Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesión 02a
Riesgos, manos a la obra
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de Riesgos – Enfoque PMI
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Análisis de riesgos:
Es el estudio de las posibles amenazas y vulnerabilidades a
los que están expuesto los recursos y servicios que ofrece TI
a la Organización y que permita estimar la magnitud de los
impactos que pueda ocasionar a la Organización en caso de
producirse los riesgos.
Qué es el Análisis de Riesgos de TI ?
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Dominio 03: Administración de
Activos/Gestión de Activos
3.1. Responsabilidad sobre los activos
3.2. Clasificación de la información
Según Metodología Magerit
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
3.1. Responsabilidad sobre los activos
Objetivo.- Lograr y mantener una protección
adecuada de los activos de la Organización
Subobjetivos:
3.1.1. Inventario de activos.
3.1.2. Responsable de los activos.
3.1.3. Acuerdos sobre el uso aceptable de los activos.
Dominio 03: Administración de
Activos/Gestión de Activos
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
3.2 Clasificación de la información
Objetivo.- Asegurar que la información reciba un nivel de protección
apropiada
Subobjetivos:
3.2.1. Directrices de clasificación.
3.2.2. Marcado y tratamiento de la información.
Dominio 03: Administración de
Activos/Gestión de Activos
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿QUÉ ES UNA AMENAZA?
Amenaza.- es un evento o acción no deseable que puede
afectar negativamente a la organización para el logro de sus
objetivos, metas, etc.
Amenaza.- (Inglés: Threat). Según [ISO/IEC 13335-1:2004]:
causa potencial de un incidente no deseado, el cual puede
causar el daño a un sistema o la organización.
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo de Amenazas:
Activo Amenaza
Servidor de Dominio de Red Deje de operar
Baja el rendimiento del servidor
Acceso de personal no autorizado
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿QUÉ ES UNA VULNERABILIDAD?
Vulnerabilidad.- Es una debilidad en un sistema, aplicación o
infraestructura que lo haga susceptible a la materialización
de una amenaza
Vulnerabilidad.- (Inglés: Vulnerability). Debilidad en la
seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo.
Según [ISO/IEC 13335-1:2004]: debilidad de un activo o
conjunto de activos que puede ser explotado por una
amenaza.
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo: Activo-Amenaza-Vulnerabilidad
Activo Amenaza Vulnerabilidades
Servidor de Dominio de
Red
Deje de operar • Instalación de actualizaciones sin el
debido testing
• Carencia de mantenimiento
• Falta de renovación del hardware
• Carencia o documentación
incompleta
• Instalación de servicios adicionales
Baja el
rendimiento del
servidor
• Carencia de mantenimiento
• Ambiente inadecuado para su
operatividad
• Instalación de servicios adicionales
Acceso de
personal no
autorizado
• Falta/inadecuado control de acceso
físico
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
La probabilidad mide la
frecuencia con la que se
obtiene un resultado (o
conjunto de resultados) al
llevar a cabo un experimento
aleatorio, del que se conocen
todos los resultados posibles,
bajo condiciones
suficientemente estables.
Fuente:
http://es.wikipedia.org/wiki/Pr
obabilidad
¿QUÉ ES UNA PROBABILIDAD?
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo:
Activo Amenaza Vulnerabilidades Probabilidad
Servidor de Dominio de
Red
Deje de operar • Instalación de
actualizaciones sin el debido
testing
• Carencia de mantenimiento
• Falta de renovación del
hardware
• Carencia o documentación
incompleta
• Instalación de servicios
adicionales
• Muy Alta
• Baja
• Muy Baja
• Alta
• Media
Baja el
rendimiento del
servidor
• Carencia de mantenimiento
• Ambiente inadecuado para
su operatividad
• Instalación de servicios
adicionales
• Alta
• Media
• Muy Alta
Acceso de
personal no
autorizado
• Falta/inadecuado control de
acceso físico
• Alta
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿QUÉ ES UN IMPACTO?
Impacto: medida o grado del daño sobre un activo
producto de la materialización de una amenaza.
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activo Amenaza Vulnerabilidades Probabil
idad
Impacto Detalle
Impacto
Servidor de
Dominio de
Red
Deje de
operar
• Instalación de
actualizaciones sin el
debido testing
• Carencia de
mantenimiento
• Falta de renovación del
hardware
• Carencia o
documentación
incompleta
• Instalación de servicios
adicionales
• Muy
Alta
• Baja
• Muy
Baja
• Alta
• Media
• Alto • Impacto 1
Baja el
rendimiento
del servidor
• Carencia de
mantenimiento
• Ambiente inadecuado
para su operatividad
• Instalación de servicios
adicionales
• Alta
• Media
• Muy
Alta
• Medio • Impacto 2
Acceso de
personal no
autorizado
• Falta/inadecuado
control de acceso físico
• Alta
• Bajo • Impacto 3
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Impacto – Análisis CID
El impacto es la materialización valorada cualitativa o
cuantitativamente de una(s) amenaza(s), que afecta las
actividades/procesos del negocio principalmente en los siguientes
principios:
Detalle del Impacto C I D
Impacto 1 2 3 5
Impacto 2 4 5 3
Impacto 3 - 3 1
-C = Confidencialidad
-I = Integridad
-D = Disponibilidad
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activo Vulnerabilidades Probabili
dad
Amenaza Impacto C I D
Servidor de
Dominio de
Red
Instalación de actualizaciones
sin la debida
certificación/pruebas
Muy Alta
(10)
A1 I1 (MA) - 2 5
Carencia de mantenimiento Alta (08) Muy Alto
(MA)
Falta de renovación del
hardware
Media (05) Alto (A)
Ambiente inadecuado para su
operatividad
Baja (03) Medio (M)
Instalación de servicios
adicionales
Muy Baja
(01)
Bajo (B)
Carencia o documentación
incompleta
Alta (08) Muy Bajo
(MB)
Ejemplo: Análisis CID
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Acciones a Realizar en un Análisis de Riesgos
1. Determinar el alcance del análisis de riesgo de TI
2. Identificar todos los activos de información de la Organización, su
interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su
degradación)
3. Identificar las principales amenazas de los activos de información
4. Identificar las principales vulnerabilidades que pueden generar las amenazas
de cada activo de información
5. Identificar la probabilidad que tienen cada una de las vulnerabilidades
identificadas.
6. Con estos elementos se puede estimar:
1. El impacto: lo que podría pasar y el análisis CID
2. El riesgo: lo que probablemente pase
7. Desarrollo de la Matriz de Riesgo
8. Interpretación de la matriz de riesgo, conclusiones y recomendaciones.
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones para un Análisis de Riesgos
• Realizar un análisis de riesgos es laborioso y costoso.
• Desarrollar un mapa de activos y valorarlos requiere la participación
y colaboración de muchos perfiles dentro de la Organización.
• Se debe lograr una uniformidad de criterio entre todos
• Es importante cuantificar los riesgos, pero más importante aún es
relativizarlos, debido que en un análisis de riesgos aparecen multitud
de datos.
• La única forma de afrontar la complejidad es centrarse en lo más
importante (máximo impacto, máximo riesgo).
• Pero si los datos no están bien ordenados en términos relativos, su
interpretación es imposible.
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Metalenguaje del riesgo
Declaración del riesgo:
“Como consecuencia <causa concreta>, podría ocurrir
<evento incierto/riesgo>, que llevaría a <efecto en el
objetivo>”.
Ejemplos:
“Como consecuencia de usar hardware nuevo, podrían
ocurrir errores inesperados en el sistema de
integración, lo que incrementaría el costo del
proyecto”.
“Ya que nuestra organización nunca ha hecho un
proyecto como éste, podríamos entender mal las
necesidades del cliente, y nuestra solución no
cumpliría con los requisitos comprometidos”.
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
CURSO PROJECT MANAGEMENT ESSENTIALS
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Matriz de probabilidad e impacto con oportunidades y amenazas
CURSO PROJECT MANAGEMENT ESSENTIALS
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 03 y 04
Seguridad física
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
1° principio de la Seguridad Informática
“El intruso para ingresar al sistema utilizará cualquier artilugio que haga
más fácil su acceso y posterior ataque”.
Existirá una diversidad de frentes desde los que puede producirse un
ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica la
filosofía de ataque hacia el punto más débil.
PREGUNTA:
¿Cuáles son los puntos
débiles de un sistema
informático?
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
2º principio de la Seguridad Informática
Los datos confidenciales deben protegerse sólo hasta que ese secreto
pierda su valor.
Caducidad del sistema de protección: tiempo en el que debe mantenerse
la confidencialidad o secreto del dato.
Fortaleza del sistema de cifra.
PREGUNTA:
¿Cuánto tiempo debe
protegerse un Dato?
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
3º principio de la Seguridad Informática
Las medidas de control se implementan para ser utilizadas de
forma efectiva. Deben ser eficientes, fáciles de usar y
apropiadas al medio.
Que funcionen en el momento oportuno.
Que lo hagan optimizando los recursos del sistema.
Que pasen desapercibidas para el usuario.
29. 29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estructura
tri-dimensional
ISO 7498-2
Arquitectura
base de
seguridad
30. 30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Confidencialidad
Integridad
Disponibilidad
Procesada
Almacenada
Transmitida
Políticas y
procedimientos
Tecnología
Conciencia, educación,
y entrenamiento
Modelo de Seguridad de la Información
La seguridad de la información se basa
en estos pilares (metas)
Puede tomar estos estados
Se adoptan medidas para su
seguridad (salvaguardas)
La información es un recurso que, como
el resto de los activos, tiene valor para
una organización y por consiguiente
debe ser debidamente protegida.
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad de la información: pilares
Normativo – Legal
(leyes, contratos, reglamentos, códigos de conducta, etc.)
Tecnología
(hardware, software, seguridad física, normas técnicas, mejores prácticas)
Organización
(capacitación, auditorías, aplicación práctica, políticas, etc.)
Data consistente
Válida
Persistente
Sin manipulaciones
Sin alteraciones
Autorización
Autenticación
Privacidad
Acceso controlado
Continuidad del negocio
y operaciones
Canales adecuados
siguiendo los procesos
correctos
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Eventualmente TODO sistema de seguridad FALLARÁ
Ya que debemos garantizar el CID:
Confidencialidad: Que nadie más lo vea
Integridad: Que nadie más lo cambie
Disponibilidad: Que siempre esté ahí
La seguridad –
informática- NO es un
proceso puntual –o único,
es un proceso CONTINUO
33. 33
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Mientras tanto
Demos el menor privilegio
Cualquier objeto (usuario, administrador, programa,
sistema, etc.) debe tener tan solo los privilegios de uso
necesarios para desarrollar su tarea y ninguno más.
“La cadena se rompe por el eslabón más débil”
En todo sistema de seguridad, el máximo grado de
seguridad no es la suma de toda la cadena de medidas
sino el grado de seguridad de su eslabón más débil.
Defensa en profundidad
La seguridad de nuestro sistema no debe depender
de un solo mecanismo por muy fuerte que éste sea,
sino que es necesario establecer varias mecanismos
sucesivos.
Establezcamos un punto de control centralizado
Se trata de establecer un único punto de acceso a
nuestro sistema, de modo que cualquier atacante que
intente acceder al mismo tenga que pasar por él.
No se trata de utilizar un solo mecanismo de
seguridad, sino de "alinearlos" todos de modo que el
usuario tenga que pasar por ellos para acceder al
sistema.
34. 34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Otras consideraciones
Seguridad no equivale a oscuridad
Un sistema no es más seguro porque escondamos sus posibles defectos o
vulnerabilidades, sino porque los conozcamos y corrijamos estableciendo las
medidas de seguridad adecuadas.
Seguridad en caso de fallo
En caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe
quedar en un estado seguro.
Participación universal
La participación voluntaria de todos los usuarios en la seguridad de un sistema es
el mecanismo más fuerte conocido para hacerlo seguro.
Si todos los usuarios prestan su apoyo y colaboran en establecer las medidas de
seguridad y en ponerlas en práctica el sistema siempre tenderá a mejorar.
Principio de simplicidad
En primer lugar, mantener las cosas simples, las hace más fáciles de comprender. Si
no se entiende algo, difícilmente puede saberse si es seguro.
En segundo lugar, la complejidad permite esconder múltiples fallos. Los programas
más largos y complejos son propensos a contener múltiples fallos y puntos débiles.
35. 35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de seguridad informática
36. 36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideremos entonces
Acceso
Prevención
Detección
Desastres naturales
‘desastres’ humanos
Respaldos
37. 37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sólo en suministro eléctrico
Corte de energía o apagones: Es la perdida total de suministro eléctrico causado por
relámpagos fallos de la línea de energía, excesos de demandas accidentes y desastres
naturales. Pueden causar daños en el equipo electrónico, perdida de datos, o parada del
sistema.
Bajada de voltaje momentánea o micro-cortes: Es la caída momentánea del voltaje
generada por el arranque de grandes cargas encendidos de maquinarias pesadas o fallos
de equipos, se presenta de manera similar a los apagones pero en oleadas repentinas,
causa principalmente daños al hardware y perdida de datos.
Ciclo de tensión o altos voltajes momentáneos: Producidos por una rápida reducción de
cargas cuando el equipo pesado es apagado, o por voltajes que están por encima del
ciento diez por ciento de la nominal, los resultados pueden ser daños irreversibles.
Bajadas de tensión sostenidas: Bajo voltaje sostenido en la línea por periodos largos de
unos cuantos minutos, horas y hasta días pueden ser causados por una reducción
intencionada de la tensión para conservar energías durante los periodos de mayor
demanda. Puede causar daños al hardware principalmente.
Sobrevoltaje o líneas de tensión: sobrevoltaje en la línea por periodos largos. Puede ser
causado por un relámpago y puede incrementar el voltaje de la línea hasta 6000 volteos
en exceso casi siempre ocasiona perdidas de la información y daños del hardware.
38. 38
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sólo en suministro eléctrico
Ruido eléctrico: Interferencias de alta frecuencia causada por radiofrecuencia o
interferencias electromagnéticas, pueden ser causadas por transmisores, maquinas de
soldar, impresoras, relámpagos,.... Introduce errores en los programas y archivos así
como daños a los componentes electrónicos.
Variación de frecuencia: Se refiere a un cambio de estabilidad de la frecuencia, resultado
de un generador o pequeños sitios de cogeneracion siendo cargados o descargados,
puede causar funcionamiento errático de los equipos, perdidas de información, caídas
del sistema y daños de equipos.
Transientes o micropicos: Es la caída instantánea del voltaje en el rango de los
nanosegundos, la duración normal es mas corta que un pico , puede originar
comportamientos extraños y proporcionado estrés en los componentes electrónicos
quedando propensos a fallos.
Distorsión armónica: Es la distorsión de la onda normal, causadas por cargas no lineales
conectadas a la misma red de los equipos informáticos y/o aplicaciones criticas:
maquinas fax, copiadoras, son ejemplos de cargas no lineales puede provocar
sobrecalentamiento en los ordenadores errores de comunicación y daño del hardware.
39. 39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sólo en cuanto a fuego
Clase A
Se origina en materiales sólidos como telas, maderas, basura, otros.
Se apaga con agua o con un extintos de polvo químico seco ABC, espuma mecánica
Clase B
Se origina en líquidos inflamables como gasolina, petróleo, aceite, grasas, pinturas,
otros.
Se apaga con espuma de bióxido de carbono (CO2) o polvo químico seco, arena o
tierra.
Clase C
Se origina en equipos eléctricos.
Se apaga con extintor de bióxido de carbono (CO2) o polvo químico seco ABC, BC
Clase D
Se presenta en metales combustibles como aluminio, titanio y otros productos
químicos
Se apaga con extintores de tipo sofocantes, como los que producen espuma
Las espumas químicas producen el sofocamiento del fuego por liberación por procesos químicos de
gases que desalojan o anulan la acción del oxígeno.
Las espumas mecánicas actúan directamente por sofocación, como si fueran una manta.
40. 40
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué seguridad debemos buscar?
41. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com