El documento presenta conceptos clave sobre riesgos en seguridad informática como riesgo, amenaza, vulnerabilidad e impacto. Explica la clasificación de activos y la importancia de valorar la información como un activo valioso. También describe procesos de gestión de riesgos como la evaluación, identificación y análisis de riesgos usando métodos como DREAD.
Introducción a la seguridad informática y gestión de riesgos
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesión 02
Riesgos
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Controlar riesgos hoy implica controlar pérdidas mañana
La Tecnología de Información (TI) se ha convertido en el corazón
de las operaciones de cualquier organización.
Existe una creciente necesidad entre los usuarios de los
servicios de Tecnología de Información de implementar
estándares y herramientas para ayudar a mitigar el riesgo.
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Conceptos
Riesgo
Un posible Evento que puede causar daño o pérdidas, o afectar la
capacidad de alcanzar los Objetivos. Se mide el Riesgo por la probabilidad
de que se manifieste una Amenaza, la Vulnerabilidad del Activo a esa
Amenaza, y el Impacto que tendría de ocurrir.
Amenaza
Cualquier cosa que pueda aprovecharse de una Vulnerabilidad. Cualquier
causa potencial de un Incidente puede ser considerada como una
Amenaza.
Vulnerabilidad
Una debilidad que podría ser explotada por una Amenaza.
Impacto
Una medida del efecto de un Incidente, un Problema o de un Cambio
sobre los Procesos del Negocio. El impacto a menudo se basa en cómo se
verán afectados los Niveles de Servicio. El impacto y Urgencia se usan
para asignar Prioridad.
ITIL® V3 Glosario v2.1, 30 de mayo del 2007
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Conceptos
Activo
Cualquier Recurso o Capacidad. Los activos de un Proveedor de Servicios
incluyen cualquier cosa que pueda contribuir con la prestación de un
Servicio. Los activos pueden ser de los siguientes tipos: Gestión,
Organización, Proceso, Conocimiento, Personal, Información,
Aplicaciones, Infraestructura y Capital financiero.
Incidente
Una interrupción no planificada de un Servicio de TI o una reducción de la
Calidad de un Servicio de TI. El Fallo de un Elemento de Configuración
que no haya impactado aún sobre un Servicio es considerado también un
Incidente.
Elemento de Configuración
Cualquier Componente que deba ser gestionado a fin de prestar un
Servicio de TI. Los ECs suelen abarcar los Servicios de TI, el hardware, el
software, los montajes, el personal, y la documentación formal tal como
la documentación de un Proceso y los SLA.
ITIL® V3 Glosario v2.1, 30 de mayo del 2007
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activos: clasificación general
http://www.isotools.org/2013/12/05/en-inventario-de-activos-en-la-implementacion-de-la-norma-iso-27001/
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Activos de información
Cualquier información o sistema relacionado con el tratamiento de la
misma que tenga valor para la organización.
Todo medio que almacena, transporta, procesa o genera información y
que tiene valor para la institución.
Todos los activos deberían estar claramente identificados,
confeccionando y manteniendo un inventario con los más importantes.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Información como activo
Aspectos
fundamentales:
Confidencialidad
Integridad
Disponibilidad
Característica que indica que el
activo sólo sea accedido por el
personal, procesos o entidades que
se encuentran autorizadas y con las
autorizaciones adecuadas.
Característica que protege la
precisión, calidad, veracidad,
imparcialidad y completitud del
activo.
Característica que indica que el
activo sea oportuno, es decir que
pueda ser consultado y usado por la
persona, entidad o proceso cuando
lo requiera.
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Información como activo
Aspectos
fundamentales:
Confidencialidad
Integridad
Disponibilidad
¿Cómo valorar la información?
Total Cost of ownership (TCO)
Valor de los activos hardware
Grado de complejidad técnica
Reconstrucción
Volver a generar la información
Recuperación
Recuperar desde respaldos
Parámetros a considerar
Recovery Time Objective (RTO)
Recovery Point Objective (RPO)
Consecuencias regulatorias
Multas
Daño a la reputación
Calificación
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgos
Tradicionalmente, las organizaciones han tratado estos riesgos
mediantes estrategias de reacción y soluciones puntuales.
La tendencia moderna es utilizar un enfoque integral de manejo de los
mismos conocido como “Enterprise Risk Management” (ERM), con el
fin de evaluar, administrar y comunicar estos riesgos de una manera
integral, basados en los objetivos estratégicos de la organización.
avantium.es
La experiencia ha demostrado que los
elementos que conforman los riesgos y
los factores que determinan el impacto
de sus consecuencias sobre un sistema,
son los mismos que intervienen para
todos los riesgos en una organización.
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gestión de riesgos
Risk Management es un mecanismo que ayuda a predecir y manejar
eventos que puedan evitar que el proyecto culmine en plazo.
Entre las razones detectadas que contribuyen al fracaso de los
proyectos se encuentran la poca especificación del alcance en su
planteamiento, planificación poco realista en cuanto a plazo, costo y
calidad, contar con un equipo de trabajo inapropiado, no cumplir con
las expectativas del usuario, un mal manejo de los cambios requeridos
durante el desarrollo de la parada y/o carecer de una buena gestión y
dirección en la coordinación y manejo de eventos inciertos.
La ISO publica la Guía ISO 73:2009, el vocabulario de gestión de
riesgos, que complementa la norma ISO 31000, proporcionando una
colección de términos y definiciones relativas a la gestión del riesgo.
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Costos fundamentales
Cr: valor de los recursos y la información a proteger.
Ca: costo de los medios necesarios para romper las medidas de
seguridad implantadas en el sistema.
Cs: costo de las medidas de seguridad.
Es evidente que se debería cumplir que:
Ca > Cr > Cs
Es decir, el costo de romper las medidas de seguridad es mayor que el de
los posibles beneficios obtenidos.
El costo de las medidas de seguridad es menor que el de los recursos
protegidos.
De los tres sumandos Cr es el más difícil de evaluar.
Así
Cr= Valor intrínseco (hardware, software, datos, patentes, ...) + costos
derivados de su pérdida, intercepción o modificación (reposición,
repetición de experimentos, recuperación, ...)
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Relación de costos
Costo del
impacto si
se produce
un
incidente
Costo de las
medidas de
seguridad
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Norma ISO 31000:2009 – Gestión del riesgo, principios y
guías
Relación entre los principios, estructura de soporte y gestión del riesgo
Proceso de gestión del riesgo
(cláusula 6)
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estadísticas
Riesgo Estadísticas
El uso de
aplicaciones no
autorizadas
78 por ciento de los empleados acceden a correo electrónico personal desde
computadoras de negocios.
63 por ciento de los empleados admite haber utilizado una computadora para uso
personal todos los días.
70 por ciento de los profesionales de TI creen que el uso de programas no autorizados
da como resultado al menos la mitad de los incidentes de sus empresas la pérdida de
datos.
El mal uso de los
ordenadores
corporativos
Pasar por alto las políticas corporativas de TI y la configuración de seguridad
-China: el 42 por ciento
-Brasil: el 26 por ciento
- India: 20 por ciento
Compartir información corporativa sensible fuera de la empresa
-Brasil: el 47 por ciento
-India: el 27 por ciento
-El Reino Unido: el 26 por ciento
- Italia: el 22 por ciento
- Alemania: el 24 por ciento
Comparten dispositivos de trabajo con los no empleados
-China: el 43 por ciento
-India: el 28 por ciento
- En general: 44 por ciento (32 por ciento de los encuestados compartieron dispositivos
con compañeros de trabajo, y el 19 por ciento compartió con los que no son empleados
de la familia y amigos)
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estadísticas
Riesgo Estadísticas
Acceso físico
no autorizado
y la Red
39 por ciento de los profesionales de TI, dijo que se han ocupado de
acceso a partes no autorizadas de la red de una empresa o
establecimiento.
El acceso no autorizado y físico a la red fue más frecuente entre las
empresas medianas (46 por ciento), pero las pequeñas empresas
también tienen frecuentes incidentes (32 por ciento).
22 por ciento de los empleados alemanes no permiten a los
empleados a dar vueltas por las oficinas de supervisión
Seguridad de
los
trabajadores a
distancia
46 por ciento de los empleados realizan transferencia de archivos
entre el trabajo y ordenadores personales cuando trabajan desde
casa.
Más del 75 por ciento de los empleados no usan un protector de
privacidad cuando se trabaja de forma remota en un lugar público.
68 por ciento de la gente no piensa acerca de hablar en voz baja en
el teléfono cuando están en lugares públicos fuera de la oficina.
13 por ciento de las personas que trabajan desde casa admiten que
no pueden conectarse a sus redes corporativas, por lo que enviar un
correo electrónico de negocio a los clientes, socios y compañeros de
trabajo a través de su correo electrónico personal.
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estadísticas
Riesgo Estadísticas
El mal uso de
contraseñas y
procedimiento
s de conexión /
desconexión
28 por ciento de los empleados en China usan su contraseña de
cuentas financieras personales en sus dispositivos de trabajo.
18 por ciento de los empleados comparten sus contraseñas con
compañeros de trabajo,
10 por ciento de los empleados en la India, el Reino Unido, Italia y
apuntan por escrito la información de acceso y las contraseñas en su
escritorio de trabajo, dejando a los datos sensibles accesible si la
máquina es robada, incluso si el equipo está desconectado.
5 por ciento de los empleados en el Reino Unido y Francia deja las
contraseñas de las cuentas personales y financieras impresas en su
escritorio de trabajo.
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procesos de la disciplina de administración de riesgos de
seguridad (SRMD)
Evaluación
Evaluar y valorar los activos
Identificar los riesgos de seguridad
Analizar y asignar prioridad a los riesgos de seguridad
Seguimiento, planeamiento y programación de riesgos
Desarrollo e implementación
Desarrollar métodos correctivos de seguridad
Probar los métodos correctivos de seguridad
Obtener información de seguridad
Funcionamiento
Volver a valorar los activos nuevos y los que han sufrido cambios, así
como los riesgos de seguridad
Estabilizar e implementar medidas preventivas nuevas o que han
cambiado
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación: evaluar y valorar
Prioridades de activos (escala de 1 a 10)
1. El servidor proporciona una funcionalidad básica pero no tiene un impacto
financiero en el negocio.
3. El servidor contiene información importante, pero los datos se pueden
recuperar rápida y fácilmente.
5. El servidor contiene datos importantes que llevaría algún tiempo recuperar.
8. El servidor contiene información importante para los objetivos empresariales
de la compañía. La pérdida de este equipamiento tendría un efecto
considerable en la productividad de todos los usuarios.
10. El servidor tiene un efecto considerable en el negocio de la compañía. La
pérdida de este equipamiento resultaría en una desventaja con respecto a la
competencia.
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación: identificar amenazas de seguridad - STRIDE
Tipos de
amenazas
Ejemplos
Suplantación
• Falsificar mensajes de correo electrónico
• Reproducir paquetes de autenticación
AlTeración
• Alterar datos durante la transmisión
• Cambiar datos en archivos
Repudio
• Eliminar un archivo esencial y denegar este hecho
• Adquirir un producto y negar posteriormente que se ha adquirido
DIvulgación de
información
• Exponer la información en mensajes de error
• Exponer el código de los sitios Web
Denegación
de servicio
• Inundar una red con paquetes de sincronización
• Inundar una red con paquetes ICMP falsificados
Elevación de
privilegios
• Explotar la saturación de un búfer para obtener privilegios en el
Sistema
• Obtener privilegios de administrador de forma ilegítima
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación: análisis y establecimiento de prioridades
de los riesgos de seguridad: DREAD
Daño
Capacidad de Reproducción
Capacidad de Explotación
Usuarios Afectados
Capacidad de Descubrimiento
Riesgo_DREAD = (Daño
Potencial + Reproductibilidad +
Explotabilidad + Usuarios
Afectados + Detectabilidad) / 5
Basado en OWASP Guide 2.0.1.
Daño potencial:
Si una amenaza fuese explotada, ¿Cuánto daño causaría?
0 = Nada
5 = Datos de los usuarios individuales comprometidos o afectados.
10 = Destrucción de datos del sistema comleto
Reproductibilidad:
¿Es fácil de reproducir la amenaza a explotar?
0 = Muy difícil o imposible, incluso para los administradores de la
aplicación.
5 = Uno o dos pasos necesarios, puede ser necesario un usuario
autorizado.
10 = Sólo un navegador web y la barra de direcciones es suficiente,
sin necesidad de autenticación.
Explotabilidad:
Lo que se necesita para aprovechar esta amenaza.
0 = Conocimientos avanzados de programación y de redes, con
herramientas de ataque personalizadas o avanzadas.
5 = Malware existente en el Internet, o un exploit fácil de realizar
con las herramientas disponibles en la web.
10 = Sólo un navegador web.
…
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación: seguimiento, diseño y programación de
actividades relacionadas con los riesgos de seguridad
Directiva de
seguridad
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Desarrollo e implementación:
desarrollo de métodos correctivos de seguridad
Directiva de
seguridad
Administración de la
configuración
Administración
de revisiones
Supervisión del sistema
Auditoría del sistema
Directivas operativas
Procedimientos operativos
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Desarrollo e implementación:
verificación de los métodos correctivos de seguridad
Administración de la
configuración
Administración
de revisiones
Supervisión del sistema
Auditoría del sistema
Directivas operativas
Procedimientos operativos
Laboratori
o de
pruebas
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Desarrollo e implementación:
obtención de información de seguridad
Laboratori
o de
pruebas
Oficina principal
Servicios Internet
LAN
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Funcionamiento:
reevaluación de los activos y los riesgos
Los activos nuevos, los que han sufrido cambios y los riesgos de
seguridad
Oficina principal
Servicios Internet
LANNuevos servicios
Internet
Laboratori
o de
pruebas
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Funcionamiento:
estabilización y desarrollo de medidas preventivas
Medidas preventivas nuevas o con cambios
Seguimiento
Plan
Análisis
Control
Identificación
1 2
35
4
Declaración
de riesgos
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estructura de organización de la seguridad
El uso de una solución en niveles:
Aumenta la posibilidad de que se detecten los intrusos
Disminuye la oportunidad de que los intrusos logren
su propósito
Directivas, procedimientos
y concientización
Refuerzo del sistema operativo, administración
de revisiones, autenticación, HIDS
Servidores de seguridad, sistemas de
cuarentena en VPN
Guardias de seguridad, bloqueos,
dispositivos de seguimiento
Segmentos de red, IPSec, NIDS
Refuerzo de las aplicaciones, antivirus
ACL, cifrado
Programas de aprendizaje para
los usuarios
Seguridad física
Perímetro
Red interna
Host
Aplicación
Datos
30. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com