sistemas de seguridad capitulo 2

Seguridad InformáticaCARRERA DE INGENIERIA EN INFORMATICA

No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tenidas en cuenta, incluso «no informáticas».

Capítulo 2: Seguridad de la Información

Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.

Amenazas

Las amenazas pueden ser causadas por:

Usuarios: Sus acciones causan problemas de seguridad, por permisos sobredimensionados.

Programas maliciosos:. Estos pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.

Un siniestro (robo, incendio, inundación): una mala manipulación.

Fallos electrónicos o lógicos de los sistemas informáticos en general.

Intrusos: Personas no autorizadas (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).

Errores de programación: Por su condición de poder ser usados como exploits por los crackers, aunque el mal desarrollo es, en sí mismo, una amenaza.

Personal técnico interno: Disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.

Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.



Tipos de Amenazas: Amenazas por el origen: Conectar una red a un entorno externo hace que

algún atacante pueda ingresar y hacer robo de información o alterar el funcionamiento de la red. Estas se dividen en:

Amenazas internas: Si es por usuarios o personal técnico. Amenazas externas: Rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.

Amenazas por el efecto: Robo de información. Destrucción de información. Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc. Robo de dinero, estafas.

Amenazas por el medio utilizado: Virus informático: malware , Phishing. Ingeniería social. Denegación de servicio. Spoofing.

RiesgoSe puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. Un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas. En tecnología, el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.).

También se define como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas o daños”.


En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.

bbb


Definiciones: Probabilidad: Establecer la

probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.

Amenazas: Son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa..

Vulnerabilidades: Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen, llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes las amenazas logran materializarse, estas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Las vulnerabilidades son de naturaleza variada: Ej: Falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado.


Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos

Impactos: Las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo.


Identificación de los activos. Identificación de los requisitos legales y

de negocios que son relevantes para la identificación de los activos.

Valoración de los activos identificados. Teniendo en cuenta los requisitos legales

identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.

Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.

Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.

Cálculo del riesgo. Evaluación de los riesgos frente a una

escala de riesgo preestablecidos.

Evaluación de los riesgos frente a una escala de riesgo preestablecidos.

Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:

Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.

Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.

Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.

Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

La evaluación del riesgo incluye las siguientes actividades y acciones:


Ejemplo Práctico


sistemas de seguridad capitulo 2

Documents