2. No solo las amenazas que surgen de
la programación y el
funcionamiento de un dispositivo
de almacenamiento, transmisión o
proceso deben ser consideradas,
también hay otras circunstancias
que deben ser tenidas en cuenta,
incluso «no informáticas».
Capítulo 2: Seguridad de la Información
Muchas son a menudo
imprevisibles o inevitables, de
modo que las únicas protecciones
posibles son las redundancias y la
descentralización, por ejemplo
mediante determinadas
estructuras de redes en el caso de
las comunicaciones o servidores
en clúster para la disponibilidad.
Amenazas
3. Las amenazas pueden
ser causadas por:
Usuarios: Sus acciones causan
problemas de seguridad, por permisos
sobredimensionados.
Programas maliciosos:. Estos pueden
ser un virus informático, un gusano
informático, un troyano, una bomba
lógica, un programa espía o spyware, en
general conocidos como malware.
Un siniestro (robo, incendio,
inundación): una mala manipulación.
Fallos electrónicos o lógicos de los
sistemas informáticos en general.
Intrusos: Personas no autorizadas
(crackers, defacers, hackers, script
kiddie o script boy, viruxers, etc.).
Errores de programación: Por su
condición de poder ser usados como
exploits por los crackers, aunque el mal
desarrollo es, en sí mismo, una amenaza.
Personal técnico interno: Disputas
internas, problemas laborales, despidos,
fines lucrativos, espionaje, etc.
Catástrofes
naturales: rayos, terremotos, inundacion
es, rayos cósmicos, etc.
Capítulo 2: Seguridad de la Información
4. Capítulo 2: Seguridad de la Información
Tipos de Amenazas:
Amenazas por el origen: Conectar una red a un entorno externo hace que
algún atacante pueda ingresar y hacer robo de información o alterar el
funcionamiento de la red. Estas se dividen en:
Amenazas internas: Si es por usuarios o personal técnico.
Amenazas externas: Rosetas accesibles, redes inalámbricas
desprotegidas, equipos sin vigilancia, etc.
Amenazas por el efecto: Robo de información. Destrucción de información.
Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
Suplantación de la identidad, publicidad de datos personales o confidenciales,
cambio de información, venta de datos personales, etc. Robo de dinero, estafas.
Amenazas por el medio utilizado: Virus informático: malware , Phishing.
Ingeniería social. Denegación de servicio. Spoofing.
5. Riesgo
Se puede definir como aquella eventualidad que
imposibilita el cumplimiento de un objetivo.
Un riesgo conlleva dos tipos de consecuencias:
ganancias o pérdidas. En tecnología, el riesgo se
plantea solamente como amenaza,
determinando el grado de exposición a la
ocurrencia de una pérdida (por ejemplo el
riesgo de perder datos debido a rotura de disco,
virus informáticos, etc.).
También se define como: “La probabilidad de que una amenaza se
materialice, utilizando vulnerabilidad existentes de un activo o un
grupo de activos, generándole perdidas o daños”.
Capítulo 2: Seguridad de la Información
6. En la definición anterior se pueden identificar varios elementos que se deben
comprender adecuadamente para, por ende, comprender integralmente el
concepto de riesgo manejado.
Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e
impactos.
bbb
Capítulo 2: Seguridad de la Información
7. Definiciones:
Probabilidad: Establecer la
probabilidad de ocurrencia puede
realizarse de manera cuantitativa o
cualitativa, pero siempre considerando
que la medida no debe contemplar la
existencia de ninguna acción paliativa, o
sea, debe considerarse en cada caso qué
posibilidades existen que la amenaza se
presente independientemente del hecho
que sea o no contrarrestada.
Amenazas: Son aquellas acciones
que pueden ocasionar consecuencias
negativas en la operativa de la empresa..
Vulnerabilidades: Condiciones
inherentes a los activos o presentes
en su entorno que facilitan que las
amenazas se materialicen, llevan a
esos activos a ser vulnerables.
Mediante el uso de las debilidades
existentes las amenazas logran
materializarse, estas siempre están
presentes, pero sin la identificación
de una vulnerabilidad no podrán
ocasionar ningún impacto. Las
vulnerabilidades son de naturaleza
variada: Ej: Falta de conocimiento
del usuario, tecnología
inadecuadamente probada
(“testeada”), transmisión por redes
públicas, etc. Una vulnerabilidad
común es contar con antivirus no
actualizado.
Capítulo 2: Seguridad de la Información
8. Activos: Los activos a reconocer son aquellos relacionados con sistemas de
información. Ejemplos típicos son los datos, el hardware, el software, servicios,
documentos, edificios y recursos humanos
Impactos: Las consecuencias de la ocurrencia de las distintas amenazas son siempre
negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o
de largo plazo.
Capítulo 2: Seguridad de la Información
9. Identificación de los activos.
Identificación de los requisitos legales y
de negocios que son relevantes para la
identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales
identificados de negocios y el impacto de
una pérdida de confidencialidad,
integridad y disponibilidad.
Identificación de las amenazas y
vulnerabilidades importantes para los
activos identificados.
Evaluación del riesgo, de las amenazas y
las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una
escala de riesgo preestablecidos.
Evaluación de los riesgos frente a una
escala de riesgo preestablecidos.
Después de efectuar el análisis debemos
determinar las acciones a tomar
respecto a los riesgos residuales que se
identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los
controles existentes y/o agregar nuevos
controles.
Eliminar el riesgo.- Eliminar el activo
relacionado y con ello se elimina el
riesgo.
Compartir el riesgo.- Mediante acuerdos
contractuales parte del riesgo se
traspasa a un tercero.
Aceptar el riesgo.- Se determina que el
nivel de exposición es adecuado y por lo
tanto se acepta.
La evaluación del riesgo incluye las siguientes actividades y
acciones:
Capítulo 2: Seguridad de la Información