Professional Documents
Culture Documents
SISTEMA
1
tiempo después que se ha realizado un realizar el proceso de análisis de
análisis de riesgos, con el objeto de riesgos, así sea en forma cualitativa,
verificar si se están cumpliendo los con el objeto de crear esta cultura en
controles y políticas de seguridad la organización.
previstos anteriormente.
Independiente de si existe en la A continuación la tabla 1 presenta los
organización o no información beneficios y dificultades que
estadística de los elementos que presentan los métodos tratados en este
determinan los riesgos, es artículo.
recomendable al grupo evaluador
Tabla 1. Pros/Contras
Métodos PROS CONTRAS
/
-Crea la cultura del riesgo y su manejo en -Existe resistencia a su aplicación, ya sea
una organización. por ignorancia, arrogancia o miedo.
-Expresa en mejores términos las pérdidas -Es un proceso que requiere gran cantidad
al ocurrir un evento desfavorable. de tiempo y de información disponible.
-Proceso costoso.
Metodología cuantitativa Metodología cuantitativa
Análisis -Las valoraciones son objetivas. -No es práctico realizar valoraciones
d -El valor de la información es expresado cuantitativas sin ayuda de herramientas y
e en términos monetarios. bases de conocimiento bien sólidas.
Ri -El presupuesto destinado a la seguridad -Requieren una cantidad sustancial de
es del sistema esta basado en análisis información.
g confiables y bien sustentados. -No existe un estándar sobre amenazas y
os sus frecuencias.
Metodología cualitativa Metodología cualitativa
-No es necesario determinar el valor -Toda valoración es esencialmente
monetario de la información, ni la subjetiva, en procesos y métricas.
frecuencia de las amenazas, ni el costo de -La percepción de valores puede no
las medidas a tomar y del análisis reflejar realmente el actual valor del
costo/beneficio. riesgo.
-Existen en forma abundante y libre. -Arbitrario y subjetivo
(Listas de chequeo técnicas) -Necesitan actualizarse constantemente,
-Fácil de aplicar, resumir y comparar. en el caso que sean listas de chequeo de
Listas de
-Flexibles tipo técnico.
chequeo
-Su análisis es rápido, consiste en -Pueden no tratar necesidades de un
(Check-
verificar si existe o no existe un control sistema particular.
list)
que es aplicable al sistema en análisis.
-Se pueden aplicar medidas correctivas
de inmediato.
-Propicia el mejoramiento de -Aptitud negativa de los encargados de las
procedimientos en el sistema. partes auditadas.
-Reduce errores organizacionales -Requiere tiempo y esfuerzo.
Auditori
-Promueve la aplicación de las políticas y -Requiere tener pistas de auditoria
a
estándares de seguridad.
-Descubre nuevas amenazas al sistema.
(Retroalimenta el análisis de riesgos)
2
análisis de riesgos por subsistemas, lo
1.¿Que podría ocurrir? (amenaza) que facilitará también la presentación
2.¿Sí ocurre, cuánto daño podría y comprensión de informes por parte
causar? (impacto) de los directivos de la empresa. Los
3.¿Qué tan a menudo podría ocurrir? siguientes ítem corresponden la parte
4.¿Qué tan ciertas son las respuestas a preliminar de el análisis de riesgos:
las anteriores preguntas?
a)La dirección del análisis: con el
Una vez respondidas acertadamente objeto de influenciar el estilo de
las anteriores preguntas, se responden análisis y la información de salida del
ahora las siguientes: proceso de valoración del riesgo. Se
identifica el proceso de valoración del
1.¿Qué puede ser hecho? (mitigación riesgo, tipo de salida requerida y
del riesgo) necesidades críticas.
2.¿Cuál es el costo de la medida? b)El alcance: se determina el alcance
(anual) del análisis. Cuales recursos del
3.¿Es la medida efectiva? (análisis sistema requiere o no el análisis de
costo/beneficio) riesgos. Cuales agentes de amenazas
no serán considerados, etc.
El manejo de riesgos compara el c)Los límites: se define en términos
costo de implementar medidas de de límites físicos y lógicos. El límite
seguridad contra los costos generados físico indica donde termina el sistema
al ocurrir un evento desfavorable en y comienza el sistema; indica las
el sistema que afecte directa o características de todas las interfaces
indirectamente la prestación de con otros sistemas. El límite lógico
servicios. define la amplitud y profundidad del
análisis.
3.1 ETAPAS DEL ANALISIS DE d)Descripción del sistema:
RIESGOS requerimientos (o misión) del sistema,
concepto de operación, e
El análisis de riesgos busca identificación de la naturaleza de los
cuantificar el impacto de las recursos del sistema. Está descripción
amenazas potenciales sobre un provee las bases para posteriores
sistema, comprende cuatro subetapas: análisis y es prerrequisito para iniciar
planeación del análisis de riesgos, la valoración de riesgos.
identificación de amenazas y e)Objeto del riesgo y certeza
vulnerabilidades, valoración del requerida: el objeto ayudará a
impacto y frecuencia de escenarios determinar si el riesgo está en los
recurso/amenazas y tratamiento del límites aceptables. La certeza define
riesgo. el nivel de acierto para la valoración
del riesgo, este factor determina el
3.1.1 Planeación del análisis de nivel de esfuerzo en el análisis.
riesgos
3.1.2 Identificación de amenazas y
Si el sistema a evaluar es muy vulnerabilidades
complejo y la organización es muy
grande, es conveniente para el Las amenazas en el sistema provienen
analista de seguridad elaborar un del personal encargado, personal
3
externo, daño en equipos, caída de Vulnerabilidades de
enlaces, etc. Al momento se tiene la comunicaciones: inadecuados
información como lo muestra la controles de acceso a la red,
siguiente tabla. inadecuados mecanismos para
prevenir fallas en comunicaciones
4
a estos controles se implanta las correspondientes políticas de
seguridad.
Tabla 4. Recurso/Amenaza/Impactos
5
Amen. 1 i f i f i f i f i f i f
Amen. 2 i f i f i f i f i f i f
........
determinar el nivel de riesgo que se
b)Métodos cualitativos: estos tiene. "Aquí el riesgo indica las
métodos valoran de una forma muy pérdidas ante la posibilidad de
subjetiva el riesgo, a los elementos presentarse la amenaza"
para valorar los riesgos generalmente
se le asignan los valores de alto, Tabla 5. Nivel del riesgo
medio y bajo. Posibilidad de ocurrencia
Impacto Alta Media Baja
El grupo evaluador tenga o no el Alta A A M
impacto expresado en términos Media A M M
económicos puede escoger un nivel Baja B B B
de impacto cualitativamente como
Las áreas señaladas como A indican
bajo, medio o alto, teniendo en
que son riesgos que requieren pronta
cuenta rangos de pérdidas
atención, las áreas marcadas como B
económicas.
no es prioritario la toma de medidas
Algunas métodos utilizan como
3.1.5 Tratamiento del riesgo
elemento para valorar los riesgos la
posibilidad de ocurrencia de
Luego del análisis de riesgos se
presentarse una amenaza.
procede a determinar el tipo de
acción a tomar para cada riesgo. Se
3.1.4 Cálculo del riesgo
estudian las amenazas que presentan
los recursos del sistema y se
a)Tener el impacto y frecuencia
determina si es posible la
(cuantitativo). Como en toda
implantación de mecanismos que
disciplina la pérdida es igual al
reduzcan o eliminen el riesgo, en
producto de los valores de impacto y
frecuencia de ocurrencia (i x f). Para caso contrario las acciones a tomar
serían la aceptación o transferencia
f, el periodo anual es el común
del riesgo. El costo de proteger las
tomado como referencia en las
aplicaciones de una amenaza debe
metodologías y herramientas para
ser menor que el costo de la
análisis de riesgos. "Aquí el riesgo
recuperación. Para el tratamiento de
indica las pérdidas anuales que
un riesgo se puede seguir las
genera la amenaza". Se genera la
estrategias planteadas en [HIGU-
relación recurso/amenaza/impacto
94]: aceptar, transferir, eliminar,
anual como indica tabla 6.
reducir.
6
lo general en este tipo de casos la
fecha queda por definir.
RECURSO: XXX
AMENAZA ESTRATEGIAS COSTO
Estrategia 1
Amenaza n Estrategia ...
Estrategia n
la información de seguridad obtenida valor del impacto para determinado
anteriormente. Se plantean cuestiones riesgo.
como: ¿de qué forma puedo reducir
vulnerabilidades y por ende reducir el 4. OTROS METODOS DE
nivel de vulnerabilidad?, ¿qué EVALUACION DE SEGURIDAD
mecanismos aunque no reducen el
nivel de vulnerabilidad reducen el 4.1 AUDITORIA
impacto?, puede un mecanismo
determinado eliminar completamente La auditoria examina si el sistema
la amenaza, etc. esta cumpliendo con los
requerimientos de seguridad
Las estrategias aquí asignadas deben incluyendo políticas de la
ser valoradas en términos económicos organización y del sistema. Dentro de
para realizar un análisis las técnicas a emplear incluye
costo/beneficio, no se pueden investigación, observación y pruebas.
plantear soluciones que excedan el Una auditoria puede variar
7
ampliamente en alcance, examinar un han sufrido daño por hackers,
sistema entero para el proceso de intrusos o problemas técnicos. Los
reacreditación o puede investigar un logs deberían registrar como mínimo
solo evento malicioso. los siguientes eventos:
8
seguridad planeada. Los cuenta no afecte el desempeño del
administradores del sistema sistema.
determinarán la longitud de los logs
que será mantenido. Para el sistema el 4.2 CHECKLIST
establecimiento de logs ayudará en
los aspectos de control de acceso, La lista de chequeo es considerada
reconstrucción de eventos y detección como una herramienta de auditoria, es
de intrusos. uno de los métodos de evaluación
más viejos ampliamente usados, en
-Control de acceso: los logs trabajan seguridad informática consiste en
en conjunto con los controles de revisar si existen controles
acceso lógico, las cuales restringen el administrativos, operativos y técnicos,
uso de los recursos del sistema. El este proceso no evalúa la efectividad
acceso se concede teniendo en cuenta de los controles implantados. Además
lo que el usuario del sistema necesite se identifica que se cumplan los
para realizar sus labores. Los logs principios de seguridad generalmente
sirven para analizar las acciones que aceptados (GSSPs).
los usuarios autorizados realizan,
siempre que las cuentas y passwords Controles administrativos: estos
de acceso no sean genéricos. controles hacen referencia a la
recolección de documentos como:
-Reconstrucción de eventos: la políticas y normatividad general
operación del sistema no se escapa de referente a la seguridad del sistema.
la ocurrencia de problemas, estos [NIST1]
pueden ser resueltos fácilmente con la
revisión de logs para hacer Controles operativos: estos controles
seguimiento a las últimas operaciones hacen referencia a los procedimientos
realizadas y detectar como, cuando y que sirven para asegurar los
porque se originó el problema. El requerimientos de seguridad.
análisis de los logs ayuda a distinguir Ejemplo: planes de contingencia,
si los errores fueron inducidos por los manejo de incidentes, realización de
operadores o por errores del software. backups etc.
Adicionalmente, sí un problema
técnico ocurre (por ejemplo daño de Controles técnicos: estos controles
archivos) los logs pueden ayudar en el hacen referencia a cualquier
proceso de recuperación. dispositivo de hardware o software
que aseguran el cumplimiento de los
-Detección de intrusos: los logs requerimientos de seguridad.
deben diseñarse e implementarse con Ejemplo: control de acceso y
la información apropiada que asista autorización, firewalls, mecanismos
en la detección de intrusos. Las de auditoria de eventos, etc.
intrusiones pueden detectarse en
A continuación se amplia cada uno de
tiempo real o después de ocurrido el
los controles enfocados a un sistema
evento. Los equipos y sistemas
de redes:
críticos para el sistema podrían tener
implementado logs como
Controles Administrativos
herramientas en línea para monitorear
constantemente su estado, teniendo en
9
Existe una política especifica del Análisis de riesgos
sistema para el manejo de Separación de deberes
seguridad Identificación del personal clave
Existen políticas para el manejo Conocimiento y entrenamiento de
de redes, sistemas operativos, personal
aplicaciones, etc. Efectiva administración de
Existen políticas para el manejo usuarios
de Internet Registro de intrusos
Tipo de información que Planes de contingencia
puede ser transmitida Controles de acceso físico
Tipos de sistemas que pueden Seguridad física contra incendios
ser conectados a la red
Uso de firewalls y gateways Controles Técnicos
seguros Identificación y autenticación
Requerimientos para Manejo de llaves
autenticación de usuarios Control de acceso lógico
Existen políticas para el manejo Protección a puertos
de otras redes externas Firewalls, gateways seguros
Existe un ente encargado de dar Autenticación basada en hots
solución a incidentes de seguridad Auditoria
Las funciones de seguridad están Detección de intrusos
integradas en las funciones del Reconstrucción de eventos
personal Logs, revisión
Criptografía
Donde existan políticas los siguientes Firmas electrónicas
tópicos son evaluados: Certificados
Define el objetivo?
Esta respaldada por los Dependiendo del sistema en análisis
directivos? se establece los seis o más relevantes
Define procedimientos, son controles que se identificaran con
claros y entendibles? letras mayúsculas. Los controles
Indica la información, software y pueden tomar uno de cinco posibles
hardware a emplear? estados: implantado (I), en proceso de
Designa personal responsable? ser implantado (P), control no
Dicta las penalidades y acciones existente (N), se desconoce su
disciplinarias? estado/por verificar (V) ó no aplica
Los procedimientos son (X). Por ejemplo si el recurso1 es un
actualizados periódicamente? servidor y el control A es “Backups de
Conoce los usuarios y personal configuración y datos de equipos” el
adecuado las políticas? siguiente cuadro indica que si se
encuentra en funcionamiento dicho
Controles Operacionales control.
10
Recurso1 I N P N N N
Recurso2 I N P N N N
...
...
Recurson I N P N N N
11
[SANT-99] Santos Luz Marina, Los recursos de un sistema pueden
“Metodologia para la ser de naturaleza tangible o
implantación de seguridad en intangible, su valor depende de
aplicaciones distribuidas”. Tesis su naturaleza. Los recursos
de Postgrado en Ingeniería de tangibles incluyen hardware,
Sistemas y Computación, documentación, y presupuesto
Universidad de los Andes. que soportan el almacenamiento,
procesamiento y entrega de la
7. AUTORA información, su valor típicamente
Luz Marina Santos Jaimes se da en el costo de
Ingeniera de Sistemas reemplazarlos. El valor de los
Magíster en Ingeniería y Sistemas y recursos intangibles como por
Computación, Univ. de los Andes ejemplo la información, puede
Ocupación actual: Docente de tiempo darse en el costo y tiempo de
completo Universidad de Pamplona recuperación de la misma, o en el
Area de interés: seguridad valor de la confidencialidad,
computacional, internet, sistemas integridad y disponibilidad de la
distribuidos y trabajo cooperativo. información (ISSA-published
Correo: GIV reference).
lsantos@unipamplona.edu.co
teléfono: 5685303 Ext. 141 Impacto (i) es el daño potencial sobre
5681672 un sistema cuando una amenaza se
presenta. Este daño puede ser
8. GLOSARIO expresado en términos cuantitativos o
cualitativos.
Una amenaza es cualquier evento que
puede causar daño sobre los recursos La frecuencia de ocurrencia (f)
del sistema. determina las veces que una amenaza
puede ocurrir en un periodo de
Las vulnerabilidades son puntos tiempo. La frecuencia se da en
débiles de seguridad que presenta el número de ocurrencias por año.
sistema que podrían permitir la
ocurrencia de una amenaza. Posibilidad de ocurrencia: es una
El Factor de exposición representa medida cualitativa que indica la
una medida de la magnitud de opción que tiene la amenaza de
pérdidas o impacto sobre el materializarse o no.
valor de un recurso, es
expresado como un porcentaje
que va desde 0% a 100%.
12