Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra

1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesión 02a
Riesgos, manos a la obra

2

3
Gestión de Riesgos – Enfoque PMI

4
Gestión de Riesgos – Enfoque PMI

5
Análisis de riesgos:
Es el estudio de las posibles amenazas y vulnerabilidades a
los que están expuesto los recursos y servicios que ofrece TI
a la Organización y que permita estimar la magnitud de los
impactos que pueda ocasionar a la Organización en caso de
producirse los riesgos.
Qué es el Análisis de Riesgos de TI ?

6
Dominio 03: Administración de
Activos/Gestión de Activos
3.1. Responsabilidad sobre los activos
3.2. Clasificación de la información
Según Metodología Magerit

7
3.1. Responsabilidad sobre los activos
Objetivo.- Lograr y mantener una protección
adecuada de los activos de la Organización
Subobjetivos:
3.1.1. Inventario de activos.
3.1.2. Responsable de los activos.
3.1.3. Acuerdos sobre el uso aceptable de los activos.

8
3.2 Clasificación de la información
Objetivo.- Asegurar que la información reciba un nivel de protección
apropiada
Subobjetivos:
3.2.1. Directrices de clasificación.
3.2.2. Marcado y tratamiento de la información.

9
¿QUÉ ES UNA AMENAZA?
Amenaza.- es un evento o acción no deseable que puede
afectar negativamente a la organización para el logro de sus
objetivos, metas, etc.
Amenaza.- (Inglés: Threat). Según [ISO/IEC 13335-1:2004]:
causa potencial de un incidente no deseado, el cual puede
causar el daño a un sistema o la organización.

10
Ejemplo de Amenazas:
Activo Amenaza
Servidor de Dominio de Red Deje de operar
Baja el rendimiento del servidor
Acceso de personal no autorizado

11
¿QUÉ ES UNA VULNERABILIDAD?
Vulnerabilidad.- Es una debilidad en un sistema, aplicación o
infraestructura que lo haga susceptible a la materialización
de una amenaza
Vulnerabilidad.- (Inglés: Vulnerability). Debilidad en la
seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo.
Según [ISO/IEC 13335-1:2004]: debilidad de un activo o
conjunto de activos que puede ser explotado por una
amenaza.

12
Ejemplo: Activo-Amenaza-Vulnerabilidad
Activo Amenaza Vulnerabilidades
Servidor de Dominio de
Red
Deje de operar • Instalación de actualizaciones sin el
debido testing
• Carencia de mantenimiento
• Falta de renovación del hardware
• Carencia o documentación
incompleta
• Instalación de servicios adicionales
Baja el
rendimiento del
servidor
• Ambiente inadecuado para su
operatividad
• Instalación de servicios adicionales
Acceso de
personal no
autorizado
• Falta/inadecuado control de acceso
físico

13
 La probabilidad mide la
frecuencia con la que se
obtiene un resultado (o
conjunto de resultados) al
llevar a cabo un experimento
aleatorio, del que se conocen
todos los resultados posibles,
bajo condiciones
suficientemente estables.
 Fuente:
http://es.wikipedia.org/wiki/Pr
obabilidad
¿QUÉ ES UNA PROBABILIDAD?

14
Ejemplo:
Activo Amenaza Vulnerabilidades Probabilidad
Servidor de Dominio de
Red
Deje de operar • Instalación de
actualizaciones sin el debido
testing
• Falta de renovación del
hardware
• Carencia o documentación
incompleta
• Instalación de servicios
adicionales
• Muy Alta
• Baja
• Muy Baja
• Alta
• Media
Baja el
rendimiento del
servidor
• Ambiente inadecuado para
su operatividad
adicionales
• Alta
• Media
• Muy Alta
Acceso de
personal no
autorizado
• Falta/inadecuado control de
acceso físico
• Alta

15
¿QUÉ ES UN IMPACTO?
Impacto: medida o grado del daño sobre un activo
producto de la materialización de una amenaza.

16
Activo Amenaza Vulnerabilidades Probabil
idad
Impacto Detalle
Impacto
Servidor de
Dominio de
Red
Deje de
operar
• Instalación de
actualizaciones sin el
debido testing
• Carencia de
mantenimiento
• Falta de renovación del
hardware
• Carencia o
documentación
incompleta
adicionales
• Muy
Alta
• Baja
• Muy
Baja
• Alta
• Media
• Alto • Impacto 1
Baja el
rendimiento
del servidor
• Carencia de
mantenimiento
• Ambiente inadecuado
para su operatividad
adicionales
• Alta
• Media
• Muy
Alta
• Medio • Impacto 2
Acceso de
personal no
autorizado
• Falta/inadecuado
control de acceso físico
• Alta
• Bajo • Impacto 3

17
Impacto – Análisis CID
El impacto es la materialización valorada cualitativa o
cuantitativamente de una(s) amenaza(s), que afecta las
actividades/procesos del negocio principalmente en los siguientes
principios:
Detalle del Impacto C I D
Impacto 1 2 3 5
Impacto 2 4 5 3
Impacto 3 - 3 1
-C = Confidencialidad
-I = Integridad
-D = Disponibilidad

18
Activo Vulnerabilidades Probabili
dad
Amenaza Impacto C I D
Servidor de
Dominio de
Red
Instalación de actualizaciones
sin la debida
certificación/pruebas
Muy Alta
(10)
A1 I1 (MA) - 2 5
Carencia de mantenimiento Alta (08) Muy Alto
(MA)
Falta de renovación del
hardware
Media (05) Alto (A)
Ambiente inadecuado para su
operatividad
Baja (03) Medio (M)
Instalación de servicios
adicionales
Muy Baja
(01)
Bajo (B)
Carencia o documentación
incompleta
Alta (08) Muy Bajo
(MB)
Ejemplo: Análisis CID

19
Acciones a Realizar en un Análisis de Riesgos
1. Determinar el alcance del análisis de riesgo de TI
2. Identificar todos los activos de información de la Organización, su
interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su
degradación)
3. Identificar las principales amenazas de los activos de información
4. Identificar las principales vulnerabilidades que pueden generar las amenazas
de cada activo de información
5. Identificar la probabilidad que tienen cada una de las vulnerabilidades
identificadas.
6. Con estos elementos se puede estimar:
1. El impacto: lo que podría pasar y el análisis CID
2. El riesgo: lo que probablemente pase
7. Desarrollo de la Matriz de Riesgo
8. Interpretación de la matriz de riesgo, conclusiones y recomendaciones.

20
Consideraciones para un Análisis de Riesgos
• Realizar un análisis de riesgos es laborioso y costoso.
• Desarrollar un mapa de activos y valorarlos requiere la participación
y colaboración de muchos perfiles dentro de la Organización.
• Se debe lograr una uniformidad de criterio entre todos
• Es importante cuantificar los riesgos, pero más importante aún es
relativizarlos, debido que en un análisis de riesgos aparecen multitud
de datos.
• La única forma de afrontar la complejidad es centrarse en lo más
importante (máximo impacto, máximo riesgo).
• Pero si los datos no están bien ordenados en términos relativos, su
interpretación es imposible.

21
Metalenguaje del riesgo
Declaración del riesgo:
“Como consecuencia <causa concreta>, podría ocurrir
<evento incierto/riesgo>, que llevaría a <efecto en el
objetivo>”.
Ejemplos:
 “Como consecuencia de usar hardware nuevo, podrían
ocurrir errores inesperados en el sistema de
integración, lo que incrementaría el costo del
proyecto”.
 “Ya que nuestra organización nunca ha hecho un
proyecto como éste, podríamos entender mal las
necesidades del cliente, y nuestra solución no
cumpliría con los requisitos comprometidos”.

22
CURSO PROJECT MANAGEMENT ESSENTIALS

23
Matriz de probabilidad e impacto con oportunidades y amenazas
CURSO PROJECT MANAGEMENT ESSENTIALS

24
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Sesiones 03 y 04
Seguridad física

25
¿Realidad?

26
1° principio de la Seguridad Informática
 “El intruso para ingresar al sistema utilizará cualquier artilugio que haga
más fácil su acceso y posterior ataque”.
 Existirá una diversidad de frentes desde los que puede producirse un
ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica la
filosofía de ataque hacia el punto más débil.
PREGUNTA:
¿Cuáles son los puntos
débiles de un sistema
informático?

27
2º principio de la Seguridad Informática
 Los datos confidenciales deben protegerse sólo hasta que ese secreto
pierda su valor.
 Caducidad del sistema de protección: tiempo en el que debe mantenerse
la confidencialidad o secreto del dato.
 Fortaleza del sistema de cifra.
PREGUNTA:
¿Cuánto tiempo debe
protegerse un Dato?

28
3º principio de la Seguridad Informática
 Las medidas de control se implementan para ser utilizadas de
forma efectiva. Deben ser eficientes, fáciles de usar y
apropiadas al medio.
 Que funcionen en el momento oportuno.
 Que lo hagan optimizando los recursos del sistema.
 Que pasen desapercibidas para el usuario.

29
Estructura
tri-dimensional
ISO 7498-2
Arquitectura
base de
seguridad

30
Confidencialidad
Integridad
Disponibilidad
Procesada
Almacenada
Transmitida
Políticas y
procedimientos
Tecnología
Conciencia, educación,
y entrenamiento
Modelo de Seguridad de la Información
La seguridad de la información se basa
en estos pilares (metas)
Puede tomar estos estados
Se adoptan medidas para su
seguridad (salvaguardas)
La información es un recurso que, como
el resto de los activos, tiene valor para
una organización y por consiguiente
debe ser debidamente protegida.

31
Seguridad de la información: pilares
Normativo – Legal
(leyes, contratos, reglamentos, códigos de conducta, etc.)
Tecnología
(hardware, software, seguridad física, normas técnicas, mejores prácticas)
Organización
(capacitación, auditorías, aplicación práctica, políticas, etc.)
Data consistente
Válida
Persistente
Sin manipulaciones
Sin alteraciones
Autorización
Autenticación
Privacidad
Acceso controlado
Continuidad del negocio
y operaciones
Canales adecuados
siguiendo los procesos
correctos

32
Eventualmente TODO sistema de seguridad FALLARÁ
 Ya que debemos garantizar el CID:
 Confidencialidad: Que nadie más lo vea
 Integridad: Que nadie más lo cambie
 Disponibilidad: Que siempre esté ahí
La seguridad –
informática- NO es un
proceso puntual –o único,
es un proceso CONTINUO

33
Mientras tanto
 Demos el menor privilegio
 Cualquier objeto (usuario, administrador, programa,
sistema, etc.) debe tener tan solo los privilegios de uso
necesarios para desarrollar su tarea y ninguno más.
 “La cadena se rompe por el eslabón más débil”
 En todo sistema de seguridad, el máximo grado de
seguridad no es la suma de toda la cadena de medidas
sino el grado de seguridad de su eslabón más débil.
 Defensa en profundidad
 La seguridad de nuestro sistema no debe depender
de un solo mecanismo por muy fuerte que éste sea,
sino que es necesario establecer varias mecanismos
sucesivos.
 Establezcamos un punto de control centralizado
 Se trata de establecer un único punto de acceso a
nuestro sistema, de modo que cualquier atacante que
intente acceder al mismo tenga que pasar por él.
 No se trata de utilizar un solo mecanismo de
seguridad, sino de "alinearlos" todos de modo que el
usuario tenga que pasar por ellos para acceder al
sistema.

34
Otras consideraciones
 Seguridad no equivale a oscuridad
 Un sistema no es más seguro porque escondamos sus posibles defectos o
vulnerabilidades, sino porque los conozcamos y corrijamos estableciendo las
medidas de seguridad adecuadas.
 Seguridad en caso de fallo
 En caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe
quedar en un estado seguro.
 Participación universal
 La participación voluntaria de todos los usuarios en la seguridad de un sistema es
el mecanismo más fuerte conocido para hacerlo seguro.
 Si todos los usuarios prestan su apoyo y colaboran en establecer las medidas de
seguridad y en ponerlas en práctica el sistema siempre tenderá a mejorar.
 Principio de simplicidad
 En primer lugar, mantener las cosas simples, las hace más fáciles de comprender. Si
no se entiende algo, difícilmente puede saberse si es seguro.
 En segundo lugar, la complejidad permite esconder múltiples fallos. Los programas
más largos y complejos son propensos a contener múltiples fallos y puntos débiles.

35
Modelo de seguridad informática

36
Consideremos entonces
 Acceso
 Prevención
 Detección
 Desastres naturales
 ‘desastres’ humanos
 Respaldos

37
Sólo en suministro eléctrico
 Corte de energía o apagones: Es la perdida total de suministro eléctrico causado por
relámpagos fallos de la línea de energía, excesos de demandas accidentes y desastres
naturales. Pueden causar daños en el equipo electrónico, perdida de datos, o parada del
sistema.
 Bajada de voltaje momentánea o micro-cortes: Es la caída momentánea del voltaje
generada por el arranque de grandes cargas encendidos de maquinarias pesadas o fallos
de equipos, se presenta de manera similar a los apagones pero en oleadas repentinas,
causa principalmente daños al hardware y perdida de datos.
 Ciclo de tensión o altos voltajes momentáneos: Producidos por una rápida reducción de
cargas cuando el equipo pesado es apagado, o por voltajes que están por encima del
ciento diez por ciento de la nominal, los resultados pueden ser daños irreversibles.
 Bajadas de tensión sostenidas: Bajo voltaje sostenido en la línea por periodos largos de
unos cuantos minutos, horas y hasta días pueden ser causados por una reducción
intencionada de la tensión para conservar energías durante los periodos de mayor
demanda. Puede causar daños al hardware principalmente.
 Sobrevoltaje o líneas de tensión: sobrevoltaje en la línea por periodos largos. Puede ser
causado por un relámpago y puede incrementar el voltaje de la línea hasta 6000 volteos
en exceso casi siempre ocasiona perdidas de la información y daños del hardware.

38
Sólo en suministro eléctrico
 Ruido eléctrico: Interferencias de alta frecuencia causada por radiofrecuencia o
interferencias electromagnéticas, pueden ser causadas por transmisores, maquinas de
soldar, impresoras, relámpagos,.... Introduce errores en los programas y archivos así
como daños a los componentes electrónicos.
 Variación de frecuencia: Se refiere a un cambio de estabilidad de la frecuencia, resultado
de un generador o pequeños sitios de cogeneracion siendo cargados o descargados,
puede causar funcionamiento errático de los equipos, perdidas de información, caídas
del sistema y daños de equipos.
 Transientes o micropicos: Es la caída instantánea del voltaje en el rango de los
nanosegundos, la duración normal es mas corta que un pico , puede originar
comportamientos extraños y proporcionado estrés en los componentes electrónicos
quedando propensos a fallos.
 Distorsión armónica: Es la distorsión de la onda normal, causadas por cargas no lineales
conectadas a la misma red de los equipos informáticos y/o aplicaciones criticas:
maquinas fax, copiadoras, son ejemplos de cargas no lineales puede provocar
sobrecalentamiento en los ordenadores errores de comunicación y daño del hardware.

39
Sólo en cuanto a fuego
 Clase A
 Se origina en materiales sólidos como telas, maderas, basura, otros.
 Se apaga con agua o con un extintos de polvo químico seco ABC, espuma mecánica
 Clase B
 Se origina en líquidos inflamables como gasolina, petróleo, aceite, grasas, pinturas,
otros.
 Se apaga con espuma de bióxido de carbono (CO2) o polvo químico seco, arena o
tierra.
 Clase C
 Se origina en equipos eléctricos.
 Se apaga con extintor de bióxido de carbono (CO2) o polvo químico seco ABC, BC
 Clase D
 Se presenta en metales combustibles como aluminio, titanio y otros productos
químicos
 Se apaga con extintores de tipo sofocantes, como los que producen espuma
Las espumas químicas producen el sofocamiento del fuego por liberación por procesos químicos de
gases que desalojan o anulan la acción del oxígeno.
Las espumas mecánicas actúan directamente por sofocación, como si fueran una manta.

40
¿Qué seguridad debemos buscar?

Gracias por su atención
¿Preguntas?

Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra

Similar a Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (11)

Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra