Este documento trata sobre las amenazas a la seguridad de la información. Explica que las amenazas pueden ser intencionales o no intencionales y surgen de vulnerabilidades. También clasifica las amenazas y describe cómo analizar el riesgo mediante la probabilidad de amenaza y la magnitud del daño. Recomienda reportar cualquier amenaza detectada y tener en cuenta factores como las vulnerabilidades, ataques previos, consecuencias legales y daños a la reputación al evaluar el riesgo.

1. INSTITUTO UNIVERSITARIO
POLITECNICO SANTIGO
MARIÑO
Los Riesgos y Amenazas de la Información
ABEL RODRIGUEZ 22675879

2. AMENAZAS A LA SEGURIDAD
DE LA INFORMACIÓN
Se puede definir como amenaza a todo elemento o acción capaz de atentar contra
la seguridad de la información.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que
una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser
aprovechada, e independientemente de que se comprometa o no la seguridad de un
sistema de información.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas
de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso
de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado
en los últimos años el aumento de amenazas intencionales.

3. TIPOS DE AMENAZAS
Las amenazas pueden clasificarse en dos tipos:
• Intencionales, en caso de que deliberadamente se intente producir
un daño (por ejemplo el robo de información aplicando la técnica
de trashing, la propagación de código malicioso y las técnicas de
ingeniería social).
• No intencionales, en donde se producen acciones u omisiones de
acciones que si bien no buscan explotar una vulnerabilidad, ponen
en riesgo los activos de información y pueden producir un daño
(por ejemplo las amenazas relacionadas con fenómenos naturales).

4. CÓMO ACTUAR
La presencia de una amenaza es una advertencia de que
puede ser inminente el daño a algún activo de la información, o
bien es un indicador de que el daño se está produciendo o ya se ha
producido. Por ello siempre debe ser reportada como un incidente
de seguridad de la información.
Si sospecha que existe una amenaza a algún sistema de información
de la Universidad, por favor efectúe el reporte del incidente.

5. CLASIFICACIÓN Y FLUJO
DE INFORMACIÓN
La clasificación de datos tiene el propósito de garantizar la
protección de datos (personales) y significa definir, dependiendo del tipo o
grupo de personas internas y externas, los diferentes niveles de autorización de
acceso a los datos e informaciones. Considerando el contexto de nuestra
misión institucional, tenemos que definir los niveles de clasificación como por
ejemplo: confidencial, privado, sensitivo y público. Cada nivel define por lo
menos el tipo de persona que tiene derecho de acceder a los datos, el grado y
mecanismo de autenticación.

6. ANÁLISIS DE RIESGO
Existen varios métodos de como valorar un riesgo y al final, todos tienen los
mismos retos -las variables son difíciles de precisar y en su mayoría son
estimaciones- y llegan casi a los mismos resultados y conclusiones.
En el ámbito de la Seguridad Informática, el método más usado es el Análisis
de Riesgo.
La valoración del riesgo basada en la formula matemática
Riesgo = Probabilidad de Amenaza x Magnitud de Daño

7. PROBABILIDAD DE
AMENAZA
Se habla de un Ataque, cuando una amenaza se convirtió en realidad,
es decir cuando un evento se realizó. Pero el ataque no dice nada
sobre el éxito del evento y sí o no, los datos e informaciones fueron
perjudicado respecto a su confidencialidad, integridad, disponibilidad
y autenticidad.

8. Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas
¿Cuál es el interés o la atracción por parte de individuos externos, de atacarnos? Algunas
razones pueden ser que manejamos información que contiene novedades o inventos,
información comprometedora etc, talvez tenemos competidores en el trabajo, negocio o
simplemente por el imagen o posición pública que tenemos.
¿Cuáles son nuestras vulnerabilidades? Es importante considerar todos los grupos de
vulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas
de trabajo para obtener una imagen más completa y más detallada sobre la situación interna y el
entorno.
¿Cuántas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una
amenaza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el
caso de que ya tenemos implementadas medidas de protección es importante llevar un registro,
que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal
manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.

9. MAGNITUD DE DAÑO
Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La manera más
fácil es expresar el daño de manera cualitativa, lo que significa que aparte del daño
económico, también se considera otros valores como daños materiales, imagen,
emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos los
componentes en un solo daño económico, resulta en un ejercicio aun más complejo y
extenso.
Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser
múltiples, a veces son imprevisibles y dependen mucho del contexto donde manejamos la
información, sea en una ONG (derechos humanos, centro de información etc.), en una
empresa privada (banco, clínica, producción etc.), en una institución Estatal o en el
ámbito privado. Otro factor decisivo, respecto a las consecuencias, es también el entorno
donde nos ubicamos, es decir cuales son las Leyes y prácticas comunes, culturales que se
aplica para sancionar el incumplimiento de las normas.

10. Otras preguntas que podemos hacernos para identificar posibles consecuencias negativas
causadas por un impacto son:
¿Existen condiciones de incumplimiento de confidencialidad (interna y
externa)? Esto normalmente es el caso cuando personas non-autorizados tienen acceso a
información y conocimiento ajeno que pondrá en peligro nuestra misión.
¿Existen condiciones de incumplimiento de obligación jurídicas, contratos y
convenios? No cumplir con las normas legales fácilmente puede culminar en sanciones
penales o económicas, que perjudican nuestra misión, existencia laboral y personal.
¿Cuál es el costo de recuperación? No solo hay que considerar los recursos
económicos, tiempo, materiales, sino también el posible daño de la imagen pública y
emocional.