Jorge Domínguez Chávez
SEGURIDAD INFORMÁTICA
PERSONAL Y CORPORATIVA
(SEGUNDA PARTE)
@ Jorge Domínguez Chávez
Esta obra se distribuye bajo una licencia Creative Commons
http://creativecommonsvenezuela.org.ve
Reconocimiento:
Atribución: Permite a otros copiar, distribuir, exhibir y realizar su
trabajo con Derechos de Autor y trabajos derivados basados en ella – pero
sólo si ellos dan créditos de la manera en que usted lo solicite.
Compartir igual: Permite que otros distribuyan trabajos derivados sólo
bajo una licencia idéntica a la licencia que rige el trabajo original.
@ 2015, Jorge Domínguez Chávez
Publicado por IEASS, Editores
Venezuela, 2015
La portada y contenido de este libro fue desarrollado en LibreOffice 5.0.3.2
Dedicatoria
A las dos mujeres más importantes de mi vida:
Mi madre, Amparo Chávez Holguín (QEPD), por todo el esfuerzo
y sacrificio que hiciste para darme tu amor, tu devoción, tu labor
incondicional y tu confianza en cada momento de mi vida y por hacerme un
hombre digno, honesto, realizado y triunfador en la vida. Sé que desde donde
estas, estarás orgullosa de mi. Madre, vivirás por siempre en mi corazón.
Mi esposa, Dianella A. Stuch Dorta, mujer inteligente, hermosa,
profesional, guerrera, mi gran amor; quien con su cariño, su estímulo, su
fuerza, apoyo constante, su comprensión y por ser tal y como eres.. mi
orgullo, me inspiras a dar el máximo de mí. Sé que mis palabras no bastan
para decirte cuanto te amo, ¡Gracias bb!
Tabla de Contenido
PROPÓSITO..................................................................................................................1
¿Qué hay de nuevo en los años 2000?......................................................................1
¿Por qué el delito informático parece ser un “buen negocio”?.................................1
INTRODUCCIÓN.........................................................................................................5
Capítulo 1.......................................................................................................................9
Propiedades de un SI seguro.....................................................................................9
integridad..............................................................................................................9
Confidencialidad................................................................................................10
Disponibilidad....................................................................................................11
Irrefutabilidad.....................................................................................................12
Capítulo 2.....................................................................................................................13
El Riesgo.................................................................................................................13
¿Qué es un Riesgo?............................................................................................13
Clasificación de Riesgos....................................................................................13
Identificación de riesgos....................................................................................14
Métodos de identificación de riesgo...................................................................14
¿Qué es el análisis de riesgo?.............................................................................15
elementos de análisis..........................................................................................16
Activos...........................................................................................................16
Métodos de Análisis de Riesgos....................................................................17
Administración y análisis de riesgos.............................................................19
Proceso de administración del riesgo............................................................20
Matriz de riesgos...........................................................................................20
Análisis de riesgos por colores......................................................................23
Capítulo 3.....................................................................................................................28
La amenaza.............................................................................................................28
¿qué es una amenaza?.........................................................................................28
Origen de las amenazas.............................................................................28
Intencionalidad de las amenazas...............................................................29
Naturaleza de las amenazas......................................................................29
Amenazas provocadas por personas.........................................................31
Amenazas físicas.......................................................................................32
Amenazas lógicas......................................................................................34
Amenazas del sistema...............................................................................38
Capítulo 4.....................................................................................................................40
La vulnerabilidad....................................................................................................40
¿qué es una vulnerabilidad?...............................................................................40
Vulnerabilidad de condición de carrera (race condition)...............................41
Vulnerabilidad de Cross Site Scripting (XSS)...............................................41
Vulnerabilidad de denegación del servicio....................................................41
Vulnerabilidad de ventanas engañosas (Window Spoofing).........................42
Capítulo 5.....................................................................................................................43
Otros........................................................................................................................43
Robo y Fraude....................................................................................................43
Sabotaje..............................................................................................................43
Espionaje............................................................................................................44
Hackers y Código Malicioso..............................................................................44
Principales Actividades de los Piratas Informáticos...........................................45
Cinco mecanismos de monitoreo, de control y seguimiento..............................46
Ataque informático.............................................................................................47
Anatomía de un ataque informático...............................................................48
Configuraciones predeterminadas.................................................................49
OSINT (Open Source Intelligence)....................................................................50
Capítulo 6.....................................................................................................................54
Impacto....................................................................................................................54
Impacto económico........................................................................................54
¿Cómo se estiman los costos?.......................................................................55
Impacto a Nivel Social..................................................................................57
Impacto a Nivel Judicial................................................................................58
Captura de delincuentes cibernéticos........................................................58
Destrucción u ocultación de pruebas........................................................60
Impacto en la Identificación de Delitos a Nivel Mundial..................................60
Cyber delitos.............................................................................................61
Capítulo 7.....................................................................................................................64
Control de riesgos...................................................................................................64
Servicios de seguridad........................................................................................64
Autenticación Fuerte.................................................................................66
¿Qué Entendemos por "Integridad"?..................................................................68
Responsabilidad del equipo de apoyo de TI y usuarios finales..........................76
Responsabilidades de la Auditoría Interna.........................................................77
Medición de la Integridad de los Datos..............................................................78
La Importancia del Gobierno de Datos..............................................................79
Tipos de No-repudio.................................................................................82
Pruebas o evidencias.................................................................................83
El papel de TTP en los servicios de No repudio.......................................84
Protocolos.................................................................................................85
Físicos.......................................................................................................94
Lógicos......................................................................................................96
Intrusiones y ataques..........................................................................................97
Capítulo 8...................................................................................................................100
Política de seguridad.............................................................................................100
Factores claves del éxito..................................................................................105
Plan de Concientización...................................................................................105
Ingeniería Social...............................................................................................106
Proceso del Diseño de Políticas.......................................................................109
Algunas políticas necesarias.............................................................................110
Restricciones a las políticas..............................................................................111
Procedimientos.................................................................................................111
Capítulo 9...................................................................................................................113
Plan de Contingencia.............................................................................................113
Utilidad del plan de contingencia.....................................................................114
Elementos.........................................................................................................114
¿quién escribe el plan de contingencia?...........................................................115
Metodologías de desarrollo de planes de contingencia....................................116
Metodología universal......................................................................................117
¿Cuáles son los métodos para seleccionar los controles?.................................118
¿Qué significa la seguridad física?...................................................................118
Capítulo 10.................................................................................................................120
Modelo de seguridad.............................................................................................120
Objetivo............................................................................................................120
Plan de Concientización...................................................................................122
Ingeniería Social...............................................................................................122
Modelo Bell-LaPadula.....................................................................................123
Principio de tranquilidad.............................................................................124
modelo PDCA..................................................................................................124
Seguridad estratégica.......................................................................................126
Glosario......................................................................................................................130
BIBLIOGRAFÍA.......................................................................................................132
Anexo A.....................................................................................................................136
Octave Allegro......................................................................................................136
Elementos para una evaluación de riesgos.......................................................136
PROCESO OCTAVE........................................................................................137
Fases y Procesos...............................................................................................139
Índice de tablas
Tabla 1: Grado de impacto en miles de Dólares americanos.......................................20
Tabla 2: Identificación de amenazas............................................................................24
Tabla 3: Calificación de la amenaza............................................................................25
Tabla 4: Formato 1. Análisis de Amenazas..................................................................26
Tabla 5: Reputación y confianza del cliente..............................................................140
Tabla 6: Prioridad en las áreas de impacto................................................................140
Tabla 7: Análisis de riesgos.......................................................................................144
Tabla 8: Matriz de riesgo relativo..............................................................................145
Índice de figuras
Figura 1 La seguridad debe mantener el equilibrio adecuado entre sus factores:
integridad, confidencialidad y disponibilidad..............................................................12
Figura 2: estándares de seguridad de la información.................................................104
Figura 3: Modelo PDCA............................................................................................126
Figura 4: Proceso Octave y sus fases en la seguridad informática............................138
Figura 5: Árbol de amenazas a una empresa.............................................................143
PROPÓSITO
¿Por qué nos preocupa la seguridad?
A partir de los años 80 el uso del computador personal y de los primeros
teléfonos celulares comienza a ser común. Aparece la preocupación por la integridad
de los datos.
En la década de los años 90 proliferan los ataques a sistemas
informáticos, aparecen los virus y se toma conciencia del peligro que nos acecha
como usuarios de PC y equipos conectados a Internet. Las amenazas se generalizan a
finales de los 90. Se toma en serio la seguridad informática.
¿QUÉ HAY DE NUEVO EN LOS AÑOS 2000?
Por el uso de Internet, el tema de la protección de la información se
transforma en una imperiosa necesidad y con ello se populariza la terminología
“Políticas de seguridad”, se recomiendan:
◦ Normas, reglas, estándares.
◦ Protección de la información
◦ El usuario final desea saber cómo evitar los virus en un correo electrónico
o e-mail.
◦ Productos futuros: Seguridad añadida.
Crece el interés en el delito informático
¿POR QUÉ EL DELITO INFORMÁTICO PARECE SER UN “BUEN
NEGOCIO”?
◦ Objeto Pequeño: la información está almacenada en “contenedores
pequeños”: no es necesario un camión para robar el banco, joyas, dinero,
◦ Contacto Físico: no existe contacto físico en la mayoría de los casos. Se
1
asegura el anonimato y la integridad física del delincuente.
◦ Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos)
vale más que el soporte que los almacena (disquete, disco compacto,
memoria sd, etc...).
◦ Única solución: el uso de Políticas de seguridad.
El objetivo de este libro es destacar la importancia de proteger la
información contenida o circulante en una computadora (de cualquier tipo, tamaño y
dedicación) y/o en un teléfono celular, en internet para evitar se interrumpa el
procesamiento, tanto en forma temporal como permanente, del requerimiento
solicitado. Además, en caso de ser urgente, que el esfuerzo de recuperación sea el
mínimo necesario. Por tanto, es imprescindible adquirir el hábito de respaldar la
información, de forma apropiada según cada sistema, usuario e instalación. Y, por
último, nos interesa cómo borrar y/o eliminar los datos contendidos en esos equipos
informáticas cuando son vendidos y/o traspasados.
Actualmente los sistemas informáticos son parte de nuestra vida, bien
directa o indirectamente, de nuestra economía, y de la forma de cómo vivimos. Ante
esto la información es el activo más valioso, por lo que es necesario protegerla de las
incontables amenazas que hay y se generan a cada momento. Aquí es donde
interviene la seguridad informática, que debe ser lo suficientemente sofisticada y
preparada para contrarrestar y garantizar la disponibilidad, confidencialidad e
integridad de la información.
Presentamos la aptitud de las personas y/o empresas ante la seguridad
informática, los actuales mecanismos y los sistemas de protección que están
adoptando, y cuáles son los dispositivos de protección mayormente utilizados.
La seguridad informática o de las tecnologías de la información y
comunicaciones (TIC) se enfoca en la protección de la infraestructura computacional
y en todo lo relacionado con esta y, especialmente, en la información contenida o
circulante. Para ello, crea una serie de estándares, protocolos, métodos, reglas,
herramientas y leyes concebidas para minimizar los posibles riesgos a la
2
infraestructura o a la información. La seguridad informática comprende software
(base de datos, metadatos, archivos, programas), hardware, personal que labora con
ella y la información confidencial de la organización; información clasificada que
signifique un riesgo potencial de mal funcionamiento, intercepción o suplantación.
El concepto de seguridad informática no debe ser confundido con el de
«seguridad de la información». Ésta, sólo se encarga de la seguridad en el medio
informático, pudiendo encontrar información en diferentes medios o formas.
Una política de seguridad informática es un conjunto de normas,
procedimientos, métodos y técnicas para regular diferentes apartados del diseño,
instalación, desarrollo y operatividad de las TIC destinada a conseguir un sistema de
información seguro y confiable. Consiste en poner por escrito lo que los empleados,
tanto técnicos como usuarios, pueden hacer y lo que no pueden o deben hacer con las
TIC, tanto cuando las operan como cuando no lo hacen. Esta política escrita debe
prevenir situaciones que si se dejan al criterio de las personas provocarían problemas
de interpretación, ejecución y/o responsabilidad. Estas normas pueden incluye el
comportamiento del personal en la jornada laboral, como fuera de ella.
Una política de seguridad informática de una empresa es su personalidad:
una manera de actuar o reaccionar ante situaciones específicas o generales. Son
normas de conducta para las personas que la integran y los procedimientos que deben
seguir durante una situación de urgencia.
Las políticas deben ser comunicadas a los empleados al momento de ser
contratados o incluso al ser entrevistados, ya que en ocasiones pueden ser causal para
su retiro de la empresa. Estas normas en ningún momento pueden contradecir alguna
legislación laboral.
De forma muy simple, ¿Qué pasa con las redes informáticas? la seguridad
en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una
definición general de seguridad debe poner atención a la necesidad de salvaguardar la
ventaja organizacional, incluyendo información, personas y equipos físicos, como los
computadores, medios de almacenamiento como discos, cd, dvd, memorias flash y
cintas de respaldo. Nadie a cargo de seguridad debe determinar quien y cuando se
3
pueden tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la
seguridad de una compañía, lo apropiado varía de organización a organización.
Independientemente, cualquier compañía con una red informática debe de tener una
política de seguridad que se dirija a conveniencia y coordinación.
4
INTRODUCCIÓN
En el libro seguridad informática personal y corporativa, primera parte,
hemos recorrido el camino que un usuario normal de computadoras, internet y
teléfono celular hace para evitar ser victima de los virus informáticos, pishing, spam,
daños a sus archivos y a su pc, robo de identidad y de sus datos personales; así como
de fraude entre otros eventos. Hemos aprendido que debe cuidar el voltaje de sus
lineas eléctricas y la wi-fi. No donar o vender sus dispositivos de almacenamiento
masivo sin previamente borrar su contenido, y cifrar la información contenida es esos
mismos dispositivos de almacenamiento.
Ahora, ese mismo usuario se traslada de la comodidad de su hogar a una
oficina en una corporación y, sus problemas se multiplican por el número de pc
disponibles en la empresa, por el número de las redes cableadas, vpn y wifi
existentes; el número significativo, y en aumento, de usuarios y número de
potenciales causantes de problemas.
Si bien debe cuidar los puntos tratados según la parte uno, también debe
extrapolar las dimensiones de los riesgos, consecuencias y efectos de la seguridad
informática a nivel corporativo.
Este trabajo busca implantar un modelo de seguridad orientado al
cumplimiento de normas, procedimientos y estándares informáticos con el objetivo de
crear una cultura de seguridad en la organización, mejorando las seguridades
existentes requeridas para la salvaguarda de la integridad de los recursos
informáticos.
¿Qué debemos garantizar con nuestro Sistema de Gestión de Seguridad de
la Información (SGSI)?
Lo primero es alinear la estrategia de seguridad con los objetivos del
negocio, y así garantizar la protección de los sistemas y la información usada en los
procesos.
Clásicamente se ha hablado de que un sistema de gestión de la seguridad
5
debe garantizar en la información tres características: a) la integridad, b) la
disponibilidad y c) la confidencialidad. Si bien estas tres características son
fundamentales, hay otras tres que dado el crecimiento en el uso de la información y
los nuevos tipos de ataques, no deben dejarse de lado: d) la verificación del origen de
los datos, e) la utilidad de los datos y f) el control de la información, este último
enfocado a que la información no pueda ser revelada en caso de pérdida.
Procurar estas características debería ser el resumen de un modelo de
gestión de la seguridad. Para lograrlo hay que apoyarse en algunos instrumentos
como la política de seguridad, la identificación de activos y el análisis de riesgos,
éstos deberían ser independientes a buscar certificaciones en alguna normativa.
La piedra angular: política de seguridad
La política de seguridad debe convertirse en el punto de unión del
negocio con los intereses de la seguridad de la información. Se logra a través del
establecimiento de objetivos de seguridad, que no son más que la manifestación de
las necesidades técnicas que debe satisfacer la información para garantizar el
cumplimiento de los objetivos de negocio.
La política de seguridad debe darse a conocer a todos los niveles de la
organización para garantizar que todos los empleados sepan cuál es la información
crítica del negocio y cuáles son las características principales que le deben ser
garantizadas. De esta forma, quien lea la política deberá tener claro cuáles son los
límites que tiene con respecto a la seguridad de la información.
Clasificar la información corporativa
Con la clasificación de la información se pueden priorizar y enfocar las
acciones en materia de la gestión de la seguridad. La clasificación depende de la
naturaleza del negocio pero en general deberían incluirse tres niveles: información
pública, incluye todos los datos de dominio público. Ya que es información a la que
pueden acceder los clientes y proveedores, sus características principales deben ser la
precisión y la disponibilidad. En el siguiente nivel está la información de uso interno,
comprende toda la información que se intercambia al interior de la empresa y entre
los empleados, es la columna vertebral de las operaciones del negocio, por lo tanto las
6
características que le aplican son la disponibilidad y la integridad. En el último nivel
está la información de acceso restringido, está muy relacionada con el tipo de
actividad que puede incluir, por ejemplo los planes de negocio, información de
nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La
principal característica de este tipo de información es su confidencialidad.
Al clasificar la información, la empresa tiene un panorama más claro de
cuáles son los aspectos en los que debe enfocar su gestión. De esta forma se pueden
identificar cuáles son los riesgos más relevantes dentro del SGSI y por tanto,
determinar los controles más apropiados y acordes a la realidad de la empresa.
Qué hacer y dónde enfocar esfuerzos: análisis de riesgos
Es necesario para la empresa hacer una adecuada gestión de riesgos que le
permita saber cuáles son las principales vulnerabilidades de sus activos de
información y cuáles son las amenazas que podrían explotar esas vulnerabilidades. En
la medida que la empresa tenga clara esta identificación de riesgos podrá establecer
las acciones preventivas y correctivas viables que garanticen mayores niveles de
seguridad en su información.
La identificación de controles es fundamental para permitir el análisis de
riesgos, ya sea para mitigar la posibilidad de que ocurra la amenaza o para mitigar su
impacto. Las medidas de control que puede asumir una empresa estarán relacionadas
con el tipo de amenaza y el nivel de exposición que represente para la información
corporativa.
Lo que no se puede olvidar
Es muy importante no perder de vista que, cuando se refiere a seguridad
de la información, no solamente se habla de garantizar la seguridad con equipos y
aplicaciones, aún siendo una parte fundamental y prioritaria; sino que el panorama se
extiende para incluir al recurso humano y a políticas claras que dirijan el accionar del
sistema.
Finalmente, la gestión de la seguridad debe existir para soportar las
operaciones del negocio y no para convertirse en parte de los objetivos. En otras
7
palabras, a partir de la definición de su misión y su visión, una empresa debe
establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y
como parte de esta estrategia, definir el sistema que garantice la seguridad de la
información que le permita alcanzarlos.
8
CAPÍTULO 1
PROPIEDADES DE UN SI SEGURO
Entendemos como seguridad un estado de cualquier sistema (informático
o no) que indica que dicho sistema está libre de peligro, daño o riesgo; pero, es
imposible que aspiraremos a un sistema fiable. Para los expertos, el concepto de
seguridad en la informática es utópico porque no existe un sistema 100% seguro.
En SI, la seguridad se centra en la clave de usuario, que certifique que
quien entra en el SI es quien dice ser, donde la criptografía juega un papel importante
para proteger la información que el usuario gestiona.
En Internet, la seguridad se centra en las comunicaciones entre dos o más
puntos, donde la criptografía juega un papel importante para proteger la información
que circula por la red.
Se entiende como peligro o daño todo aquello que pueda afectar el
funcionamiento directo o los resultados que se obtienen del SI.
Para que un sistema se defina como seguro debemos de dotarlo de cuatro
características: integridad, confidencialidad, disponibilidad y no repudio.
INTEGRIDAD
En general, el término 'integridad' hace referencia a una cualidad de
'íntegro' e indica "Que no carece de ninguna de sus partes." y relativo a las personas
"Recta, proba, intachable.".
En términos de seguridad de la información, la integridad hace referencia
a la la fidelidad de la información o recursos, y normalmente se expresa en lo
referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no
autorizadas de la información y hace referencia a:
9
•
la integridad de los datos (el volumen de la información).
•
la integridad del origen (la fuente de los datos, llamada autenticación).
Es importante hacer hincapié en la integridad del origen, ya que afecta a
su exactitud, credibilidad y confianza que las personas ponen en la información.
A menudo ocurre que al hablar de integridad de la información, ésta, no
se da en estos dos aspectos. Cuando un periódico difunde una información cuya
fuente no es correcta, decimos que se mantiene la integridad de la información ya que
se difunde por medio impreso (físico o digital); sin embargo, al ser la fuente de esa
información errónea no mantiene la integridad del origen, la fuente no es correcta.
CONFIDENCIALIDAD
En general el término 'confidencial' hace referencia a “Qué se hace o se
dice en confianza o con seguridad recíproca entre dos o más personas.”
En términos de seguridad de la información, la confidencialidad hace
referencia a la necesidad de ocultar o mantener secreto sobre determinada
información o recursos y su objetivo es prevenir la divulgación no autorizada de la
información.
En general, cualquier empresa pública o privada y de cualquier ámbito de
actuación requiere que cierta información no sea accedida o divulgada por diferentes
motivos. Un caso típico es el ejército de un país. Es sabido que los logros
importantes en seguridad siempre van ligados a temas estratégicos militares.
Por otra parte, algunas empresas a menudo desarrollan diseños que deben
proteger de sus competidores. La sostenibilidad de la empresa así como su
posicionamiento en el mercado dependen de forma directa de la implementación de
estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control
de acceso que aseguren la confidencialidad de dichas informaciones.
La criptografía es un mecanismo que garantiza la confidencialidad y cuyo
objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos
10
usuarios que no disponen de los permisos o conocimientos suficientes.
Pero, incluso en esta circunstancia, existe un dato importante que hay que
proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario
adecuado pueda descifrar la información recibida y en función del mecanismo de
encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada
mediante herramientas diseñadas para ello. Si se produce esta situación, la
confidencialidad de la operación realizada (sea bancaria, administrativa o de
cualquier tipo) queda comprometida.
DISPONIBILIDAD
En general, el término 'disponibilidad' hace referencia a una cualidad de
'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está
lista para usarse o utilizarse."
En términos de seguridad de la información, la disponibilidad hace
referencia a que la información del sistema debe permanecer accesible sólo a
elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no
autorizadas/controladas de los recursos informáticos.
En términos de seguridad informática “un sistema está disponible cuando
su diseño e implementación deliberadamente niega el acceso a datos o servicios
determinados”. Es decir, un sistema es disponible si permite no estar disponible.
Un sistema 'no disponible' es tan malo como no tener sistema. No sirve.
Como resumen de las bases de la seguridad informática que hemos
comentado, decimos que la seguridad consiste en mantener el equilibrio adecuado
entre estos tres factores. No tiene sentido conseguir la confidencialidad para un
archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a
él, ya que se está negando la disponibilidad. Vea la figura 1.
11
Figura 1 La seguridad debe mantener el equilibrio adecuado entre sus factores:
integridad, confidencialidad y disponibilidad.
Dependiendo del entorno de trabajo y sus necesidades se da prioridad a
un aspecto de la seguridad o a otro.
•
En ambientes militares, la confidencialidad de la información siempre suele
ser siempre prioritaria frente a la disponibilidad. Aunque alguien acceda a ella
o incluso pueda eliminarla no conocerá su contenido y recuperar dicha
información es sencillo a partir de una copia de seguridad (si trabajas bien).
•
En ambientes bancarios, la integridad de la información siempre es prioritaria
frente a la confidencialidad o disponibilidad. Se considera menos dañino que
un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.
IRREFUTABILIDAD
(No-Rechazo o No Repudio) Que no se pueda negar la autoría. De esta
forma, evitamos que el emisor de un mensaje niegue haberlo enviado y el receptor
niegue haberlo recibido. El uso y/o modificación de la información por parte de un
usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
12
CAPÍTULO 2
EL RIESGO
¿QUÉ ES UN RIESGO?
El riesgo es la probabilidad que una eventualidad se aproveche de las
vulnerabilidades de un sistema e imposibilite el cumplimento de su objetivo o ponga
en peligro a los bienes de la organización, ocasionándole perdidas o daños.
CLASIFICACIÓN DE RIESGOS
Tomando en cuenta el ambiente en que se desenvuelve la empresa,
definimos los siguientes tipos de riesgo:
• Riesgo Estratégico: tipo de riesgo delicado de tratar, se produce a
niveles altos de la empresa ya que se asocia con la forma en que se administra.
• Riesgos Operativos: Comprenden los riesgos relacionados con
deficiencias en los sistemas de información o controles internos, cubre dos aspectos
claves: a) la integridad de los procesos de negocios y b) la habilidad de mantener la
entrega de productos en forma consistente y oportuna.
• Riesgos Financieros: Se relacionan con los recursos de la empresa.
• Riesgos de Cumplimiento: Se asocian con la capacidad de la empresa
para cumplir con los requisitos legales, contractuales, de ética pública y en general
con su compromiso ante la comunidad.
• Riesgos de Tecnología: Dicho riesgo se relaciona con la capacidad
tecnológica disponible por la empresa para satisfacer sus necesidades actuales, futuras
y de soporte al cumplimiento de su misión.
13
IDENTIFICACIÓN DE RIESGOS
La identificación de riesgos es un proceso, mediante el cual se pretende
reconocer los riesgos potenciales que estén o no bajo el control de la empresa, así
como la determinación de sus causas, agentes generadores y principales efectos.
Antes de enfrentar los riesgos, éstos deben ser identificados, lo que es un
proceso constante, pues nuevas amenazas surgen diariamente. Un factor importante
en la identificación de riesgos es la comunicación en la empresa, cuyo propósito es
generar un flujo constante de información sobre las actividades que ella desarrolla.
MÉTODOS DE IDENTIFICACIÓN DE RIESGO
Disponemos de algunos métodos que ayudan a identificar los riesgos de
una empresa, entre estos:
•
Métodos comparativos: Se basan en el uso de técnicas obtenidas de la
experiencia adquirida en equipos e instalaciones similares existentes, así como
en el análisis de sucesos que hayan ocurrido en establecimientos parecidos al
que se analiza. Principalmente son cuatro métodos los existentes:
◦ Manuales técnicos o códigos y normas de diseño.
◦ Listas de comprobación.
◦ Análisis histórico de accidentes.
◦ Análisis preliminar de riesgos.
•
Métodos generalizados: Estos métodos estudian las instalaciones y procesos
de la empresa de forma estructurada. Siguen un procedimiento lógico de
deducción de fallos, errores, desviaciones en equipos, instalaciones, procesos,
operaciones, entre otros. Algunos métodos de este tipo son:
◦ Análisis “¿Qué pasaría si?”
◦ Análisis funcional de operabilidad.
14
◦ Análisis de árbol de fallos.
◦ Análisis de árbol de sucesos.
◦ Análisis de modo y efecto de los fallos.
¿QUÉ ES EL ANÁLISIS DE RIESGO?
El análisis del riesgo establece la probabilidad de ocurrencia de los
riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos para obtener
información para así establecer el nivel de riesgo y las acciones a implementar.
Dentro del análisis de riesgos se decide que hacer con éstos, obviamente
no todos son iguales ni tampoco sus impactos, por ello cada riesgo se trata
independientemente.
A continuación, algunas posibles acciones para enfrentar los riesgos
analizados:
•
Evitar el riesgo: Es ejecutar las acciones para prevenir su materialización.
•
Reducir el riesgo: Implica tomar las medidas para disminuir tanto la
probabilidad de que ocurra (prevención), como el impacto que produzca
(protección).
•
Compartir o Transferir el riesgo: Reduce su efecto a través del traspaso de
las pérdidas a otras organizaciones, como en el caso de los contratos de
seguros o a través de otros medios que permiten distribuir una porción del
riesgo con otra empresa, como en los contratos a riesgo compartido.
•
Asumir un riesgo: Quiere decir que el riesgo con su respectivo impacto serán
tolerados por la empresa, estos riegos pueden existir luego de que han sido
reducidos o transferidos, es decir, son riesgos mínimos que la empresa
prefiere sobrellevarlos en lugar de enfrentarlos.
15
Las metodologías utilizadas para la gestión de riesgo son muchas y
variadas, pero parten de un punto común: identificar los activos de información, es
decir, aquellos recursos involucrados en la gestión de la información que van desde
datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos
de información se hace la identificación de las amenazas, riesgos y vulnerabilidades.
ELEMENTOS DE ANÁLISIS
Debemos identificar y clasificar los riesgos a los que pueden estar sujetos
los activos informáticos, tangibles e intangibles, de una empresa.
Luego de su identificación y clasificación, procedemos a realizar el
análisis de los mismos, es decir, estudiamos la posibilidad y las consecuencias de
cada factor de riesgo con el fin de establecer el nivel de riesgo de nuestra empresa.
El análisis de los riesgos determina cuáles son los factores de riesgo que
potencialmente tendrían un mayor efecto sobre la empresa y, por lo tanto, debemos
gestionarlos con especial atención.
ACTIVOS
Todos aquellos elementos relacionados, directa o indirectamente, con un
sistema de información son los activos de la empresa. Elementos típicos son:
hardware, software, servicios, archivos en diferentes formatos como documentos
(impresos y digitales), videos, música, plantillas, entre otros y los empleados.
El hardware lo constituye: los servidores, las computadoras de escritorio,
equipos de red informática, computadoras portátiles (laptop y notebook), tabletas,
impresoras, escáner, teléfonos inteligentes, discos duros externos, pen-drive, cintas
magnéticas y los periféricos, entre otros.
Elementos de comunicaciones: dispositivos de conectividad (hubs,
switches, routers, rack con paneles de conexión, cableado, puntos de acceso a la red,
líneas de conexión interior y exterior, entre otros.
El software está conformado por sistemas operativos, aplicaciones
16
básicas y específicas y de ofimática, así como los antivirus (si son necesarios).
Los documentos (impresos o digitales) son: las bases de datos, correos
electrónicos, llamadas telefónicas, y archivos de chat, entre otros.
Los recursos humanos son: los directores, los gerentes, el personal
técnico de comunicaciones y de informática, los usuarios de los sistemas y resto de
personal administrativo y obrero de la empresa.
Los servicios requieren tecnologías de protección de datos orientadas a
resguardar la seguridad de manera transversal, desde el firewall hasta el acceso
periférico a través de hardware.
MÉTODOS DE ANÁLISIS DE RIESGOS
Existen tres métodos para determinar el nivel de riesgos de un negocio.
Los métodos son: Métodos Cualitativos, Cuantitativos y Semicuantitativos.
Métodos Cualitativos: Es el método de análisis de riesgos más utilizado
en la toma de decisiones en proyectos empresariales, los analistas se apoyan en su
juicio, experiencia e intuición para la toma de decisiones. Se pueden utilizar cuando
el nivel de riesgo es bajo y no justifica el tiempo y los recursos necesarios para hacer
un análisis completo. O porque los datos numéricos son inadecuados para un análisis
cuantitativo que sirva de base para un análisis posterior y detallado del riesgo global
del emprendedor. Los métodos cualitativos incluyen:
•
Tormenta de ideas (Brainstorming).
•
Cuestionario y entrevistas estructuradas.
•
Evaluación para grupos multidisciplinarios.
•
Juicio de especialistas y expertos (Técnica Delphi).
Métodos Semicuantitativos: Se utilizan clasificaciones de palabra1 como
alto, medio o bajo, o descripciones detalladas de la probabilidad y la consecuencia.
Estas clasificaciones demuestran una relación con una escala apropiada para calcular
1
En las métricas, esto se denomina escala de poder.
17
el nivel de riesgo. Debes poner atención en la escala utilizada a fin de evitar malos
entendidos o malas interpretaciones de los resultados del cálculo.
Métodos Cuantitativos: Se consideran métodos cuantitativos a aquellos
que asignan valores de ocurrencia a los diferentes riesgos identificados, es decir,
calculan el nivel de riesgo del proyecto.
Los métodos cuantitativos incluyen:
•
Análisis de probabilidad.
•
Análisis de consecuencias.
•
Simulación computacional.
El desarrollo de dichas medidas es realizado mediante diferentes
mecanismos, entre los cuales, destaca el Método Montecarlo, el cual se caracteriza
por: a) Amplia visión para mostrar múltiples posibles escenarios, b) Sencillez para
llevarlo a la práctica y c) Computerizable para la realización de simulaciones.
Método Montecarlo: Es un método cuantitativo para el desarrollo de
análisis de riesgos. El método fue llamado así en referencia al Principado de Mónaco,
por ser “la capital del juego de azar”. Este método representa la realidad a través de
un modelo de riesgo matemático, asignando valores de manera aleatoria a las
variables de dicho modelo, se obtengan diferentes escenarios y resultados.
El método Montecarlo se basa en realizar un número lo suficientemente
elevado de iteraciones (asignaciones de valores de forma aleatoria), de manera que la
muestra disponible de resultados, sea lo suficientemente amplia para ser considerada
representativa de la realidad. Dichas iteraciones se realizan haciendo uso de un
programa informático. Con los resultados obtenidos de las diferentes iteraciones
realizadas se efectúa un estudio estadístico de donde se obtienen conclusiones
relevantes respecto al riesgo del proyecto, tales como, valores medios, máximos y
mínimos, desviaciones típicas, varianzas y probabilidades de ocurrencia de las
diferentes variables determinadas sobre las que medir el riesgo.
18
ADMINISTRACIÓN Y ANÁLISIS DE RIESGOS
Como herramienta de diagnóstico para establecer la exposición real a los
riesgos por parte de una organización se recurre a lo que se llama Análisis de Riesgos.
Este análisis tiene como objetivos identificar los riesgos (mediante la identificación
de sus elementos) y lograr establecer el riesgo total (o exposición bruta al riesgo) y
luego el riesgo residual, tanto sea en términos cuantitativos o cualitativos.
Cuando se refiere al riesgo total, se trata de la combinación de los
elementos que lo conforman. Comúnmente se calcula el valor del impacto promedio
por la probabilidad de ocurrencia para cada amenaza y activo.
De esta manera tendremos, para cada combinación válida de activos y
amenazas, la formula siguiente:
RT (riesgo total )= probalidad∗impacto promedio
Sí la probabilidad de incendio en el año es de 0.0001 y el impacto
promedio en términos monetarios de los activos amenazados por un incendio es Bs.F.
600.000, la exposición al riesgo anual es de 60 (ver explicación más adelante).
A este cálculo, agregamos el efecto de medidas mitigantes de las
amenazas, generándose el riesgo residual. El riesgo residual es el riesgo remanente
luego de la aplicación de medidas destinadas a mitigar los riesgos existentes.
Las medidas mencionadas son aquellas que generalmente se conocen
como controles.
De hecho, el riesgo residual es una medida del riesgo total remanente
luego de contemplar la efectividad de las acciones mitigantes existentes. De esta
manera, si el riesgo total de la amenaza incendio es 60, luego de contratar un seguro
sobre la totalidad de los activos, el riego residual resultante sería igual a cero. Por otra
parte si se asegurara por la mitad del capital, el riesgo residual sería igual a 30.
Obviamente, este caso está simplificado, con el único objetivo de
ayudarnos a comprender los conceptos vertidos. En la realidad no es nada sencillo
cuantificar adecuadamente los riesgos. Por lo anterior es que se utiliza un enfoque
19
cualitativo, expresando los riesgos en altos, medios y bajos, o en niveles similares.
El proceso de análisis descripto genera habitualmente un documento que
se conoce como matriz de riesgo. En este documento se muestran los elementos
identificados, sus relaciones y los cálculos realizados. La suma de los riesgos
residuales calculados es la exposición neta total de la organización a los riesgos.
PROCESO DE ADMINISTRACIÓN DEL RIESGO
El proceso de administración de riesgos es continuo, ya que es necesario
evaluar periódicamente si los riesgos identificados y la exposición a los mismos,
calculada en etapas anteriores, se mantienen vigentes.
La dinámica diaria en la cual se ven inmersas las organizaciones demanda
este esfuerzo día a día. Es por eso que cada nuevo emprendimiento se lleve a cabo en
tempranas etapas (es recomendable luego de fijar los objetivos).
El análisis de riesgo del referido proyecto así como su impacto futuro en
la estructura de riesgos de la organización, debemos:
◦ Identificar los riesgos
◦ Cálcular exposición al riesgo
◦ Identificar los controles
◦ Calcular riesgo residual
◦ Aceptar o rechazar el riesgo residual
MATRIZ DE RIESGOS
En la tabla # 1 se presenta una matriz de riesgo simplificada.
Tabla 1: Grado de impacto en miles de Dólares americanos
Amenaza
1 en %
2
3
4
5
6
7
8 en %
9
incendio
1
10
5
8
62
41
1.26
100
0
inundación
1
10
1
8
22
8
0.245
90
0.024
20
Acceso no
autorizado
20
1
0
12
0
0
2.6
50
1.3
fallas
25
0.5
0.5
2
0
0
0.75
50
0.375
virus
30
2
3
1
0
0
1.8
80
0.36
Donde:
•
En cada fila se presenta una amenaza identificadas.
•
En la columna de probabilidad se indica cuán probable es que esa amenaza
actúe, con independencia de los controles que existan o que se establezcan. La
certeza es el 100% y la imposibilidad es 0%. Cada porcentaje de cada fila es
manejado en forma independiente.
•
En las columnas siguientes, se indica para cada uno de los activos a proteger,
cuál es el importe de la pérdida media estimada que ocasionaría esa amenaza
en ese activo. Por ejemplo, por servidores se entiende las computadoras
centrales que soportan las bases de datos, la gestión del correo electrónico, la
red Internet y otros servicios. Las terminales son los puestos de trabajo
computarizados. Los datos son la información de la organización.
Instalaciones se refiere a toda la parte física, incluyendo edificio, mobiliario,
componentes de red (cableados, “routers”, “bridges”, “switches”), etc.
Personal son los recursos humanos.
•
Los datos precedentes calculan la columna siguiente, riesgo total, el cual
totaliza los productos de la probabilidad de la amenaza por el impacto, de toda
la fila.
•
A continuación se presenta la efectividad del control actuante, o sea qué nivel
del riesgo total se puede mitigar. Por ejemplo, la amenaza de inundación
puede ser mitigada ubicando el Centro de Cómputos en un piso elevado. Por
otra parte, también suele estar bajo tierra, por razones de seguridad. Otro
ejemplo: los accesos no autorizados vía Internet pueden ser mitigados con un
“firewall” (barrera de control de accesos desde fuera y hacia fuera)
21
correctamente configurado.
•
Finalmente, en la última columna, se indica cuál es el riesgo residual, que
resulta de aplicar la efectividad del control al riesgo total.
Donde los números indican:
1 probabilidad
2 servidores
3 computadoras
4 datos
5 instalación
6 personales
7 riesgo total
8 efectividad del control
9 riesgo residual.
Esta matriz es presentada como un caso académico y no debe ser
considerada como la única manera de reflejar este tipo de herramientas. Existen
metodologías que abordan el tema de distintas maneras.
El trasponer la matriz, es decir, presentar los activos como las filas y las
amenazas como columnas, la misma seguiría siendo válida. En el supuesto de que el
resultado obtenido sea positivo.
En caso que el resultado sea negativo, se establece que la empresa se
encuentra cubierta de todos los riesgos analizados, pero, es ineficiente porque tiene
más controles que los necesarios.
Para realizar el análisis de riesgos es indispensable administrar de forma
adecuada los mismos.
Administrar el riesgo se refiere a gestionar los recursos de la organización
22
(empresa, organismo, institución, etc., sea pública, privada, etc.) para lograr un nivel
de exposición determinado. Este nivel es establecido por tipo de activo, permitiendo
menor exposición cuanto mas crítico es ese activo.
El ciclo de administración de riesgo se cierra (terminadas de las tareas del
análisis) con la determinación de las acciones a seguir respecto a los riesgos
residuales identificados.
Estas acciones son:
•
Controlar el riesgo: fortalece los controles existentes o agrega nuevos.
•
Eliminar el riesgo: elimina el activo relacionado y, por ende, el riesgo.
•
Compartir el riesgo: Mediante acuerdos contractuales, se traspasa parte del
riesgo (o su totalidad) a un tercero (como los seguros).
•
Aceptar el riesgo: Determinar que el nivel de exposición es adecuado.
La opción elegida debe ser fundamentada y autorizada por el nivel
jerárquico correspondiente sobre la base del riesgo asociado.
ANÁLISIS DE RIESGOS POR COLORES
A continuación, presentamos la metodología de análisis de riesgos por
colores, que de una forma general y cualitativa desarrolla el análisis de amenazas y
análisis de vulnerabilidad de personas, recursos y sistemas y procesos, para
determinar el nivel de riesgo a través de la combinación de los elementos anteriores,
con códigos de colores.
Asimismo, es posible identificar una serie de observaciones que se
constituirán en la base para formular las acciones de prevención, mitigación y
respuesta que contemplan los planes de emergencia.
Por tratarse de una metodología cualitativa puede ser utilizada en
organizaciones, empresas, industrias e instalaciones de todo tipo, como un primer
acercamiento que permitirá establecer si debido a las amenazas o a la posible
magnitud de las consecuencias, es necesario profundizar el análisis utilizando
23
metodologías semicuantitativas o cuantitativas.
Amenaza: condición latente derivada de la posible ocurrencia de un
fenómeno físico de origen natural, socio-natural o antrópico no intencional, que
puede causar daño a la población y sus bienes, la infraestructura, el ambiente y la
economía pública y privada.
Dependiendo de la actividad económica de la organización se pueden
presentar diferentes amenazas, las cuales se pueden clasificar en: naturales, antrópicas
no intencionales o sociales.
A continuación, un caso de estudio de posibles amenazas:
Tabla 2: Identificación de amenazas
NATURAL
ANTRÓPICAS NO
INTENCIONALES
SOCIAL
• Incendios Forestales
• Geológicos: Endógenos y
Exógenos:
Fenómenos de Remoción en
Masa deslizamientos,
(deslizamientos, derrumbes,
caída de piedra,
hundimientos.)
• Movimientos Sísmicos2
• Eventos atmosféricos3
(vendavales, granizadas,
tormentas eléctricas, etc.)
• Inundaciones por
desbordamiento de cuerpos
de agua (ríos, quebradas,
humedales, etc.).
• Avenidas torrenciales.
• Otros
Incendios (estructurales, eléctricos, por
líquidos o gases inflamables, etc.)
• Perdida de contención de materiales
peligrosos (derrames, fugas, etc.)
• Explosión (gases, polvos, fibras,
etc.)
• Inundación por deficiencias de la
infraestructura hidráulica (redes de
alcantarillado, acueducto, etc.)
• Fallas en sistemas y equipos
• Otros
Comportamientos no
adaptativos por temor
• Accidentes de
Vehículos
• Accidentes Personales
• Revueltas / Asonadas
• Atentados Terroristas
• Hurtos
• Otro
2
3
Tenga en cuenta que esta amenaza puede generar otros eventos amenazantes como: fallas
estructurales, pérdida de contención de materiales peligrosos, entre otros.
Estos eventos deben tenerse en cuenta siempre y cuando su organización sea susceptible de
presentar alguna consecuencia a causa de éstos.
24
•
NOTA: las amenazas presentadas son ejemplos y éstas deben definirse según las características
particulares de cada organización.
El análisis de amenazas se desarrolla en dos pasos:
•
Identificación, descripción y calificación de las amenazas
◦ Para la identificación, descripción y análisis de amenazas se desarrolla el
formato 1.
◦ En la primera columna se registran todas las posibles amenazas de origen
natural, tecnológico o social. En la segunda y tercera columna se debe
especificar si la amenaza identificada es de origen interno o externo, no
importa que sea el mismo tipo de amenaza, por ejemplo, si es incendio y si
se identifica que se puede generar dentro de la Organización sería de
origen interno y si se identifica que se puede generar fuera de la
Organización y afectarla porque se propaga, sería de origen externo.
◦ En la cuarta columna se debe describir la amenaza. Esta descripción debe
ser lo más detallada incluyendo en lo posible la fuente que la generaría,
registros históricos, o estudios que sustenten la posibilidad de ocurrencia
del evento.
◦ En la quinta columna se realiza la calificación de la amenaza y en la sexta
columna se coloca el color que corresponda a la calificación de acuerdo
con la siguiente tabla:
Tabla 3: Calificación de la amenaza
Evento
Comportamiento
Color asignado
Posible
Es aquel fenómeno que puede suceder o que es factible porque
no existen razones históricas y científicas para decir que esto no
sucederá.
Probable
Es aquel fenómeno esperado del cual existen razones y
argumentos técnicos científicos para creer que sucederá.
Inminente
Es aquel fenómeno esperado que tiene alta probabilidad de
ocurrir.
25
POSIBLE: NUNCA HA SUCEDIDO Color Verde.
PROBABLE: YA HA OCURRIDO Color Amarillo.
INMINENTE: EVIDENTE, DETECTABLE Color Rojo
Tabla 4: Formato 1. Análisis de Amenazas
Amenaza
Interno
Externo Descripción de la amenaza Calificación Color
Movimientos
Sísmicos
X
Estudio de zonificación
sísmica
Probable
Inundaciones
X
Encharcamiento ya que el Inminente
agua se devuelve por los
sifones afectando el área de
almacenamiento
Eventos Atmosféricos
Incendios
Probable
Explosiones
Fenómeno de
remoción
en masa
Revueltas / asonadas
Atentados Terroristas
Comportamientos no
Adaptativos por
temor
Otros
•
Nota: recuerde que las variables que se mencionan en el ítem de Amenaza son
ejemplos y se deben definir según las necesidades de la Organización.
26
Mapa de ubicación de amenazas internas y externas
•
Una vez que las amenazas hayan sido identificadas, descritas y analizadas, se
procede a ubicarlas en mapas o planos, donde se puede ver con claridad si son
internas y/o externas.
En un sistema informático lo que queremos proteger son sus activos, es
decir, los recursos que forman parte del sistema y que agrupamos en:
•
Hardware: elementos físicos del sistema informático, tales como
procesadores, electrónica y cableado de red, medios de almacenamiento
(cabinas, discos, cintas, DVDs,...).
•
Software: elementos lógicos o programas que se ejecutan sobre el hardware,
tanto si es el propio sistema operativo como las aplicaciones.
•
Datos: comprenden la información lógica que procesa el software haciendo
uso del hardware. En general serán informaciones estructuradas en bases de
datos o paquetes de información que viajan por la red.
•
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan'
como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o
incluso cintas si las copias se hacen en ese medio, etc.
Los tres primeros son los más críticos. Es decir, los datos que están
almacenados en el hardware y que son procesados por las aplicaciones software.
Incluso de todos ellos, el activo más crítico son los datos. El resto se
puede reponer con facilidad y los datos. Dependen de que la empresa tenga una buena
política de copias de seguridad y sea capaz de reponerlos en el estado próximo al
momento en que se produjo la pérdida. Esto puede suponer para la empresa, la
dificultad o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida
de tiempo y dinero.
27
CAPÍTULO 3
LA AMENAZA
¿QUÉ ES UNA AMENAZA?
Una amenaza se define como un evento que puede afectar los activos de
información y están relacionadas con el recurso humano, eventos naturales o fallas
técnicas. Algunos son ataques informáticos externos, errores u omisiones del personal
de la empresa, infecciones con malware, terremotos, tormentas eléctricas o
sobrecargas en el fluido eléctrico.
De forma general, las amenazas se agrupan en:
•
Amenazas físicas.
•
Amenazas lógicas.
Estas amenazas, tanto físicas como lógicas, son materializadas por:
◦ Personas.
◦ Programas específicos.
◦ Catástrofes naturales.
Tenemos otros criterios de agrupación de las amenazas, como:
Origen de las amenazas
◦ Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico,
explosión, etc.
◦ Amenazas de agentes externos: virus informáticos, ataques de una
organización criminal, sabotajes terroristas, disturbios y conflictos
sociales, intrusos en la red, robos, estafas, etc.
◦ Amenazas de agentes internos: empleados descuidados con una formación
28
inadecuada o descontentos, errores en la utilización de las herramientas y
recursos del sistema, etc...
Intencionalidad de las amenazas
◦ Accidentes: averías del hardware y fallos del software, incendio,
inundación, etc.
◦ Errores: errores de utilización, de explotación, de ejecución de
procedimientos, etc.
◦ Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de
intrusión, etc.
Naturaleza de las amenazas
La agrupación de las amenazas atendiendo al factor de seguridad es:
•
Interceptación: acceso a la información por personas no autorizadas. Facilita
el uso de privilegios no adquiridos. Es de difícil detección, no deja huellas.
Garantiza:
◦ Integridad.
◦ Disponibilidad.
No garantiza:
◦ Confidencialidad: es posible que alguien no autorizado acceda a la
información.
Ejemplos:
◦ Copias ilícitas de programas.
◦ Escucha en línea de datos.
•
Modificación: acceso no autorizado que cambia el entorno para su beneficio.
Es de difícil detección según circunstancias.
29
Garantiza:
◦ Disponibilidad: la recepción es correcta.
No garantiza:
◦ Integridad: los datos enviados pueden ser modificados en el camino.
◦ Confidencialidad: alguien no autorizado accede a la información.
Ejemplos:
◦ Modificación de bases de datos
◦ Modificación de elementos del HW
•
Interrupción: provoca que un objeto del sistema se pierda, quede no
utilizable o no disponible. Es de detección inmediata.
Garantiza:
◦ Confidencialidad: nadie no autorizado accede a la información.
◦ Integridad: los datos enviados no se modifican en el camino.
No garantiza:
◦ Disponibilidad: puede que la recepción no sea correcta.
•
Ejemplos:
◦ Destrucción del hardware.
◦ Borrado de programas, datos.
◦ Fallos en el sistema operativo.
•
Fabricación: se considera como un caso concreto de modificación ya que se
consigue un objeto similar al atacado de forma que no resulte sencillo
distinguir entre objeto original y el fabricado. Es de difícil detección. Delitos
de falsificación.
30
En este caso se garantiza:
◦ Confidencialidad: nadie no autorizado accede a la información.
◦ Integridad: los datos enviados no se modifican en el camino.
◦ Disponibilidad: la recepción es correcta.
•
Ejemplos:
◦ Añadir transacciones en red.
◦ Añadir registros en base de datos.
Amenazas provocadas por personas
La mayor parte de los ataques a los sistemas informáticos son
provocados, intencionadamente o no, por las personas.
¿Qué se pretende? conseguir un nivel de privilegio en el sistema que
permita realizar acciones no autorizadas sobre el sistema. Clasificamos a las personas
'atacantes' en dos grupos:
•
Activos: su objetivo es hacer daño de alguna forma. Eliminar información,
modificar o sustraerla para su provecho.
•
Pasivos: su objetivo es curiosear en el sistema.
Repasamos los tipos de personas que pueden constituir una amenaza para
el sistema informático sin entrar en detalles:
•
Personal de la propia organización.
•
Ex-empleados.
•
Curiosos.
•
Crackers.
•
Terroristas.
31
•
Intrusos remunerados.
Amenazas físicas
Dentro de las amenazas físicas, englobamos cualquier error o daño en el
hardware que se puede presentar en cualquier momento. Como daños en discos duros,
en los procesadores, errores de funcionamiento de la memoria, etc. Ellos hacen que la
información no sea accesible o no sea fiable.
Otro tipo de amenaza física son las catástrofes naturales. Hay zonas
geográficas del planeta, del continente, del país, de la región, de la ciudad con
probabilidades de sufrir terremotos, huracanes, inundaciones, etc.
En casos en que la naturaleza provoque el desastre de seguridad hay que
intentar prever al máximo este tipo de situaciones, no hay que descuidarlos.
Hay otro tipo de catástrofes que se conoce como de riesgo poco probable.
Como los ataques nucleares, impacto de meteoritos, etc. y que, aunque que están ahí,
las probabilidades de ocurrencia son bajas y en principio no se toman medidas contra
ellos.
Tipos de amenazas físicas en un sistema informático:
•
Acceso físico. Cuando existe acceso físico a un recurso, no existe seguridad
sobre él. Supone un gran riesgo y probablemente con un impacto muy alto.
◦ A menudo se descuida este tipo de seguridad.
◦ El típico ejemplo es el de una organización que dispone de tomas de red
que no están controladas, con acceso libre.
•
Radiaciones electromagnéticas. Un aparato eléctrico emite radiaciones, las
cuales se pueden capturar, grabar y reproducir, si dispone del equipamiento
adecuado. Un posible atacante podría 'escuchar' los datos que circulan por el
cable telefónico.
◦ Problema que con las redes wifi desprotegidas, vuelve a estar vigente.
•
Desastres naturales. Los eventos sísmicos son uno de los mayores riesgos
32
potenciales en Venezuela. En la actualidad, un 80% de la población
venezolana vive en zonas de alta amenaza sísmica, variable que aumenta el
nivel de riesgo, haciéndolo cada vez mayor a medida que se eleva el índice
demográfico y las inversiones en infraestructura. La zona de mayor actividad
sísmica corresponde a los sistemas montañosos de Los Andes, la Cordillera
Central y la Cordillera Oriental. Los lugares en los que se ubican las
principales sistemas de fallas sismogénicas del país son: Boconó, San
Sebastián y El Pilar, respectivamente.
◦ Además de este sistema de accidentes tectónicos, existen otros sistemas
activos menores (Oca-Ancón, Valera, La Victoria y Urica) capaces de
producir sismos importantes. Son fenómenos naturales que si se
produjeran tendrían un gran impacto y no sólo en términos de sistemas
informáticos, sino en general para la sociedad.
◦ Siempre hay que tener en cuenta las características de cada zona en
particular. Las posibilidades de que ocurra una inundación NO son las
mismas en todas las regiones de Venezuela. Las inundaciones ocurren en
su mayoría en zonas planas y/o cercanas a los cauces de ríos, algunas son
producidas por lluvias intensas (OMM, 2006); son objeto de inundaciones
las ciudades emplazadas en los Llanos bajos y que están cerca de grandes
ríos; en los Andes, y en los centros poblados ubicados en las partes bajas
de los valles (MARN, 1983), entre otros. Se sugiere documentarse y
conocer bien el entorno en el que están físicamente ubicados los sistemas
informáticos.
•
Desastres del entorno. Dentro de este grupo están incluidos sucesos que, sin
llegar a ser desastres naturales, pueden tener un impacto importante si no se
disponen de las medidas, listas y operativas, de salvaguarda.
◦ Ocurre un incendio o un apagón y por no tener definidas las medidas a
tomar en estas situaciones o simplemente por un extintor químico o no
tener operativo el UPS el cual debe responder de forma inmediata al corte
de suministro eléctrico.
33
•
Descripción de algunas amenazas físicas. Algunas amenazas físicas a las
que se puede ver sometido un Centro de Procesamiento de Datos (CPD) y
algunas sugerencias para evitar este tipo de riesgo son:
◦ Por acciones naturales: incendio, inundación, condición climatológica,
señales de radar, instalaciones eléctricas, ergometría, etc.
◦ Por acciones hostiles: robo, fraude, sabotaje, etc.
◦ Por control de accesos: utilización de guardias, utilización de detectores
de metales, utilización de sistemas biométricos, seguridad con animales,
protección electrónica, etc.
Cómo se puede comprobar, evaluar y controlar la seguridad física del
edificio que hospeda el CPD es la base para comenzar a integrar la seguridad como
una función primordial dentro de cualquier empresa.
Tener controlado el ambiente y acceso físico permite:
•
disminuir siniestros.
•
trabajar mejor manteniendo la sensación de seguridad.
•
descartar falsas hipótesis si se produjeran incidentes.
•
tener los medios para luchar contra accidentes.
Las distintas alternativas enumeradas son suficientes para conocer en todo
momento el estado del entorno en el que se trabaja y así tomar decisiones en base a la
información ofrecida por los medios de control adecuados.
Estas decisiones varian desde el conocimiento de la áreas que recorren
ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
Amenazas lógicas
El punto más débil de un sistema informático son las personas
relacionadas en mayor o menor medida con él. Puede ser inexperiencia o falta de
preparación, o no llegar a ataques intencionados propios, sino simplemente sucesos
34
accidentales. Pero que, en cualquier caso, hay que prevenir.
•
Algunos de los ataques potenciales que pueden ser causados por personas,
encontramos:
◦ Ingeniería social: consiste en la manipulación de las personas para que
voluntariamente realicen actos que normalmente no harían.
◦ Shoulder Surfing: consiste en "espiar" físicamente a los usuarios para
obtener generalmente claves de acceso al sistema.
◦ Masquerading: consiste en suplantar la identidad de cierto usuario
autorizado de un sistema informático o su entorno.
◦ Basureo: consiste en obtener información dejada en o alrededor de un
sistema informático tras la ejecución de un trabajo.
◦ Actos delictivos: son actos tipificados claramente como delitos por las
leyes, como el chantaje, el soborno o la amenaza.
◦ Atacante interno: la mayor amenaza procede de personas que han
trabajado o trabajan con los sistemas. Estos posibles atacantes internos
deben disponer de los privilegio mínimos, conocimiento parcial, rotación
de funciones y separación de funciones, etc.
◦ Atacante externo: suplanta la identidad de un usuario legítimo. Si un
atacante externo consigue penetrar en el sistema, ha recorrido el 80% del
camino hasta conseguir un control total de un recurso.
•
Algunas amenazas lógicas comprenden una serie de programas que pueden
dañar el sistema informático. Estos programas creados:
◦ de forma intencionada para hacer daño: software malicioso o malware
(malicious software)
◦ por error: bugs o agujeros.
Enumeramos algunas de las amenazas que podemos encontrar:
35
•
Software incorrecto. Son errores de programación (bugs) y los programas
utilizados para aprovechar uno de estos fallos y atacar al sistema son los
exploits. Es la amenaza más habitual, ya que es muy sencillo conseguir un
exploit y utilizarlo sin tener grandes conocimientos.
•
Exploits. Son los programas que aprovechan una vulnerabilidad del sistema.
Son específicos de cada sistema operativo, de la configuración del sistema y
del tipo de red en la que se encuentren. Pueden haber exploits diferentes en
función del tipo de vulnerabilidad.
•
Herramientas de seguridad. Puede ser utilizada para detectar y solucionar
fallos en el sistema o un intruso puede utilizarlas para detectar esos mismos
fallos y aprovechar para atacar el sistema. Herramientas como Nessus o Satan
pueden ser útiles pero también peligrosas si son utilizadas por crackers
buscando información sobre las vulnerabilidades de un host o de una red
completa.
•
Puertas traseras. Durante el desarrollo de aplicaciones los programadores
pueden incluir 'atajos' en los sistemas de autenticación de la aplicación. Estos
atajos se llaman puertas traseras, y con ellos se consigue mayor velocidad a la
hora de detectar y depurar fallos. Si estas puertas traseras, una vez la
aplicación ha sido finalizada, no se destruyen, se está dejando abierta una
puerta de entrada rápida.
•
Bombas lógicas. Son partes de código que no se ejecutan hasta que se cumple
una condición. Al activarse, la función que realizan no esta relacionada con el
programa, su objetivo es es completamente diferente.
•
Virus. Secuencia de código que se incluye en un archivo ejecutable (llamado
huésped), y cuando el archivo se ejecuta, el virus también se ejecuta,
propagándose a otros programas.
•
Gusanos. Programa capaz de ejecutarse y propagarse por sí mismo a través de
redes, y puede llevar virus o aprovechar errores de los sistemas a los que
conecta para causar daño.
36
•
Caballos de Troya. Los caballos de Troya son instrucciones incluidas en un
programa que simulan realizar tareas que se esperan de ellas, pero en realidad
ejecutan funciones con el objetivo de ocultar la presencia de un atacante o
para asegurarse la entrada en caso de ser descubierto.
•
Spyware. Programas espía que recopilan información sobre una persona o
una organización sin su conocimiento. Esta información luego puede ser
cedida o vendida a empresas publicitarias. Pueden recopilar información del
teclado de la víctima pudiendo así conocer contraseña o número de cuentas
bancarias o pines.
•
Adware. Programas que abren ventanas emergentes mostrando publicidad de
productos y servicios. Se suele utilizar para subvencionar la aplicación y que
el usuario pueda bajarla gratis u obtener un descuento. Normalmente el
usuario es consciente de ello y da su permiso.
•
Spoofing. Técnicas de suplantación de identidad con fines dudosos.
•
Phishing. Intenta conseguir información confidencial de forma fraudulenta
(conseguir contraseñas o pines bancarios) haciendo una suplantación de
identidad. Para ello el estafador se hace pasar por una persona o empresa de la
confianza del usuario mediante un correo electrónico oficial o mensajería
instantánea, y de esta forma conseguir la información.
•
Spam. Recepción de mensajes no solicitados. Se suele utilizar esta técnica en
los correos electrónicos, mensajería instantánea y mensajes a móviles.
•
Programas conejo o bacterias. Programas que no hacen nada, solo se
reproducen rápidamente hasta que el número de copias acaba con los recursos
del sistema (memoria, procesador, disco, etc.).
•
Técnicas salami. Robo automatizado de pequeñas cantidades dinero de una
gran cantidad origen. Es muy difícil su detección y se suelen utilizar para
atacar en sistemas bancarios.
37
Amenazas del sistema
Las amenazas afectan principalmente al Hardware, al Software y a los
Datos. Estas se deben a fenómenos de:
◦ Interrupción
◦ Interceptación
◦ Modificación
◦ Generación
•
Amenazas de interrupción
◦ Se daña, pierde o deja de funcionar un punto del sistema.
◦ Detección inmediata.
•
Ejemplos: Destrucción del hardware, Borrado de programas, datos, Fallos en
el sistema operativo
•
Amenazas de interceptación
◦ Acceso a la información por parte de personas no autorizadas. Uso de
privilegios no adquiridos.
◦ Detección difícil, no deja huellas.
•
Ejemplos: Copias ilícitas de programas, Escucha en línea de datos
•
Amenazas de modificación
◦ Acceso no autorizado que cambia el entorno para su beneficio.
◦ Detección difícil según circunstancias.
•
Ejemplos: Modificación de bases de datos, Modificación de elementos del
HW
•
Amenazas de generación
38
◦ Creación de nuevos objetos dentro del sistema.
◦ Detección difícil. Delitos de falsificación.
•
Ejemplos: Añadir transacciones en red, Añadir registros en base de datos
39
CAPÍTULO 4
LA VULNERABILIDAD
¿QUÉ ES UNA VULNERABILIDAD?
Una vulnerabilidad es una característica de un activo de información y
que representa un riesgo para la seguridad de la información. Cuando se materializa
una amenaza, hay una vulnerabilidad que pueda ser aprovechada, por lo que existe
una exposición a que se presente algún tipo de pérdida para la empresa. El hecho de
tener contraseñas o claves débiles en los sistemas y/o que la red de datos no esté
protegida puede ser aprovechado para los ataques informáticos externos.
Las vulnerabilidades de los sistemas informáticos se agrupan en:
•
Diseño:
◦ Debilidad en el diseño de protocolos utilizados en las redes.
◦ Políticas de seguridad deficientes e inexistentes.
•
Implementación:
◦ Errores de programación.
◦ Existencia de “puertas traseras” en los sistemas informáticos.
◦ Descuido de los fabricantes.
•
Uso
◦ Mala configuración de los sistemas informáticos.
◦ Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.
◦ Disponibilidad de herramientas que facilitan los ataques.
40
◦ Limitación gubernamental de tecnologías de seguridad.
•
Vulnerabilidad del día cero
◦ Se incluyen en este grupo aquellas vulnerabilidades para las cuales no
existe una solución “conocida”, pero se sabe como explotarla.
•
Vulnerabilidades conocidas
◦ Vulnerabilidad de desbordamiento de buffer.
Si un programa no controla la cantidad de datos que se copian en buffer,
puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que
sobran se almacenan en zonas de memoria adyacentes.
Esta situación se puede aprovechar para ejecutar código que nos de
privilegios de administrador.
VULNERABILIDAD DE CONDICIÓN DE CARRERA (RACE CONDITION)
Si varios procesos acceden al mismo tiempo a un recurso compartido
puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que
cambia su estado y puede obtener de esta forma un valor no esperado.
VULNERABILIDAD DE CROSS SITE SCRIPTING (XSS)
Es una vulnerabilidad de las aplicaciones web, que permite inyectar
código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una
aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo
a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro
sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está
enviando al atacante.
41
VULNERABILIDAD DE DENEGACIÓN DEL SERVICIO
•
La denegación de servicio hace que un servicio o recurso no esté disponible
para los usuarios. Suele provocar la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los
recursos informáticos del sistema de la víctima.
VULNERABILIDAD DE VENTANAS ENGAÑOSAS (WINDOW SPOOFING)
•
Las ventanas engañosas son las que dicen que eres el ganador de tal o cual
cosa, lo cual es mentira y lo único que quieren es que el usuario de
información. Hay otro tipo de ventanas que si las sigues obtienen datos del
computador para luego realizar un ataque.
Es interesante visitar la web de vez en cuando y comprobar el elevado
número de vulnerabilidades que se van detectando. Habría que ver cuántas no se
detectan.
42
CAPÍTULO 5
OTROS
ROBO Y FRAUDE
Los sistemas de TI pueden ser usados para estas acciones de manera
tradicional o usando nuevos métodos, por ejemplo, un individuo puede usar el
computador para sustraer pequeños cantidades de dinero de un gran número de
cuentas financieras bajo la suposición de que pequeñas diferencias de saldo no serán
investigadas, los sistemas financieros no son los únicos que están bajo riesgo,
también lo están los sistemas que controlan el acceso a recursos de diversos tipos,
como: sistemas de inventario, sistemas de calificaciones, de control de llamadas
telefónicas, etc.
•
Los robos y fraudes usando sistemas de TI pueden ser cometidos por personas
internas o externas a las organizaciones, estadísticamente los responsables de
la mayoría de los fraudes son personas internas a la organización.
•
Cada año millones de dólares son sustraídos de empresas y en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para dichos
fines, ya sea para transferencias ilícitas de dinero, alteración de saldos de
cuentas, eliminación de registros de deuda, u otras actividades similares, sin
embargo, debido a que las partes implicadas (compañía, empleados,
fabricantes, auditores, etc.), en lugar de ganar, tienen mas que perder, ya sea
en imagen o prestigio, no se da publicidad a este tipo de situaciones.
SABOTAJE
Una gran parte de las empresas que han intentado implementar programas
de seguridad de alto nivel, han encontrado que la protección contra esta amenaza es
uno de los retos más duros, el saboteador puede ser un empleado o un sujeto ajeno a
la empresa y sus motivos pueden ser de lo más variados.
43
•
Al estar más familiarizados con las aplicaciones, los empleados saben que
acciones causarían más daño, por otra parte el downsizing ha generado grupos
de personas con conocimientos sobre diversas organizaciones y con
conocimiento de acceso a sus sistemas. Entre las acciones de sabotaje más
comunes tenemos:
◦ Destrucción de hardware.
◦ ‘Bombas lógicas’ para destrucción de programas y/o datos.
◦ Ingreso erróneo de datos.
◦ Exposición de medios magnéticos de almacenamiento de información a
imanes.
◦ Introducción de suciedad, partículas de metal o gasolina por los conductos
de aire acondicionado.
◦ Corte de las líneas de comunicaciones y/o eléctricas.
ESPIONAJE
•
Se refiere a la acción de recolectar información propiedad de una compañía
para ayudar a otra compañía. Desde que la información es procesada y
almacenada en computadoras, la seguridad informática puede ayudar a
proteger este recurso, sin embargo es muy poco lo que puede hacer para evitar
que un empleado con autorización de acceso a información pueda entregarla o
venderla.
HACKERS Y CÓDIGO MALICIOSO
•
El término hacker, se refiere a los atacantes que se introducen en un sistema
sin autorización y pueden ser internos o externos a la organización, existen
diferencias entre estos atacantes, el hacker tiene por finalidad introducirse en
el sistema y hacer notar que lo logró, el que además de introducirse sin
autorización destruye sistemas e información es el ‘cracker’, y los que hacen
44
uso de sus conocimientos de hardware, software y telefonía para no pagar las
llamadas que hacen son los ‘phreakers’. El código malicioso se refiere a los
virus, worms, caballos de troya, bombas lógicas y otros ejemplos de software
‘no deseado’ que son introducidos en los sistemas.
•
Virus: Segmento de código que se replica adjuntando copias de sí mismo a los
ejecutable existentes, la nueva copia del virus se ejecuta cuando un usuario
ejecuta el programa host, o cuando ciertas condiciones, especificadas como
parte del virus, se presentan.
•
Caballo de troya (Trojan Horse): Es un programa que ejecuta una tarea
deseada, pero que adicionalmente realiza funciones inesperadas e indeseadas.
•
Worm: Es un programa que se autoreplica y no requiere un ejecutable que le
sirva de host, el programa crea una copia de sí mismo y la ejecuta sin
intervención del usuario, los worms comúnmente usan los servicios de red
para propagarse.
PRINCIPALES ACTIVIDADES DE LOS PIRATAS INFORMÁTICOS
Los comportamientos de los intrusos o piratas informáticos han tomado
matices preocupantes. A continuación enumeramos algunas de estas actividades:
•
Desfiguramiento de los sitios web: esto ocurre cuando se entra al servidor web
y se altera o reemplaza la página principal. Los desfiguramientos de los sitios
web es una práctica común, pues se lleva a cabo descargando de internet un
programa que está diseñado para aprovecharse de las vulnerabilidades de los
sistemas.
•
Hurto de la información de las tarjetas de crédito: La información de la tarjeta
de crédito puede ser hurtada por medio de las mismas herramientas de ataque
que están tras los desfiguramientos de los sitios web. Una vez los piratas
informáticos tienen acceso a la red, pueden analizar las bases de datos en
busca de archivos que puedan tener información valiosa, como archivos de
clientes. Todo archivo que sea interesante para el intruso puede ser descargado
45
a su computadora.
•
Ataque a los programas instructores del servidor: Los programas instructores
del servidor permiten las comunicaciones bidireccionales entre los servidores
y usuarios web. Las instrucciones del servidor también es un objetivo común
de los intrusos y lo hacen ejecutando comandos, leyendo los archivos del
sistema o modificando los mismos.
•
Ataques de negación de servicio: la negación de servicio se produce cuando
alguien o algo impide que se realice una tarea u operación deseada. Los
intrusos o piratas logran esto principalmente con el consumo del ancho de
banda, inundando la red con datos, agotando los recursos del sistema, fallas de
programación, etc.
CINCO MECANISMOS DE MONITOREO, DE CONTROL Y
SEGUIMIENTO
El monitoreo4 es una de las actividades que permite tener mejor acotada la
seguridad de la organización debido a que observa los comportamientos normales y
anormales en los sistemas. Los mecanismos que se emplean para monitorear un
sistema varían con base en los requerimientos y alcances que planee dar la
organización, dentro de éstos se encuentran bitácoras de acceso al sistema, tráfico de
red, errores en los sistemas, límites de cuotas, intentos fallidos de sesión, etcétera.
4
•
Se enfoca el monitoreo de la red de una organización en los dispositivos que
realizan esta tarea, los cuales son escogidos a partir de la propia arquitectura
de red, por medio de puertos mirror, firewall, IDS, sniffer’s, appliance,
protocolos de monitoreo como SNMP, RMON principalmente. Las
características de cada uno de éstos es muy específica y su selección depende
sólo de los responsables de la seguridad de la organización.
•
Muchos de los equipos activos en la actualidad permiten su administración y
definición de servicios por hardware, como de software. Como ejemplo de
La palabra correcta en castellano, es supervisión.
46
estos son TELNET, SSH, terminal, y Web, así como el manejo de protocolos
como SNMP, RMON, redes virtuales y puertos espejo principalmente. El
Puerto espejo es una más de las prestaciones de algunos equipos, la cual
permite transmitir el tráfico de un puerto específico del equipo, hacia otro
puerto del mismo, esto con la finalidad de analizar el tráfico que pasa.
•
El alcance de los puertos monitores es demasiado, ya que analiza en tiempo
real las conexiones de un equipo sin afectar el tráfico, así como colocar otro
equipo para interpretar el tráfico que se está analizando. El software que se
puede emplear en equipos con estas características contemplan:
◦ Propósitos de diagnóstico.
▪ Análisis de tráfico: Identificar el tipo de aplicaciones que son más
utilizadas.
▪ Flujo: conjunto de paquetes con la misma dirección IP origen y
destino, mismo puerto y tipo de aplicación.
◦ Sniffer de todos los tipos.
▪ Appliance: Hardware con una funcionalidad dedicada, como los son
los analizadores de tráfico, equipos de almacenamiento, servidores
web, firewall, etcétera.
◦ Detectores de Intruso.
◦ Creación de bitácoras por hora, día, mes, etcétera.
Los mecanismos de control y seguimiento son utilizados en parte para
determinar la integridad de la información y equipos, comportamiento, generación de
estadísticas, tendencias así como registrar todos los eventos que se produzcan.
ATAQUE INFORMÁTICO
Un ataque informático consiste en aprovechar alguna debilidad o falla
(vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman
47
parte de un ambiente informático; a fin de obtener un beneficio, por lo general de
índole económico, causando un efecto negativo en la seguridad del sistema, que luego
repercute directamente en los activos de la organización.
Para minimizar el impacto negativo provocado por ataques, existen
procedimientos y mejores prácticas que facilitan la lucha contra las actividades
delictivas y reducen notablemente el campo de acción de los ataques.
ANATOMÍA DE UN ATAQUE INFORMÁTICO
Conocer las diferentes etapas que conforman un ataque informático
brinda la ventaja de aprender a pensar como los atacantes y a jamás subestimar su
mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar
esas habilidades para comprender y analizar la forma en que los atacantes llevan a
cabo un ataque.
A continuación se enumeran las cinco etapas por las cuales suele pasar un
ataque informático al momento de ser ejecutado:
◦ Reconocimiento.
◦ Exploración.
◦ Obtener el acceso.
◦ Mantener el acceso.
◦ Cubrir las huellas.
Fase 1: (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que puede
ser una persona u organización.
Por lo general, durante esta fase se recurre a diferentes recursos de
Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas
de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster
Diving, el sniffing.
48
Fase 2: (Exploración). En esta segunda etapa se utiliza la información
obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el
sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre
otros.
Entre las herramientas que un atacante puede emplear durante la
exploración se encuentra network mappers, port mappers, network scanners, port
scanners, y vulnerability scanners.
Fase 3: (Obtener acceso). En esta instancia comienza a materializarse el
ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
exploitation) descubiertos durante las fases de reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son ataques de
Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos),
Password filtering y Session hijacking.
Fase 4: (Mantener el acceso). Una vez que el atacante ha conseguido
acceder al sistema, buscará implantar herramientas que le permitan volver a acceder
en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen
recurrir a utilidades backdoors, rootkits y troyanos.
Fase 5: (Borrar huellas). Una vez que el atacante logró obtener y
mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando
durante la intrusión para evitar ser detectado por el profesional de seguridad o los
administradores de la red. En consecuencia, buscará eliminar los archivos de registro
(log) o alarmas del Sistema de Detección de Intrusos (IDS).
CONFIGURACIONES PREDETERMINADAS
Las configuraciones por defecto, tanto en los sistemas operativos, las
aplicaciones y los dispositivos implementados en el ambiente informático, conforman
otra de las debilidades que comúnmente son poco atendidas por pensar erróneamente
que se tratan de factores triviales que no se encuentran presentes en la lista de los
atacantes.
Sin embargo, las configuraciones predeterminadas hacen del ataque una
49
tarea sencilla para quien lo ejecuta ya que es muy común que las vulnerabilidades de
un equipo sean explotadas a través de códigos exploit donde el escenario que asume
dicho código se basa en que el objetivo se encuentra configurado con los parámetros
por defecto.
Muchas aplicaciones automatizadas están diseñadas para aprovechar estas
vulnerabilidades teniendo en cuenta las configuraciones predeterminadas, incluso,
existen sitios web que almacenan bases de datos con información relacionada a los
nombres de usuario y sus contraseñas asociadas, códigos de acceso, configuraciones,
entre otras, de los valores por defecto de sistemas operativos, aplicaciones y
dispositivos físicos. Sólo basta con escribir en un buscador las palabras claves
“default passwords” (contraseña por defecto) para ver la infinidad de recursos
disponibles que ofrecen este tipo de información.
Por lo tanto, una de las contramedidas más eficaces para mitigar y
prevenir problemas de seguridad en este aspecto, y que muchas veces se omite, es
simplemente cambiar los valores por defecto. En este sentido, es importante no
sacrificar la disponibilidad de los recursos por ganar seguridad. Se debe encontrar un
equilibrio justo entre usabilidad y seguridad.
La práctica de fortalecer el ambiente informático configurando de manera
segura la tecnología para contrarrestar los vectores de ataque se denomina hardening.
En esteaspecto, la responsabilidad de realizar todo lo que se encuentre a su alcance
para modificar los valores predeterminados recae en quienes se encargan de la
administración de los equipos.
Es importante que durante el proceso de hardening también se verifiquen
otros aspectos como las opciones que se configuran de manera predeterminada al
instalar sistemas operativos y demás recursos, como los nombres de rutas, nombres
de carpetas, componentes, servicios, configuraciones y otros ajustes necesarios, o
innecesarios, que brinden un adecuado nivel de protección.
OSINT (OPEN SOURCE INTELLIGENCE)
Los atacantes, sobre todo los atacantes externos, aprenden constantemente
50
técnicas de ataque que le permiten penetrar los esquemas de seguridad por más
complejos que sean.
En consecuencia, la pregunta que inmediatamente viene a colación es
¿cómo lo logran?, y aunque la respuesta pudiera parecer un tanto compleja, resulta
más sencilla de lo que se imagina. La respuesta es investigación.
Una de las primeras facetas de un ataque informático, consiste en la
recolección de información a través de diferentes técnicas como reconnaissance,
discovery, footprinting o Google Hacking; y precisamente, Open Source Intelligence
(Inteligencia de fuentes abiertas) se refiere a la obtención de información desde
fuentes públicas y abiertas.
La información recolectada por el atacante, no es más que la
consecuencia de una detallada investigación sobre el objetivo, enfocada a obtener
toda la información pública disponible sobre la organización desde recursos públicos.
En este aspecto, un atacante gastará más del 70% de su tiempo en actividades de
reconocimiento y obtención de información por que cuanto más aprende el atacante
sobre el objetivo, más fácil será llevar a cabo con éxito el ataque.
Lo realmente preocupante es la falta de conciencia en este sentido, ya que
no caben dudas de que la información es el bien más importante para cualquier tipo
de organización. En la mayoría de los casos, las empresas brindan una enorme
cantidad de datos que hacen de la tarea de recolectar información una cuestión tan
sencilla como la lectura de este artículo.
Generalmente, los atacantes hacen inteligencia sobre sus objetivos
durante varios meses antes de comenzar las primeras interacciones lógicas contra el
objetivo a través de diferentes herramientas y técnicas como el scanning, banner
grabbing (captura de titulares) y rastreo de los servicios públicos. Aún así, estas
actividades son sólo sondeos sutiles que buscan verificar los datos obtenidos.
Los responsables de las organizaciones se sorprenderían al ver el enorme
caudal de información que se puede encontrar en Internet sobre, no sólo las
actividades propias de la organización, sino que también, información sobre las
actividades de los empleados y su familia.
51
A través del siguiente listado se refleja algunos ejemplos concretos sobre
el tipo y sensibilidad de la información que un atacante podría obtener haciendo
OSINT:
•
Los nombres de sus altos jefes/ejecutivos y de cualquier empleado pueden ser
obtenidos desde comunicados de prensa.
•
La dirección de la empresa, números telefónicos y números de fax desde
diferentes registros públicos o directamente desde el sitio web.
•
Qué o cuáles, empresas proveen el servicio de Internet (ISP) a través de
técnicas sencillas como DNS lookup y traceroute.
•
La dirección del domicilio del personal, sus números telefónicos, currículum
vitae, datos de los familiares, puestos en los que desempeña funciones,
antecedentes penales y mucho más buscando sus nombres en diferentes sitios.
•
Los sistemas operativos que se utilizan en la organización, los principales
programas utilizados, los lenguajes de programación, plataformas especiales,
fabricantes de los dispositivos de networking, estructura de archivos, nombres
de archivos, la plataforma del servidor web y mucho más.
•
Debilidades físicas, access point, señales activas, endpoint, imágenes
satelitales, entre otras.
•
Documentos confidenciales accidentalmente, o intencionalmente, enviados a
cuentas personales de personas que no en la actualidad no guardan relación
alguna con la organización, más allá del paso por la misma.
•
Vulnerabilidades en los productos utilizados, problemas con el personal,
publicaciones internas, declaraciones, políticas de la institución.
•
Comentarios en blogs, críticas, jurisprudencia y servicios de inteligencia
competitiva.
Como se puede apreciar, no hay límite a la información que un atacante
puede obtener desde fuentes públicas abiertas donde, además, cada dato obtenido
52
puede llevar al descubrimiento de más información.
En cuanto a las medidas preventivas que se pueden implementar, existe
un punto de partida delimitado por la información que ya se encuentra en Internet y
aquella que se publicará a futuro en fuentes públicas.
En el primero de los casos, una vez que la información se encuentra en
Internet siempre está allí disponible sin poder ser modificada o eliminada, por
consiguiente, continuará erosionando sobre la seguridad de la entidad. De todas
formas, siempre queda la posibilidad de limpiar cualquier recurso de información que
se encuentre bajo su control directo, poniéndose en contacto con quienes poseen la
información y solicitar que la cambien.
Con respecto a la información que se publicará, antes de hacerlo se debe
ejecutar contramedidas efectivas que contemplen la protección de cierto tipo de
información. Esto se logra a través de políticas de seguridad rigurosas tendientes a
controlar o limitar la información que en el futuro sale al mundo exterior de la
organización, siendo discreto en los anuncios, en detalles sobre proyectos y
productos, comunicados de prensa, etcétera.
53
CAPÍTULO 6
IMPACTO
No existe una fórmula exacta ni una herramienta para calcular el "costo
de los ataques informáticos". Sin embargo, hay una serie de directrices y estudios de
investigación útiles que nos pueden proporcionar a los administradores de TI las
técnicas y los recursos necesarios para desarrollar su propio modelo de costos. A la
hora de evaluar el impacto de los ataques basados en la red y el "valor preventivo" de
las tecnologías de firewalls de próxima generación, deben tenerse en cuenta tres áreas
principales:
•
La definición de los diferentes tipos de ataques basados en la red.
•
La comprensión del modo en que esos ataques pueden afectar al negocio de su
empresa.
•
Los métodos para cuantificar el impacto de dichos ataques.
Existen cientos de tipos de ataques basados en la red que pueden dañar su
organización. Entre los más comunes se encuentran los siguientes:
•
Virus, troyanos, gusanos y otros tipos de malware que pueden poner fuera de
servicio servidores y estaciones de trabajo o robar datos.
•
Amenazas avanzadas persistentes, diseñadas para penetrar las redes y robar
propiedad intelectual e información confidencial de forma desapercibida.
•
Ataques distribuidos de denegación de servicio (DDoS) y flooding, que
pueden sobrecargar los servidores y poner páginas web fuera de servicio.
IMPACTO ECONÓMICO
Los daños causados por los ataques, independientemente de la fuente, se
dividen en dos categorías principales: la filtración de datos y la pérdida de servicio.
La filtración de datos siempre da lugar a noticias sensacionalistas, pues la
54
extracción de información corporativa confidencial va a parar a manos de criminales
o competidores. Los daños causados por las filtraciones de datos son visibles y muy
graves. Pueden ser daños de carácter financiero (pérdida de ingresos, costes legales y
normativos, costes derivados de procesos judiciales y multas), costes 'blandos'
(pérdida de la confianza y fidelidad de los clientes) y pérdida de competitividad
(como resultado de la pérdida de propiedad intelectual).
Después de sufrir filtraciones de información, las empresas se gastan
cantidades enormes de tiempo y dinero en tareas de detección y corrección técnica, en
la identificación y el bloqueo de ataques, así como en la valoración de los daños
causados y en la aplicación de medidas correctivas. Además, los casos de filtración de
datos generan una publicidad negativa que dura mucho más que el ataque en sí.
Los ataques por denegación de servicio resultan en la degradación o en la
total inoperatividad de los sistemas informáticos, tanto de estaciones de trabajo como
de servidores web, de aplicaciones o de bases de datos. Pero los daños colaterales en
el ámbito financiero de estos daños también pueden ser catastróficos. El comercio se
ralentiza o se detiene por completo, lo cual repercute directamente en los ingresos.
Los procesos cotidianos se interrumpen o los empleados no pueden desempeñar sus
tareas porque la red está fuera de servicio.
Al igual que ocurre con las filtraciones de datos, se produce un coste real
relacionado con el departamento de TI y el personal de soporte, que tienen que
diagnosticar los problemas, ayudar a los empleados, reiniciar los servicios y
restablecer la imagen inicial de los PC.
¿CÓMO SE ESTIMAN LOS COSTOS?
En realidad, no existe un modelo de costes universal aplicable a todos los
casos. Un estudio de Ponemon Institute, realizado en marzo de 2012, y el estudio de
NetDiligence, titulado Cyber Liability & Data Breach Insurance Claims
(Reclamaciones de seguros por responsabilidad cibernética y filtración de datos),
publicado en octubre de 2012, proporcionan dos fuentes independientes que pueden
ayudar a los responsables de TI a cuantificar el impacto de los ataques basados en la
red.
55
El Ponemon Institute realizó entrevistas detalladas a finales de 2011 a 49
empresas pertenecientes a 14 industrias diferentes, que habían sufrido casos de
pérdida o robo de datos personales de cliente y extrajo como principales conclusiones
que:
•
El costo total medio de la filtración de datos asciende a los 4,16 millones de
euros (valor en la divisa local utilizando Xe.com).
•
Los ingresos perdidos por la filtración son de 2,26 millones de euros.
•
Y, los costos posteriores a la filtración alcanzan los 1,13 millones de euros
(asistencia técnica, medidas correctivas, descuentos a clientes, etc.).
Las cifras por registro -basadas en cantidades considerablemente grandes
(normalmente 100.000+registros)- pueden proporcionar a los administradores de TI
por lo menos una idea del coste asociado a la filtración de datos, en función del
tamaño de la empresa y de la cantidad de amenazas a las que suele hacer frente.
NetDiligence publicó un estudio con 137 eventos sucedidos entre 2009 y 2011, que
llevaron a las compañías de seguros a realizar pagos por reclamaciones de
responsabilidad cibernética. Pagos medios:
•
Acuerdo legal por evento: 1.589.000 euros.
•
Defensa legal por filtración: 440.549 euros.
•
Pago total medio del seguro por evento: 2,8 millones de euros.
Aunque estos dos estudios miden diferentes elementos de los costes
relacionados con los ataques basados en la red, ambos ilustran lo costosos que
resultan estos ataques para los resultados, la reputación y la competitividad de las
empresas.
Además de estas cifras, existen una serie de cálculos rápidos y
aproximados que pueden ayudar a justificar la inversión requerida para las
tecnologías de firewalls de red de próxima generación:
•
La pérdida de ingresos por cada hora que su página web está fuera de servicio
56
o seriamente impedida a causa de un ataque DdoS.
•
La pérdida de productividad por cada hora que un proceso de negocio crítico
está fuera de servicio debido a unmalware que inhabilita el servidor.
•
El precio por hora del personal del servicio técnico para diagnosticar
infecciones de malware en los PC y del grupo de soporte para restablecer los
PC infectados.
•
El costo por registro para informar a los clientes o empleados en caso de
filtración de datos y proporcionarles servicios de supervización crediticia
durante un año.
Existen asimismo dos técnicas adicionales que pueden resultar de utilidad
a la hora de calcular los costes de los ataques. Algunas organizaciones han hecho
estimaciones detalladas de posibles repercusiones futuras mediante la realización de
simulaciones. Para ello, reúnen a un grupo de empleados de diferentes departamentos
-TI, marketing, RRHH, legal, etc.- y simulan un ataque. Estos ejercicios no solo
ayudan a cuantificar los costes, sino que a menudo además desvelan efectos
inesperados, como por ejemplo las obligaciones contractuales o el impacto de las
filtraciones de datos asociado a las normas.
IMPACTO A NIVEL SOCIAL
La proliferación de los delitos informáticos a hecho que nuestra sociedad
sea cada vez más escéptica a la utilización de tecnologías de la información, las
cuales pueden ser de mucho beneficio para la sociedad en general. Este hecho puede
obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el
comercio electrónico puede verse afectado por la falta de apoyo de la sociedad en
general.
También se observa el grado de especialización técnica que adquieren los
delincuentes para cometer éste tipo de delitos, por lo que personas con conductas
maliciosas cada vez más están ideando planes y proyectos para la realización de actos
delictivos, tanto a nivel empresarial como a nivel global.
57
También se observa que las empresas que poseen activos informáticos
importantes, son cada vez más celosas y exigentes en la contratación de personal para
trabajar en éstas áreas, pudiendo afectar en forma positiva o negativa a la sociedad
laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientos informáticos básicos,
son más vulnerables a ser víctimas de un delito, que aquellos que si los poseen. En
vista de lo anterior aquel porcentaje de personas que no conocen nada de informática
(por lo general personas de escasos recursos económicos) pueden ser engañadas si en
un momento dado poseen acceso a recursos tecnológicos y no han sido asesoradas
adecuadamente para la utilización de tecnologías como la Internet, correo electrónico,
etc.
La falta de cultura informática puede impedir de parte de la sociedad la
lucha contra los delitos informáticos, por lo que el componente educacional es un
factor clave en la minimización de esta problemática.
IMPACTO A NIVEL JUDICIAL
Captura de delincuentes cibernéticos
A medida que aumenta la delincuencia electrónica, numerosos países han
promulgado leyes declarando ilegales nuevas prácticas como la piratería informática,
o han actualizado leyes obsoletas para que delitos tradicionales, incluidos el fraude, el
vandalismo o el sabotaje, se consideren ilegales en el mundo virtual.
Singapur, por ejemplo, enmendó recientemente su ley sobre el Uso
Indebido de las Computadoras. Ahora son más severos los castigos impuestos a todo
el que interfiera con las "computadoras protegidas" --es decir, las que están
conectadas con la seguridad nacional, la banca, las finanzas y los servicios públicos y
de médicos de urgencia-- así como a los transgresores por entrada, modificación, uso
o intercepción de material computadorizado sin autorización.
Hay países que cuentan con grupos especializados en seguir la pista a los
delincuentes cibernéticos. Uno de los más antiguos es la oficina de Investigaciones
Especiales de la Fuerza Aérea de los Estados Unidos, creada en 1978. Otro es el de
58
Investigadores de la Internet, de Australia, integrado por oficiales de la ley y peritos
con avanzados conocimientos de informática. El grupo australiano recoge pruebas y
las pasa a las agencias gubernamentales de represión pertinentes en el estado donde se
originó el delito.
Pese a estos y otros esfuerzos, las autoridades aún afrentan graves
problemas en materia de informática. El principal de ellos es la facilidad con que se
traspasan las fronteras, por lo que la investigación, enjuiciamiento y condena de los
transgresores se convierte en un dolor de cabeza jurisdiccional y jurídico. Además,
una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les
siga juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al lugar
donde se cometieron los delitos.
En 1992, los piratas de un país europeo atacaron un centro de
computadoras de California. La investigación policial se vio obstaculizada por la
doble tipificación penal --la carencia de leyes similares en los dos países que
prohibían ese comportamiento-- y esto impidió la cooperación oficial, según informa
el Departamento de Justicia de los Estados Unidos. Con el tiempo, la policía del país
de los piratas se ofreció a ayudar, pero poco después la piratería terminó, se perdió el
rastro y se cerró el caso.
Asimismo, en 1996 el Servicio de Investigación Penal y la Agencia
Federal de Investigación (FBI) de los Estados Unidos le siguió la pista a otro pirata
hasta un país sudamericano. El pirata informático estaba robando archivos de claves y
alterando los registros en computadoras militares, universitarias y otros sistemas
privados, muchos de los cuales contenían investigación sobre satélites, radiación
atómica y nuclear e ingeniería energética.
Los oficiales del país sudamericano requisaron el apartamento del pirata e
incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes
nacionales. Sin embargo, los dos países no habían firmado acuerdos de extradición
por delitos de informática sino por delitos de caracter más tradicional. Finalmente se
resolvió la situación sólo porque el pirata accedió a negociar su caso, lo que condujo
a que se declarara culpable en los Estados Unidos.
59
Destrucción u ocultación de pruebas
Otro grave obstáculo al enjuiciamiento por delitos cibernéticos es el
hecho de que los delincuentes pueden destruir fácilmente las pruebas bien sea
cambiándolas, borrándolas o trasladándolas. Si los agentes del orden operan con más
lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los
datos estén cifrados, una forma cada vez más popular de proteger tanto a los
particulares como a las empresas en las redes de computadoras.
Tal vez la criptografía estorbe en las investigaciones penales, pero los
derechos humanos podrían ser vulnerados si los encargados de hacer cumplir la ley
adquieren demasiado poder técnico. Las empresas electrónicas sostienen que el
derecho a la intimidad es esencial para fomentar la confianza del consumidor en el
mercado de la Internet, y los grupos defensores de los derechos humanos desean que
se proteja el cúmulo de datos personales archivados actualmente en archivos
electrónicos.
Las empresas también recalcan que la información podría caer en malas
manos, especialmente en países con problemas de corrupción, si los gobiernos tienen
acceso a los mensajes en código. "Si los gobiernos tienen la clave para descifrar los
mensajes en código, esto significa que personas no autorizadas --que no son del
gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante
compañía norteamericana de ingeniería de seguridad.
IMPACTO EN LA IDENTIFICACIÓN DE DELITOS A NIVEL MUNDIAL
Las dificultades que enfrentan las autoridades en todo el mundo ponen de
manifiesto la necesidad apremiante de una cooperación mundial para modernizar las
leyes nacionales, las técnicas de investigación, la asesoría jurídica y las leyes de
extradición para alcanzar a los delincuentes. Ya se han iniciado algunos esfuerzos al
respecto.
En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que
coordinen sus leyes y cooperen en la solución de ese problema. El Grupo de trabajo
Europeo sobre delitos en la tecnología de la informática ha publicado un Manual
60
sobre el delito por computadora, en el que se enumeran las leyes pertinentes en los
diversos países y se exponen técnicas de investigación, al igual que las formas de
buscar y guardar el material electrónico en condiciones de seguridad.
El Instituto Europeo de Investigación Antivirus colabora con las
universidades, la industria y los medios de comunicación y con expertos técnicos en
seguridad y asesores jurídicos de los gobiernos, agentes del orden y organizaciones
encargadas de proteger la intimidad a fin de combatir los virus de las computadoras o
"caballos de Troya". También se ocupa de luchar contra el fraude electrónico y la
explotación de datos personales.
En 1997, los países del Grupo de los Ocho aprobaron una estrategia
innovadora en la guerra contra el delito de "tecnología de punta". El Grupo acordó
que establecería modos de determinar rápidamente la proveniencia de los ataques por
computadora e identificar a los piratas, usar enlaces por vídeo para entrevistar a los
testigos a través de las fronteras y ayudarse mutuamente con capacitación y equipo.
También decidió que se uniría a las fuerzas de la industria con miras a crear
instituciones para resguardar las tecnologías de computadoras, desarrollar sistemas de
información para identificar casos de uso indebido de las redes, perseguir a los
infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordinación abiertos
24 horas al día, siete días a la semana para los encargados de hacer cumplir la ley.
Estos centros apoyan las investigaciones de otros Estados mediante el suministro de
información vital o ayuda en asuntos jurídicos, tales como entrevistas a testigos o
recolección de pruebas consistentes en datos electrónicos.
Un obstáculo mayor opuesto a la adopción de una estrategia del tipo
Grupo de los Ocho a nivel internacional es que algunos países no tienen la
experiencia técnica ni las leyes que permitirían a los agentes actuar con rapidez en la
búsqueda de pruebas en sitios electrónicos --antes de que se pierdan-- o transferirlas
al lugar donde se esté enjuiciando a los infractores.
Cyber delitos
En la nube. Ahora es frecuente que guardes información en servicios que
61
operan en la nube como Dropbox o Evernote. Pero algunos de estos servicios han
tenido serias violaciones de seguridad en los últimos años. Todo depende de cada
proveedor, pero se recomienda que si almacenas información privada en un servicio
en la nube, la información debe ir encriptada. Lo que tienes que hacer es agregarle un
código con un programa de encriptación como TrueCrypt (truecrypt.org) antes de
subir la información. Si ocurre una violación, los piratas no podrán leer tu
información.
En el consultorio del doctor. A los piratas les gustan mucho los centros de
salud porque pueden obtener con facilidad los números de seguro social de los
pacientes. No proporciones tu numero de seguro social y correo electrónico cuando
llenas el formulario en el consultorio. Esta es la mina de oro de los piratas.
En el lugar donde compras. El ataque del año pasado a Target es una señal
de que cada vez que pasas tu tarjeta para una compra estas vulnerable. Lo más
importante es que estés siempre atento y revisa que no tengas cargos extraños en tus
tarjetas. Si informas a tiempo a tu banco puedes eliminar un costoso dolor de cabeza.
Mientras te tomas un café. Los lugares públicos con redes abiertas de WiFi son territorio para los delitos cibernéticos. Si usas tu laptop fuera de casa es
conveniente que uses tu propia red al pagar tu propio proveedor de servicio móvil de
Internet. En las Wi-Fi públicas tu información puede quedar expuesta.
Cuando pagas los impuestos. Las declaraciones de impuestos también
contienen información muy valiosa para los piratas. Tienes que mantenerte atento con
tu información de historia de crédito. Informa sobre posibles errores en tu historia de
crédito o transacciones sospechosas en tus cuentas bancarias.
Cuando viajas. Se han descubierto dispositivos para robar información en
las computadoras dispensadoras de boletos de tren y otros transportes públicos.
Cuando las uses trata de usar la tarjeta de crédito o trata de ocultar tu mano cuando
ingreses los números de tu código personal o PIN.
Cuando pones gasolina al auto. Las estaciones de gasolina y algunos ATM
ubicados fuera de tu red bancaria pueden ser vulnerables. Se sabe que los piratas
instalan cámara en lugares ocultos para capturar la información o instalan aparatos
62
que pueden robar la información de las tarjetas. No uses la tarjeta débito en estos
lugares o pásala siempre como crédito.
63
CAPÍTULO 7
CONTROL DE RIESGOS
SERVICIOS DE SEGURIDAD
El propósito del control de riesgo es analizar el funcionamiento, la
efectividad y el cumplimiento de las medidas de protección, para determinar y ajustar
sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan
operativo institucional, donde se define los momentos de las intervenciones y los
responsables de ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección
requiere que levantemos constantemente registros sobre la ejecución de las
actividades, los eventos de ataques y sus respectivos resultados. Éstos, deben ser
analizados frecuentemente. Dependiendo de la gravedad, el incumplimiento y el
sobrepasar de las normas y reglas, requieren sanciones institucionales para el personal
involucrado.
En el proceso continuo de la Gestión de riesgo, las conclusiones mismas
se generan como resultado del control de riesgo, lo que nos sirven como fuente de
información, cuando se inicia otra vez en el proceso del Análisis de riesgo.
◦ Confidencialidad
La confidencialidad es la garantía de que la información personal será
protegida para que no sea divulgada sin consentimiento de la persona. Dicha garantía
se lleva a cabo por medio de un grupo de reglas que limitan el acceso a ésta
información.
¿Porqué es importante la confidencialidad?
Cada individuo tiene derecho a proteger su información personal. Cuando
decide compartir dicha información en un estudio de investigación, el médico y
64
personal del estudio debe asegurarle al individuo que su información personal
continuará siendo confidencial y sólo será accesible a los pocos individuos que se
encuentran directamente involucrados en el estudio.
¿Quién es el responsable de que exista confidencialidad en cada
estudio clínico?
El Comité de Ética en Investigación es un grupo de consejeros que
evalúan cada proyecto de investigación. Desde antes de que inicie el estudio, el
Comité de Ética le solicita a cada investigador que explique claramente como
pretende proteger la información de los participantes. Posteriormente vigila que se
cumplan las condiciones necesarias para que la información se mantenga segura.
¿Cómo se garantiza la confidencialidad en un estudio?
Cuando se invita a una persona a participar en un estudio, ésta deberá
recibir un documento oficial que asegure que tipo de información recabará el estudio
y como se pretende utilizar dicha información. La persona tendrá la oportunidad de
valorar ésta información y preguntar lo que no le quede claro antes de firmar el
documento para iniciar el estudio.
¿Cómo se protegen los datos para asegurar la confidencialidad?
Para asegurar la confidencialidad de cada persona se utilizan códigos
especiales de identificación. En lugar de utilizar el nombre y apellidos reales, o
incluso el registro de la institución, se asignan otros códigos para su identificación.
Por otro lado, el número de personas con acceso a dicha información es limitado.
Generalmente se utilizan contraseñas personales para acceder a las bases de datos.
Muchas de las bases de datos computarizadas registran quienes accedieron a ella y
que información obtuvieron. Por último, los registros de papel se mantienen en un
lugar cerrado y protegido.
¿A quién puedo reportar que mi confidencialidad fue violada?
Al Comité de Ética en investigación. El documento de inicio (Carta de
Consentimiento Informado) deberá tener los teléfonos del Comité en caso de que
usted desee contactarlo.
65
◦ Autenticación
Llamamos autenticación a la comprobación de la identidad de una
persona o de un objeto. Hemos visto algunos procesos que sirven para la
autenticación de servidores, de mensajes y de remitentes y destinatarios de mensajes.
Pero hemos dejado pendiente un problema: las claves privadas están alojadas en
máquinas clientes y cualquiera que tenga acceso a ellas puede utilizar dichas claves
para suplantar la identidad de su legítimo propietario.
Por tanto es necesario que los usuarios adopten medidas de seguridad y
utilicen los medios de autenticación de usuario de los que disponen sus computadores
personales. Hay tres sistemas de identificación de usuario, mediante contraseña,
mediante dispositivo y mediante dispositivo biométrico.
La autenticación mediante contraseña es el sistema más común ya que
viene incorporado en los sistemas operativos modernos de todos los computadores.
Otros computadores estarán preparados para la autenticación mediante un dispositivo
que sólo reconocerá al usuario mientras éste mantenga introducida una “llave”,
normalmente una tarjeta con chip. Hay sistemas de generación de claves asimétricas
que introducen la clave privada en el chip de una tarjeta inteligente.
Los dispositivos biométricos son un caso especial del anterior, en los que
la “llave” es una parte del cuerpo del usuario, huella dactilar, voz, pupila o iris.
Existen en el mercado a precios relativamente económicos ratones un lector de
huellas dactilares incorporado.
Autenticación Fuerte
Entonces, cada vez que ingresas a tu computador lo más probable es que
el sistema te solicite una clave de acceso para comprobar que efectivamente eres tú el
que intenta acceder a tu cuenta. Este tipo de autenticación se basa en algo que tu
sabes: la clave.
Pero sabemos que por diferentes motivos otra persona puede tener esa
clave y acceder al sistema de forma ajena, es ahí donde hace presencia la
Autenticación Fuerte, la cual asegura que la persona que se identifica en un sistema es
realmente quien dice ser comprobando su identidad.
66
Este sistema se encuentra generalmente basado en tres factores básicos:
•
Algo que sabes: clave, PIN, Cédula de Identidad, Pasaporte, Nombre de
Algún Pariente, etc.
•
Algo que posees: Credencial, Tarjeta Magnética, Token OTP (One Time
Password), etc.
•
Algo que la persona es: Huella Digital, Reconocimiento facial, de voz, iris,
retina, etc.
Hablamos de Autenticación Fuerte cuando un sistema utiliza al
menos dos de los tres factores básicos, de modo que si uno de estos factores se
encuentra comprometido todavía existe un segundo factor que garantiza la seguridad.
La Banca utiliza sistemas de Autenticación Fuerte, al momento que
acudes a un cajero automático para retirar dinero utilizas dos factores de
autenticación: Algo que posees: tu tarjeta y algo que sabes: tu clave.
En la actualidad el mayor reto de seguridad en autenticación se presenta
en sistemas en línea, donde cualquier mínimo desacierto representa una amenaza de
acceso no autorizado. La solución es la Autenticación Fuerte con dispositivos
llamados Token OTP (One Time Password).
Token OTP (One Time Password) es una herramienta que se utiliza de
forma individual como una tarjeta, consta de uno o varios botones y una pantalla
numérica. Su función es generar una secuencia de números aleatoria en el momento
que la uses, la validez de esta secuencia es de sólo unos segundos y te servirá para
ingresar en el sistema.
Esta secuencia de números utiliza un avanzado algoritmo que hace su
número único en toda una plataforma de usuarios. El sistema puede saber gracias a
esa secuencia que eres tu quien ingresa al sistema en ese momento, si otra persona
por diferentes razones obtiene el numero de esa secuencia no podrá hacer nada con
ella ya que a los pocos segundos expirará y denegara el acceso sin comprometer su
identidad.
67
Los Tokens OTP se presentan en diferentes formas: como dispositivo
electrónico, como tarjeta electrónica o como Software instalado en el computador.
◦ Integridad
Es la garantía de la exactitud y completitud de la información de la
información y los métodos de su procesamiento. Asegura que:
•
No se realizan modificaciones de datos en un sistema por personal o procesos
no autorizados.
•
No se realizan modificaciones no autorizadas de datos por personal o procesos
autorizados.
•
Los datos son consistentes, es decir, la información interna es consistente
entre si misma y respecto de la situación real externa.
¿QUÉ ENTENDEMOS POR "INTEGRIDAD"?
La importancia de la integridad de los datos se ilustra con un sencillo
ejemplo: Una persona necesita un tratamiento hospitalario que incluye la
administración diaria de un medicamento en dosis de 10 miligramos (mg). Accidental
o intencionalmente, se produce una modificación en el registro electrónico del
tratamiento y las dosis quedan establecidas en 100 mg, con consecuencias mortales.
Otro ejemplo, es imaginar una situación propia de una obra de ficción que antecediera
al ataque del virus Stuxnet en 2010 y preguntarnos qué ocurriría si alguien interfiriera
los sistemas de control de una central nuclear para simular condiciones de
funcionamiento normal cuando, en realidad, se ha provocado una reacción nuclear en
cadena. ¿Podemos afirmar que los profesionales reconocen las múltiples definiciones
de la “integridad de los datos”? Veamos:
•
Para un encargado de seguridad, la “integridad de los datos” se define
como la imposibilidad de que alguien modifique datos sin ser descubierto.
Desde la perspectiva de la seguridad de datos y redes, la integridad de los
datos es la garantía de que nadie accede a la información ni puede modificarla
sin contar con la autorización necesaria. Si examinamos el concepto de
68
“integridad”, podríamos concluimos que el término incluye la integridad de
los sistemas (protección mediante antivirus, ciclos de vida del desarrollo de
sistemas estructurados [SDLC], revisión de códigos fuente por expertos,
pruebas exhaustivas, etc.), y también incluye la integridad personal
(responsabilidad, confianza, fiabilidad, etc.).
•
Para un administrador de bases de datos, la “integridad de los datos”
depende que los datos introducidos en una base de datos sean precisos, válidos
y coherentes. Es probable que los administradores de bases de datos también
analicen la integridad de las entidades, la integridad de los dominios y la
integridad referencial —conceptos que podría desconocer un experto en
infraestructuras instruido en normas ISO 27000 o en la serie 800 de
publicaciones especiales (SP 800) del Instituto Nacional de Normas y
Tecnología (NIST, National Institute of Standards and Technology) de los EE.
UU.
•
Para un arquitecto o modelador de datos, la “integridad de los datos” esta
relacionada con el mantenimiento de entidades primarias únicas y no nulas.
La unicidad de las entidades que integran un conjunto de datos se define por
la ausencia de duplicados en el conjunto de datos y por la presencia de una
clave para acceder de forma exclusiva a cada una de las entidades del
conjunto.
•
Para el propietario de los datos (es decir, para el experto en la materia), la
“integridad de los datos” es un parámetro de la calidad, ya que demuestra que
las relaciones entre las entidades están regidas por reglas de negocio
adecuadas, que incluyen mecanismos de validación, como la realización de
pruebas para identificar registros huérfanos.
•
Para un proveedor, la “integridad de los datos” es: La exactitud y coherencia
de los datos almacenados, evidenciada por la ausencia de datos alterados
entre dos actualizaciones de un mismo registro de datos. La integridad de los
datos se establece en la etapa de diseño de una base de datos mediante la
aplicación de reglas y procedimientos estándar, y se mantiene a través del uso
69
de rutinas de validación y verificación de errores.
•
En un diccionario disponible en línea, se define la “integridad de los datos”
de este modo: Cualidad de la información que se considera exacta, completa,
homogénea, sólida y coherente con la intención de los creadores de esos
datos. Esta cualidad se obtiene cuando se impide eficazmente la inserción,
modificación o destrucción no autorizada, sea accidental o intencional del
contenido de una base de datos. La integridad de los datos es uno de los seis
componentes fundamentales de la seguridad de la información.
•
Sin duda, tenemos muchas otras definiciones. Pero todas contienen
superposiciones, aluden a temas de distinta índole y producen confusión
semántica, uno de los principales motivos por los que las bases de datos son
los objetos menos protegidos de las TIC.
El planteo del problema no termina aquí. La descentralización de los
sistemas de información y la disponibilidad de entornos de programación eficaces
para los usuarios finales, como hojas de cálculo, han creado vulnerabilidades
potencialmente descontroladas en la integridad de los datos, ya que estas hojas se
utilizan como base de decisiones ejecutivas, sin evaluar, muchas veces, la calidad e
integridad de los datos. ¿Cómo deberíamos abordar este problema? En primer lugar,
consideramos que se trata de un problema que atañe:
▪ A la seguridad de la información, dado que no garantiza la integridad
de los datos.
▪ A la calidad del software, dado que la mayoría de las hojas de cálculo
no está sujeta a un proceso de gestión del ciclo de vida.
▪ A la inteligencia de negocios, dado que la introducción de datos
erróneos produce resultados erróneos, algo que en inglés se conoce
como “GIGO” (“Garbage In, Garbage Out”, lo que significa que si
“entra basura, sale basura”).
Concluimos que abarca los tres aspectos; en tal caso, el siguiente paso
consiste en determinar quién debe abordar el problema (el propietario de los datos, el
70
usuario final que diseñó la hoja de cálculo, el departamento o proveedor de servicios
de TI o todos juntos).
Disparadores de la Pérdida de Integridad de los Datos.
Hemos analizado, a modo de ejemplo, el uso de hojas de cálculo
diseñadas por los usuarios sin someterlas a pruebas ni incluir documentación (hecho
agravado por la captura manual de datos, particularmente cuando no se validan los
valores ingresados), pero existen otros disparadores de problemas que podrían
resultar aún más graves:
•
Modificación de los permisos y privilegios de acceso.
•
Imposibilidad de rastrear el uso de contraseñas privilegiadas, en especial
cuando es compartido.
•
Errores del usuario final que afectan los datos de producción.
•
Aplicaciones vulnerables a la introducción de códigos ocultos (como los
“backdoors”).
•
Procesos de control de cambios y acreditación deficientes o no desarrollados
plenamente.
•
Fallas en la configuración de software y dispositivos de seguridad.
•
Aplicación de parches en forma incorrecta o incompleta.
•
Conexión de dispositivos no autorizados a la red corporativa.
•
Uso de aplicaciones no autorizadas en dispositivos conectados a la red
corporativa.
•
Segregación de funciones (SoD) inadecuada o no aplicada.
•
Por si esto fuera poco, la función de auditoría de TI carecería de la masa
crítica necesaria para efectuar auditorías que contemplen todos estos aspectos.
Ataques a la Integridad de los Datos.
71
Los ataques a la integridad de los datos consisten en la modificación
intencional de los mismos, sin autorización alguna, en algún momento de su ciclo de
vida. El ciclo de vida de los datos comprende las siguientes etapas:
•
Introducción, creación y/o adquisición de datos.
•
Procesamiento y/o derivación de datos.
•
Almacenamiento, replicación y distribución de datos.
•
Archivado y recuperación de datos.
•
Realización de copias de respaldo y restablecimiento de datos.
•
Borrado, eliminación y destrucción de datos.
El fraude —el más antiguo de los métodos destinados a atacar la
integridad de los datos— tiene múltiples variantes, las cuales no analizaremos en el
presente artículo, excepto para mencionar un caso que, en el año 2008, apareció en la
primera plana de los periódicos de todo el mundo: Un empleado de Societe Generale
de Francia incurrió en delitos de “abuso de confianza, falsificación y uso no
autorizado de los sistemas informáticos del banco”, que produjeron pérdidas
estimadas en €4900 millones. A juzgar por la cantidad de publicaciones y
conferencias internacionales que abordan el tema del fraude, es probable que este
caso siga estando vigente durante algún tiempo.
Hace años que las organizaciones que operan tanto en el sector público
como en el privado sufren alteraciones en sus sitios web, pero, más allá del eventual
perjuicio a la reputación de una empresa, ninguno de los daños ocasionados puede
considerarse “catastrófico”.
Las bombas lógicas, el software no autorizado que se introduce en un
sistema por acción de las personas encargadas de programarlo/mantenerlo, los
troyanos y demás virus similares también afectan la integridad de los datos a través
de la introducción de modificaciones (como definir una fórmula incorrecta en una
hoja de cálculo) o la encriptación de datos y posterior exigencia de un “rescate” para
revelar la clave de desencriptación. En los últimos años se han producido numerosos
72
ataques de características similares a las mencionadas, que afectan principalmente los
discos duros de las computadoras personales. Debería esperarse que tarde o temprano
se produzcan ataques de este tipo destinados a los servidores.
La modificación no autorizada de sistemas operativos (servidores y redes)
y/o de software de aplicaciones (como los “backdoors” o códigos no documentados),
tablas de bases de datos, datos de producción y configuración de infraestructura
también se consideran ataques a la integridad de los datos. Es lógico suponer que los
hallazgos de las auditorías de TI incluyen con regularidad las fallas producidas en
procesos clave, particularmente en la gestión del acceso privilegiado, la gestión de
cambios, la segregación de funciones y la supervisión de registros. Estas fallas
posibilitan la introducción de modificaciones no autorizadas y dificultan su detección
(hasta que se produce algún incidente).
Otro método de ataque a la integridad de los datos es la interferencia en
los sistemas de control de supervisión y adquisición de datos (SCADA, Supervisory
Control and Data Acquisition), como los que se utilizan en infraestructuras críticas
(suministro de agua, electricidad, etc.) y procesos industriales. A menudo, la función
de TI no interviene en la instalación, el funcionamiento ni la gestión de estos
sistemas. El ataque dirigido a plantas de enriquecimiento de uranio en Irán durante el
año 2010 había sido planeado con la finalidad de alterar el comportamiento de los
sistemas de centrifugación sin que los tableros de control indicaran ninguna anomalía.
Cabe destacar que muchos de estos sistemas de control no están
conectados a Internet y que, en el caso de la inyección del software Stuxnet, debió
realizarse una intervención manual, hecho que confirma la teoría de que el “hombre”
sigue siendo el eslabón más débil de la cadena de aseguramiento/seguridad de la
información.
Alineamiento con Normas y Mejores Prácticas para Gestión de
Riesgos y Cumplimiento.
Para las empresas que no han comenzado a preparar estrategias de
defensa, un buen punto de partida es la adopción de los procedimientos
recomendados, como el de Security Requirements for Data Management
73
(Requerimientos de seguridad para la gestión de datos), descrito en la sección de
Entrega y soporte (DS, Deliver and Support) 11.6 de COBIT (Objetivos de control
para la TI y tecnologías afines), junto con los procedimientos indicados en la
correspondiente sección de la guía de aseguramiento IT Assurance Guide: Using
COBIT. Estas publicaciones resumen el objetivo de control y los factores
determinantes de valor y de riesgo, e incluyen una lista de pruebas recomendadas
para el diseño del control.
ISACA publicó una serie de documentos que establecen correspondencias
entre las normas sobre seguridad de la información y COBIT 4.1, y que resultan
sumamente valiosos para profesionales y auditores. Además, se ha publicado en
COBIT Focus un excelente artículo que establece una correspondencia entre la
Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, Payment
Card Industry Data Security Standard) v2.0 y COBIT 4.1.
La Asociación Internacional de Gestión de Datos (Data Management
Association International, DAMA) ofrece un recurso adicional:The DAMA Guide to
the Data Management Body of Knowledge (DMBOK); se recomiendan especialmente
los capítulos tres (“Data Governance”), siete (“Data Security Management”) y doce
(“Data Quality Management”).
¿Cómo Garantizar una Mayor Integridad de los Datos?
La adopción de mejores prácticas debe complementarse con la
formalización de las responsabilidades correspondientes a los procesos de negocio y
TI que soportan y mejoran la seguridad de los datos.
Delimitación de responsabilidades en la Empresa
En todo programa de aseguramiento de la integridad de los datos deben
estar definidas las responsabilidades de “detección y detención” (“Detect, Deter” o
2D); de “prevención y preparación” (“Prevent, Prepare” o 2P); y de “respuesta y
recuperación” (“Respond, Recover” o 2R). Como propietarias de los datos, las áreas
de negocio deben tomar la iniciativa, mientras que el proveedor de servicios de TI —
se trate de personal interno o contratado mediante la modalidad de externalización de
servicios— debe ocuparse de la implementación.
74
Las buenas prácticas a adoptar son:
•
Tomar posesión de los datos y asumir la responsabilidad de garantizar su
integridad. Sólo el personal de la unidad de negocio correspondiente puede
ocuparse de esta tarea. Cuando se aplica la modalidad de externalización de
servicios y operaciones de TI, este requisito resulta obvio, pero cuando esos
servicios y operaciones se suministran a nivel interno, se suele caer en el error
de considerar que los datos pertenecen al área de TI y que esta área es la
responsable de preservar la confidencialidad e integridad de la información.
Para tomar el control de la información, se debe realizar una evaluación
de valores que permita calcular el costo potencial de la pérdida de la integridad de los
datos y contemple las pérdidas económicas directas (por ejemplo, en caso de fraude o
problemas operativos graves), los gastos judiciales y el perjuicio causado a la
reputación de la empresa.
Controlar los derechos y privilegios de acceso. Los principios de
necesidad de conocer (need to know, NtK) y mínimos privilegios (least privilege, LP)
constituyen prácticas eficaces y no son, en teoría, difíciles de aplicar. El crecimiento
de las redes sociales y la noción de que todos somos productores de información
exigen mayor amplitud y voluntad de intercambio. Las redes sociales se están
transformando en una fuerza que resiste y desafía la aplicación de los principios de
NtK y LP.
Es necesario formalizar, documentar, revisar y auditar regularmente los
procesos de solicitud, modificación y eliminación de derechos de acceso. La
acumulación de privilegios —cuando una persona mantiene privilegios históricos al
cambiar de responsabilidades— supone un grave riesgo para la empresa y podría
afectar la segregación correcta de funciones.
Es común en las organizaciones, no llevar un inventario completo y
actualizado sobre quién accede a qué, ni se posee una lista completa de los privilegios
de usuario. Varios proveedores ofrecen productos capaces de obtener
automáticamente toda la información relacionada con esos privilegios.
Una vez que se han aplicado los principios de NtK y LP a partir de un
75
proceso exhaustivo de gestión de accesos e identidades, el acceso privilegiado sigue
siendo un tema delicado que es indispensable analizar y controlar, ya que permite
acceder libremente a los datos de producción y códigos fuente. Cuando un usuario
está en condiciones de omitir los procedimientos de control de cambios, existe el
riesgo de que se produzcan daños serios.
Las unidades de negocio que cuenten con administradores y/o
programadores de bases de datos a cargo de la gestión de las aplicaciones deberían, al
menos, mantener un registro que consigne quiénes tienen acceso a qué datos, además
de asegurarse de que se mantengan y revisen los registros de cambios. Cuando el tipo
de tecnología empleada admita el uso compartido de contraseñas privilegiadas, se
debería evaluar la posibilidad de utilizar herramientas que identifiquen claramente a
toda persona que acceda a las instalaciones, registren la fecha y hora de acceso, y
señalen los cambios realizados.
Segregación de funciones (SoD). Este es un concepto de probada
eficacia práctica, en el que seguramente harán hincapié las auditorías internas cuando
se revisen sistemas y transacciones de carácter confidencial. Este concepto se
enfrenta con la presión permanente para reducir costos y personal en las
organizaciones, que puede suponer un riesgo para el negocio.
RESPONSABILIDAD DEL EQUIPO DE APOYO DE TI Y USUARIOS
FINALES
Quien se ocupe de suministrar sistemas informáticos y servicios
tecnológicos (una unidad de negocio, el departamento de TI de la empresa, el
proveedor de servicios de externalización, etc.) deberá demostrar que se están
tomando las medidas adecuadas —como las que se definen en los procedimientos de
Manage data (Gestión de datos) de la sección DS11 de COBIT— para alcanzar un
grado de desarrollo apropiado, y que se está realizando una correcta medición y
supervisión de rendimiento y riesgos, con la consiguiente elaboración de los informes
pertinentes.
Los equipos de apoyo de usuarios finales (tanto los que integran el área
76
de TI como los que operan de forma independiente) suelen ser los responsables de la
creación de cuentas y credenciales de acceso a los sistemas y datos. Estas cuentas y
credenciales deben estar plenamente documentadas y solo deberán ser utilizadas
cuando se hayan concedido formalmente las autorizaciones pertinentes.
RESPONSABILIDADES DE LA AUDITORÍA INTERNA
Los auditores se ocupan de realizar evaluaciones independientes y
objetivas para determinar en qué medida se han definido y respetado las
responsabilidades de las unidades de negocio y del equipo de TI respecto de la
preservación de la integridad de los datos.
Desequilibrios en las Responsabilidades
Preservación de la Seguridad de la Información.
de
Aseguramiento
y
El aseguramiento de la información (IA) consiste en la gestión de riesgos
relacionados con el uso, el procesamiento, el almacenamiento y la transmisión de
información o datos, y con los sistemas y procesos empleados en la realización de
esas actividades. El IA se desarrolló a partir de la implementación de la seguridad de
la información, que, a su vez, surgió como resultado de las prácticas y los
procedimientos vinculados a la seguridad informática.
Los proveedores de servicios (como las organizaciones de TI y las
empresas dedicadas a la externalización de servicios) tienen una clara responsabilidad
respecto del control de las tecnologías y su funcionamiento, y deben aplicar las
medidas necesarias para preservar la confidencialidad, integridad y disponibilidad
(confidentiality, integrity, availability o CIA) de la información en un entorno
operativo. En cuanto a la protección de los datos, los servicios proporcionados
abarcan la realización de copias de respaldo y la implementación de procesos de
recuperación ante desastres con objetivos claramente definidos para la recuperación a
un momento dado (identificación de la cantidad de datos perdidos en un incidente) y
documentados en acuerdos de nivel de servicio (service level agreements, SLA). Por
otro lado, los proveedores de servicios no son responsables del gobierno de datos ni
de las diversas actividades relacionadas con este proceso.
77
Los SLA definen claramente las responsabilidades de los proveedores de
servicios de TI, pero no se ocupan de las que deben asumir los propietarios de los
sistemas. Esto produce cierta confusión respecto de las distintas responsabilidades e
impide verificar si los datos están clasificados correctamente, y si las funciones y
responsabilidades de los usuarios de datos y, en particular, de los usuarios con acceso
privilegiado se adecuan a la función crítica que cada uno desempeña. Por
consiguiente, la integridad de los datos sigue siendo el aspecto más relegado de la
seguridad y el aseguramiento de la información.
MEDICIÓN DE LA INTEGRIDAD DE LOS DATOS
Existen pocas publicaciones sobre mediciones clave, rendimiento e
indicadores clave de riesgo aplicados a la integridad de los datos en un contexto
relacionado con la seguridad de la información. A continuación se mencionan algunos
puntos que pueden resultar útiles para comenzar:
•
Un inventario de los derechos de acceso privilegiado, que indique ¿quién tiene
acceso a qué información? , ¿quién tiene autorización para hacer qué? , ¿y en
qué fecha se revisó y actualizó por última vez un documento?
•
Un inventario de los datos que es posible extraer, transformar y cargar en otro
sistema.
•
El número de usuarios que han mantenido derechos y privilegios de acceso
históricos.
•
El número de cuentas huérfanas o inactivas.
•
El número de sistemas de aplicación que contienen derechos de acceso
mediante codificación rígida o códigos ocultos (“backdoors”).
•
El número de veces que fue necesario acceder a los datos de producción para
realizar modificaciones o correcciones.
•
El número o porcentaje de accesos y/o cambios no autorizados a los datos de
producción, que se hubieren identificado.
78
•
El número de problemas de seguridad relacionados con los datos (en un
año/un mes).
•
El número de sistemas que la solución IAM corporativa principal no cubre.
•
Un índice de datos incorrectos o incoherentes.
•
El porcentaje del modelo de datos de la empresa (o aplicación crítica) que se
ha cubierto con medidas destinadas a preservar la integridad.
•
El número de medidas incluidas en bases de datos y aplicaciones para detectar
discrepancias en los datos.
•
El número de medidas aplicadas para detectar el acceso no autorizado a los
datos de producción.
•
El número de medidas aplicadas para detectar el acceso no autorizado a los
SO.
•
El número de medidas aplicadas para detectar las modificaciones que no han
estado sujetas a ningún procedimiento de control de cambios.
•
El valor anual de las pérdidas económicas ocasionadas por operaciones de
fraude a través de sistemas informáticos.
•
La cantidad de ataques destinados a destruir la integridad de los datos en los
sistemas de SCADA.
•
La cantidad de comunicados de prensa generados a partir de los problemas
que afectaron la integridad de los datos.
LA IMPORTANCIA DEL GOBIERNO DE DATOS
El gobierno de datos se centra específicamente en los recursos de
información que se procesan y difunden. Los elementos clave del gobierno de datos
pueden clasificarse en seis categorías básicas: accesibilidad, disponibilidad, calidad,
coherencia, seguridad y verificabilidad (mediante auditorías) de los datos. DAMA ha
publicado la guía DMBOK, que presenta un marco integral para la gestión y el
79
gobierno de datos, incluidas las tareas que deben realizarse, y las entradas, las salidas,
los procesos y los controles.
◦ no repudio
El repudio es una de las amenazas de seguridad que pueden aparecer en el
mundo de las transacciones comerciales basadas en papel. Documentos como
contratos, órdenes de compra, facturas o cheques tienen un papel trascendental en la
forma de realizar los negocios entre las empresas. Sin embargo, la manipulación de
esos tipos de documentos origina graves problemas derivados de falsificaciones,
modificaciones accidentales o intencionadas, pérdidas o retrasos postales, disputas
sobre el momento exacto de envío o recepción, etc.
Tras estos problemas suelen ocultarse comportamientos fraudulentos
donde alguna de las partes implicadas reniega de la autoría de algún documento, del
envío o recepción del mismo o, quizá, del instante exacto en que tales hechos
tuvieron lugar. Para impedir o, al menos, dificultar estos comportamientos ilegítimos
se utilizan mecanismos tan habituales como firmas manuscritas, recibos timbrados,
matasellos, correo postal certificado, e incluso la participación de entes públicos.
En las transacciones comerciales realizadas por procedimientos
electrónicos los inconvenientes que pueden aparecer, de seguridad en general, y de
repudio en particular, son equivalentes a los anteriormente mencionados. En algunos
aspectos son, incluso, más difíciles de resolver que sus análogos en las transacciones
basadas en documentos de papel. Estas dificultades añadidas son debidas,
fundamentalmente, a que las entidades están distribuidas en distintos lugares y bajo
normativas distintas, las transacciones no se realizan en persona, y en ningún caso
hay evidencia física de la transacción.
Para satisfacer los requerimientos de seguridad de las aplicaciones
electrónicas se han definido tradicionalmente cinco categorías de servicios de
seguridad. De ellos, los servicios de autenticación, control de acceso,
confidencialidad, e integridad de datos han sido objeto de un intenso y amplio
estudio. El quinto servicio, que está directamente asociado a los problemas
mencionados en los párrafos anteriores, es el servicio de no-repudio, para el que la
investigación no ha sido tan exhaustiva como en los demás. Precisamente, los
80
objetivos de seguridad de las nuevas formas de negocios electrónicos entre empresas,
el contacto con los bancos a través de Internet, y la interrelación de los ciudadanos
con las Administraciones Públicas hace imprescindible el estudio de este servicio.
Vincular la responsabilidad del autor a lo que hace es un aspecto
importante de la Seguridad de la Información, especialmente si hablamos de un
entorno comercial o contractual. Por ello, al utilizar un entorno de comunicación
distribuido es necesario evitar que las entidades puedan negar con éxito haber
enviado o recibido ciertos mensajes de contenido comprometedor para ellas; es decir,
es necesario poder responsabilizar a cada cual de sus compromisos adquiridos y de
sus acciones. Por lo tanto, puede entenderse el repudio como la negación por parte de
alguna de las entidades involucradas en una comunicación de haber intervenido en
toda o en parte de ella. A partir de esto establece que el servicio de no-repudio es el
procedimiento que protege a cualesquiera de las partes involucradas en una
comunicación de que alguna de las demás tenga éxito al negar ilegítimamente que un
determinado evento o acción haya tenido lugar. Para ello, el servicio ha de producir,
validar, mantener, y poner a disposición de las partes, pruebas o evidencias
irrefutables respecto a la transferencia de información desde el emisor al receptor y
del contenido de ésta.
El servicio de no-repudio está íntimamente relacionado con el servicio de
autenticación, pero el primero tiene que cumplir más requisitos que el segundo en
cuanto a las pruebas que ha de producir. La diferencia esencial entre ambos es que la
autenticación sólo necesita convencer a la otra parte involucrada en la comunicación
de la validez de un evento y de su autoría, mientras que el no-repudio, además, ha de
probar esas mismas cualidades frente a una tercera parte que no participa en la
comunicación cuando ésta se produce . Es decir, y esto es esencial, el propósito
principal del servicio de no-repudio no es el de proteger a los usuarios ante ataques
externos, sino de las amenazas de otros usuarios legítimos.
En general, este servicio está dirigido a resolver desacuerdos del tipo de si
un determinado evento ocurrió o no, cuándo tuvo lugar, qué entidades intervinieron
en dicho evento y cuál era la información asociada a él. El punto clave de los
servicios de no-repudio es que las partes han de obtener suficientes pruebas para
81
resolver sus diferencias, entre ellas mismas, o empleando algún tipo de arbitraje. Para
la construcción de este tipo de servicios y de sus pruebas se hace uso de mecanismos
criptográficos tales como la firma digital, el cifrado de mensajes, los códigos de
autenticación de mensajes (MACs) y la notarización de documentos, además de otros
servicios clásicos de seguridad.
Tipos de No-repudio
Hasta el momento se ha tratado el servicio de no-repudio en forma
singular, pero en realidad se debería pluralizar y hablar genéricamente de servicios de
no-repudio ya que, como se verá a continuación, existen diversos tipos, cada uno con
un cometido particular. A este respecto debemos referirnos a los estándares
internacionales relacionados con el no-repudio: ISO/IEC 10181-4 e ISO/IEC 13888.
El primero de ellos extiende el concepto de servicios de no-repudio descrito en y
proporciona un marco de trabajo para el desarrollo y provisión de estos servicios. El
segundo se compone de tres partes, la primera de las cuales proporciona un modelo
general de no-repudio, mientras que las otras dos proporcionan un conjunto de
mecanismos de no repudio basado en técnicas criptográficas simétricas y asimétricas.
Si simplificamos una comunicación a su mínima expresión, las entidades
que intervienen son el emisor y el receptor del mensaje. Los dos servicios de norepudio que se pueden definir en este escenario son:
•
No-repudio de origen . Este servicio proporciona al receptor de un objeto
digital una prueba infalsificable del origen de dicho objeto, lo cual evita que el
emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso
la prueba la crea el propio emisor y la recibe el destinatario.
•
No-repudio de recepción . Proporciona al emisor la prueba de que el
destinatario legítimo de un mensaje u objeto digital genérico, realmente lo
recibió, evitando que el receptor lo niegue posteriormente y consiga sus
pretensiones. En este caso la prueba irrefutable la crea el receptor y la recibe
el emisor.
Existen escenarios, como los sistemas de administración de mensajes
82
(sistemas de correo) y muchas de las aplicaciones de comercio-e, donde se ha de
garantizar la entrega eficiente, confiable y segura tanto de pagos como de productos
digitales, y donde se han de proporcionar evidencias apropiadas de tales hechos para
solucionar posibles disputas y discrepancias posteriores. En muchas de las
comunicaciones de este tipo interviene, además, una Tercera Parte Confiable (TTP), y
su actuación puede dar lugar a dos servicios adicionales de no-repudio:
•
No-repudio de presentación . Este servicio proporciona al emisor la prueba
de haber revelado el mensaje a la TTP, imparcial y confiable, la cual genera la
prueba.
•
No-repudio de entrega . En este caso el sistema proporciona al emisor la
prueba de que la propia TTP ha entregado el mensaje al receptor especificado
originalmente y sólo a él. Esta prueba también la aporta la TTP basándose en
su aceptada imparcialidad y buen hacer.
Pruebas o evidencias
Con anterioridad se ha hecho hincapié en el concepto de prueba (e
indistintamente en el de evidencia), pero no se ha definido apropiadamente. Se puede
deducir de todo lo dicho hasta aquí que las pruebas son los elementos fundamentales
de los servicios de no-repudio. Pero, más en detalle, puede observarse que lo que
exactamente han de proporcionar es información suficiente sobre la ocurrencia de un
evento, el momento en el que ocurrió y qué partes intervinieron.
•
Por ello, las evidencias de no-repudio relativas a la transferencia de un
mensaje incluyen los siguientes elementos, algunos de los cuales son
opcionales y dependen de la aplicación: el tipo de servicio de no repudio que
se proporciona, la identidad incontestable del emisor y del receptor, el
identificador del que genera la evidencia (si es diferente del emisor o del
receptor), los identificadores de otras terceras partes involucradas, el mensaje
a transmitir o algo indisoluble asociado con él, una estampilla digital de
tiempo indicando cuándo se generó un mensaje, otra indicando cuando se
realizó la transferencia del mismo, y la fecha de expiración o caducidad de la
evidencia.
83
•
Desde el punto de vista de la evidencia, un servicio de no-repudio está
compuesto por cuatro fases distintas. En primer lugar, la fase de generación de
la evidencia , que puede ser realizada por cualquiera de las entidades pues
sólo se requiere que éstas firmen digitalmente porciones determinadas de
información; en segundo lugar, la fase de transferencia ; en tercer lugar, la
fase de verificación y almacenamiento de la evidencia , que consiste en
comprobar la firma digital y guardar la información para un uso posterior; y,
por último, la fase de resolución de disputas, en caso de que éstas tengan
lugar.
El papel de TTP en los servicios de No repudio
Es sabido que TTP es una autoridad, o agente especial en el que confían
las demás entidades respecto a su seguridad y correctas pautas de actuación. La cual
juega un papel importante en muchas propuestas de no repudio.
Dependiendo de la política de no repudio y de los mecanismos utilizados
pueden distinguirse varias clases de TTP. Cada una de ellas participa de distinta
forma para ayudar a las entidades a generar, verificar y transferir evidencias de norepudio y, en el caso de ser necesario, resolver disputas. La taxonomía de este tipo de
agentes, siempre desde el punto de vista de los servicios de no repudio, es la
siguiente:
•
Autoridad de Certificación. TTP genera certificados de clave pública que
garantizan el vínculo entre las claves de verificación de firmas utilizadas con
propósito de no-repudio y la identidad no digital (física o jurídica) de cada
uno de los participantes. También proporcionan puntualmente Listas de
Revocación de Certificados para mantener informados a todos los agentes
competentes de la continuada validez de los certificados emitidos, y para
determinar la validez de las claves antiguas (ya caducadas). Dentro de un
servicio de no repudio una Autoridad de Certificación no trabaja en modo
interactivo, sino diferido.
•
Notario. Representa a las diferentes entidades, las cuales confían en dicho
agente para proporcionar las evidencias adecuadas o para verificar
84
correctamente otras que se producen durante una transacción. Las propiedades
de un mensaje intercambiado entre las entidades, tales como origen e
integridad, se garantizan mediante la intervención del notario, en modo
interactivo y que, además, puede proporcionar o bien obtener sellos digitales
de tiempo referidos al momento de generación de la evidencia.
Agente de entrega: Su misión es la entrega certificada de mensajes de
una entidad a otra, y con ello, proporciona las correspondientes evidencias. Su
funcionamiento, es lógicamente, interactivo.
Juez: Su único cometido es el de resolver disputas cuando éstas se
plantean sobre la ocurrencia o no de un determinado evento. Para ello, recurre a la
evaluación personal de las evidencias que presentan los litigantes y siempre sujeto a
una política determinada de no-repudio. Un juez no se implica en el servicio de norepudio a menos que haya una disputa que resolver y se precise de un arbitraje
imparcial, por lo que su funcionamiento es en modo diferido.
Protocolos
Protocolo 1
Supone una situación ideal donde el canal de comunicación es
perfectamente fiable y todas sus partes se comportan de forma honrada. Las firmas de
A y B sirven como pruebas de origen y recepción respectivamente.
Protocolo 2
Siguiendo la suposición de que el canal de comunicación es fiable, ahora
se considera que las entidades no actúan de forma honrada. En este caso, el protocolo
anterior deja a B en una situación ventajosa porque puede leer el mensaje antes de
enviarle a A el recibo o prueba de recepción. Este problema se conoce como
recepción selectiva (una de las entidades decide si le conviene confirmar o no el
mensaje que le ha llegado).
TTP actúa como Agente de Entrega. Sus firmas digitales sirven como
firma de presentación y como prueba de entrega (en lugar de las anteriores pruebas de
origen y recepción).
85
Protocolo 3
Este caso supone que las entidades se comportan de forma honrada, pero
el canal de comunicación no aporta fiabilidad. El paso 2 se repite tantas veces como
sea necesario hasta que el canal permita a B obtener la etiqueta de reconocimiento
ACK (Acknowledge) generada por A en el paso 3.
Protocolo 4
Si el canal de comunicación no es fiable y además las entidades tampoco
son honradas, los dos protocolos anteriores no son útiles porque dejan en una
posición de ventaja a B frente a A.
Por un lado, en el protocolo 2, B puede negar haber recibido el mensaje
de TTP. Por el otro, en el protocolo 3, B puede no enviar la prueba de recepción. Para
prevenir estos problemas el protocolo puede comenzar con una promesa de
intercambio, de forma que en una primera instancia se envía el mensaje cifrado, C, y
en un paso posterior se envía la clave K, con la que se ha cifrado M.
Pero este protocolo, como tal, no garantiza que B ejecute el paso 4, por lo
que se quedaría en ventaja respecto a A, y éste podría quedar sin prueba de recepción.
Por lo tanto, el protocolo no es adecuado para la situación preestablecida, a no ser
que, como propone la ISO (autora del protocolo), que nos basemos en la propiedad de
continuidad. Esta propiedad indica que si B obtiene la clave K en el paso 3 entonces
se ve obligado a ejecutar el paso 4 ya que, en caso de no hacerlo, el juez resolverá
contra B en cualquier posible disputa posterior que inicie A. Con el uso de esta
premisa se justifica que el protocolo efectivamente puede ser empleado para resolver
la situación propuesta.
Protocolo 5
En ciertas aplicaciones no es conveniente confiar en propiedades que,
desde un punto de vista teórico, son completamente externas al protocolo, como el
caso de las firmas de A y B que sirven como pruebas de origen y propiedad de
continuidad. Además, también puede resultar bastante peligrosa desde un punto de
vista práctico.
86
Por lo tanto, en esas circunstancias, el problema de que una entidad quede
en desventaja frente a la otra se debe resolver dentro del mismo protocolo. Es
necesario un protocolo imparcial, un protocolo de no-repudio que, tras su correcta
terminación, haya proporcionado pruebas irrefutables tanto al autor del mensaje como
al receptor, sin que ninguno de ellos haya quedado en una posición ventajosa durante
la ejecución del mismo.
A continuación, se expone un protocolo que si cumple con el
requerimiento propuesto. En él, se utilizan los términos: T P (momento en que TTP
a recibido los datos de A) y
T E (momento en que el mensaje está disponible para
B). Adicionalmente, se utilizan los términos
NO
(prueba de origen),
NR
(prueba de recepción), proc_K (prueba de que la clave procede de A) y pub_K
(prueba que TTP ha publicado K).
Es necesario aclarar que una vez que TTP recibe proc_K en el paso 3,
genera pub_K y almacena la tupla (A, B, L, K, pub_K) en un directorio accedido por
A y B (el orden del acceso no es importante), a través de una conexión ftp o http. En
el protocolo, TTP no actúa como Agente de Entrega, sino como Notario.
Esto conlleva dos ventajas: la primera es que solamente maneja claves en
lugar de largos mensajes; la segunda es que la responsabilidad de la ejecución de los
últimos pasos recae directamente sobre emisor y receptor (un Agente de Entrega
tendría que reenviar los mensajes hasta que los otros respondieran admitiendo
haberlos recibido).
En la práctica no es deseable que TTP almacene indefinidamente las
tuplas que contienen las claves. Se puede establecer un límite de tiempo, TL, para
acotar el periodo en que pueden ser accedidas. Ese límite es elegido por el emisor, por
ser la entidad que inicia el protocolo, pero siempre tomando como referencia el reloj
de TTP. Ampliar el protocolo 5 para que contemple esta situación es algo inmediato
pues basta con añadir el término TL a las expresiones NO, NR , proc_K y pub_K y,
además, a los pasos 1 y 3.
Opcionalmente, TTP puede incluir una estampilla de tiempo para indicar
el momento a partir del cual la tupla ha sido publicada y está disponible en el
87
directorio. Denotamos mediante TD a la estampilla de disponibilidad. Esta
modificación adicional al protocolo también es muy simple pues basta con añadir TD
a los pasos 4 y 5 (además de las inclusiones de TL ya indicadas).
Protocolo 6
En algunas aplicaciones, tanto el emisor como el receptor del mensaje
necesitan, junto a la prueba de origen o de destino, una prueba adicional sobre el
momento exacto en el que el mensaje se envía o se recibe. Como se ha visto en la
ampliación final del protocolo 5, esa prueba puede ser proporcionada por la propia
TTP. Sin embargo, en ese protocolo, A sólo puede enviar la clave K después de
recibir en el segundo paso el compromiso por parte de B. Esto carga a A con toda la
responsabilidad derivada de un envío tardío de la clave K a la TTP en el paso 3, ya
que B puede demorar a su antojo la ejecución del paso 2. No es difícil pensar en
aplicaciones de comercio electrónico donde un retraso intencionado del receptor,
como el que aquí se puede producir, perjudicaría claramente al emisor. Por lo tanto, la
ampliación del protocolo 5 no es útil para ese tipo de aplicaciones.
A continuación, un protocolo que sí cumple con el requerimiento
propuesto. En él se utilizan los términos TP (momento en que TTP ha recibido los
datos de A), y TE (momento en el que el mensaje está disponible para B).
Adicionalmente, se usan los términos NO (prueba de origen), NR (prueba de
recepción), NP (prueba de presentación) y NE (prueba de entrega).
Con objeto de prevenir que B realice una recepción selectiva, TTP le
informa (paso 3) de que existe para él un mensaje, etiquetado con L, a la espera de ser
recogido. Sólo después de que B se ha comprometido a recolectar ese mensaje (paso
4) TTP publica el mensaje en el directorio. En este caso TTP actúa como Agente de
Entrega, certificando todos los envíos entre A y B.
Protocolo 7
Existe otra cuestión, a veces crítica, que consiste en cómo mantener la
validez de una prueba de no-repudio de una forma eficiente durante y después de la
transacción.
88
Como se ha visto, las pruebas de no-repudio se generan por medio de
firmas digitales. En la práctica la clave de firma puede quedar comprometida y la
firma puede ser falsificada.
Por lo tanto, las claves comprometidas deben ser revocadas para que las
firmas generadas fraudulentamente sean tomadas como no válidas. La cuestión es
cómo probar que la firma realizada por una entidad dentro de un protocolo de norepudio se ha generado antes de que el correspondiente certificado de clave pública
haya sido revocado.
Una solución simple es la utilización de autoridades de fechado (TSAs)
para que las entidades puedan estampillar las pruebas de origen y de recepción. Pero
esta solución no es rentable para algunos tipos de transacciones en línea porque puede
ocasionar un excesivo número de intercambio de mensajes dentro del protocolo.
El término ETTP(K) denota el cifrado de K utilizando la clave pública
TTP, mientras que C simboliza, como antes, el mensaje M cifrado con la clave
simétrica K.
Además, CertB representa el certificado de clave pública de B, que la
propia entidad A comunica a TTP. Se puede observar que este protocolo usa un
mecanismo de encadenamiento de pruebas, enlazando una prueba con otra, de forma
que la validación de la última supone la validación de todas las anteriores. El
concepto de encadenamiento no es nuevo, ya que se ha utilizado con anterioridad en
la autenticación de contraseñas , en servicios de estampillado digital de tiempos y en
esquemas de micropago, pero su aplicación a las pruebas de no-repudio sí es original
de este protocolo.
Protocolo 8
En la mayoría de los protocolos anteriores TTP interviene de forma muy
activa. Estos protocolos son apropiados en las aplicaciones donde es necesaria la
notarización de las claves, donde es esencial la imparcialidad, o donde los
participantes y la infraestructura de las comunicaciones son tan poco fiables que es
recomendable confiar a TTP todo el peso del protocolo. Sin embargo, en algunos
entornos se considera como objetivo de diseño del protocolo la reducción de la carga
89
de trabajo de TTP. Además hay otros entornos donde la confianza entre emisor y
receptor es grande, de tal forma que las pruebas son intercambiadas entre ellos de
forma directa, y donde los servicios de TTP sólo se requieren como último recurso
para resolver situaciones muy concretas. En estas situaciones los protocolos
estudiados hasta el momento no son adecuados, sino que son necesarios otros donde
la participación de TTP sea ocasional. A continuación se muestra un ejemplo de uno
de estos protocolos, donde el término TL se utiliza de la misma forma que en el
protocolo 5, y donde nA y nB representan números aleatorios que formarán parte de
las pruebas de no-repudio.
Sólo en que A no reciba B después de haber ejecutado el paso 3, se inicia
la fase en la que interviene TTP antes de que se llegue al límite TL.
Al igual que este protocolo, otros también están diseñados para utilizar
TTP sólo cuando es estrictamente necesario.
•
•
•
•
•
•
Imagen 1: Ejemplo de TTP actuando como
Notario
Los servicios de no-repudio juegan un papel trascendental en el campo de
la Seguridad de la Información ya que cubren un vacío dentro de los objetivos de
90
seguridad que las nuevas formas de negocios electrónicos requieren. La utilización de
protocolos de no-repudio garantiza que las tradicionales transacciones comerciales
basadas en soporte papel como contratos, órdenes de compra, facturas o cheques, son
trasladadas al entorno telemático con mayor seguridad, incluso a la que la que
proporciona la manipulación de los mismos documentos en papel. Además, el hecho
de trabajar con los correspondientes elementos digitales proporciona a los usuarios no
sólo una mayor seguridad, sino también una mejora en la velocidad, autonomía y
comodidad en la utilización de esos servicios telemáticos.
•
•
•
•
•
•
•
Imagen 2: Ejemplo de TTP actuando como
Agente de entrega.
•
Hemos presentado que, a pesar de la diversidad de situaciones y
requerimientos que pueden encontrarse en los entornos donde se han de utilizar las
nuevas aplicaciones, la versatilidad y multiplicidad de los protocolos de no-repudio,
así como la descomposición del servicio general de no-repudio en otros servicios más
elementales, permiten encontrar soluciones satisfactorias para cada caso.
En este apartado realizamos una clasificación de protocolos existentes y
se han identificado, de forma clara, bajo qué condiciones se pueden utilizar con plena
garantía.
91
Si la autenticidad prueba quién es el autor de un documento y cual es su
destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio
en origen) y que el destinatario la recibió (no repudio en destino).
◦ control de acceso
Objetivo: Controlar el acceso a la información.
Se debe controlar el acceso a la información, medios de procesamiento de
la información y procesos comerciales sobre la base de los requerimientos
comerciales y de seguridad.
Política de control del acceso.
Se debe establecer, documentar y revisar la política de control de acceso
en base a los requerimientos comerciales y de seguridad para el acceso.
Registro de usuarios.
Se debe registrar usuarios parar acceder a los distintos servicios de la red
y tener un control de registro de usuarios.
Gestión de privilegios. Los usuarios sólo ven lo que necesitan y cuando lo
necesitan. El uso inapropiado de los privilegios de administración del sistema
(cualquier dispositivo o medio de un sistema de información que permite al usuario
superar los controles del sistema o aplicación) puede ser un factor que contribuye
mucho a alas fallas o violaciones del sistema.
Gestión de las claves secretas del usuario, darle una clave al usuario y que
el usuario la cambie con unos caracteres especiales para que la clave sea segura y no
tenerla visible a la vista de las demás personas.
Revisión de los derechos de acceso del usuario. la gerencia debería
revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un
proceso formal.
Responsabilidad del usuario. evitar el acceso del usuario no autorizado ,
evitar poner en peligro la información y evitar el robo de información y los medios de
procesamiento de información.
92
Uso de claves secretas. se debería decir a los usuarios que sigan buenas
practicas de seguridad en la selección y uso de claves secretas *evitar mantener un
registro en papeles * cambio de claves cuando indique un menor peligro en el
sistema.
Equipo del usuario desatendido, los usuarios deben asegurar que el
equipo tiene la protección apropiada cuando este desatendido.
Política de escritorio y pantalla limpia, los archivos importantes se deben
guardar bien y no dejarlas libre para la manipulación de la gente.
Control de acceso a la red, se debe controlar el acceso a los servicios de
redes internas y externas.
Políticas sobre el uso de los servicio de la red, los usuarios solo deberían
tener acceso a los servicios para los cuales hayan sido autorizados.
Autenticación de los usuarios para las conexione externas, Se debe
utilizar métodos de autenticación apropiadas para controlar el acceso remoto, la
autenticación se puede usar usando criptografía.
◦ Disponibilidad
El acceso a los activos informáticos en un determinado tiempo está
garantizado para los usuarios autorizados.
La información tiene que estar disponible para quienes la necesiten y
cuando la necesiten en la cantidad y calidad requerida si, y sólo si, están autorizados.
Las preguntas son: ¿de qué manera de accede a la información? ¿cómo acceder? ¿Por
quién? ¿Cuando? ¿Desde donde? ¿Con qué hardware? ¿Desde qué dirección?
La disponibilidad asegura que el
informáticos (equipos informáticos, redes y
información se produce en la medida justa
autorizado. También asegura que los sistemas
cuando se les necesita.
•
mecanismos de seguridad
93
acceso a los datos, a los recursos
dispositivos de conexión) y a la
y tiempo previsto por el personal
informáticos trabajan correctamente
La seguridad es un aspecto primordial que no sólo se considera en el
ámbito de la informática, actualmente las organizaciones y sus sistemas de
información se enfrentan cada vez más con riesgos e inseguridades procedentes de
una amplia variedad de fuentes, medios tecnológicos, humanos y físicos.
Seguridad física versus seguridad lógica
El estudio de la seguridad informática puede plantearse desde dos
enfoques:
•
Seguridad Física: protección del sistema ante las amenazas físicas, planes de
contingencia, control de acceso físico, políticas de backups, ...
•
Seguridad Lógica: protección de la información en su propio medio mediante
el uso de herramientas de seguridad.
Físicos
Desde que el hombre ha tenido algo importante que proteger, ha
encontrado varios métodos de asegurarlo. La seguridad física describe las medidas
que previenen o detectan ataques de acceso a un recurso o información almacenado
en un medio físico, la seguridad física es un factor muy importante para la seguridad
informática.
Las acciones de seguridad que están involucradas con la seguridad física
intentan proteger los activos de condiciones físicas como el clima, desastres naturales,
medidas para proteger al personal, condiciones de temperatura recomendadas para
mantener los equipos activos críticos y sistemas contra amenazas deliberadas o
accidentales.
Actualmente existen EPS (Electronic Physical Security - Seguridad física
electrónica), que incluyen detectores de fuego, sistemas de supresión de gas
automáticos, circuitos cerrados, control de acceso por medio de smart card,
biométricos o por RFID, detectores de intrusos, equipo de vigilancia y plan de
vigilancia principalmente.
La seguridad física es un mecanismo empleado para proteger los activos,
94
las medidas de seguridad física pueden ser:
•
Físicas; medidas tomadas para asegurar los activos, por ejemplo personal de
seguridad.
•
Técnicas; medidas para asegurar servicios y elementos que soportan las
tecnologías de la información, por ejemplo, seguridad en el cuarto de
servidores.
•
Operacionales; medidas de seguridad comunes antes de ejecutar una
operación, como es el análisis de amenazas sobre una actividad e implementar
contramedidas apropiadas.
La seguridad física no es una tarea de una sola persona, en algunas
organizaciones las personas encargadas de la seguridad física son también las
encargadas de la seguridad de la información, las siguientes personas pueden ser los
responsables de la seguridad en una organización.
◦ Oficial de seguridad de planta.
◦ Analista de sistemas de información.
◦ Jefe de información.
◦ Administrador de la red.
Algunos componentes que deben ser considerados en la seguridad física
deben ser:
◦ Selección de un sitio seguro, su diseño y configuración.
◦ Asegurar la instalación contra acceso físico no autorizado.
◦ Asegurar los equipos e instalaciones contra robos dirigidos a ellos y a la
información.
◦ Protección ambiental.
Regla primordial: asegurar la vida humana.
95
•
La seguridad lógica en una organización no sirve de nada si no se ha
contemplado la seguridad física, la necesidad de implementar seguridad física
es considerada para:
◦ Prevenir un acceso no autorizado a sistemas de cómputo.
◦ Prevenir falsificar o robar datos de un sistema de cómputo así como
equipos.
◦ Para proteger la integridad de los datos almacenados en las computadoras
y equipos activos.
◦ Para prevenir la pérdida de datos y daño a los sistemas contra desastres
naturales.
Lógicos
Se conoce seguridad lógica como la manera de aplicar procedimientos
que aseguren que sólo podrán tener acceso a los datos las personas o sistemas de
información autorizados para hacerlo.
Los objetivos planteados son:
•
Restringir el acceso a los programas y archivos.
•
Los operadores deben trabajar sin supervisión minuciosa y no podrán
modificar ni programas archivos que no correspondan.
•
Asegurar que se estén utilizando los datos, archivos y programas correctos en
y por el procedimiento correcto.
•
Asegurar que la información transmitida sea recibida sólo por el destinatario
al cual ha sido dirigida.
•
Asegurar que la información que el destinatario ha recibido sea la misma que
ha sido transmitida.
•
Disponer de sistemas alternativos de transmisión de información entre
diferentes puntos.
96
•
Causas de inseguridad:
◦ La deficiencia en los respectivos equipos de soporte.
◦ La “inteligencia” social.
◦ El espionaje industrial.
◦ La deficiente administración de una red.
◦ Los virus.
◦ Fallos en la seguridad de programas.
◦ Los vándalos informáticos.
INTRUSIONES Y ATAQUES
Instrusiones al sistema:
◦ Física
◦ Por sistema
◦ Remota
Ataques característicos
•
Hardware:
◦ Agua, fuego, electricidad, polvo, cigarrillos, comida.
•
Software:
◦ Borrados accidentales, intencionados, fallos de líneas de programa,
bombas lógicas, robo, copias ilegales.
•
Datos:
◦ Los mismos puntos débiles que el software.
•
Formas de protección:
97
◦ Firewalls
◦ VPN
◦ Conexiones seguras (SSL)
◦ Wrappers
◦ Software de análisis de vulnerabilidad
◦ Fingerprints para archivos
◦ Normas de asignación de cuentas
◦ “tunning”
¿Cuáles son los puntos débiles de un sistema informático?
Los tres primeros puntos conforman el llamado Triángulo de Debilidades
del Sistema:
◦ Hardware: Errores intermitentes, conexión suelta, desconexión de
tarjetas, etc.
◦ Software: Sustracción de programas, modificación, ejecución errónea,
defectos en llamadas al sistema, etc.
◦ Datos: Alteración de contenidos, introducción de datos falsos,
manipulación fraudulenta de datos, etc.
◦ Memoria: Introducción de virus, mal uso de la gestión de memoria,
bloqueo del sistema, etc.
◦ Usuarios: Suplantación de identidad, acceso no autorizado, visualización
de datos confidenciales, etc.
Es muy difícil diseñar un plan que contemple de forma eficiente todos
estos aspectos.
Debido al Principio de Acceso más Fácil, no se deberá descuidar ninguno
98
de los cinco elementos susceptibles de ataque del sistema informático.
99
CAPÍTULO 8
POLÍTICA DE SEGURIDAD
Los componentes deben estar dirigidos a identificar los niveles de riesgo
presentes y las acciones que se deben implementar para reducirlos.
Dependiendo del tipo de la organización, podemos elegir entre ISO
27001:2005 para organizaciones privadas y NIST 800-53 para organizaciones
estatales, militares y organismos de seguridad del estado.
ISO 27001:2005 recomienda las mejores prácticas en la gestión de la
seguridad de la información a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestión de la seguridad de la información. La
seguridad de la información se define en el estándar como "la preservación de la
confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la
información), integridad (asegurando que la información y sus métodos de proceso
son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados
tienen acceso a la información y a sus activos asociados cuando lo requieran)".
La versión de 2005 del estándar incluye las siguientes once secciones
principales:
•
Política de Seguridad de la Información.
•
Organización de la Seguridad de la Información.
•
Gestión de Activos de Información.
•
Seguridad de los Recursos Humanos.
•
Seguridad Física y Ambiental.
•
Gestión de las Comunicaciones y Operaciones.
•
Control de Accesos.
100
•
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
•
Gestión de Incidentes en la Seguridad de la Información.
•
Gestión de Continuidad del Negocio.
•
Cumplimiento.
Dentro de cada sección, se especifican los objetivos de los distintos
controles para la seguridad de la información. Para cada uno de los controles se indica
asimismo una guía para su implantación. El número total de controles suma 133 entre
todas las secciones aunque cada organización debe considerar previamente cuántos
serán realmente los aplicables según sus propias necesidades.
Con la aprobación de la norma ISO/IEZAC 27001 en octubre de 2005 y
la reserva de la numeración 27.000 para la seguridad de la información, se espera que
IGFSO/DIEC 17799:2005 pase a ser renombrado como ISO/IECCZ 27002 en la
revisión y actualización de sus contenidos en el 2007 NIST 800-53.
¿Qué significa NIST 800-53?
NIST 800-53 es una publicación que recomienda los controles de
seguridad de los sistemas federales de información y las organizaciones y los
controles de los documentos de seguridad para todos los sistemas de información
federales, con excepción de las destinadas a la seguridad nacional.
NIST 800-53 es publicado por el Instituto Nacional de Estándares y
Tecnología, que crea y promueve los estándares utilizados por las agencias federales
de aplicación de la Ley de Gestión de Seguridad de la Información Federal (FISMA)
y gestionar otros programas diseñados para proteger la información y promover la
seguridad de la información. Se espera que las agencias a cumplir con los
lineamientos y estándares del NIST el plazo de un año de la publicación.
NIST 800-53 es también conocida como NIST Special Publication 80053.
NIST 800-53 subdivide controles de seguridad en común, personalizados
e híbridos categorías. Los controles comunes son los que a menudo se utiliza en toda
101
la organización. Los controles personalizados están aquellos destinados a ser
utilizados por una aplicación o dispositivo individual. Controles híbridos comienzan
con un control estándar y se personalizan según los requisitos de un dispositivo o
aplicación particular.
NIST SP 800-53 es en realidad una parte de la Publicación Especial 800
de la serie, que informa sobre lo siguiente:
•
Laboratorio de Tecnología de la Información (ITL) directrices, iniciativas de
investigación y de extensión en la seguridad del sistema de información
•
Acciones de ITL con entes académico, de la industria y organizaciones
gubernamentales.
NIST Special Publication 800-53 incluye los procedimientos en el marco
de gestión de riesgos, que se ocupan de la selección de control de seguridad para los
sistemas de información federales por los requisitos de seguridad en Federal
Information Processing Standard (FIPS) 200 Consiste en la selección de un conjunto
principal de controles de seguridad de línea de base, de acuerdo con un análisis del
impacto del peor caso FIPS 199, la creación de controles de seguridad estándar, así
como la adición de los controles de seguridad de acuerdo con una evaluación de
riesgos de la organización. Las normas de seguridad cubren 17 áreas, incluyendo la
respuesta a incidentes, control de acceso, la capacidad de recuperación de desastres y
continuidad del negocio.
Los planes apropiados varían de una empresa a otra, en función de
variables como el tipo de negocio, los procesos involucrados, y el nivel de seguridad
requerido. La planificación de la recuperación de desastres puede ser desarrollada
dentro de una organización o se puede comprar una aplicación de software o un
servicio. No es inusual que empresa invierta el 25% de su presupuesto de tecnología
de la información de recuperación de desastres.
Al elegir entre ISO 27001:2005 o NIST 800-53 tenemos como Objetivo,
definir un marco conceptual apoyado en políticas, normas, procedimientos y
estándares de seguridad de la información que se adapten a la tecnología utilizada
102
para apoyar la actividad productiva, otorgando flexibilidad y fluidez al negocio.
Figura 2: estándares de seguridad de la información
Para construir una arquitectura de seguridad debe poseerse un
Modelo
Un adecuado modelo de “Seguridad Informática” está basado en políticas
sólidas de seguridad de la información, teniendo como marco de referencia a las
mejores prácticas internacionales tales como BS ISO/ IEC 17799:200 y BS 77991:2005 55, contando con el apoyo de la Alta Dirección y realizando una divulgación
periódica y una capacitación constante a todos los miembros de las organizaciones
referida a los riesgos a los que se expone la información y los controles necesarios
para su mitigación.
Se debe contar con herramientas de protección de última tecnología,
permanentemente actualizadas, funcionando y con un alto grado de capacidad de
5
Actualmente es ISO 27001:2005
103
respuesta, y un equipo de trabajo altamente calificado, que cuente con las
certificaciones de seguridad informática necesarias, actualizado permanentemente y
con un enfoque único y total en seguridad y administración del riesgo.
FACTORES CLAVES DEL ÉXITO
La gestión de riesgos debe cubrir todos los componentes internos y
externos, la naturaleza de los sistemas, las actividades empresariales y las leyes
locales, entre ellos:
•
Identificar a los terceros involucrados (Clientes / Usuarios / Proveedores /
Socios de negocio / Otras Organizaciones / Gobierno).
•
Identificar todos los activos informáticos.
•
Políticas desarrolladas según los objetivos de negocio y según la cultura
organizacional.
•
Un claro entendimiento de los requerimientos de seguridad.
•
Apoyo y compromiso manifiestos por parte de la Dirección General.
•
Participación integral a través de equipos multidisciplinarios.
•
Sistema de medición para evaluar el desempeño de la gestión de la seguridad.
•
Disponibilidad de recursos.
PLAN DE CONCIENTIZACIÓN
Se debe Informar y recordar a los empleados y al personal ejecutivo
involucrado con regularidad de las obligaciones con respecto a la seguridad de la
información.
•
La característica principal del proceso de concientización es la difusión del
Modelo de Seguridad por diferentes medios de comunicación al interior de la
empresa, partiendo de un conocimiento básico de seguridad informática hasta
lograr la adopción y asimilación de componentes del modelo de seguridad
104
(políticas, normas, procedimientos y estándares).
INGENIERÍA SOCIAL
•
La Ingeniería Social es un conjunto de acciones que se realizan con el fin de
obtener información a través de la manipulación de usuarios legítimos.
•
Es un conjunto de trucos, engaños o artimañas que permiten confundir a una
persona para que entregue información confidencial, ya sea los datos
necesarios para acceder a ésta o la forma de comprometer seriamente un
sistema de seguridad.
•
“El factor humano, es el eslabón más débil de la seguridad de la
información.”, por lo tanto:
◦ Todo el personal debe ser educado, desde los operadores de computadoras
hasta el personal de limpieza
◦ No informar telefónicamente a nadie (por más que se arroguen cargos
directivos o funciones específicas de tecnología) de las características
técnicas de la red, nombre de personal a cargo, claves de acceso, etc.
◦ Controlar el acceso físico al sitio donde se encuentran los equipos de
procesamiento y comunicaciones.
La navegación Web en buenas prácticas:
•
Evitar acceder a sitios desconocidos o no confiables.
•
No aceptar la instalación automática de software.
•
No descargar archivos ejecutables.
•
No dejar información sensible en páginas o foros.
•
Si debe enviar información sensible:
◦ Sólo hacerlo en sitios seguros (https).
105
◦ Verificar el certificado del sitio.
Por lo que un modelo de seguridad es la presentación formal de una
política de seguridad. El modelo debe identificar el conjunto de reglas y prácticas que
regulan cómo un sistema maneja, protege y distribuye información delicada.
Los modelos de seguridad se clasifican en:
•
Modelo abstracto: se ocupa de las entidades abstractas como sujetos y
objetos. El modelo Bell LaPadula es un ejemplo de este tipo.
•
Modelo concreto: traduce las entidades abstractas en entidades de un sistema
real como procesos y archivos.
Además, los modelos sirven a tres propósitos en la seguridad informática:
•
Proveer de un sistema que ayude a comprender los diferentes conceptos y
nivel de la seguridad informática de la empresa. Los modelos diseñados para
este propósito usan diagramas, analogías, cartas. Un ejemplo es la matriz de
acceso.
•
Proveer de una representación acerca de una política general de seguridad
formal, clara, concisa y con cierta flexibilidad. Como el modelo BellLaPadula.
•
Expresar la política exigida por un sistema de cómputo específico.
Definición de políticas de seguridad informática
Las organizaciones dependen del procesamiento de datos para el flujo de
información esencial, ya que sin él, las operaciones comerciales podrían limitarse de
tal manera que afectaran los activos corporativos, los movimientos comerciales, el
servicio a clientes, el flujo de dinero, las oportunidades de inversión y el margen de
competencia, toda la organización sería vulnerable en caso de que las operaciones de
cómputo no funcionen.
La empresa debe considerar que las amenazas son reales y un desastre
puede resultar de diferentes fuentes. Ocurren desastres naturales, fallas prolongadas
106
de energía eléctrica, incendios, sabotaje y hasta explosión de bombas. Asimismo, es
importante comprender que un desastre ocurre de la misma manera en que se
produce, por ello se debe estar preparado.
Por lo que se revisan los siguientes puntos:
•
La OCDE6 considera que los elementos de las políticas son:
◦ 1) Concientización.▪ Los participantes deben ser conscientes de la necesidad de contar con
sistemas y redes de información seguros, y tener conocimiento de los
medios para ampliar la seguridad.
▪ El conocimiento de los riesgos y de los mecanismos disponibles de
salvaguarda, es el primer paso en la defensa de la seguridad de los
sistemas y redes de información. Estos sistemas y redes de
información pueden ser afectados tanto por riesgos internos como
externos.
▪ Los participantes deben comprender que los fallos en la seguridad
pueden dañar los sistemas y redes que están bajo su control, deben ser
conscientes del daño potencial que esto puede provocar a otros
derivados de la interconexión y la interdependencia; además, deben
conocer las configuraciones y actualizaciones disponibles para sus
sistemas, así como el lugar que ocupan dentro de las redes, las
prácticas a ejecutar para ampliar la seguridad, y las necesidades del
resto de los participantes.
▪ La confianza es el principio básico que rige cualquier desarrollo de
una política de seguridad. Lo primero es determinar quién tiene
privilegios, y usar el principio del mínimo privilegio posible.
▪ Hay que tener cuidado en que tanto se confía en el personal. Se
6 Fundada en 1961, la Organización para la Cooperación y el Desarrollo Económicos
(OCDE) agrupa a 34 países miembros y su misión es promover políticas que mejoren el
bienestar económico y social de las personas alrededor del mundo.
107
otorgan privilegios a medida que se necesitan y se requieren controles
técnicos para asegurar que no se den violaciones.
•
Adoptar el modelo “Todo lo que no esté específicamente prohibido está
permitido” o bien “Todo está prohibido excepto lo que esté
específicamente permitido”.
Las políticas de seguridad informática muchas veces ayudan a tomar
decisiones sobre otros tipos de política (propiedad intelectual, destrucción de la
información, etc.). También son útiles al tomas decisiones sobre adquisiciones porque
algunos equipos o programas no serán aceptables en términos de las políticas
mientras que otras la sustentaran.
Las políticas de seguridad informática deben considerarse como un
documento de largo plazo, que evolucionan. No contienen asuntos específicos de
implementación, pero si asuntos específicos del equipo de cómputo y
telecomunicaciones de la organización. Probablemente sean la guía para el diseño de
cambios a esos sistemas.
El desarrollo e implantación de políticas de seguridad informática es una
indicación de que una organización está bien administrada y los auditores lo toman en
cuenta en sus evaluaciones. Conducen a una profesionalización de la organización.
PROCESO DEL DISEÑO DE POLÍTICAS
Hay que especificar el alcance de las políticas y los objetos de las
mismas, consistentemente con la misión de seguridad previamente establecida.
Las políticas promulgadas deben escribirse en párrafos que sean, cada uno
por separado, implementables mediante un mecanismo específico. Es decir, hay que
pensar claramente en la conveniencia de que las políticas sean específicas, si esto se
puede lograr, es deseable fragmentar las políticas por departamento o unidad de
trabajo. Sólo así, se puede pensar en una jerarquía de políticas, unas con aplicabilidad
general, y otras para aplicabilidad para grupos o tareas específicas.
Las políticas que no cuenten con la aceptación de los usuarios de todos
108
los niveles serán muy difíciles de implantar. Todos aquellos que sean afectados por
las políticas deben tener la oportunidad de revisarlas y hacer comentarios antes de que
se promulguen, ya que deben contar con el apoyo total de los administradores.
En esta etapa deben considerarse los mecanismos de difusión,
capacitación y concientización iniciales y permanentes sobre seguridad informática.
La cultura de la organización y sus necesidades de seguridad son un
factor determinante para el equipo de redacción de las políticas. El nivel del control
que se establezca no debe resultar en una reducción de la productividad, pues en
muchos casos los ingresos y la carrera de la persona está designada por su
productividad. Si son demasiadas restrictivas en comparación de la cultura
organizacional se violarán las políticas.
Las razones que llevan la implantación de una política deben de
explicarse dentro de la política misma. También debe definirse la cultura de cada
política: quién, qué y cuándo.
ALGUNAS POLÍTICAS NECESARIAS
Debemos considerar las siguientes políticas:
Políticas de uso aceptable:
•
Determinar que se puede y que no se puede hacer con los recursos de cómputo
(equipo y datos) de la organización. Indica la responsabilidad de los usuarios
en la protección de la información que manejan y en qué condiciones puede
leer y/ o modificar datos que no les pertenezca.
Políticas de cuentas de usuario:
•
Determinar el procedimiento que hay que seguir para adquirir privilegios de
usuarios en uno o más sistemas de información y la vigencia de estos
derechos.
•
Determinar quien tiene la autoridad de asignar estos privilegios y quienes no
podrían recibir esos privilegios por causas legales. Debe reflejar
109
explícitamente los deberes y derechos de los usuarios. Explicará como y
cuando deshabilitar las cuentas de usuarios y que se hará con la información
que contenga. Debe especificar claramente los detalles de los procedimientos
de identificación y autenticación.
RESTRICCIONES A LAS POLÍTICAS
La principal fuente de las restricciones es la pérdida de productividad. Es
inevitable que la implementación políticas de seguridad informática distraiga recursos
humanos e informáticos que se emplearián para otros fines.
Otra fuente de restricciones son la legislación y los derechos de los
empleados y de los clientes. Cada país tiene su propia cultura, así como cada
organización tiene la propia. Las políticas deben ajustarse al entorno cultural en el
que estén inmersas y ciertamente no pueden violar la legislación vigente localmente.
PROCEDIMIENTOS
Una vez determinadas las políticas de seguridad y especificar lo que hay
que proteger, es necesario escribir los procedimientos de seguridad que indican como
llevar a cabo la protección. Estos procedimientos también constituyen los
mecanismos para hacer las políticas. Además resultan útiles, pues indican
detalladamente que hay que hacer cuando sucedan incidentes específicos y son
referencias rápidas en casos de emergencia y ayudan a eliminar los puntos de falla
críticos.
A continuación, algunos procedimientos:
•
Auditoría de la seguridad de los sistemas
◦ Dado que los datos que se almacenan sobre el uso de los sistemas son la
principal herramienta para detectar violaciones a las políticas, es necesario
especificar detalladamente lo que se desea almacenar. Como se resguardan
estas bitácoras y quien tiene acceso a ellas.
•
Administración de cuentas
110
◦ Abarca desde cómo solicitar una cuenta en su sistema de información, o
en varios sistemas hasta qué debe hacer el departamento de personal antes
de despedir a un empleado. También lo que debe hacerse para cambiar los
privilegios de una cuenta o cancelarla. Especifican como documentar el
manejo de las cuentas y como vigilar el cumplimiento de las políticas
correspondientes.
111
CAPÍTULO 9
PLAN DE CONTINGENCIA
Un plan de recuperación de desastres (DRP) –a veces conocido como un
plan de continuidad del negocio (BCP) o plan de contingencia de procesos de negocio
(BPCP)– describe cómo enfrenta una organización posibles desastres. Así como un
desastre es un evento que imposibilita la continuación de las funciones normales, un
plan de recuperación de desastres se compone de las precauciones tomadas para que
los efectos de un desastre se reduzcan al mínimo y la organización sea capaz de
mantener o reanudar rápidamente funciones de misión crítica. Por lo general, la
planificación de recuperación de desastres implica un análisis de los procesos de
negocio y las necesidades de continuidad; también puede incluir un enfoque
significativo en la prevención de desastres.
Un plan de contingencia o plan de recuperación en caso de desastre es una
guía para la restauración rápida y organizada de las operaciones de cómputo después
de una suspensión. Específica quién hace qué y cómo. Los objetivos de dicho plan
son los de restablecer, lo más pronto posible, el procesamiento de aplicaciones
críticas (aquellas necesarias para la recuperación) para posteriormente restaurar
totalmente el procesamiento “normal”. Un plan de contingencias no duplica un
entorno comercial normal (en forma inmediata), pero sí minimiza la pérdida potencial
de activos y mantiene a la empresa operando, al tomar acciones decisivas basadas en
la planeación anticipada.
Dicho de otra manera, un plan de contingencia es un programa de
recuperación de la organización, que no sólo es un problema del área de sistemas,
sino de toda ella, que controla la situación y realizar las actividades necesarias sin
afectar a la información.
Un plan de contingencia es un plan escrito que detalla acciones,
procedimientos y recursos a usarse durante un evento que destruya parcial o
totalmente los servicios de computación. Este plan define qué tareas son críticas,
quién es el responsable de todos los aspectos del proceso de recuperación, y cómo
112
funciona la organización mientras los sistemas están siendo reparados, migrados de
plataforma o transportados a un nuevo local.
UTILIDAD DEL PLAN DE CONTINGENCIA
Se sustenta en lo siguiente:
•
Disminución de los efectos de esos desafortunados desastres y dando una
respuesta rápida, una transferencia del procesamiento crítico a otras
instalaciones, y a su eventual recuperación.
•
Proporcionar a los directivos de una empresa una excelente oportunidad para
aliviar o minimizar problemas potenciales que, en un momento dado, podrían
interrumpir el procesamiento de datos.
•
Tener sentido, ser legible e indicar todos los aspectos de la función de la
cuestión.
•
El nivel de detalle para respaldar la información y para los procedimientos de
recuperación, dependerá de la importancia de la aplicación y del tipo de
información.
•
Debe ser único para cada empresa y así cubrirá sus necesidades específicas.
ELEMENTOS
El plan de contingencia, es un plan de emergencia y recuperación porque
incorpora seguridad física al centro de cómputo, es decir, es un plan formal que
describe los pasos a seguir en el caso de presentarse alguna situación de emergencia,
con la finalidad de reducir el impacto que pueda provocar el desastre, y
posteriormente restablecer las operaciones del procesamiento electrónico de datos en
forma tan inmediata como sea posible.
Por lo tanto, el diseño e implementación de un plan de esta naturaleza
debe contemplar:
•
Los riesgos y los porcentajes de factibilidad de éstos, a los que está expuesta
113
la organización.
•
La asignación de responsabilidades al personal, tanto en las actividades que se
realizarán durante la emergencia como en las de preparación y las de
recuperación.
•
La identificación de aplicaciones (sistemas automatizados) de mayor
importancia dentro de la producción de datos, para darles la seguridad
necesaria.
•
La especificación de alternativas de respaldo.
•
La definición de procedimientos y políticas a seguir durante el momento de la
crisis.
•
La definición de medidas y el tiempo previsto para la recuperación.
•
La integración de prácticas de mantenimiento, entrenamiento en el plan y
pruebas del mismo.
¿QUIÉN ESCRIBE EL PLAN DE CONTINGENCIA?
Una vez que se ha tomado la decisión de hacer un plan de contingencia, el
Director de Sistemas junto con el cuerpo directivo de la empresa determinarán que es
lo que más le interesa a la organización proteger y así tomar la decisión de contratar a
un consultor externo para hacerlo o desarrollarlo “en casa”. Ambas opciones tienen
“pros” y “contras”.
A primera vista, contratar a un consultor externo con experiencia en el
desarrollo de este tipo de proyectos parece la mejor opción. Algunas ventajas son:
•
El desarrollo de un plan de contingencia es están complicado como cualquier
sistema importante, debido a que en ambos se debe de seguir una serie de
pasos ordenadamente para obtener un buen resultado. Por esto requiere de una
persona (o un equipo) dedicado exclusivamente al desarrollo de este proyecto.
•
Los consultores tienen conocimientos especializados que facilitan un rápido
114
desarrollo de un buen plan. Un consultor con experiencia sabe hacer un plan
de contingencia, además sabe quién es quién dentro de la industria de la
seguridad de la información.
METODOLOGÍAS DE DESARROLLO DE PLANES DE CONTINGENCIA
A continuación se describen la metodología de desarrollo de Planes de
Contingencia para Sistemas de Información de Jon William Toigo.
La metodología de Jon William Toigo, experto en temas relacionados con
la planeación y recuperación del desastre, y consultor en las ediciones de la
automatización del negocio para los vendedores y los consumidores de la tecnología
de información, se basa en 7 etapas básicas:
•
Etapa 1. Análisis de Riesgos. En esta etapa se determina nuestros limites y se
estructuran para su posterior planeación de todos los elementos que
interaccionan con el área en la cual se realizara el plan de contingencia, en
síntesis "Medir para conocer".
•
Etapa 2 Protección de la Instalación. Determinar las estrategias comunes de
prevención de desastres y de protección en general. En otras palabras la
"unificación de los criterios" dentro de la organización.
•
Etapa 3 Almacenamiento fuera de la empresa o site. Determinar la eficiencia
los mecanismos de respaldos, lo cual conlleva a una identificación concreta de
la información vital de organización. "Planificación de la estrategia de
respaldo".
•
Etapa 4 Estrategia de Respaldo de Sistemas. De la información obtenida por
la planificación, determinar cual es el mecanismo para realizar los respaldos y
seleccionar el mas conveniente.
•
Etapa 5 Estrategia de Respaldo de Redes. Como motor de la comunicación
los sistemas de red, deberán ser revisados cuidadosamente, su:
funcionamiento, estructuración, comunicación y sus servicios del tal manera
que se pueda rápidamente ser restaurados.
115
•
Etapa 6 Toma de decisiones en caso de emergencia. Son todas aquellas
actividades que se realizan para la recuperación en caso de emergencias, esta
etapa se liga de manera directa a la planeación en caso de contingencias.
•
Etapa 7 Mantenimiento y pruebas del plan. En esta etapa se obtendrá el plan
de contingencia, pero el cual es necesario:
◦ Mantenerlo actualizado.
◦ Gente preparada y capacitada en este plan.
◦ Ser probado e identificar fallas y errores del mismo.
Ningún modelo están bueno como parece, todo depende de su adecuada
planeación y prevención de contingencias.
Todo plan de contingencia puede ser mejorado, el logro radica en tener
una cultura por la prevención, lo demás es consecuencia lógica.
El mejor modelo es aquel que en el primer momento de ser adoptado
aporta soluciones.
METODOLOGÍA UNIVERSAL
¿Qué es control? Es el mecanismo para comprobar que las cosas se
realicen como fueron previstas, de acuerdo con las políticas, objetivos y metas fijadas
previamente para garantizar el cumplimiento de la misión organizacional o
institucional.
Los controles describen las medidas tomadas para minimizar el riesgo y
se podrían clasificar en tres tipos:
•
Control detective (informa sobre incidentes actuales y/o históricos)
•
Control correctivo (mitiga el impacto del evento)
•
Control preventivo (Detiene el evento desde su primera ocurrencia)
116
¿CUÁLES SON LOS MÉTODOS PARA SELECCIONAR LOS
CONTROLES?
A través de la categorización de la información y/o del sistema.
Utilizando ISO 20000:2005 o NIST 800-53.
¿QUÉ SIGNIFICA LA SEGURIDAD FÍSICA?
La seguridad física describe las medidas destinadas a asegurar la
protección física de los activos de TI como las instalaciones, equipo, personal,
recursos y otras propiedades de los daños y el acceso físico no autorizado. Se toman
las medidas de seguridad física para proteger estos activos contra amenazas físicas,
como el robo, el vandalismo, los incendios y los desastres naturales.
La seguridad física es a menudo la primera preocupación en instalaciones
con alta concentración de activos, especialmente el utilizado en sistemas críticos para
los procesos de negocio. La seguridad física es especialmente importante para los
recursos de TI, ya que su funcionamiento adecuado exige que los activos de hardware
y la infraestructura que se están ejecutando en mantenerse alejado de cualquier cosa
que pudiera afectar a su función. Esto incluye la manipulación por personal no
autorizado y eventos imprevistos como accidentes y desastres naturales.
Hay dos fases de la seguridad física:
◦ Disuasión: Métodos y medidas que tienen por objeto disuadir a los
atacantes e intrusos o prevenir eventos naturales y accidentes afecten
bienes protegidos. El método simple para esto es mediante el uso de
barreras físicas y signos. Los signos sirven como un aviso a cualquier
intruso que sus acciones traerán daño físico o el enjuiciamiento. Las
barreras físicas tienen el propósito de evitar el acceso por completo o
simplemente para proporcionar protección frente a factores externos como
las tormentas o accidentes vehiculares.
◦ Detección: Permite que el personal de seguridad para detectar y localizar
posibles intrusos, utilizando equipos de vigilancia como cámaras, sensores
117
de movimiento, luces de seguridad y el personal como los guardias de
seguridad y ver los perros.
118
CAPÍTULO 10
MODELO DE SEGURIDAD
Un “Modelo de Seguridad de la Información” es un diseño formal que
promueve mecanismos consistentes y efectivos para la definición e implementación
de controles para la correcta administración de la seguridad de la información, se
deben establecer y mantener acciones que busquen cumplir con los tres
requerimientos de mayor importancia para la información, estos son confidencialidad,
integridad y disponibilidad.
Para establecer una política de seguridad informática debe conocer:
•
Cuáles son el elementos que componen el sistema. Esta información se
obtiene de las entrevistas a personal directivo, gerencial, operativo y usuarios
de la empresa. Se hace un estudio y análisis de riesgos y vulnerabilidades
potenciales sobre del sistema.
•
Cuáles son los peligros, accidentales y/o provocados, que enfrenta el sistema.
Se deducen de las entrevistas y de la observación directa del ambiente y
comportamiento del sistema; así como de pruebas y muestreos del mismo
sistema.
•
Cuáles son las medidas para proteger el sistema. Trata de la reducción de los
riesgos y vulnerabilidades del sistema al máximo posible, mediante servicios
y mecanismos de seguridad.
Los componentes deben estar dirigidos a identificar los niveles de riesgo
presentes y las acciones que se deben implementar para reducirlos.
OBJETIVO
Definir un marco conceptual apoyado en políticas, normas,
procedimientos y estándares de seguridad de la información que se adapten a la
tecnología utilizada para apoyar la actividad productiva, permitiendo otorgar
119
flexibilidad y fluidez al negocio.
Para construir una arquitectura de seguridad debe poseerse un Modelo.
Un adecuado modelo de “Seguridad Informática” está basado en políticas
sólidas de seguridad de la información, teniendo como marco de referencia a las
mejores prácticas internacionales tales como BS ISO/ IEC 17799:2005 y BS 77991:2005, contando con el apoyo de la Alta Dirección y realizando una divulgación
periódica y una capacitación constante a todos los miembros de las organizaciones
referida a los riesgos a los que se expone la información y los controles necesarios
para su mitigación.
Se debe contar con herramientas de protección de última tecnología,
permanentemente actualizadas, funcionando 7 X 24 X 365 y con un alto grado de
capacidad de respuesta, y un equipo de trabajo altamente calificado, que cuente con
las certificaciones de seguridad informática necesarias, disponible 7 X 24 X 365,
actualizado permanentemente y con un enfoque único y total en seguridad y
administración del riesgo.
Factores claves del éxito:
•
Gestión de riesgos cubriendo todos los componentes internos y externos, la
naturaleza de los sistemas, las actividades empresariales y las leyes locales.
•
Identificar a todos los terceros involucrados (Clientes / Usuarios / Proveedores
/ Socios de negocio / Otras Organizaciones / Gobierno).
•
Identificar todos los activos informáticos.
•
Políticas desarrolladas según los objetivos de negocio y según la cultura
organizacional.
•
Un claro entendimiento de los requerimientos de seguridad.
•
Apoyo y compromiso manifiestos por parte de la Dirección General.
•
Participación integral a través de equipos multidisciplinarios.
120
•
Sistema de medición para evaluar el desempeño de la gestión de la seguridad.
•
Disponibilidad de recursos
PLAN DE CONCIENTIZACIÓN
Informar y recordar regularmente las obligaciones con respecto a la
seguridad de la información a empleados y demás personal vinculado.
La característica principal del proceso de concientización es la difusión
del Modelo de Seguridad por diferentes medios de comunicación al interior de la
empresa, partiendo de un conocimiento básico de seguridad informática hasta lograr
la adopción y asimilación de componentes del modelo de seguridad (políticas,
normas, procedimientos y estándares).
INGENIERÍA SOCIAL
La Ingeniería Social (literalmente del inglés: Social Engineering) es un
conjunto de acciones que se realizan con el fin de obtener información a través de la
manipulación de usuarios legítimos.
Es un conjunto de trucos, engaños o artimañas que permiten confundir a
una persona para que entregue información confidencial, ya sea los datos necesarios
para acceder a ésta o la forma de comprometer seriamente un sistema de seguridad.
“El factor humano, es el eslabón más débil de la seguridad de la
información.”, por lo tanto:
•
Todo el personal debe ser educado, desde los operadores de computadoras
hasta el personal de limpieza.
•
No informar telefónicamente a nadie (por más que se arroguen cargos
directivos o funciones específicas de tecnología) de las características técnicas
de la red, nombre de personal a cargo, claves de acceso, etc.
•
Controlar el acceso físico al sitio donde se encuentran los equipos de
procesamiento y comunicaciones.
121
Navegación Web buenas prácticas:
•
Evitar acceder a sitios desconocidos o no confiables.
•
No aceptar la instalación automática de software.
•
No descargar archivos ejecutables.
•
No dejar información sensible en páginas o foros.
Si debe enviar información sensible:
•
Sólo hacerlo en sitios seguros (https).
•
Verificar el certificado del sitio.
MODELO BELL-LAPADULA
En seguridad informática, el modelo de seguridad Bell-Lapadula, llamado
así por sus creadores Billy Elliott Bell y Len LaPadula, consiste en dividir el permiso
de acceso de los usuarios a la información en función de etiquetas de seguridad. Por
ejemplo, en sistemas militares norteamericanos, categorizándola en 4 niveles: no
clasificado, confidencial, secreto y ultrasecreto.
Este modelo se centra en la confidencialidad y no en la integridad. Se
distinguen 2 tipos de entidades, sujetos y objetos. Se define estados seguros y se
prueba que cualquier transición se hace de un estado seguro a otro. Un estado se
define como estado seguro si el único modo de acceso permitido de un sujeto a un
objeto está en concordancia con la política de seguridad. Para determinar si un modo
de acceso específico está permitido, se compara la acreditación de un sujeto con la
clasificación del objeto (más precisamente, la combinación de la clasificación y el
conjunto de compartimientos) para determinar si el sujeto está autorizado para el
modo de acceso especificado. El esquema de clasificación/acreditación se expresa en
términos de un retículo. El modelo define 2 reglas de control de acceso mandatorio
(MAC) y una regla de control de acceso discrecional (DAC) con 3 propiedades:
1. Propiedad de seguridad simple: Un sujeto de un determinado nivel de
122
seguridad no puede leer un objeto perteneciente a un nivel de seguridad más
alto.
2. Propiedad (Propiedad estrella): Un sujeto de un determinado nivel de
seguridad no puede escribir un objeto perteneciente a un nivel de seguridad
más bajo. (También llamada propiedad de confinamiento).
3. Propiedad de seguridad discrecional: Se utiliza una matriz de acceso para
especificar el control de acceso discrecional.
Con Bell-La Padula, los usuarios pueden crear contenido sólo en su nivel
de seguridad o por encima (i.e, investigadores en el nivel secreto pueden crear
archivos secretos o super secretos pero no archivos públicos). Inversamente, los
usuarios pueden ver solamente contenido de su propio nivel o inferior.
PRINCIPIO DE TRANQUILIDAD
El principio de tranquilidad del modelo de Bell-La Padula establece que
la clasificación de un sujeto u objeto no cambia mientras está siendo referenciada.
Hay 2 formas para el principio de tranquilidad: el principio de tranquilidad fuerte
establece que los niveles de seguridad no cambian durante la operación normal del
sistema y el principio de tranquilidad débil establece que los niveles de seguridad no
cambian de una manera que violen las reglas de una dada política de seguridad.
MODELO
PDCA
Dentro de la organización el tema de la seguridad de la información es un
capítulo muy importante que requiere dedicarle tiempo y recursos. La organización
debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).
El objetivo de un SGSI es proteger la información y para ello lo primero
que debe hacer es identificar los 'activos de información' que deben ser protegidos y
en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'),
es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
123
Se entiende la seguridad como un proceso que nunca termina ya que los
riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que
los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese
motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por
Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
Planificar (Plan): consiste en establecer el contexto en el se crean las
políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles
y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de
seguridad de la información, implementar el plan de riesgos e implementar los
controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer
auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento,
propuestas de mejora, acciones preventivas y acciones correctivas .
124
Figura 3: Modelo PDCA
SEGURIDAD ESTRATÉGICA
La falta de mecanismos de seguridad en el diseño de los sistemas
operativos compromete la información y, con ello, pone en riesgo la confianza de los
clientes. Para combatir esto, es necesaria una estrategia de seguridad informática.
Después del recurso humano, la información es el activo más importante
de toda empresa.
En los últimos años, se han presentado múltiples casos de pérdida de
privacidad por causa de mal uso de la información, lo que se traduce en un alto riesgo
en la administración de las empresas. A esto hay que añadir que la falta de
mecanismos de seguridad en el diseño de los sistemas operativos Windows, UNIX e
Internet termina comprometiendo la información y, con ello, poniendo también en
riesgo la confianza de los clientes.
Ante esta situación, se hace necesario que cada empresa establezca una
125
estrategia de administración de riesgos operativos que abarque la seguridad de sus
datos.
Para ello, es recomendable asignar a un responsable de la coordinación de
los esfuerzos de implantación y el monitoreo de esta estrategia. Esta persona debe
contar con un amplio conocimiento de tecnología –no sólo de la utilizada en la
empresa, sino también de la del mercado– y de los procesos principales del negocio,
aunque hay que reconocer que en ocasiones resulta difícil encontrar estas
características en una sola persona.
Entre las actividades de las que sería responsable estarían la definición de
una política corporativa con los lineamientos a seguir por la organización –autorizada
y apoyada por la dirección general–, y la vigilancia para el cumplimiento de estos
lineamientos –de forma individual o en conjunto con el equipo de auditoría interna–.
Una política con estas características representa, sin duda, un compromiso
para todos los integrantes de la empresa, y es imprescindible que forme parte de la
estrategia institucional. Incluso se vislumbra necesario establecer un marco de
referencia para implementar una estrategia de protección de la información.
A manera de ejemplo, existe un conjunto de mejores prácticas denominada Common
body of knowledge, que incluye los siguientes 10 dominios o tópicos:
1. Administración de la seguridad.
2. Arquitectura y modelos.
3. Control de acceso.
4. Desarrollo de sistemas y aplicaciones.
5. Seguridad operacional.
6. Criptografía.
7. Seguridad física.
8. Seguridad en redes e Internet.
9. Plan de continuidad del negocio.
126
10. Leyes, investigación y ética.
Estos dominios incluyen no sólo aspectos técnicos, sino aquellos otros
que están orientados a los procesos y recursos humanos en las organizaciones, no
estrictamente basados en algún tipo de industria. Para asegurar la protección de la
información y diseñar los controles que mitiguen los riesgos, es necesario considerar
tres conceptos:
Confidencialidad - Principio encaminado a la protección de la
información clasificada como confidencial, de modo que no tengan acceso a ella
personas, recursos o sistemas no autorizados. En otras palabras, esta clase de
información no puede divulgarse sin la autorización expresa del dueño de ella.
Integridad - Principio encaminado a la prevención de modificaciones no
autorizadas a la información, a cargo de personas, procesos o sistemas. En caso de
que una persona sea autorizada para modificar la información, es necesario garantizar
la precisión y consistencia de los datos clave, para mantener su uso continuo.
Disponibilidad - Principio encaminado a la utilización de la información en el
momento en el que personas, procesos o sistemas autorizados la requieran, sea para
consultarla o modificarla.
Estos tres elementos de protección son esenciales para definir los
controles a implantar, sean éstos administrativos, a manera de políticas y
procedimientos; físicos, en la forma de oficiales de seguridad; o técnicos, como el
hardware y software adecuados.
Para definir el uso de uno o de todos los tipos de controles, hace falta
establecer una relación equilibrada entre su costo y el beneficio o valor de la
información protegida.
La seguridad de la información puede hacerse aún más eficiente si se
asignan los recursos suficientes para establecer un plan de capacitación y
concientización de personal, a través del cual se den a conocer las políticas, controles
y lineamientos mínimos de seguridad que deberán cumplir tanto los empleados
existentes como los de nuevo ingreso. Y es que una participación activa del personal
permite adecuar los controles, de acuerdo con las condiciones específicas de cada
127
empresa y área de trabajo.
La implantación de un programa de seguridad debe considerar no sólo a
la tecnología, sino a las personas, ya que son ellas quienes administran la información
y, en general, el eslabón más débil. De esta forma, se obtiene un nivel de
cumplimiento mayor y una efectiva mitigación de riesgos.
128
GLOSARIO
A continuación, se definen los términos técnicos usados en este libro:
Factores de riesgos.- Manifestaciones o características medibles
u observables de un proceso que indican la presencia de riesgo o tienden
aumentar la exposición, pueden ser interna o externa a la entidad.
Impacto.- Es la medición y valoración del daño que podría
producir a la empresa un incidente de seguridad. La valoración global se
obtendrá sumando el costo de reposición de los daños tangibles y la
estimación, siempre subjetiva, de los daños intangibles.
Riesgo.- Proximidad o posibilidad de un daño, peligro, etc. Cada
uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un
seguro.
Seguridad.- Cualidad o estado de seguro. Garantía o conjunto de
garantías que se da a alguien sobre el cumplimiento de algo. Se dice
también de todos aquellos objetos, dispositivos, medidas, etc., que
contribuyen a hacer más seguro el funcionamiento o el uso de una cosa:
cierre de seguridad, cinturón de seguridad.
Seguridad física.- Consiste en la aplicación de barreras físicas y
procedimientos de control, como medidas de prevención ante amenazas a
los recursos e información confidencial que puedan interrumpir
procesamiento de información.
Seguridad lógica.- Consiste en la aplicación de barreras y
procedimientos para mantener la seguridad en el uso de software, la
protección de los datos, procesos y programas, así como la del acceso
ordenado y autorizado de los usuarios a la información.
Seguridad de las redes.- Es la capacidad de las redes para
resistir, con un determinado nivel de confianza, todos los accidentes o
acciones malintencionadas, que pongan en peligro la disponibilidad,
129
autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los correspondientes servicios que dichas redes ofrecen o
hacen accesibles y que son tan costosos como los ataques intencionados.
Seguridad en los recursos humanos.- Consiste en los controles
que se deben tener con respecto a la selección, contratación, capacitación y
despido del empleado.
Seguridad Informática.- Son técnicas desarrolladas para
proteger los equipos informáticos individuales y conectados en una red frente
a daños accidentales o intencionados.
Vulnerabilidad.- Cualquier debilidad en los Sistemas de
Información que pueda permitir a las amenazas causarles daños y producir
pérdidas.
130
BIBLIOGRAFÍA
"Site Security Handbook". Request For Comments 1244. P. Holbrook y J.
Reynolds.
"Definición de una política de seguridad". José R. Valverde.
www.rediris.es/cert.
"Computer Security Basics". D. Russell y G.T. Gangemi. O’Reilly &
Associates.
"Building Internet Firewalls". D.B. Chapman y E.D. Zwicky. O’Reilly &
Associates. Cap. 3 y 11.
"Security in Computing". C. P. Pfleeger. Prentice Hall. Second Ed.
Cap.10.
Piattinni, G. M & Peso del E. Auditoría Informática. Un enfoque práctico.
Alfaomega
Echenique G. J.A. (2001). Auditoría en Informática. 2da. Ed. Mc GrawHill
Introducción a la Computación, del Departamentode Métodos
Matemático – Cuantitativos. Además, están editados por la Oficina de Apuntes del
CECEA.
“Aspectos legales, derechos ded autor y piratería de software”, Simón
Mario Tenzer, 26 páginas.
“Elementos de Organización de la Función Informática” (Administración
Informática), 19 páginas.
“Evaluación de paquetes contables” (sólo para Opción Administrativo /
Contable), Beatriz Pereyra, 14 páginas. Incluye “Integración de las actividades de
control con la evaluación de riesgos.”
“Respaldo y Recuperación de Datos”, Simón Mario Tenzer y Nelson
Pequeño, Julio 2000, 17 páginas.
“Seguridad Informática”, Leonardo Sena Mayans, Julio 2000, 11 páginas.
“Virus informático”, Setiembre 2002, 21 páginas.
Informe sobre malware en América Latina, Laboratorio ESET
Latinoamérica, 2008.
http://www.eset-la.com/threat-center/1732-informe-malware-americalatina
Ten ways hackers breach security. Global Knowledge. 2008
http://images.globalknowledge.com
Bruce Schneier, Secrets & Lies. Digital Security in a Networked World.
John Wiley & Sons, 2000.
Kevin Mitnick, The Art of Intrusión. John Wiley & Sons, 2005.
La Odisea de Homero.
Official Certified Ethical Hacker, Sybex. 2007.
Sun Tzu, El arte de la guerra. Versión de Samuel Griffith. Editorial
Taschen Benedikt. 2006.
Farwell, James P.; Rafal Rohozinski; “Stuxnet and the Future of Cyber
War”, Survival, vol. 53, número 1, 2011
Salido, Javier; “Data Governance for Privacy, Confidentiality and
Compliance: A Holistic Approach”, ISACA Journal, vol. 6, 2010
Dobbs, Michael; The Edge of Madness, Simon & Shuster UK Ltd., RU,
2008
IBM, Top 3 Keys to Higher ROI From Data Mining, artículo técnico de
IBM SPSS
YourDictionary.com, http://computer.yourdictionary.com/dataintegrity
Véase Kerviel, Jerome; L’engranage, Memoires
Flammarion,
Francia,
2010,
y
Generale,www.societegenerale.com/en/search/node/kerviel.
d’un
Trader,
Societe
Op. cit., Farwell
Broad, William J.; John Markoff; David E. Sanger; “Israeli Test on Worm
Called Crucial in Iran Nuclear Delay”, The New York Times,15 de enero de
2011, www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.
html?
pagewanted=all
IT Governance Institute, IT Assurance Guide: Using COBIT, EE. UU.,
2007, pág. 212
Bankar, Pritam; Sharad Verma; “Mapping PCI DSS v2.0 With COBIT
4.1”, COBIT Focus, vol. 2, 2011, www.isaca.org/cobitnewsletter
Data Management Association International (DAMA), The DAMA Guide
to the Data Management Body of Knowledge, Technics Publications LLC, EE. UU.,
2009, www.dama.org/i4a/pages/index.cfm?pageid=3345
Unión Europea (UE), Directiva 95/46/CE, emitida por el Parlamento
Europeo y el Consejo el 24 de octubre de 1995, sobre la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos
UE, Directiva 2006/43/CE, emitida por el Parlamento Europeo y el
Consejo el 17 de mayo de 2006, sobre la auditoría legal de las cuentas anuales y de
las cuentas consolidadas, por la que se modifican las Directivas del Consejo
78/660/CEE y 83/349/CEE y se deroga la Directiva del Consejo 84/253/CEE.
Adaptado de US Chiefs of Staff Joint Publication 3-28, “Civil Support”,
EE. UU., septiembre de 2007
Op. cit., DAMA
[1] ISO 7498-2. Information processing system – Open systems
interconections – Basic reference model – Part 2: Security architecture. International
Organizations of Standarization, 1989.
[2] ISO/IEC 10181-4. Information technology- Open systems
interconectios – Security frameworks in open systems – Part 4: Non-repudiation.
ISO/IEC, 1996.
[3] ISO/IEC DIS 13888-1. Information technology- Security techniques –
Non repudiation - Part 1: General model. ISO/IEC JTC1/FC27 N1503, November
1996.
[4] ISO/IEC 5th CD 13888-2. Information technology- Security
techniques –Non repudiation - Part 2: Using symetric techniques. ISO/IEC
JTC1/FC27 N1505, November 1996.
[5] ISO/IEC DIS 13888-3. Information technology- Security techniques –
Non repudiation - Part 3: Using asymetric techniques. ISO/IEC JTC1/FC27 N1507,
November 1996.
[6] T. Coffey, P. Saidha, Non-repudiation with mandatory proof of
receipts, Computer Communications Review, 26 (1), January 1996, pp. 6-17
[7] J. Zhou, D. Gollman, A Fair Non-repudiation Protocol, Proceedings of
the 1996 IEEE Symposium on Security and Privacy, 1996, pp. 55-61
[8] J. Zhou, D. Gollman, Observations on Non-repudation, Lectures
Notes in Computer Science. Advances in Criptology. ASIACRYPT ’96, 1996, pp.
133144
[9] C. H. You, K. Y. Lam, On the efficient inplementation of fair nonrepudiation, Computer Communication Review, 28(5), October 1998, pp. 50-60
[10] L. Lamport, Passwords authentication with insecure communication,
Communications of the ACM, 24 (11), 1981, pp. 770-772
[11] S. Haber, S. Stornetta, How to time-stamp a digital document,
Journal of Cryptology, 3 (2), 1991, pp. 99-111
[12] T. Pedersen, Electronic payments of small amounts, Proceedings of
Cambridge Workshop on Security Protocols, 1996, pp. 59-68
[13] N. Asokan, M. Schunter, M. Waidner, Optimistics protocols for fair
exchange, 4th ACM Conference on Computer and Communications Security, 1998,
pp. 8-17
[14] J. Zhou, D. Gollman, An efficient Non-repudiation Protocol, 10th
IEEE Computer Security Foundations Workshop, 1997, pp. 126-132
[15] R. Deng, F. Bao, Evolution of fair non-repudiation with TTP,
Proceedings of 1999 Australasian Conference on Information Security and Privacy,
1999, pp.258-269
ANEXO A
OCTAVE ALLEGRO
ELEMENTOS PARA UNA EVALUACIÓN DE RIESGOS
Octave (Operationally Critical Threat Asset and Vulnerability Evaluation)
fue desarrollado por CERT (Coordination Center del Software Engineering Institute
de la Universidad Carnegie Mellon de Pensilvania, Estados Unidos).
Es un método integral, sistemático y auto-dirigido para el análisis de
riesgos en la seguridad de la información, e incluye sus activos:
•
Las personas.
•
El hardware.
•
La información.
•
Los sistemas.
Los activos son ordenados de acuerdo a la importancia para los objetivos
estratégicos del sistema, las posibles amenazas y vulnerabilidades que pueden
presentarse en cada uno de ellos y el impacto de dicha amenaza con relación a la
empresa.
El método fue desarrollado teniendo en cuenta grandes organizaciones de
300 o más empleados, pero el tamaño no fue la única consideración. Por ejemplo, las
grandes organizaciones suelen tener una jerarquía de múltiples capas y es probable
que mantengan su propia infraestructura informática, junto con la capacidad interna
para ejecutar herramientas de evaluación de la vulnerabilidad e interpretar los
resultados en relación a los activos críticos.
El método utiliza una ejecución en tres fases que examina las cuestiones
organizacionales y tecnológicas, monta una visión clara de la organización y sus
necesidades de información y seguridad de la misma. Se compone de una serie de
talleres, facilitados o llevados a cabo por un equipo de análisis interdisciplinario de
tres a cinco personas de la propia organización. El método aprovecha el conocimiento
de múltiples niveles de la organización, centrándose en:
•
Identificar los elementos críticos y las amenazas a esos activos.
•
La identificación de las vulnerabilidades, tanto y tecnológicas, que exponen a
las amenazas, creando un riesgo a la organización.
•
El desarrollo de una estrategia basada en la protección de prácticas y planes de
mitigación de riesgos para apoyar la misión de la organización y las
prioridades.
Estas actividades son apoyadas por un catálogo de buenas prácticas, así
como encuestas y hojas de cálculo que se puede utilizar para obtener y captar
información durante los debates y la solución de sesiones-problema.
PROCESO OCTAVE
OCTAVE utiliza un enfoque de tres fases para examinar las cuestiones de
organización y tecnología, reuniendo una visión global de las necesidades de
seguridad de la organización de la información (ver Figura 1). El método utiliza
talleres para fomentar la discusión abierta y el intercambio de información sobre los
activos, las prácticas de seguridad y estrategias.
Figura 4: Proceso Octave y sus fases en la seguridad informática.
Cada fase consta de varios procesos y cada proceso tiene uno o más
talleres dirigidos o realizados por el equipo de análisis. Además existen algunas
actividades de preparación necesarias que establecen una buena base para una
evaluación exitosa, estas son:
•
Obtener patrocinio alta dirección: Este es el factor de éxito más crítico. Si los
altos directivos apoyar el proceso, las personas de la organización participará
activamente.
•
Seleccionar el equipo de análisis: Los miembros del equipo deben tener las
habilidades suficientes para dirigir la evaluación. Ellos también necesitan
saber cómo establecer una buena comunicación con los demás integrantes, ya
que esto les permitirá aumentar sus conocimientos y habilidades.
•
Alcance OCTAVE: La evaluación debe incluir importantes zonas de
operaciones. Si el alcance es demasiado grande, será difícil de analizar todos
los datos. Si es demasiado pequeño, los resultados pueden no ser tan
significativos.
•
Selección de los participantes: Los funcionarios procedentes de múltiples
niveles de organización aportará sus conocimientos. Es importante que estas
personas puedan comprender sus zonas de operaciones.
FASES Y PROCESOS
1. Establecer criterios de medición del riesgo
El primer paso consiste en definir criterios para conocer la postura de la
organización en cuanto a su propensión a los riesgos. Se trata de la base para la
evaluación, ya que sin esta actividad no se puede medir el grado en el que la
organización se ve afectada cuando se materializa una amenaza.
El método establece la creación de un conjunto de criterios cualitativos
con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:
•Reputación/confianza del cliente
•Financiera
•Productividad
•Seguridad/salud
•Multas/penas legales
Además, hay una última que el usuario puede definir, utilizada para una
preocupación específica de la empresa.
Para cada criterio se deben generar áreas de impacto, es decir,
condiciones de cómo la organización se verá afectada por algún incidente de
seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el
personal encargado de generar los criterios de medición del riesgo. En la siguiente
imagen se muestra un ejemplo de un área de impacto para los criterios de
“Reputación y confianza del cliente”:
Tabla 5: Reputación y confianza del cliente
Hoja de trabajo 1
Criterio de medición del riesgo, reputación y confianza en el cliente.
Área de impacto
Bajo
Moderado
Alto
Afectación de la
imagen de la
organización.
La información
relacionada con
incidente de seguridad
se conoce dentro del
área de TI.
La información
relacionada con
incidente de seguridad
se conoce dentro de la
organización.
La información
relacionada con
incidente de seguridad
se conoce
públicamente.
Una característica de OCTAVE Allegro es que emplea hojas de trabajo
para registrar toda la información que se genera durante su aplicación. Esto se traduce
en una ventaja, ya que algunos estándares de seguridad requieren que el proceso de
evaluación de riesgos sea documentado.
Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses
de la organización, por lo que el orden puede variar de una empresa a otra. La
categoría más importante recibe el puntaje más alto y la menos importante recibe la
calificación más baja, con una escala de 1 a 5 si el usuario no define un área de
impacto y sólo utiliza las descritas en OCTAVE Allegro:
Tabla 6: Prioridad en las áreas de impacto
Hoja de trabajo
Prioridad
Áreas de impacto
5
Reputación y confianza del cliente
4
financiera
3
productiva
2
Seguridad y salud
1
Multas y penas legales
n/a
Definido por el usuario
2. Desarrollar un perfil de activos de información
La evaluación de riesgos que se desarrolla se enfoca en los activos de
información, es decir, los conocimientos o datos que tienen valor para la
organización. Se documentan las razones por la cuales se eligen y además se debe
realizar una descripción de los mismos.
También, se debe asignar un custodio a cada uno de estos activos de
información, el responsable de definir los requisitos de seguridad para los mismos:
confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.
Se crea un perfil para cada activo de información que los encargados de la
evaluación consideren como crítico, ya que forma la base para identificar amenazas
y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los
activos se describen de forma clara y consistente, así como sus requisitos de
seguridad, para definir las opciones de protección a aplicar.
3. Identificar contenedores de activos de información
En el tercer paso se identifican los contenedores, es decir, los repositorios
donde se almacena esta información, ya que son los sitios en donde suelen llevarse a
cabo los ataques contra los datos, por tales características, también son los lugares
donde se aplican los controles de seguridad.
De acuerdo con este método, pueden ser del tipo técnico, físico o
humano, ya que la información puede encontrarse de diferentes maneras, por
ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma
física (escrita o impresa en papel), así como información no representada, como las
ideas o el conocimiento de los miembros de la organización.
En el mismo sentido, la información puede ser almacenada, procesada o
transmitida de diferentes maneras, en formato electrónico, verbal o a través de
mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes
estados.
4. Identificar áreas de preocupación
En este paso se inicia el proceso del desarrollo de perfiles de riesgo para
los activos de información, resultado de la combinación de la posibilidad de
materialización de una amenaza (probabilidad) y sus consecuencias (impacto).
De acuerdo con el método, un área de preocupación es un enunciado
descriptivo que detalla una condición o situación del mundo real que puede afectar
un activo de información en la organización. Se deben generar tantas áreas como sean
necesarias para cada uno de los activos perfilados en el paso 2.
Se busca documentar las condiciones que preocupan a la organización en
cuanto a su información crítica, por lo que se identifican riesgos evidentes sin
necesidad de una revisión exhaustiva, para ello se registra información sobre quién
podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría
ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las
amenazas afectarían los requisitos de seguridad descritos en el segundo paso.
5. Identificar escenarios de amenaza
En el quinto paso las áreas de preocupación son extendidas a escenarios
de amenaza, lo que significa la identificación de otras preocupaciones para la
organización que están relacionadas con sus activos de información críticos y que
no son visibles a primera vista, como en el paso anterior.
Para lograrlo, se puede utilizar un cuestionario por cada tipo de
contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de
condiciones y preguntas diseñadas para detallar la identificación de amenazas.
Otra manera de identificar condiciones de riesgo es a través de árboles de
amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y
que consideran amenazas a través de medios técnicos y físicos, con actores internos o
externos, por motivos accidentales o intencionales, que pueden provocar alguna
consecuencia como la divulgación, modificación, interrupción o destrucción de un
activo de información, como se muestra en la siguiente figura:
Figura 5: Árbol de amenazas a una empresa.
Otros árboles de amenaza consideran problemas técnicos como defectos
de software y hardware, fallas en sistemas o incidentes por códigos maliciosos.
También, fallas de suministro eléctrico, en telecomunicaciones, relacionados con
terceros, incluso por desastres naturales que pueden afectar los activos.
Es importante mencionar que no todas las combinaciones representan una
amenaza real en la organización, por lo que algunas pueden ser descartadas.
6. Identificar riesgos
Aquí se calcula el riesgo a través de la siguiente ecuación:
Riesgo = Amenaza (condición) + Impacto (consecuencia)
Se determina el impacto a la organización si se realiza un escenario de
amenaza descrito en los pasos 4 y 5, a través de los enunciados de impacto, la
descripción detallada de la manera en que se ve afectada la organización. Para
ello se debe tomar como referencia cada uno de los criterios definidos en el paso 1, es
decir, las áreas de impacto que preocupan a la empresa.
De manera opcional se puede definir la probabilidad realista de la
ocurrencia de la amenaza (altamente recomendable). Se trata de una actividad que
permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los
problemas de seguridad que ha padecido la organización, por lo que se pueden
utilizar información estadística como los registros de incidentes. A una probabilidad
de ocurrencia alta se asigna un valor de 3, si es media un valor de 2 y una valor de 1
para una probabilidad baja.
7. Analizar riesgos
En este paso se mide de forma cualitativa, el grado en que la
organización es afectada por una amenaza y se calcula una puntuación para cada
riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de
cada categoría de los criterios del paso 1, con el escenario de amenaza.
Se calcula un puntaje para cada escenario de amenaza generado, en este
caso, se considera un incidente de seguridad que se conoce públicamente, por lo que
el valor de impacto es alto (un 3). Para cada criterio puede existir más de un área de
impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se
multiplica el valor de impacto del área con la prioridad definida en el paso 1:
Tabla 7: Análisis de riesgos
Criterio
evaluación
de Prioridad
Valor del área de puntuación
impacto
Reputación
confianza
cliente
y 5
del
Alto (3)
15
financiera
4
Medio (2)
8
productiva
3
Bajo (1)
3
Seguridad y salud
2
Bajo (1)
2
penas 1
Alto (3)
3
Multas
y
legales
31
El resultado final o puntaje total, es la suma de los productos de la
puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45, a un valor
más grande, el impacto será mayor sobre los activos de la empresa.
8. Seleccionar un enfoque de mitigación
En el último paso, se deben determinar las opciones de tratamiento de
riesgos con base en los resultados del análisis, es decir, utilizando los valores de
impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar
de una organización a otra, pero en general, se busca mitigar aquellos riesgos que
resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.
En OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo,
un elemento que permite visualizar los riesgos a tratar con base en la probabilidad y
el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su
tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los
riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:
Tabla 8: Matriz de riesgo relativo
Probabilidad
Puntaje de riesgo
30 a 45
16 a 29
0 a 15
alta
Grupo 1
Grupo 2
Grupo 2
media
Grupo 2
Grupo2
Grupo 3
baja
Grupo 3
Grupo 3
Grupo 4
Los enfoques de tratamiento para este método son mitigar, postergar,
transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque
generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para
identificar aquellos que deban tratarse primero.
Con este método, es posible que a partir de criterios cualitativos, se pueda
obtener un resultado numérico, es decir un valor cuantitativo, que permite priorizar
los riesgos, con base en un puntaje y su probabilidad de ocurrencia.
OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los
activos de información y ofrece opciones para crear los escenarios de amenaza, que
permiten tener un mayor alcance para la identificación a la hora de hacer un análisis
de riesgos y prevenirlos, con base en la propensión de la organización y los criterios
que definan los tomadores de decisiones.
