Post on 20-Nov-2015
description
transcript
1.3. Amenazas Informticas.
Son los problemas ms vulnerables que ingresan a nuestra computadora con el
hecho de afectarlo (virus). Se puede definir como amenaza a todo elemento o accin
capaz de atentar contra la seguridad de la informacin.
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin
que puede producir un dao (material o inmaterial) sobre los elementos de un sistema,
en el caso de la Seguridad Informtica, los Elementos de Informacin.
Debido a que la Seguridad Informtica tiene como propsitos de garantizar
la confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones, las amenazas y los consecuentes daos que puede causar un evento
exitoso, tambin hay que ver en relacin con la confidencialidad, integridad,
disponibilidad y autenticidad de los datos e informaciones.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una
amenaza slo puede existir, si hay una vulnerabilidad que pueda ser aprovechada, e
independientemente de que se comprometa o no la seguridad de un sistema de
informacin.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las
tcnicas de ingeniera social, la falta de capacitacin y concientizacin a los usuarios
en el uso de la tecnologa, y sobre todo la creciente rentabilidad de los ataques, han
provocado en los ltimos aos el aumento de amenazas intencionales.
Virus circulando por la red.
Diferentes tipos de virus circulan por la red en busca de ordenadores desprotegidos y
usuarios incautos. Las principales motivaciones para infectar tu equipo son varias:
Conseguir los datos bancarios o de servicios de pago en lnea para suplantar tu
identidad y hacer desaparecer tu dinero.
Utilizar tu sistema como puente para realizar otro tipo de actividades maliciosas;
enviar correo basura o atacar otros sistemas.
Las vas de entrada de los virus para infectar los sistemas son muy variadas y estn en
constante evolucin. Las ms comunes son:
http://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/glosario/#autenticidad
Al visitar pginas maliciosas, que aprovechan agujeros de seguridad en el
navegador y en los programas utilizados para ver las pginas; reproductores de
video, visores de texto (pdf), etc.
Al abrir ficheros maliciosos, que llegan al sistema a travs del correo
electrnico, mensajera instantnea, redes P2P o descargados directamente de
alguna pgina poco confiable.
Al conectar al ordenador memorias USB que previamente han sido utilizadas en
un PC infectado.
Para protegerte tendrs que tener en cuenta una serie de buenas prcticas; unas
sencillas medidas, para configurar el sistema de forma segura, y apoyarlo con unos
buenos hbitos al navegar, al usar el correo, mensajera instantnea- que no te
expongan a situaciones de riesgo innecesario.
Cantidad de correos innecesarios
Cuando recibes correos electrnicos de remitentes que no conoces y con contenidos
que son ofertas comerciales o no te interesan en absoluto, estas recibiendo spam.
Ejemplos tpicos de spam son:
Venta de medicamentos como viagra o sucedneos- y toda clase de productos
milagrosos.
Software pirata o supuestamente original a precios de escndalo.
Ofertas de trabajo con suculentos dividendos.
Descuentos para suscripciones a pginas pornogrficas o de apuestas.
Aparte de la prdida de tiempo que esto te supone el spam tambin es utilizado como
apoyo a otras actividades maliciosas; como la propagacin de virus o el fraude bancario
(mediante notificaciones que suplantan la identidad de t banco).
El avance de las nuevas tecnologas de la comunicacin, abre tambin nuevas vas a los
spammers - individuos u organizaciones que envan spam - por las que hacen llegar la
publicidad. Servicios altamente difundidos como la mensajera instantnea, chats,
forosincluso el telfono mvil, estn tambin siendo utilizados para tal fin.
Tipos de amenazas
Las amenazas pueden clasificarse en dos tipos:
Intencionales, en caso de que deliberadamente se intente producir un dao (por
ejemplo el robo de informacin aplicando la tcnica de trashing, la propagacin de
cdigo malicioso y las tcnicas de ingeniera social).
No intencionales, en donde se producen acciones u omisiones de acciones que si bien
no buscan explotar una vulnerabilidad, ponen en riesgo los activos de informacin y
pueden producir un dao (por ejemplo las amenazas relacionadas con fenmenos
naturales).
Desde el punto de vista de la entidad que maneja los datos, existen amenazas de
origen externo como por ejemplo las agresiones tcnicas, naturales o humanos, y
tambin amenazas de origen interno, como la negligencia del propio personal o las
condiciones tcnicas, procesos operativos internos.
Generalmente se distingue y divide tres grupos (Figura 1)
1. Criminalidad: son todas las acciones, causado por la intervencin humana, que
violan la ley y que estn penadas por esta. Con criminalidad poltica se entiende
todas las acciones dirigido desde el gobierno hacia la sociedad civil.
2. Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino
tambin eventos indirectamente causados por la intervencin humana.
3. Negligencia y decisiones institucionales: son todas las acciones, decisiones u
omisiones por parte de las personas que tienen poder e influencia sobre el
sistema. Al mismo tiempo son las amenazas menos predecibles porque estn
directamente relacionado con el comportamiento humano.
Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y por eso
es la tarea de la gestin de riesgo de preverlas, implementar medidas de proteccin
para evitar o minimizar los daos en caso de que se realice una amenaza.
Figura 1. TIPOS DE AMENAZAS INFORMTICAS.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Vulnerabilidades
La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el
resultado de sufrir algn dao. En otras palabras, es la capacitad y posibilidad de un
sistema de responder o reaccionar a una amenaza o de recuperarse de un dao.
Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no
existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no
se puede ocasionar un dao.
Dependiendo del contexto de la institucin, se puede agrupar las vulnerabilidades en
grupos caractersticos: Ambiental, Fsica, Econmica, Social, Educativo, Institucional
y Poltica (Figura 2). Figura 2. VULNERABILIDADES.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Cmo actuar
La presencia de una amenaza es una advertencia de que puede ser inminente el dao
a algn activo de la informacin, o bien es un indicador de que el dao se est
produciendo o ya se ha producido. Por ello siempre debe ser reportada como un
incidente de seguridad de la informacin.
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Anlisis del Riesgo
El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como propsito
determinar los componentes de un sistema que requieren proteccin, sus
vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de
valorar su grado de riesgo.
La clasificacin de datos tiene el propsito de garantizar la proteccin de datos
(personales) y significa definir, dependiendo del tipo o grupo de personas internas y
externas, los diferentes niveles de autorizacin de acceso a los datos e informaciones.
Considerando el contexto de nuestra misin institucional, tenemos que definir los
niveles de clasificacin como por ejemplo: confidencial, privado, sensitivo y pblico.
Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los
datos, el grado y mecanismo de autenticacin. Ver Figura 3.
Una vez clasificada la informacin, tenemos que verificar los diferentes flujos
existentes de informacin internos y externos, para saber quines tienen acceso a qu
informacin y datos.
Clasificar los datos y analizar el flujo de la informacin a nivel interno y externo es
importante, porque ambas cosas influyen directamente en el resultado del anlisis de
riesgo y las consecuentes medidas de proteccin. Porque solo si sabemos quines
tienen acceso a qu datos y su respectiva clasificacin, podemos determinar el riesgo
de los datos, al sufrir un dao causado por un acceso no autorizado. Figura 3. CLASIFICACIN Y FLUJO DE INFORMACIN.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Probabilidad de Amenaza
Se habla de un Ataque, cuando una amenaza se convirti en realidad, es decir cuando
un evento se realiz. Pero el ataque no dice nada sobre el xito del evento y s o no, los
datos e informaciones fueron perjudicado respecto a su confidencialidad, integridad,
disponibilidad y autenticidad. Ver Figura 4.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas:
Cul es el inters o la atraccin por parte de individuos externos, de
atacarnos? Algunas razones pueden ser que manejamos informacin que contiene
novedades o inventos, informacin comprometedora etc., tal vez tenemos
competidores en el trabajo, negocio o simplemente por la imagen o posicin pblica
que tenemos.
Cules son nuestras vulnerabilidades? Es importante considerar todos los grupos
de vulnerabilidades. Tambin se recomienda incluir los expertos, especialistas de
las diferentes reas de trabajo para obtener una imagen ms completa y ms
detallada sobre la situacin interna y el entorno.
Cuntas veces ya han tratado de atacarnos? Ataques pasados nos sirven para
identificar una amenaza y si su ocurrencia es frecuente, ms grande es la
probabilidad que pasar otra vez. En el caso de que ya tenemos implementadas
medidas de proteccin es importante llevar un registro, que muestra los casos
cuando la medida se aplic exitosamente y cuando no. Porque de tal manera,
sabemos en primer lugar si todava existe la amenaza y segundo, cul es su riesgo
actual. Figura 4. VALOR UN AMENAZA.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de
Amenaza. Sin embargo, antes tenemos que definir el significado de cada condicin de
la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la figura 4, solo
son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin
comn y por tanto se recomienda que cada institucin defina sus propias condiciones.
Magnitud de Dao
Se habla de un Impacto (Ver Figura 5), cuando un ataque exitoso perjudic la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.
Figura 5. IMPACTOS.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Estimar la Magnitud de Dao generalmente es una tarea muy compleja. La manera ms
fcil es expresar el dao de manera cualitativa, lo que significa que aparte del dao
econmico, tambin se consideran otros valores como daos materiales, imagen,
emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos
los componentes en un solo dao econmico, resulta en un ejercicio an ms complejo y
extenso. (Figura 6)
Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden
ser mltiples, a veces son imprevisibles y dependen mucho del contexto donde
manejamos la informacin, sea en una ONG (derechos humanos, centro de informacin
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
etc.), en una empresa privada (banco, clnica, produccin etc.), en una institucin
Estatal o en el mbito privado. Otro factor decisivo, respecto a las consecuencias, es
tambin el entorno donde nos ubicamos, es decir cules son las Leyes y prcticas
comunes, culturales que se aplica para sancionar el incumplimiento de las normas.
Figura 6. VALORAR LA MAGNITUD DEL DAO.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Un punto muy esencial en el anlisis de las consecuencias es la diferenciacin entre los
dos propsitos de proteccin de la Seguridad Informtica, la Seguridad de la
Informacin y la Proteccin de datos, porque nos permite determinar, quien va a
sufrir el dao de un impacto, nosotros, otros o ambos. En todo caso, todos nuestros
comportamientos y decisiones deben ser dirigidos por una conciencia responsable, de
no causar dao a otros, aunque su realidad no tenga consecuencias negativas.
Otras preguntas que podemos hacernos para identificar posibles consecuencias
negativas causadas por un impacto son:
Existen condiciones de incumplimiento de confidencialidad (interna y externa)?
Esto normalmente es el caso cuando personas no autorizadas tienen acceso a
informacin y conocimiento ajeno que pondr en peligro nuestra misin.
Existen condiciones de incumplimiento de obligacin jurdicas, contratos y
convenios? No cumplir con las normas legales fcilmente puede culminar en
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
sanciones penales o econmicas, que perjudican nuestra misin, existencia laboral y
personal.
Cul es el costo de recuperacin? No solo hay que considerar los recursos
econmicos, tiempo, materiales, sino tambin el posible dao de la imagen pblica y
emocional.
Considerando todos los aspectos mencionados, nos permite clasificar la Magnitud del
dao. Sin embargo, otra vez tenemos que definir primero el significado de cada nivel
de dao (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo
son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin
comn y por tanto se recomienda que cada institucin defina sus propios niveles.
Clasificacin de Riesgo
El objetivo de la clasificacin de riesgo es determinar hasta qu grado es factible combatir los
riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad
econmica de una institucin, sino tambin del entorno donde nos ubicamos. Los riesgos que no
queremos o podemos combatir se llaman riesgos restantes y no hay otra solucin que
aceptarlos. (Figura 10)
Figura 7. CLASIFICACIN DEL RIESGO.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://protejete.wordpress.com/gdr_principal/clasificacion_riesgo/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.files.wordpress.com/2009/07/pres_15_clasificacion_riesgo.jpg
Implementar medidas para la reduccin de los riesgos significa realizar inversiones, en general
econmicas. El reto en definir las medidas de proteccin, entonces est en encontrar un buen
equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo econmico que tenemos
que hacer para la implementacin y el manejo de estas.
De igual manera como debemos evitar la escasez de proteccin, porque nos deja en peligro que
pueda causar dao, el exceso de medidas y procesos de proteccin, pueden fcilmente
paralizar los procesos operativos e impedir el cumplimiento de nuestra misin. El caso extremo
respecto al exceso de medidas sera, cuando las inversiones para ellas, superen el valor del
recurso que pretenden proteger.
Entonces el estado que buscamos es, que los esfuerzos econmicos que realizamos y los
procesos operativos, para mantener las medidas de proteccin, son suficientes, ajustados y
optimizados, para que respondan exitosamente a las amenazas y debilidades (vulnerabilidades)
que enfrentamos.
Figura 8. RIESGO RESTANTE.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Con Riesgo restante se entiende dos circunstancias, por un lado son estas amenazas y peligros
que, aunque tenemos implementados medidas para evitar o mitigar sus daos, siempre nos
pueden afectar, si el ataque ocurre con una magnitud superior a lo esperado. Podemos
protegernos de cierto modo contra los impactos de un terremoto comn, sin embargo cuando
ocurre con una fuerza superior o antes no conocido, el impacto general ser mucho ms grande
y muy probablemente afectar tambin a nosotros.
http://protejete.wordpress.com/glosario/#vulnerabilidadhttp://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.files.wordpress.com/2009/07/pres_16_riesgo_restante.jpg
La otra situacin es cuando aceptamos conscientemente los posibles impactos y sus
consecuencias, despus de haber realizado el anlisis de riesgo y la definicin de las medidas
de proteccin. Las razones para tomar esta decisin pueden ser varias, sea que evitar los daos
no est dentro de nuestra posibilidad y voluntad econmica o porque no entendemos que no
tenemos suficiente poder sobre el entorno. Sea lo que sea la razn, el punto importante es que
sabemos sobre la amenaza y decidimos vivir con ella y su posible consecuencia.
Reduccin de Riesgo
La reduccin de riesgo se logra a travs de la implementacin de Medidas de proteccin, que
basen en los resultados del anlisis y de la clasificacin de riesgo.
Las medidas de proteccin estn divididas en medidas fsicas y tcnicas,
personales y organizativas, como lo muestra la Figura 12.
Figura 9. REDUCCIN DE RIESGO.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
En referencia al Anlisis de riesgo, el propsito de las medidas de proteccin, en el mbito de
la Seguridad Informtica, solo tienen un efecto sobre los componentes de la Probabilidad
de Amenaza, es decir aumentan nuestra capacidad fsica, tcnica, personal y organizativa,
reduciendo as nuestras vulnerabilidades que estn expuestas a las amenazas que enfrentamos.
Las medidas normalmente no tienen ningn efecto sobre la Magnitud de Dao, que depende de
los Elementos de Informacin y del contexto, entorno donde nos ubicamos. Es decir, no se
trata y muy difcilmente se puede cambiar el valor o la importancia que tienen los datos e
http://protejete.wordpress.com/gdr_principal/reduccion_riesgo/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.wordpress.com/glosario/#analisishttp://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/glosario/#amenazahttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.files.wordpress.com/2009/07/pres_17_reduccion_riesgo.jpg
informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra
misin.
La fuerza y el alcance de las medidas de proteccin, dependen del nivel de riesgo.
Alto riesgo: Medidas deben evitar el impacto y dao.
Medio riesgo: Medidas solo mitigan la magnitud de dao pero no evitan el impacto.
Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Considerando que la implementacin de medidas de proteccin estn en directa relacin con
inversiones de recursos econmicos y procesos operativos, es ms que obvio, que las medidas,
para evitar un dao, resultarn (mucho) ms costosas y complejas, que las que solo mitigan un
dao.
Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir
que tcnicamente funcionan y cumplen su propsito, que estn incorporadas en los procesos
operativos institucionales y que las personas se apropian de ests. Es indispensable que estn
respaldadas, aprobadas por aplicadas por la coordinacin, porque si no, pierden su credibilidad.
Tambin significa que deben ser diseadas de tal manera, que no paralizan u obstaculizan los
procesos operativos porque deben apoyar el cumplimiento de nuestra misin, no impedirlo.
Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben sobre
su existencia, propsito e importancia y son capacitadas adecuadamente en su uso, de tal
manera, que las ven como una necesidad institucional y no como otra cortapisa laboral.
Debido a que la implementacin de las medidas no es una tarea aislada, nica, sino un proceso
continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento operativo
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.files.wordpress.com/2009/07/pres_18_medidas_proteccion.jpg
institucional, respaldado por normas y reglas que regulan su aplicacin, control y las sanciones
en caso de incumplimiento
Control de Riesgo
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y el
cumplimiento de las medidas de proteccin, para determinar y ajustar sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan operativo institucional,
donde se define los momentos de las intervenciones y los responsables de ejecucin.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere que levantemos
constantemente registros sobre la ejecucin de las actividades, los eventos de ataques y sus
respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la
gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.
En el proceso continuo de la Gestin de riesgo, las conclusiones que salen como resultado del
control de riesgo, nos sirven como fuente de informacin, cuando se entra otra vez en el
proceso de la Anlisis de riesgo.
http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
http://protejete.wordpress.com/gdr_principal/control_riesgo/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/