, tambin hay otras circunstancias que
deben ser tomadas en cuenta e incluso no informticas. Muchas son a menudo imprevisibles o
inevitables, de modo que las nicas protecciones posibles son las redundancias y la descentralizacin,
por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores
en clster para la disponibilidad.
Las amenazas pueden ser causadas por:

Usuarios: causa del mayor problema ligado a la seguridad de un sistema informtico. En

algunos casos sus acciones causan problemas de seguridad, si bien en la mayora de los casos es
porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.

Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de los

recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador, abriendo una puerta a
intrusos o bien modificando los datos. Estos programas pueden ser un virus informtico, un gusano
informtico, un troyano, una bomba lgica, un programa espa o spyware, en general conocidos
como malware.

Errores de programacin: La mayora de los errores de programacin que se pueden

considerar como una amenaza informtica es por su condicin de poder ser usados
como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en s mismo, una
Pgina
7

amenaza. La actualizacin de parches de los sistemas operativos y aplicaciones permite evitar este
tipo de amenazas.

Intrusos: personas que consiguen acceder a los datos o programas a los cuales no estn
autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).

Un siniestro (robo, incendio, inundacin): una mala manipulacin o una mala intencin derivan
a la prdida del material o de los archivos.

Personal tcnico interno: tcnicos de sistemas, administradores de bases de datos, tcnicos de

desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas,
problemas laborales, despidos, fines lucrativos, espionaje, etc.

Fallos electrnicos o lgicos de los sistemas informticos en general.

Catstrofes naturales: rayos, terremotos, inundaciones, rayos csmicos, etc.

Ingeniera Social:
Existen diferentes tipos de ataques en Internet como virus, troyanos u otros, dichos ataques pueden ser
contrarrestados o eliminados pero hay un tipo de ataque, que no afecta directamente a los ordenadores,
sino a sus usuarios, conocidos como el eslabn ms dbil. Dicho ataque es capaz de almacenar
conseguir resultados similares a un ataque a travs de la red, saltndose toda la infraestructura creada
para combatir programas maliciosos. Adems, es un ataque ms eficiente, debido a que es ms
complejo de calcular y prever. Se pueden utilizar infinidad de influencias psicolgicas para lograr que
los ataques a un servidor sean lo ms sencillo posible, ya que el usuario estara inconscientemente
dando autorizacin para que dicha induccin se vea finiquitada hasta el punto de accesos de
administrador.
Tipos de amenaza:
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir ms de una
clasificacin. Por ejemplo, un caso de phishing puede llegar a robar la contrasea de un usuario de
una red social y con ella realizar una suplantacin de la identidad para un posterior acoso, o el robo de
la contrasea puede usarse simplemente para cambiar lafoto del perfil y dejarlo todo en una broma (sin
que deje de ser delito en ambos casos, al menos en pases con legislacin para el caso, como lo
es Espaa).

Pgina
8

Amenazas por el origen

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante pueda
entrar en ella, y con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. Sin
embargo el hecho de que la red no est conectada a un entorno externo, como Internet, no nos garantiza
la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco
aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la
misma. Basado en el origen del ataque podemos decir que existen dos tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por
varias razones como son:

Si es por usuarios o personal tcnico, conocen la red y saben cmo es su funcionamiento,

ubicacin de la informacin, datos de inters, etc. Adems tienen algn nivel de acceso a la
red por las mismas necesidades de su trabajo, lo que les permite unos mnimos de
movimientos.

Los sistemas de prevencin de intrusos o IPS, y firewalls son mecanismos no efectivos en

amenazas internas por, habitualmente, no estar orientados al trfico interno. Que el ataque
sea interno no tiene que ser exclusivamente por personas ajenas a la red, podra ser por
vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes
inalmbricas desprotegidas, equipos sin vigilancia, etc.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener
informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer
qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es
que el administrador de la red puede prevenir una buena parte de los ataques externos.

Amenazas por el efecto

El tipo de amenazas por el efecto que causan a quien recibe los ataques podra clasificarse en:
Robo de informacin.
Destruccin de informacin.
Anulacin del funcionamiento de los sistemas o efectos que tiendan a ello.
Pgina
9

 Suplantacin de la identidad, publicidad de datos personales o confidenciales, cambio de

informacin, venta de datos personales, etc.
Robo de dinero, estafas,...
Amenazas por el medio utilizado:
Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto para un
mismo tipo de ataque:
Virus informtico: malware que tiene por objeto alterar el normal funcionamiento de
la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en un computadora, aunque tambin
existen otros ms inofensivos, que solo se caracterizan por ser molestos.
Phishing.
Ingeniera social.
Denegacin de servicio.
Spoofing: de DNS, de IP, de DHCP, etc.

Amenaza informtica del futuro:

Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnolgicas ahora las
tendencias cibercriminales indican que la nueva modalidad es manipular los certificados que
contienen la informacin digital. El rea semntica, era reservada para los humanos, se convirti
ahora en el ncleo de los ataques debido a la evolucin de la Web 2.0 y las redes sociales, factores
que llevaron al nacimiento de la generacin 3.0.
Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que pueden
ser comprendidos por las computadoras, las cuales -por medio de tcnicas de inteligencia
artificial- son capaces de emular y mejorar la obtencin de conocimiento, hasta el momento
reservada a las personas.

Pgina
10

 Es decir, se trata de dotar de significado a las pginas Web, y de ah el nombre de Web

semntica o Sociedad del Conocimiento, como evolucin de la ya pasada Sociedad de la
Informacin
En este sentido, las amenazas informticas que viene en el futuro ya no son con la inclusin de
troyanos en los sistemas o softwares espas, sino con el hecho de que los ataques se han
profesionalizado y manipulan el significado del contenido virtual.
La Web 3.0, basada en conceptos como elaborar, compartir y significar, est representando un
desafo para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que
optan por modificar los significados del contenido digital, provocando as la confusin lgica
del usuario y permitiendo de este modo la intrusin en los sistemas, La amenaza ya no solicita
la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance
de la cuenta, asustando al internauta y, a partir de all, s efectuar el robo del capital.
Obtencin de perfiles de los usuarios por medios, en un principio, lcitos: seguimiento de las
bsquedas realizadas, histricos de navegacin, seguimiento con geoposicionamiento de los
mviles, anlisis de las imgenes digitales subidas a Internet, etc.

Para no ser presa de esta nueva ola de ataques ms sutiles, se recomienda:

Mantener las soluciones activadas y actualizadas.
Evitar realizar operaciones comerciales en computadoras de uso pblico o en redes abiertas.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.
DMS en el Data Center
3.- TIPOS DE VULNERABILIDAD
En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que forman
parte del sistema y que podemos agrupar en:
Hardware: elementos fsicos del sistema informtico, tales como procesadores, electrnica y
cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
Software: elementos l gicos o programas que se ejecutan sobre el hardware, tanto si es el
propio sistema operativo como las aplicaciones.
Datos: comprenden la informacin lgica que procesa el software haciendo uso del hardware.
En general sern informaciones estructuradas en bases de datos o paquetes de informacin
que viajan por la red.
Pgina
11

 Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la
tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen
en ese medio, etc.

De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo mas crtico son los datos. El resto se puede reponer con facilidad y los
datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de seguridad y
sea capaz de reponerlos en el estado mas prximo al momento en que se produjo la prdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que
conllevara de prdida de tiempo y dinero.
Vulnerabilidad: definicin y clasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema
informtico.

Pgina
12

Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de:
Diseo
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad deficientes e inexistentes.
Implementacin
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Uso
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
Vulnerabilidad del da cero
Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solucin
conocida, pero se sabe como explotarla.
Vulnerabilidades conocidas
Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un
momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en
zonas de memoria adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de
administrador.
Vulnerabilidad de condicin de carrera (race condition).
Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo
de vulnerabilidad. Es el caso tpico de una variable, que cambia su estado y puede obtener de
esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript o
JavaScript en pginas web vistas por el usuario. El phishing es una aplicacin de esta
vulnerabilidad. En el phishing la vctima cree que est accediendo a una URL (la ve en la barra
de direcciones), pero en realidad est accediendo a otro sitio diferente. Si el usuario introduce
sus credenciales en este sitio se las est enviando al atacante.
Vulnerabilidad de denegacin del servicio.
Pgina
13

La denegacin de servicio hace que un servicio o recurso no est disponible para los usuarios.
Suele provocar la prdida de la conectividad de la red por el consumo del ancho de banda de la
red de la vctima o sobrecarga de los recursos informticos del sistema de la vctima.
Vulnerabilidad de ventanas engaosas (Window Spoofing).
Las ventanas engaosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es
mentira y lo nico que quieren es que el usuario de informacin. Hay otro tipo de ventanas que
si las sigues obtienen datos del ordenador para luego realizar un ataque.

Polticas de seguridad

Cmo podemos proteger el sistema informtico?

Lo primero que hemos de hacer es un anlisis de las posibles amenazas que puede sufrir el sistema
informtico, una estimacin de las prdidas que esas amenazas podran suponer y un estudio de las
probabilidades de que ocurran.

A partir de este anlisis habr que disear una poltica de seguridad en la que se establezcan las
responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a
producir.
Definimos Poltica de seguridad como un documento sencillo que define las directrices organizativas
en materia de seguridad (Villaln).
La poltica de seguridad se implementa mediante una serie de mecanismos de seguridad que
constituyen las herramientas para la proteccin del sistema. Estos mecanismos normalmente se apoyan
en normativas que cubren reas mas especficas.
Esquemticamente:

Pgina
14

Los mecanismos de seguridad se dividen en tres grupos:

1. Prevencin:
Evitan desviaciones respecto a la poltica de seguridad.
Ejemplo: utilizar el cifrado en la transmisin de la informacin evita que un posible atacante
capture (y entienda) informacin en un sistema de red.

2. Deteccin:
Detectan las desviaciones si se producen, violaciones o intentos de violacin de la seguridad del
sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
3. Recuperacin:
Se aplican cuando se ha detectado una violacin de la seguridad del sistema para recuperar su
normal funcionamiento.
Ejemplo: las copias de seguridad.

Pgina
15

Dentro del grupo de mecanismos de prevencin tenemos:

Mecanismos de identificacin e autenticacin

Permiten identificar de forma nica 'entidades' del sistema. El proceso siguiente es la
autenticacin, es decir, comprobar que la entidad es quien dice ser.
Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.
En concreto los sistemas de identificacin y autenticacin de los usuarios son los mecanismos
mas utilizados.

Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que
establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.

Mecanismos de separacin
Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que
permitan separar los objetos dentro de cada nivel.
Los mecanismos de separacin, en funcin de como separan los objetos, se dividen en los
grupos siguientes: separacin fsica, temporal, lgica, criptogrfica y fragmentacin.

Mecanismos de seguridad en las comunicaciones

La proteccin de la informacin (integridad y privacidad) cuando viaja por la red es
especialmente importante. Clsicamente se utilizan protocolos seguros, tipo SSH o Kerberos,
que cifran el trfico por la red.

Polticas de seguridad
Pgina
16

El objetivo de la Poltica de Seguridad de Informacin de una organizacin es, por un lado, mostrar el
posicionamiento de la organizacin con relacin a la seguridad, y por otro lado servir de base para
desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser
divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaracin de
intenciones. Lo ms importante para que estas surtan efecto es lograr la concienciacin, entendimiento
y compromiso de todos los involucrados.
Las polticas deben contener claramente las practicas que sern adoptadas por la compaa. Y estas
polticas deben ser revisadas, y si es necesario actualizadas, peridicamente.

Las polticas deben:

definir qu es seguridad de la informacin, cuales son sus objetivos principales y su importancia
dentro de la organizacin
mostrar el compromiso de sus altos cargos con la misma
definir la filosofa respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder disear normas y procedimientos referidos a:
o
o
o
o
o
o
o

Organizacin de la seguridad
Clasificacin y control de los datos
Seguridad de las personas
Seguridad fsica y ambiental
Plan de contingencia
Prevencin y deteccin de virus
Administracin de los computadores

A partir de las polticas se podr comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que sern la gua para la realizacin de las actividades.

Pgina
17

La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en el
sentido general de la palabra). Por lo tanto, la administracin de la organizacin en cuestin debe
encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan las
reglas a travs de sesiones de capacitacin y de concienciacin.

Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y cubrir las siguientes
reas:
Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa y al
uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realizacin de copias de seguridad planificada adecuadamente
Un plan de recuperacin luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la poltica de seguridad es el documento de referencia que define los
objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos
objetivos.

Pgina
18

II ANALISI DE RIESGOS
1.- ANALISIS DE RIESGOS

El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos

informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o

administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la
magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de
controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Es un proceso sistemtico para estimar la magnitud de los riesgos a que est expuesto una
Organizacin, y que el activo ms importante que esta posee es la informacin, deben existir
tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en
los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la
aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten
acceder a ellos a las personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar
prohibido" y sta debe ser la meta perseguida.Los medios para conseguirlo son:

Pgina
19

-Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y
archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin minuciosa).
-Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento
elegido. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisin entre diferentes puntos.
-Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y
permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseas de accesos a los sistemas de cmputo.

PROCESOS DE ANALISIS DE RIESGOS INFORMATICOS

El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como matriz
de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y
los clculos realizados. Este anlisis de riesgo es indispensable para lograr una correcta administracin
del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin.
Existen diferentes tipos de riesgos como el riesgo residual y riesgo total as como tambin el
tratamiento del riesgo, evaluacin del riesgo y gestin del riesgo entre otras. La frmula para
determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles podremos
obtener el riesgo residual.

Como se describe en el BS ISO/IEC 27001:2005, la evaluacin del riesgo incluye las siguientes
actividades y acciones:

Identificacin de los activos.

Identificacin de los requisitos legales y de negocio que son relevantes para la identificacin de
los activos.

Valoracin de los activos identificados, teniendo en cuenta los requisitos legales y de negocio
identificados anteriormente, y el impacto de una prdida de confidencialidad, integridad y
disponibilidad.
Pgina
20

Identificacin de las amenazas y vulnerabilidades importantes para los activos identificados.

Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir.

Clculo del riesgo.

Evaluacin de los riesgos frente a una escala de riesgo preestablecidos.

Despus de efectuar el anlisis debemos determinar las acciones a tomar respecto a los riesgos
residuales que se identificaron. Las acciones pueden ser:

Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.

Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.

Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.

Aceptar el riesgo.- Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta.

Herramientas

En el caso de servidores Linux/Unix para hacer el anlisis de vulnerabilidades se suele utilizar el

programa 'Nessus'.
Nessus es de arquitectura cliente-servidor OpenSource, dispone de una base de datos de patrones de
ataques para lanzar contra una mquina o conjunto de mquinas con el objetivo de localizar sus
vulnerabilidades.

Pgina
21

Existe software comercial que utiliza Nessus como motor para el anlisis. Por ejemplo est Catbird
(www.catbird.com) que usa un portal para la gestin centralizada de las vulnerabilidades, analiza
externamente e internamente la red teniendo en cuenta los accesos inalmbricos. Adems hace
monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las
organizaciones.
En otros sistemas tipo Windows est el MBSA Microsoft Baseline Security Analyzer que permite
verificar la configuracin de seguridad, detectando los posibles problemas de seguridad en el sistema
operativo y los diversos componentes instalados.

De qu queremos proteger el sistema informtico?

Ya hemos hablado de los principales activos o elementos fundamentales del sistema informtico que
son vulnerables y ahora veremos a qu son vulnerables dichos elementos.
Comenzamos definiendo el concepto de amenaza.
Entendemos la amenaza como el escenario en el que una accin o suceso, ya sea o no deliberado,
compromete la seguridad de un elemento del sistema informtico.
Cuando a un sistema informtico se le detecta una vulnerabilidad y existe una amenaza asociada a
dicha vulnerabilidad, puede ocurrir que el suceso o evento se produzca y nuestro sistema estar en
riesgo.
Si el evento se produce y el riesgo que era probable ahora es real, el sistema informtico sufrir daos
que habr que valorar cualitativa y cuantitativamente, y esto se llama 'impacto'.
Integrando estos conceptos podemos decir que un evento producido en el sistema informtico que
constituye una amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre l.
Si queremos eliminar las vulnerabilidades del sistema informtico o queremos disminuir el impacto que
puedan producir sobre l, hemos de proteger el sistema mediante una serie de medidas que podemos
llamar defensas o salvaguardas.
ELEMENTOS DE ANALISIS DE RIESGOS
Cuando se pretende disear una tcnica para implementar un anlisis de riesgo informtico se pueden
tomar los siguientes puntos como referencia a seguir:
1. Construir un perfil de las amenazas que est basado en los activos de la organizacin.
Pgina
22

2. Identificacin de los activos de la organizacin.

3. Identificar las amenazas de cada uno de los activos listados.
4.Conocer las prcticas actuales de seguridad.
5. Identificar las vulnerabilidades de la organizacin. Recursos humanos, Recursos tcnicos, Recursos
financieros
6. Identificar los requerimientos de seguridad de la organizacin.
7. Identificacin de las vulnerabilidades dentro de la infraestructura tecnolgica.
8. Deteccin de los componentes claves
9. Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:

Riesgo para los activos crticos

Medidas de riesgos Estrategias de proteccin
Planes para reducir los riesgos.
Tipos de amenaza. El hecho de conectar una red a un entorno externo nos da la posibilidad de que
algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el
funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no
nos garantiza la seguridad de la misma.
Basado en esto podemos decir que existen 2 tipos de amenazas:Amenazas internas: Generalmente estas
amenazas pueden ser ms serias que las externas por varias razones como son: Los usuarios conocen la
red y saben cmo es su funcionamiento.Tienen algn nivel de acceso a la red por las mismas
necesidades de su trabajo.Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener
informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo
que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el
administrador de la red puede prevenir una buena parte de los ataques externos.

Pgina
23

Tipos de Virus
Los Virus se pueden clasificar en funcin de mltiples caractersticas y criterios: segn su origen, las
tcnicas que utilizan para infectar, los tipos de ficheros que infectan, los lugares donde se esconden, los
daos que causan, el sistema operativo o la plataforma tecnolgica que atacan, etc.

Virus residentes
La caracterstica principal de estos virus es que se ocultan en la memoria RAM de forma
permanente o residente. De este modo, pueden controlar e interceptar todas las operaciones
llevadas a cabo por el sistema operativo, infectando todos aquellos ficheros y/o programas que
sean ejecutados, abiertos, cerrados, renombrados, copiados, Algunos ejemplos de este tipo de
virus son: Randex, CMJ, Meve, MrKlunky.

Virus de accin directa

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto, su
objetivo prioritario es reproducirse y actuar en el mismo momento de ser ejecutados. Al
cumplirse una determinada condicin, se activan y buscan los ficheros ubicados dentro de su
mismo directorio para contagiarlos.
Virus de sobreescritura
Estos virus se caracterizan por destruir la informacin contenida en los ficheros que
infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que queden
total o parcialmente inservibles.

Virus de boot o de arranque

Los trminos boot o sector de arranque hacen referencia a una seccin muy importante
de un disco (tanto un disquete como un disco duro respectivamente). En ella se guarda la
Pgina
24

informacin esencial sobre las caractersticas del disco y se encuentra un programa que permite
arrancar el ordenador.
Virus de macro
El objetivo de estos virus es la infeccin de los ficheros creados usando determinadas
aplicaciones que contengan macros: documentos de Word (ficheros con extensin DOC), hojas
de clculo de Excel (ficheros con extensin XLS), bases de datos de Access (ficheros con
extensin MDB), presentaciones de PowerPoint (ficheros con extensin PPS), ficheros de Corel
Draw, etc.
Las Macros son micro-programas asociados a un fichero, que sirven para automatizar
complejos conjuntos de operaciones. Al ser programas, las macros pueden ser infectadas.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas bsicamente por unidad
de disco y directorio), que el sistema operativo conoce para poder localizarlos y trabajar con
ellos.
Virus encriptados
Ms que un tipo de virus, se trata de una tcnica utilizada por algunos de ellos, que a su
vez pueden pertenecer a otras clasificaciones. Estos virus se cifran o encriptan a s mismos para
no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se descifra a
s mismo y, cuando ha finalizado, se vuelve a cifrar.

Virus polimrficos
Son virus que en cada infeccin que realizan se cifran o encriptan de una forma distinta
(utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una elevada
cantidad de copias de s mismos e impiden que los antivirus los localicen a travs de la
bsqueda de cadenas o firmas, por lo que suelen ser los virus ms costosos de detectar.
Virus multipartites
Virus muy avanzados, que pueden realizar mltiples infecciones, combinando diferentes
tcnicas para ello. Su objetivo es cualquier elemento que pueda ser infectado: archivos,
programas, macros, discos, etc.
Virus de Fichero
Pgina
25

Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM). Al

ejecutarse el programa infectado, el virus se activa, produciendo diferentes efectos.
Virus de FAT
La Tabla de Asignacin de Ficheros o FAT es la seccin de un disco utilizada para
enlazar la informacin contenida en ste. Se trata de un elemento fundamental en el sistema.
Los virus que atacan a este elemento son especialmente peligrosos, ya que impedirn el
acceso a ciertas partes del disco, donde se almacenan los ficheros crticos para el normal
funcionamiento del ordenador.

Consideraciones de software
Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener
controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma
ilegal o sin garantas aumenta los riesgos). En todo caso un inventario de software proporciona un
mtodo correcto de asegurar la reinstalacin en caso de desastre.
El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de
contingencia.
Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden
buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros
desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores
infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al
mnimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante
el tiempo inactivo de las mquinas.Controlar y monitorizar el acceso a Internet puede detectar, en fases
de recuperacin, cmo se ha introducido el virus.

Pgina
26

Organismos oficiales de seguridad informtica

La Oficina de Seguridad para las Redes Informticas (OSRI) es una entidad nacional adscripta al
Ministerio de la Informtica y las Comunicaciones, que tiene por objeto social:
- Llevar a cabo la prevencin, evaluacin, aviso, investigacin y respuesta a las acciones, tanto internas
como externas, que afecten el normal funcionamiento de las Tecnologas de la Informacin del pas.
- Trabaja por fortalecer la seguridad durante el empleo de las Tecnologas de la Informacin. Su
propsito consiste en implementar un sistema que contribuya al ordenamiento de las actividades
asociadas con las redes informticas y de comunicaciones, mediante el establecimiento de un esquema
que garantice niveles aceptables de seguridad.

1.1 TEMINOLOGIA BASICA

Conocer las vulnerabilidades e implementar procedimientos para combatirlos es
importante, sin embargo hasta ahora no existe ninguna medida de seguridad que garantize
completamente la proteccin contra las vulnerabilidades.
Incluso cuando se desea evitar la materializacin de un desastre, tambin es necesario
conocer los efectos que provocan en los activos de una organizacin a corto y largo plazo.
El anlisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades,
conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.
La informacin obtenida por este procedimiento permite identificar los controles de
seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada
rea vulnerable.

Pgina
27

No se necesita estar expuesto a grandes amenazas informticas para que d un momento a otro
ocurra un desastre
1.1.1

ACTIVOS

Es todo aquello con valor para una organizacin y que necesita proteccin, en
el mbito informtico pueden ser datos, infraestructura, hardware, software, personal,
informacin, servicios.

1.1.2

RIESGOS

Un riesgo es la posibilidad de que se presente algn dao o prdida, esto es, la

posibilidad de que se materialice una amenaza.

1.1.3

ACEPTACION DEL RIESGO

Es la decisin de recibir, reconocer, tolerar o admitir un riesgo. Esta decisin

se toma una vez que se han estudiado los diferentes escenarios posibles para una
Pgina
28

misma amenaza y se han aplicado todos los procedimientos posibles para

contrarrestar sus efectos y probabilidad de que ocurra.

1.1.4

ANALISIS DE RIESGO

Uso sistemtico de la informacin disponible para identificar las fuentes y

para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y
la magnitud de sus consecuencias.

1.1.5

MANEJO DE RIESGO

Proceso de identificacin, control y minimizacin o eliminacin de riesgos de

seguridad que pueden afectar a los sistemas de informacin, por un costo aceptable.

1.1.6

EVALUACION DE RIESGO

Comparacin de los resultados de un anlisis del riesgo con los criterios

estndares del riesgo u otros criterios de decisin.

1.1.7 IMPACTO
Son las prdidas resultantes de la actividad de una amenaza, las prdidas son
normalmente expresadas en una o ms reas de impacto destruccin, denegacin de
servicio, revelacin o modificacin-.
1.1.8 PERDIDA SEPARADA
El impacto anticipado y negativo a los activos debido a una manifestacin de
la amenaza.
1.1.9 VULNERABILIDAD
Una vulnerabilidad informtica es un elemento de un sistema informtico que
puede ser aprovechado por un atacante para violar la seguridad, as mismo pueden
causar daos por s mismos sin tratarse de un ataque intencionado.
Pgina
29

1.1.10 AMENAZA
Una accin o situacin potencial que tiene la posibilidad de causar dao.
1.1.11 RIESGO RESIDUAL
Es el nivel de riesgo que queda despus de la consideracin de todas las
medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. ste
debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.

1.1.12 CONTROLES
Protocolos y mecanismos de proteccin que permiten el cumplimiento de las
polticas de seguridad de la organizacin. Un mismo control puede ser implementado
para una o varias polticas de seguridad, lo que indica que la relacin no es
forzosamente de uno a uno.
ANALISIS CUANTITATIVO
El anlisis cuantitativo es una tcnica de anlisis que busca entender el
comportamiento de las cosas por medio de modelos estadsticos y tcnicas
matemticas para ello se encarga de asignar un valor numrico a las variables, e
intenta replicar la realidad matemticamente.
Un modelo cuantitativo habitual es aquel en el que las consecuencias de la
materializacin de amenazas se asocian a un determinado nivel de impacto en funcin
de la estimacin del coste econmico que suponen para la organizacin
En resumen, el anlisis de riesgo cuantitativo se ocupa especficamente de la revisin
cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias,
determinando numricamente la frecuencia de ocurrencia de una amenaza, el valor
monetario del activo, el impacto econmico y el dao producido.
ANALISIS CUALITATIVO
Las mtricas asociadas con el impacto causado por la materializacin de las
amenazas se valoran en trminos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o
Muy Bajo). Las consecuencias de la materializacin de amenazas se
asocian a un determinado nivel de impacto en funcin de multitud de factores (Prdidas
Pgina
30

econmicas efectivas, prdida de conocimiento, prdida de

competitividad, interrupcin de negocio, prdida de imagen, etc)
Pasos del anlisis de riesgo
El proceso de anlisis de riesgo consiste en ocho pasos interrelacionados:
1-Identificacin y evaluacin de activo
2-Identificar las amenazas correspondientes
3-Identificar las vulnerabilidades
4-Determinar el impacto de la ocurrencia de una amenaza
5-Determinar los controles en el lugar
6-Determinar los riesgos residuales (Conclusiones)
7-Identificar los controles adicionales (Recomendaciones)
8-Preparar el informe del anlisis de riesgo

Pgina
31

Como en todos los procesos, los pasos de un analisis de riesgos pueden variar pero comparten
enfoques comunes importantes
Identificacin y evaluacin de los activos
El primer paso en la evaluacin de riesgo es identificar y asignar un valor a los activos que
necesitan proteccin.
El valor de los activos es un factor significante en la decisin para realizar cambios
operacionales o para incrementar la proteccin de los activos. El valor del activo se basa en su
costo, sensibilidad, misin crtica, o la combinacin de estas propiedades.
El valor del activo se usar para determinar la magnitud de la prdida cuando la amenaza ocurra.

Identificacin de amenazas
Despus de identificar los activos que requieren proteccin, las amenazas a stos deben
identificarse y examinarse para determinar cul sera la prdida si dichas amenazas se presentan.
Pgina
32

Este paso envuelve la identificacin y la descripcin de las amenazas correspondientes al sistema

que est siendo utilizado y se estima qu tan seguido se puede presentar.

Identificacin de vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las amenazas y las vulnerabilidades.
Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay reas
de alta vulnerabilidad que no tienen consecuencias si no presentan amenazas.

Impacto de la ocurrencia de una amenaza

Cuando la explotacin de una amenaza ocurre, los activos sufren cierto impacto. Las prdidas son
catalogadas en reas de impacto llamadas:
Revelacin: Cuando la informacin es procesada y se pierde la confidencialidad
Modificacin: El efecto de la manifestacin de una amenaza cambia el estado original del activo.
Destruccin: El activo se pierde completamente.
Denegacin de servicio: Prdida temporal de los servicios.

Controles en el lugar
La identificacin de los controles es parte de la recoleccin de datos en cualquier proceso de
anlisis de riesgo. Existen dos tipos principales de controles:
1.- Controles requeridos: Todos los controles de esta categora pueden ser definidos con base en
una o mas reglas escritas. La clasificacin de los datos almacenados y procesados en un sistema o
red y su modo de operacin determinan las reglas a aplicar, y stas indican cules son los
controles requeridos.
2.-Controles discrecionales: Este tipo de controles es elegido por los administradores. En muchos
casos los controles requeridos no reducen el nivel de vulnerabilidad a un nivel aceptable, por lo
que se deben elegir e implementar este tipo de controles para ajustar el nivel de vulnerabilidad a
un nivel aceptable.
Pgina
33

Riesgos residuales
Siempre existir un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es
aceptable o no. El riesgo residual toma la forma de las conclusiones alcanzadas en el proceso de
evaluacin. Las conclusiones deben identificar:
-Las reas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia de la amenaza.
-Todos los controles que no estn dentro del lugar.
El resultado de estos pasos permite comenzar la seleccin necesaria de controles adicionales.

Identificacin de los controles adicionales

Una vez que el riesgo residual haya sido determinado, el siguiente paso es identificar la forma
mas efectiva y menos costosa para reducir el riesgo a un nivel aceptable. Un intercambio
operacional el cual puede tomar la forma de costo, conveniencia, tiempo, o una mezcla de los
anteriores- debe realizarse al mismo tiempo que los controles adicionales son implementados.
Las recomendaciones son:
-Controles requeridos: Controles requeridos u obligatorios que no se encuentran en el lugar son la
primera recomendacin.
-Controles discrecionales: La segunda recomendacin generalmente identifica los controles
discrecionales necesarios para reducir el nivel de riesgo.

Preparacin de un informe del anlisis del riesgo.

El proceso de anlisis de riesgo ayuda a identificar los activos de informacin en riesgo y aade
un valor a los riesgos, adicionalmente identifica las medidas protectoras y minimiza los efectos
del riesgo y asigna un costo a cada control. El proceso de anlisis del riesgo tambin determina si
los controles son efectivos. Cuando el anlisis est completo, un informe de la evaluacin de
riesgo debe prepararse. Los detalles tcnicos del reporte deben incluir como mnimo:
-Amenazas correspondientes y su frecuencia.
Pgina
34

-El ambiente usado.

-Conexin del sistema.
-Nivel o niveles de sensibilidad e los datos
-Riesgo residual, expresado en una base individual de vulnerabilidad.
-Clculos detallados de la expectativa de prdida anual.
El anlisis del riesgo de seguridad es fundamental en la seguridad de cualquier organizacin ya
que es un mtodo formal para investigar los riesgos de un sistema informtico y recomendar las
medidas apropiadas que deben adoptase para controlar estos riesgos. Es esencial asegurarse que
los controles y el gasto que implican sean completamente proporcionales a los riesgos a los
cuales se expone la organizacin.

ANALISIS DE COSTO BENEFICIO

El anlisis costo/beneficio es una importante tcnica que nos ayuda en la toma de decisiones,
pues brinda informacin necesaria para determinar si una actividad es rentable, o por el contrario
representa un impractico desperdicio de recursos.
Este tipo de anlisis consiste bsicamente en la comparacin de los costos invertidos en un
proyecto con los beneficios que se planean obtener de su realizacin.
Primero debe entenderse que los costos son tangibles, es decir, se pueden medir en alguna unidad
econmica, mientras que los beneficios pueden ser intangibles, es decir, pueden darse en forma
objetiva o subjetiva.
Dependiendo del enfoque que use una organizacin, el anlisis costo beneficio puede ser un
proceso independiente del anlisis de riesgo, pero es necesario que todos los controles
instaurados sean evaluados en trminos de funcionalidad y viabilidad.
En el campo de seguridad informtica, tanto para el anlisis de riesgo como para el anlisis costo
beneficio deben tomarse en cuenta tres costos o valores fundamentales:
- Costo del sistema informtico (Ca): valor de los recursos y la informacin a proteger.
- Costos de los medios necesarios (Cr): los medios y el costo respectivo que un criptoanalista
requiere para romper las medidas de seguridad establecidas en el sistema.
- Costo de las medidas de seguridad necesarias (Cs): medidas y su costo para salvaguardar los
bienes informticos.
Para que la poltica de seguridad del sistema sea lgica debe cumplirse la siguiente relacin:
Cr > Ca >Cs
Pgina
35

El que Cr sea mayor que Ca significa que el ataque al sistema debe ser mas costoso que el valor
del sistema. Por lo que los beneficios obtenidos al romper las medidas de seguridad no
compensan el costo de desarrollar el ataque.
El que Ca sea mayor que Cs significa que no debe costar mas la informacin que la informacin
protegida. Si esto ocurre, resultara conveniente no proteger el sistema y volver a obtener la
informacin en caso de prdida.

CONCLUCIONES:
En conclusin la amenaza representa el tipo de accin que tiende a ser daina, mientras que
la vulnerabilidad(conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de
exposicin a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las
acciones que se implementan para prevenir la amenaza.
Las contramedidas que deben implementarse no slo son soluciones tcnicas, sino tambin reflejan la
capacitacin y la toma de conciencia por parte del usuario, adems de reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y
prever el curso de accin del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva
general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cmo funcionan
para conocer la mejor forma de reducir el riesgo de intrusiones.
Pgina
36

REFERENCIAS:

https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica#Objetivos
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-laseguridad-informatica?start=3
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap5.html
http://www.ecured.cu/Seguridad_Inform%C3%A1tica
http://www.dian.gov.co/descargas/operador/documentos/2015/CTPAT_Analisis_de_riesgo_abril_2015.
pdf

Pgina
37

https://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-sistemas-informaticos-politicasestandares-y-analisis-de-riesgos/
http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica

Pgina
38