PNF INFORMTICA.

T4T1
SEGURIDAD INFORMTICA
PROF: Johanna Gmez

Estimacin del grado de

exposicin de una amenaza
sobre uno o ms activos
causando daos o perjuicios
a la Organizacin.
El riesgo indica lo que le
podra pasar a los activos si
no
se
protegieran
adecuadamente.

Las amenazas son eventos que

pueden producir daos materiales
o inmateriales en los activos. Las
amenazas son cosas que ocurren.
Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a
nuestros activos y causar un dao.
Hay
amenazas
naturales
(terremotos, inundaciones, ...) y
desastres
industriales
o
servicios (contaminacin, fallos
elctricos, ...) ante los cuales el
sistema de informacin es vctima.
Tambin hay amenazas causadas
por las personas, bien errores o
bien ataques intencionados.

Polticas de seguridad
Las
polticas
de
seguridad
son
las
prcticas,
procedimientos
o
mecanismos que ayudan
a reducir el riesgo.

Gracias a este anlisis

de
riesgos
conoceremos
el
impacto econmico de
un fallo de seguridad y
la probabilidad realista
de que este ocurra .

Por ejemplo, imaginemos que una organizacin tiene un

servidor que contiene informacin definida como de bajo
valor.

Servidor

El objetivo principal de este proceso es establecer el marco

general de referencia para todo el anlisis. Esta etapa incluye la
estimacin de:
Definir los objetivos del proceso de anlisis de
riesgos.
Personal tcnico: Personas cuya funcin es recabar la
informacin y establecer las medidas necesarias para
cumplir con el anlisis.
Usuarios: Son aquellas de quienes se recoger la
informacin dentro de la organizacin
Recursos econmicos necesarios para la
ejecucin.
Tiempo estimado para realizar el anlisis
y elaborar las polticas. Podra ser con un
diagrama de Gantt

Estimacin del tiempo: debe ser realizado

utilizando el Diagrama de Gantt, definiendo el
tiempo necesario que se tomara el equipo en
cada etapa o fase.

El entregable de esta etapa ser un documento que describa a

profundidad los aspectos antes mencionados, para tal fin se ofrece un
modelo como ejemplo.
Anlisis y gestin de riesgos
Etapa 1: Planificacin

Fecha:

Objetivos:
Personal:
Tcnico:

Usuarios:

Programador(es):______

Gerente:_____

Entrevistador(es):______

Secretaria:____

Entre otros:_____

Docentes: ____
Recursos

Se denomina activos a los recursos del sistema de informacin

o relacionados con ste, necesarios para que la
Organizacin funcione correctamente y alcance los
objetivos propuestos por su direccin.
Conviene repetir que slo interesan los recursos de los sistemas
de informacin que tienen un valor para la Organizacin. A ttulo
de ejemplo, un servidor donde se encuentre almacenada toda
informacin es un activo de mucho valor. Todo su valor es
imputado:
la indisponibilidad, la interrupcin del servicio es el valor de
disponibilidad que se le imputar al servidor
el acceso no controlado al servidor pone en riesgo el secreto de
los datos que presenta.
el coste que suponga la prdida de confidencialidad de los datos
es el valor de confidencialidad que se le imputar al servidor.

Quizs la mejor aproximacin para identificar los activos sea

preguntar directamente:
Qu activos son fundamentales para que la organizacin
consiga sus objetivos?
Hay ms activos que se tengan que proteger por obligacin
?
Hay activos relacionados con los anteriores?
No siempre es evidente identificar un activo. Si por ejemplo se
tienen 300 puestos de trabajo o PC, todos idnticos a efectos de
configuracin y datos que manejan, no es conveniente analizar
300 activos idnticos. Basta analizar un PC genrico que cuya
problemtica representa la de todos. Agrupar simplifica el
anlisis. Otras veces se presenta el caso contrario, un servidor
central que se encarga de varias funciones: servidor de archivos,
de mensajera, de la intranet, del sistema de gestin documental
y ... En este caso conviene segregar los servicios prestados y
analizarlos por separado.

El entregable de esta etapa es la descripcin de cada tipo de

activo con su respectiva , funcin dentro de la organizacin entre
algunos otros aspectos que sean importantes describir. Para ello
se puede utilizar el siguiente formato:
Anlisis de riesgos
Etapa 2: Identificacin de activos

Activo #: _____

Tipo de activo
Fsico: ____

Lgico:____

Nombre:
Descripcin:

Tipo de amenaza:
Tipos de activos:

Dimensiones:

Descripcin:
Tipo de activo:
Amenazas:
Descripcin:

Dimensiones:

Cuando hablamos de las dimensiones, hacemos memoria y

recordamos los principios de la seguridad de la informacin.
Ellas son caractersticas o atributos que hacen valioso un
activo. Las dimensiones se utilizan para valorar las
consecuencias de la materializacin de una amenaza. La
valoracin que recibe un activo en una cierta dimensin es la
medida del perjuicio para la organizacin si el activo se ve
daado en dicha dimensin. Ellas son:
Autenticidad
Confidencialidad
Trazabilidad del servicio
Integridad
Trazabilidad de los datos.
Disponibilidad

A ellos agregamos :

Llevndolas a la realidad, las dimensiones en un activo, las podemos

definir as:
su autenticidad: qu perjuicio causara no saber
exactamente quien hace o ha hecho cada cosa? Esta valoracin
es tpica de servicios (autenticidad del usuario) y de los datos
(autenticidad de quien accede a los datos para escribir o,
simplemente, consultar)
su confidencialidad: qu dao causara que lo conociera
quien no debe? Esta valoracin es tpica de datos.
su integridad: qu perjuicio causara que estuviera daado o
corrupto? Esta valoracin es tpica de los datos, que pueden estar
manipulados, ser total o parcialmente falsos o, incluso, faltar datos.
su disponibilidad: qu perjuicio causara no tenerlo o no
poder utilizarlo? Esta valoracin es tpica de los servicios.

Ahora bien, en sistemas dedicados a la administracin electrnica o

al comercio electrnico, el conocimiento de los usuarios es
fundamental para poder prestar el servicio correctamente y poder
perseguir los fallos (accidentales o deliberados) que pudieran
darse. En estos activos, adems de la autenticidad, interesa
calibrar la:
la trazabilidad del uso del servicio: qu dao causara no
saber a quin se le presta tal servicio? O sea, quin hace qu y
cundo?
la trazabilidad del acceso a los datos: qu dao causara no
saber quin accede a qu datos y qu hace con ellos?

A continuacin vemos un ejemplo sobre la determinacin

de las amenazas:
Desastres naturales: Sucesos que pueden ocurrir sin
intervencin
seres humanos
Tipo de
delos
amenaza:
Fuegocomo causa directa o
indirecta.
Tipos de activos:
Dimensiones:
Computadoras
Disponibilidad
Redes de comunicacin
Soportes de informacin
Equipamiento auxiliar
Instalaciones
Descripcin: Incendio: Posibilidad de que el
fuego acabe con los recursos del sistema.
En el material de apoyo encontrarn ejemplos sobre las
amenazas ms comunes y las dimensiones afectadas

Estimacin de los riesgos:

Amenaza: Fallas no intencionales causados por los usuarios
Tipos de
activos:
Datos/informac
in
Aplicaciones

Dimensiones:
Disponibilidad
Integridad

Riesgo :
Prdida de la
informacin.
Modificacin
de los datos a
ser
procesados.
Desconfiguraci
n de alguna
aplicacin.

Valor: 9
Dao grave
para la
organizacin,
ya que implica
prdida de
datos/informaci
n importantes
para la
organizacin.

Descripcin: Equivocaciones de las personas cuando usan los

servicios, datos, etc.

En el material de apoyo se describe la escala

y los criterios los criterios asociados.

Escala de valoracin de riesgos:

Valor

Criterio

10

Muy alto

Dao muy grave a la

organizacin

7-9

alto

Dao grave

4-6

medio

Dao importante

1-3

bajo

Dao menor

despreciable

irrelevante

El anlisis de los riesgos es un paso importante para

implementar la seguridad de la informacin.
Se realiza para detectar los riesgos a los cuales estn
sometidos los activos en una organizacin, para saber cul
es la probabilidad de que una amenaza se concrete.
La relacin que existe entre la amenaza y el valor del
riesgo, es la condicin principal a tomar en cuenta en
el momento de priorizar acciones de seguridad para
la correccin de los activos que se desean proteger y
deben ser siempre considerados cuando se realiza un
anlisis de riesgos.

A continuacin se les har entrega de un

material, contentivo de casos de estudios
con el objetivo de que sea analizados y se
realicen algunas reflexiones.