4. INFORMACION
Datos VitalesDatos Vitales
Datos de Carácter PersonalDatos de Carácter Personal
Datos ClasificadosDatos Clasificados
(A)Nivel Alto
(B)Nivel Bajo
(M)Nivel Medio
[C] nivel confidencial
[R] difusión limitada
[UC] sin clasificar
[PUB] de carácter pública
Esenciales para supervivencia de la Organización
5. ARQUITECTURA DEL
SISTEMA
Permiten estructurar el
sistema, definiendo su
Arquitectura interna
sus Relaciones
con el exterior.
[SAP] punto de [acceso al]
servicio
[IP] punto de interconexión
[EXT] proporcionado por terceros:
cuando para la prestación de
nuestros servicios recurrimos a
un tercero.
6. DATOS/INFORMACION
[test] datos de prueba
[backup] copias de respaldo
[exe] código ejecutable
[source] código fuente
[test] datos de prueba
[password] credenciales
[files] ficheros
registro de actividad:
validación de credenciales
7. CLAVES CRIPTOGRAFICAS:
Se emplea para proteger el secreto o autenticar a las partes
• Claves de cifra y firma
• secreto compartido (clave simétrica)
• clave pública de cifra y firma
• clave privada de descifrado
• Clave publica de verificación de firma
• claves de cifrado del canal
• claves de autenticación
• claves de verificación de autenticación
• claves de cifra
Protección de la información
Protección de comunicaciones
[disk] cifrado de soportes de información
[x509] certificados de clave pública
8. SERVICIOS
Función que satisface
una necesidad de
los usuarios (del
servicio).
anónimo (sin requerir identificación del usuario)
a usuarios externos (bajo una relación contractual)
Almacenamiento y transferencia de ficheros
correo electrónico
9. SOFTWARE- APLICACIONES
INFORMATICAS
Tareas que han
sido
automatizadas
para su
desempeño por
un equipo
informático
desarrollo propio (in house)
desarrollo a medida (subcontratado)
estándar (off the shelf)
servidor de aplicaciones
servidor de correo electrónico
sistema operativo
sistema de backup
10. EQUIPAMIENTO INFORMATICO
(HARDWARE)
Medios materiales,
físicos, destinados a
soportar directa O
indirectamente los
servicios que presta la
organización,
grandes equipos
informática personal
informática móvil
periféricos
medios de impresión
escáneres
dispositivos
soporte de la red
Modem
conmutadores
encaminadores
cortafuegos
11. REDES DE COMUNICACIONES
Incluyendo tanto
instalaciones
Dedicadas como
servicios
De comunicaciones
contratados a
terceros; pero siempre
centrándose en que son
medios
de transporte que llevan
datos
de un sitio a otro.
red telefónica
RDSI (red digital)
X25 (red de datos)
ADSL
punto a punto
comunicaciones radio
red inalámbrica
telefonía móvil
por satélite
red local
12. SOPORTES DEINFORMACION:
Dispositivos físicos que permiten almacenar in formación de forma permanente
o, al menos, durante largos periodos de tiempo
Electrónicos
Discos
discos virtuales
almacenamiento en red
disquetes
cederrón (CD-ROM)
memorias USB
DVD
cinta magnética
tarjetas de memoria
No Electrónicos
material impreso
cinta de papel
tarjetas perforadas
13. EQUIPAMIENTO AUXILIAR
Consideran otros
equipos que sirven de
soporte a los sistemas
de información, sin
estar directamente
Relacionados con datos
fuentes de alimentación
sistemas de alimentación ininterrumpida
generadores eléctricos
equipos de climatización
cableado
cable eléctrico
fibra óptica
mobiliario: armarios, etc
cajas fuerte
14. INSTALACIONES
Lugares donde se
Hospedan los sistemas
De información
Y comunicaciones
recinto
edificio
cuarto
plataformas móviles
vehículo terrestre: coche, etc.
vehículo aéreo: avión, etc.
vehículo marítimo: lancha, etc.
contenedores
canalización
instalaciones de respaldo
15. PERSONAS
Relacionadas con los
sistemas de información
usuarios externos
usuarios internos
operadores
administradores de sistemas
administradores de comunicaciones
administradores de BBDD
administradores de seguridad
desarrolladores / programadores
Subcontratas
proveedores
18. AMENAZAS
Causa potencial de un incidente que puede causar daños a
un sistema de información o a una organización. [UNE
71504:2008]
19. Valoración de las Amenazas
Cuando un activo es víctima de una amenaza, no se
ve afectado en todas sus dimensiones, ni en la misma
cuantía. Una vez determinado que una amenaza puede
perjudicar a un activo, hay que valorar su influencia en
el valor del activo, en dos sentidos:
20. Degradación: cuán perjudicado resultaría el [valor del] activo.
Mide el daño causado por un incidente en el supuesto de que
ocurriera.
La degradación se suele caracterizar como una fracción del valor del
activo y así aparecen expresiones como que un activo se ha visto
“totalmente degradado”, o “degradado en una pequeña fracción”.
21. MA Muy alta Casi seguro Fácil
A Alta Muy alto medio
M Media posible difícil
B baja Poco probable Muy difícil
MB Muy baja Muy caro Extremadamente difícil
22. Probabilidad: cuán probable o improbable es que se materialice la
amenaza.
La probabilidad de ocurrencia es más compleja de determinar y de
expresar. A veces se modela cualitativamente por medio de alguna escala
nominal.
A veces se modela numéricamente como una frecuencia de ocurrencia. Es
habitual usar 1 año como referencia, de forma que se recurre a la tasa
anual de ocurrencia como medida de la probabilidad de que algo ocurra. Son
valores típicos:
23. MA 100 Muy frecuente A diario
A 10 Frecuente mensualmente
M 1 Normal una vez al año
B 1/10 Poco frecuente cada varios años
MB 1/100 Muy poco frecuente siglos
24. Se presenta a continuación un catálogo de amenazas posibles sobre
los activos de un sistema de información. Para cada amenaza se
presenta un cuadro como el siguiente:
[código] descripción sucinta de l o que puede pasar
Ti pos de activos:
que se pueden ver afectados
por este tipo de amenazas
Dimensiones:
de seguridad que se pueden ver
afecta das por este tipo de
amenaza, ordenadas de más a
menos relevante
Descripción:
complementaria o más detallada de la amenaza: lo que le puede ocurrir a
activos del tipo indicado con las consecuencias indicadas
25. 1. Desastres naturales
Sucesos que pueden ocurrir sin intervención de
los seres humanos como causa directa o
indirecta.
Origen:
Natural (accidental)
1.1. Fuego
1.2.Daños por agua
1.3. Desastres naturales
26. 2. De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la
actividad humana de tipo industrial. Estas amenazas pueden darse de
forma accidental o deliberada.
2.1. Fuego
2.2.Daños por agua
2.3.Desastres industriales
2.4.Contaminación mecánica
2.5.Contaminación electromagnética
2.6.Avería de origen físico o lógico
2.7.Corte del suministro eléctrico
2.8.Condiciones inadecuadas de temperatura o humedad
2.9.Fallo de servicios de comunicaciones
2.10.Interrupción de otros servicios y suministros esenciales
2.11.Degradación de los soportes de almacenamiento de la
información
2.12.Emanaciones electromagnéticas
27. 3. Errores y fallos no intencionados
Fallos no intencionales causados por las personas.
La numeración no es consecutiva, sino que está alineada con los
ataques
deliberados, muchas veces de naturaleza similar a los errores no
intencionados, difiriendo únicamente en el propósito del sujeto.
Origen:
Humano (accidental)
28. 1.Errores de los usuarios
2.Errores del administrador
3.Errores de monitorización (log)
4.Errores de configuración
5.Difusión de software dañino
6.Errores de [re-]encaminamiento
7.Errores de secuencia
8.Alteración accidental de la información
9.Destrucción de información
10.Fugas de información
11.Vulnerabilidades de los programas (software)
12.Errores de mantenimiento / actualización de programas
(software)
13.Errores de mantenimiento / actualización de equipos
(hardware)
14.Caída del sistema por agotamiento de recursos
15.Pérdida de equipos
16.Indisponibilidad del personal
29. 4. Ataques intencionados
Fallos deliberados causados por las personas.
La numeración no es consecutiva para coordinarla con los errores no
intencionados, muchas ve ces de naturaleza similar a los ataques
deliberados, difiriendo únicamente en el propósito del sujeto.
Origen:
Humano (deliberado)
1.Manipulación de los registros de actividad (log)
2.Manipulación de la configuración
3.Suplantación de la identidad del usuario
4.Abuso de privilegios de acceso
5.Uso no previsto
6.Difusión de software dañino
7.Encaminamiento de mensajes
8.Alteración de secuencia
30. 9.Acceso no autorizado
10.Análisis de tráfico
11.Repudio
12.Interceptación de información (escucha)
13.Modificación deliberada de la información
14.Destrucción de información
15.Divulgación de información
16.Manipulación de programas
17.Manipulación de los equipos
18.Denegación de servicio
19.Robo
20.Ataque destructivo
21.Ocupación enemiga
22.Indisponibilidad del personal
23.Extorsión
24.Ingeniería social (picaresca)
31. SALVAGUARDAS
Se definen las salvaguardas o contra medidas
como aquellos procedimientos o mecanismos
tecnológicos que reducen el riesgo.
32. Ante el amplio abanico de posibles salvaguardas a
considerar, se deben tener en cuenta los siguientes
aspectos:
Tipo de activos a proteger, pues cada tipo
se protege de una forma específica.
Dimensión o dimensiones de seguridad que
requieren protección.
Amenazas de las que necesitamos protegernos.
Si existen salvaguardas alternativas.
33. Existen diferentes tipos de salvaguardas que tienen un
efecto de reducción de degradación y de la probabilidad.
34. Valoración de salvaguardas
Las salvaguardas se caracterizan, además de por su
existencia, por su eficacia frente al riesgo.
Entre una eficacia del 0% para aquellas que faltan y el
100% para aquellas que son idóneas y que están
perfectamente implantadas, se estimará un grado de
eficacia real en cada caso concreto.
Se puede emplear una escala de madurez que recoja
en forma de factor corrector la confianza que merece el
proceso de gestión de la salvaguarda.