unidad 2 concepto de análisis de riesgos - introducciónpd] documentos... · puesto que causan...

UNIDAD 2 Concepto de análisis de riesgos Introducción Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activos de las empresas. Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en un análisis de riesgos para evitar o minimizar las consecuencias no deseadas.

Sin embargo es importante enfatizar que antes de implementar la seguridad, es fundamental conocer con detalle el entorno que respalda los procesos de negocio de las organizaciones en cuanto a su composición y su criticidad para priorizar las

acciones de seguridad de los procesos clave de negocio más críticos y vinculados al logro de los objetivos de la organización.

Objetivos

Conocer los conceptos referentes a la actividad de

análisis de riesgos - también conocida como análisis de seguridad para tener el fundamento que soporta la administración de la seguridad de la información.

Identificar los procesos de negocios de la organización para distinguir los activos que los componen considerando toda la infraestructura tecnológica, organizacional y humana.

Describir las amenazas potenciales que pueden causar incidentes de seguridad.

Determinar las vulnerabilidades presentes en los activos definidos para que sean corregidas debidamente.

Contenido de la unidad:

Concepto de análisis de riesgos. Momento y ámbitos del análisis de riesgos. Actividades del análisis de riesgos. Relevancia de los procesos de negocio y sus activos. Definición del equipo involucrado y entrevistas a usuarios. Análisis técnico de seguridad. Análisis de seguridad física. Relevancia de los activos para el análisis de riesgos y resultados.

Capítulo 1. Análisis de riesgos 1.1 Introducción Son muchos los escenarios que pueden evaluarse en materia de seguridad de la información y el análisis de riesgos. A continuación presentamos un par de ejemplos, en los que incluso en ocasiones, es difícil distinguir la ficción de la realidad: a) Después de 60 segundos de intentos un hacker logra entrar al sistema de seguridad del Departamento de Defensa de los Estados Unidos. ¿Usted considera realidad o ficción este escenario? Tal vez haya pensado que es una situación que realmente sucedió, pero sólo estamos citando una escena de la película “Sword Fish”, por lo tanto en este caso, el que un intruso tenga acceso no permitido al sistema de información del Departamento de Defensa, es sólo una ficción. Sin embargo, los escenarios a los que nos enfrentamos diariamente son cada vez más parecidos a este tipo de ficción. Es importante actuar en consecuencia y estar conscientes sobre las posibles fallas de seguridad de la empresa.

“Sword Fish”

Veamos otro caso… b) Veinticinco días después de detectar una vulnerabilidad en una aplicación de uso común en la red, un virus es creado para aprovechar esa debilidad. Catorce días después, es difundido a través del Internet y por lo tanto miles de computadoras de muchos usuarios alrededor del mundo que tienen esta aplicación vulnerable se infectan. ¿Será realidad o ficción si esto fuera posible? Claro que estamos ante un caso que aunque piense que no es posible, es una realidad, ya que sucedió y es la historia de la creación del virus tipo gusano conocido como Blaster. Hoy en día, las vulnerabilidades son explotadas a una velocidad mucho mayor por aquellas personas cuya intención es dañar los activos de las empresas. Dicha velocidad implica que debemos estar más alertas que nunca, no sólo actuando en consecuencia, sino también previniendo posibles riesgos y problemas de seguridad.

Gusano “Blaster”

1.2 Objetivos

Objetivos

Describir el concepto de análisis de riesgos, para

determinar las implicaciones que representa para la seguridad de la empresa.

Identificar los posibles impactos de las amenazas en nuestros sistemas de información para actuar en consecuencia y reducirlos o eliminarlos.

Comprender que la seguridad de información no es un lujo, sino una necesidad para la supervivencia de la empresa.

1.3 Qué es el análisis de riesgos

Idea clave

Análisis de riesgos Es un paso importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.

Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad. Por lo tanto, la relación entre amenaza-incidente-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.

Esquema de la relación: amenaza-incidente-impacto

Amenazas

Incidentes

Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se convierten en:

Impactos

que originan

Son los hechos que deben ser evitados en una organización, puesto que causan impacto a los negocios. En virtud de la acción de un agente o condición natural, que son las amenazas en sí mismas, los incidentes generan una serie de problemas que pueden afectar los principios de la seguridad de la información.

Los impactos pueden ser desastrosos, según su amplitud y gravedad. Sin importar el tipo de incidente, lo importante es evaluar el impacto que puede causar en los diferentes activos de la empresa.

Enseguida revisaremos ejemplos específicos de la relación entre los conceptos de amenaza, incidente e impacto.

Ejemplos de la relación amenaza-incidente-impacto

Empecemos con el caso de la pérdida de un documento confidencial, que trae el listado de los principales deudores de una empresa. El incidente de la pérdida de esta información en sí es pequeño, pero el impacto que puede causar es inmenso, cuando se divulguen los nombres de las personas deudoras.

En el caso de la acción de una amenaza de un fenómeno meteorológico como un huracán, el incidente puede ser muy grande, pero si la empresa cuenta con la protección adecuada en su infraestructura, el impacto puede ser pequeño.

Como podrá darse cuenta, con lo que se hemos comentado, sólo se hace referencia a lo que usted ya sabe, la tecnología es clave para su negocio, y con el incremento en frecuencia de los ataques a los mismos, su seguridad se convierte en algo vital para la supervivencia de la empresa.

Una vez revisado lo anterior, podemos proponer una definición de análisis de riesgos.

Definición de análisis de riesgos

…una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.

…una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.

Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.

Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.

Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas. El análisis de riesgos es …

…además una actividad que tiene por resultado:

Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio. Así, esta visión orienta la implementación de las medidas de seguridad sólo en las situaciones en que la relación costo-beneficio se justifique. Sin embargo, es fundamental que en la organización esté clara la relación costo-beneficio, es decir, que todos aquellos involucrados en la implementación de la seguridad (el equipo de ejecución del proyecto, la alta administración y todos sus usuarios) deben estar conscientes de los beneficios que las medidas de seguridad traerán para los individuos y para la organización como un todo. 1.4 Lecciones aprendidas

Lecciones aprendidas

Comprendemos ahora que los riesgos siempre han existido, y nuestra tarea, es reducirlos al máximo.

Reconocemos al análisis de riesgos como una actividad que se centra en descubrir las posibles vulnerabilidades en nuestros sistemas.

Estimamos que, con la importancia hoy en día de la tecnología en los procesos esenciales de negocio de las empresas, el análisis de riesgos se convierte en una actividad de alta prioridad.

Capítulo 2. Momento y ámbitos del análisis de riesgos 2.1 Introducción

En una entrevista reciente Gabriel Gordon, Gerente de Iniciativas de Seguridad Informática de Microsoft Cono Sur señaló “la gente tiene que tener incorporada dentro de su cultura el tema de la seguridad” pues mientras la tecnología intenta frenar el creciente ataque de virus y hackers, las empresas pueden implementar sencillos mecanismos para mejorar su seguridad informática. La nota siguiente permite darnos una idea de la importancia para la empresa de conocer los posibles riesgos a los que están expuestos sus activos, y por tanto, el negocio en sí mismo. En este capítulo se conoceremos el momento adecuado para la realización del análisis de riesgos, así como los diferentes ámbitos y enfoques del mismo. No sólo virus y hackers son una amenaza para las empresas. La tecnología puede ser un apoyo, pero para aplicarla de manera eficiente es necesario tomar conciencia y evaluar los potenciales riesgos que permitan tomar las acciones correctas. Éstas pueden involucrar mejoras tecnológicas, establecimiento de procesos al interior de la empresa, o simplemente capacitación del personal. Gabriel Gordon, gerente de iniciativas de seguridad informática de Microsoft Cono Sur, conversó con Mundo en Línea acerca de la necesidad de que las empresas tomen conciencia del problema y cómo la compañía está enfrentando el tema, aquí algunas de las preguntas de esta entrevista del tema de la seguridad de la información desde la perspectiva de Microsoft.

Noticias del

mundo

¿De qué manera se plantea Microsoft el tema de la seguridad informática? Para nosotros la seguridad no es solamente tecnología, sino que vemos la seguridad informática como compuesta por tres pilares: por una parte la tecnología; por otra, todo lo que son los procesos de administración y operación; y por último, el entrenamiento de la gente, para que conozca los procesos, sepa como implementarlos, conozca la tecnología y la configure, la administre y la opere de manera eficiente. Con estos tres pilares creemos que se logra una infraestructura mucho más segura que si solamente cuento con tecnología buena. ¿Cuáles son los pasos que deben dar las compañías para implementar la seguridad informática? Lo primero es identificar el riesgo. Conociendo el riesgo al que se exponen les resulta más fácil aplicar soluciones de seguridad. Si no se conoce, difícilmente se sabrá qué mecanismos se deben aplicar. Entonces, lo primero que recomendamos es hacer un análisis de riesgos y ordenarlos según su prioridad. Dependerá de la prioridad y de los recursos que requieran el que los riesgos sean mitigados, eliminados o asumidos, en caso que el impacto no sea mayor. Siempre hay una franja en la cual tengo un riesgo que es inaceptable, un riesgo aceptable, y trato de llegar a una franja en el medio, que es la “administración de riesgo”. ¿Cuáles son esos riesgos que afectan a las empresas y ante los cuales deberían mantenerse alertas? Hay todo tipo de riesgos desde el punto de vista tecnológico y otros que no son tecnológicos. Un riesgo tecnológico, por ejemplo, es no tener bien configurado un servidor para tener password seguras. En muchos casos el servidor acepta una contraseña que sea simplemente 123. Si yo configuro el servidor de manera tal que me exija una contraseña que incluya números, letras y símbolos, estoy automáticamente mejorando la seguridad. El riesgo es que si no tengo password complejas cualquiera puede acceder a documentos, información confidencial o al correo electrónico. Los

riesgos no tecnológicos son, por ejemplo, la fuga de información. Esto puede ocurrir con el simple hecho de botar un papel en el cesto de la basura o al hablar por teléfono celular en el ascensor, divulgando información del negocio ante la presencia de otras personas. Eso es un riesgo que tiene que ver con procesos, no con tecnologías. La gente tiene que tener incorporado dentro de su cultura el tema de la seguridad, para poner una contraseña segura, para no hablar en el ascensor de cualquier tema, para no tirar el papel a la basura. Fuente: http://www.mundoenlinea.cl/noticia.php?noticia_id=754&categoria_id=4 Autora: Marcela Velásquez B.

Una vez que hemos revisado las opiniones de un ejecutivo de Microsoft respecto del análisis de riesgos, podemos iniciar a tratar la temática de este capítulo haciéndonos las siguientes preguntas.

Preguntas de

reflexión

¿Cuándo realizar el análisis de riesgos? ¿Qué factores se deben considerar? ¿Qué ámbitos analizar?

Como un primer paso para la realización del análisis de riesgos, es importante tomar en cuenta el momento adecuado para llevarla a cabo. Además se deben considerar algunos factores que pueden afectar la prioridad de este análisis en los diferentes ámbitos de la empresa, como:

Ámbito tecnológico Ámbito humano Ámbito de procesos Ámbito físico

2.2 Objetivos

Objetivos

Comprender el momento adecuado sobre la aplicación del análisis de riesgos de la seguridad de la información en la empresa.

Describir los diferentes ámbitos y enfoques en los que se puede realizar un análisis de riesgos con el fin de identificar las posibles vulnerabilidades de la empresa en todos los sentidos.

2.3 Momento de análisis de riesgos

El análisis de riesgos puede ocurrir antes o después de la definición de una política de seguridad. Según la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha después de la definición de la política. El propósito de tomar en cuenta una política de seguridad en el análisis se debe a varias razones:

La política de seguridad delimita el alcance del análisis.

Permite ser selectivo en la verificación de activos que la política establece como vulnerables.

El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.

Para tener más claro porqué decimos que la definición de una política de calidad marca el momento para iniciar un análisis de riesgos de la seguridad de la información recordemos qué es política de seguridad:

Política de seguridad

Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos.

Es una forma de suministrar un conjunto de normas internas para guiar la acción de las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.

Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos. Por esta razón serán abordados en esta unidad todos los elementos necesarios para la realización de un análisis de riesgos como etapa de rastreo de vulnerabilidades de todo el ambiente de un proceso de negocios. Algunos factores que pueden ser considerados y que tienen influyen en el momento de la realización de un análisis de riesgos son los siguientes:

Además de identificar el momento del análisis antes o después de la definición de una política de seguridad, existe otra serie de factores que determinan la oportunidad de ese análisis. Esta tabla ilustra la manera en que el tiempo tomado para la realización del análisis de riesgos debe ser afectado en razón de algunos de esos

factores. Como se observa en la imagen, entre mayor sea la exposición o el daño histórico a los bienes de la empresa, el margen de tiempo tomado para el análisis de riesgos debe ser menor y viceversa. Para tener más clara esta relación revisemos unos ejemplos concretos de cada uno de los factores:

Factor Acción

Valor alto o alta exposición de los bienes afectados

En una empresa de asesores en contabilidad, los activos comúnmente afectados son las bases de datos con las auditorias de sus clientes, y por tanto, son de alto valor para la compañía y sus negocios.

Históricamente los bienes atacados son afectados

En una empresa se tienen estadísticas de que los servidores que han sido atacados por virus o hackers siempre resultan dañados en su información o configuración y esto ocasiona perjuicios en las operaciones de la compañía.

Factores atenuadores

Si por ejemplo, sabemos que los activos que comúnmente son atacados en la empresa no poseen un alto valor para los negocios de la misma

Bajo Riesgo

Los activos que comúnmente en la empresa se catalogan como de bajo riesgo son por citar alguno, las estaciones de trabajo que no manejan o almacenan información vital para los negocios.

2.4 Ámbitos del análisis de riesgos

Además de conocer el momento y duración adecuada para la realización de nuestro análisis de riesgos, es importante también estar concientes de los diferentes ámbitos en los que podemos aplicar dicho análisis. La presente sección tiene como propósito presentar a usted dichos ámbitos.

Ámbitos del análisis de riesgos

El análisis de riesgos puede ser realizado en distintos ámbitos. Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a:

Generación Tránsito Procesamiento Almacenamiento

Ámbito Descripción Aspectos por analizar

Tecnológico

El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento.

Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos.

Los usuarios que los utilizan.

La infraestructura que les ofrece respaldo.

Humano

El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización.

El nivel de acceso que las personas tienen en la red o en las aplicaciones.

Las restricciones y permisos que deben tener para realizar sus tareas con los activos.

El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.

Procesos

Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización. En este ámbito, el activo de enfoque principal es del tipo usuario e información.

Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.

Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.

Físico

El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información.

Identificar posibles fallas en la localización física de los activos tecnológicos.

Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos.

Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.

2.4 Lecciones aprendidas


Determinamos que nuestro análisis de riesgos debe considerar factores que pueden afectar su duración y tiempo de realización, lo cual permitirá que dimensionemos correctamente esta actividad.

Conocimos los ámbitos en los que podemos realizar nuestro análisis de riesgos, además de describir otra serie de factores que pueden ser tomados en cuenta durante su realización. Esto nos permitirá que dicho análisis sea implementado en las áreas que mayor impacto positivo tenga en la empresa

Capítulo 3. Actividades del análisis de riesgos 3.1 Introducción En la siguiente nota de Europa Press se alerta sobre vulnerabilidades en un navegador de páginas web, esto como un ejemplo de cómo a través de aplicaciones de uso tan común y aparentemente inofensivo puede estar expuesta a posibles ataques la información de la empresa, de ahí que, sea importante que en todo momento y con la finalidad de protegerlos estemos concientes de cuáles vulnerabilidades son las más comunes para los activos clave dentro de la organización.

Noticias del

mundo

Hispasec alerta sobre tres nuevas vulnerabilidades del navegador 'Internet Explorer' 11 Noviembre 2003 14:55 MADRID, 11 (EUROPA PRESS) Hispasec ha alertado sobre el descubrimiento de tres nuevas vulnerabilidades en el navegador de Microsoft 'Internet Explorer', que permitirían a documentos HTML especialmente construidos acceder a recursos en la zona local, informó hoy en un comunicado el laboratorio especializado en Seguridad y Tecnologías de la Información. La primera consiste en que el uso de una doble barra ':\\' en un localizador de recursos 'CODEBASE' puede ser utilizado para saltarse la comprobación de seguridad en 'Internet Explorer', lo que podría ser explotado para forzar al navegador a acceder a recursos locales. La segunda consiste en una revelación de perfil de usuario. Así, es posible acceder a archivos en el perfil de usuario sin conocer su nombre, sustituyéndolo con un nombre de archivo concreto o con otro 'javascript'. No obstante, este fallo sólo puede ser explotado si el navegador está operando en la zona local. Finalmente, la última vulnerabilidad se basa en que es posible forzar a 'Internet Explorer' a que procese un archivo local creando un IFRAME, que tiene como SRC un recurso remoto que redirige a un recurso local. Procesar el archivo local requerirá que el IFRAME se actualice, lo que puede hacerse automáticamente utilizando un 'script'. Hispasec añadió que las vulnerabilidades se han confirmado en las versiones de 'Internet Explorer' '5', '5.5' y '6' con "todos los parches actualmente disponibles". Para paliar el problema, recomendó desactivar 'Secuencias de comando ActiveX' en todos los lugares

excepto los de confianza. Fuente: http://internet.hispavista.es/internet/20031111145536/Hispasec-alerta-sobre-tres-nuevas-vulnerabilidades-del-navegador--Internet-Explorer-/

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo.

Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de información. En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.

En este capítulo revisaremos un caso hipotético de identificación de los ámbitos de realización del análisis de riesgos, antes reafirmemos el concepto de análisis de riesgos que tratamos en el capítulo anterior:

Concepto clave

Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar , saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

3.2 Objetivos

Objetivos

Interpretar la aplicación de los conceptos de análisis de

riesgos para el caso de una empresa hipotética con la finalidad de aterrizarlos en un contexto real.

Reconocer los diferentes ámbitos de aplicación del análisis de riesgos, lo que permitirá obtener características específicas de cada uno de ellos.

3.3 Ejemplo de análisis de riesgos En seguida se muestra una tabla que la empresa Internet Banking utiliza para aplicar el análisis de riesgos en los diferentes ámbitos de su negocio y saber qué factores pudiera toma en cuenta para cada uno ellos.

Definición del ámbito de análisis de riesgos

La primera tarea en el análisis de riesgos es identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información. Identificamos a esta etapa como la definición del ámbito del proyecto de análisis de riesgos.

Esto permite la realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio y sus activos para alcanzar los objetivos de la organización.

Surge principalmente por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.

Al definir el ámbito, es importante considerar los procesos de negocio pueden ser una actuación de la organización frente al mercado, una funcionalidad interna o externa, una actividad ejercida, un producto elaborado, considerando a toda la organización necesaria para ser viables. En esta organización, se analizan bajo los cuatro ámbitos del análisis de riesgos los siguientes componentes:

Humanos. Las personas que hacen uso del Internet Banking; quienes dan soporte a los usuarios o administran los activos en la organización, las responsables de la planeación y coordinación del trabajo, los equipos que actúan en la definición de las políticas y procedimientos para la realización del proceso de negocio.

Tecnológicos. Los servidores de ficheros, en los que se encuentran la información sobre el producto, un servidor de banco de datos que almacena la información de las cuentas de los clientes del Internet Banking; un ruteador, un servidor de correo electrónico (para envío de estado de cuenta por correo electrónico); un servidor Web, que permite que se hagan consultas al producto por Internet (en sus distintas plataformas: Windows®, Unix ®, Solaris®, etc.), además de los elementos de una red de comunicación para el envío y recepción de la información (como firewall, ruteador, parámetro, conexión, puente, etc.)

De procesos. La estructura organizacional humana que ha sido establecida para la realización del proceso de negocio. Podemos considerar, en Internet, la definición de los equipos para la manutención y garantía de la continuidad de los activos de tecnología del proceso; las personas y el flujo de actividades relacionadas a la atención a los clientes; el flujo necesario de información para la realización de una transacción por el banco virtual, etc.

Físicos. El ambiente operativo que incluye las actividades del producto Internet Banking, como los locales de trabajo de los equipos involucrados, los locales de almacenamiento de la información crítica, las agencias o puestos de atención al cliente, las centrales de proceso de información como los centros de proceso de datos, las salas de servidores, las centrales de procesamientos por teléfono, la sala caja fuerte, etc.



Por medio del ejemplo, conocimos un poco más a detalle los

ámbitos en los que se aplica un análisis de riesgos, los que nos permitirá reconocer dichos ámbitos más fácilmente en nuestra empresa.

Comprendimos que para iniciar la labor del análisis de riesgos, es importante comenzar, como en el ejemplo, analizando los diferentes procesos clave para el negocio de la empresa.

Capítulo 4. Relevancia de los procesos de negocio y sus activos en el análisis de la seguridad

4.1 Introducción Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía. Enseguida se muestra un artículo que da a conocer el caso de un hospital que fue atacado por intruso que aunque sólo pretendía mostrar sus habilidades para acceder a información reservada pudo causar un daño enorme a la institución por el hecho de divulgar información confidencial de sus clientes. Aún en casos como éste se comprometen los principios de la seguridad de la información: integridad, confidencialidad y disponibilidad, y deben ser tomados como lecciones del tipo de amenazas que enfrentamos hoy en día.

Noticias del

mundo

17/12/2000

Intrusión en los sistemas de un hospital Datos de más de 5.000 pacientes fueron copiados desde los sistemas del Washington Medical Center, el mayor hospital universitario de Seattle. Un hecho que hubiera pasado desapercibido de no ser por el aviso del intruso a determinados foros de seguridad. ¿Se trata de un caso aislado? ¿Son adecuadas las medidas adoptadas por los centros sanitarios? ¿Está nuestra historia clínica al alcance de cualquiera? El intruso, apodado "Kane", aprovechó algunas vulnerabilidades en el servidor del departamento de patología del hospital para realizar su primera incursión. Una vez dentro de este servidor, instaló "sniffers" para escuchar el tráfico de la red y conseguir así los nombres de usuarios y contraseñas del personal del hospital. Gracias a estas credenciales pudo acceder a miles de ficheros en los departamentos de cardiología y rehabilitación. Según fuentes del propio hospital, se tuvieron sospechas de la intrusión a finales del verano pasado, pero se desconocía el alcance real del incidente. El anuncio de "Kane" a determinados foros de seguridad, entre ellos SecurityFocus, y el envío de algunos ficheros sensibles como muestra de lo ocurrido, terminó por alertar a los responsables del hospital que denunciaron el hecho al FBI. En estos momentos todo sigue su cauce previsible: el hospital resta importancia al hecho, argumentando que tan sólo estuvieron expuestos datos administrativos y estudios de investigación, no así la historia clínica de sus pacientes. Desde los foros de seguridad se habla de la ética hacker y de que la única intención de "Kane" era avisar de las vulnerabilidades descubiertas, y en ningún caso dañar el sistema o aprovecharse de la información obtenida. Por último, el FBI intenta encontrar el origen de la intrusión, que según los primeros indicios apuntan a Europa. ¿Se trata de un caso aislado? No, este mismo caso es un ejemplo claro de que la mayoría de las incursiones con éxito pasan desapercibidas para las víctimas, a no ser que el atacante sea tosco en sus acciones y/o haga alardes posteriores. Por cada intrusión de la que se hacen eco los medios de comunicación existen cientos que pasan desapercibidas para las víctimas, y este mismo número se multiplica aun más para contar los casos que no trascienden a la opinión pública por los propios intereses de los afectados. ¿Son adecuadas las medidas adoptadas por los centros sanitarios? No, en general. Miremos a nuestro entorno más cercano, hospitales y centros de atención primaria en España, podremos ver que la seguridad brilla por su ausencia en

muchos casos. Servidores Web con vulnerabilidades, servidores departamentales independiente conectados a las redes locales y con acceso desde Internet, almacenamiento de los datos sensibles en bases de datos estándar con sistemas de protección propietarios, y débiles, que sólo contemplan la seguridad a nivel de acceso o en las aplicaciones. No se aplica la criptografía "seria" en el almacenamiento ni en las comunicaciones de los datos sensibles, escasa formación al usuario en materia de seguridad, intrusismo profesional en el personal responsable de los departamentos de informática (médicos frente a informáticos), escasez de recursos, y descentralización en las políticas de seguridad. ¿Está nuestra historia clínica al alcance de cualquiera? Si nos basamos en el párrafo anterior, la respuesta no puede ser optimista. Tampoco sería justo, ni real, decir que las historias clínicas están accesibles desde Internet por "cualquiera". Podemos dejar la respuesta en tablas: el nivel de seguridad ofrecido por las instituciones y centros sanitarios es bastante heterogéneo, y en casos concretos es factible que un atacante llegue a obtener información sensible de los pacientes a través de Internet. Esto no debe suponer una alarma generalizada, sino un toque de atención que sirva para replantearse la puesta en práctica real de los medios que velen por la seguridad de nuestros datos más sensibles, al fin y al cabo un derecho público amparado por ley. Fuente: http://www.hispasec.com/unaaldia/784

4.2 Objetivos

Objetivos

Comprender la relevancia que tienen los procesos de la empresa para identificar aquellos sobre los que centraremos la atención en materia de seguridad de la información.

Distinguir aquellos activos de mayor valor de negocio para la empresa, con el fin de dirigir las acciones de seguridad a la protección de los mismos.

4.3 Identificación de la relevancia en los procesos para dirigir las acciones de seguridad de la información Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.

Concepto clave

La relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

La identificación de la relevancia de los procesos de negocio en la organización, es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir también los costos y optimizar los recursos donde realmente sean necesarios.

Para entender mejor lo anterior revisemos los siguientes ejemplos:

Ejemplos

En una empresa de Internet Banking, las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio.

Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa.

O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.

Dirigir las acciones de seguridad a

las áreas donde se reduzcan

costos y se

Dirigir las acciones de seguridad a

las áreas donde es más

urgente atender

Dirigir las acciones de

seguridad a lasáreas más críticas y

prioritarias.

Identificación

de la relevancia de la seguridad

en los procesos de

Ejemplos

El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.

STRIDE son las siglas de los diferentes tipos de ataques posibles para el ejemplo presentado (después en cada punto se colocan las letras iniciales de cada uno de ellos donde corresponde). En el ejemplo mostrado en este diagrama, ilustramos el sistema de nómina de una empresa ficticia. En el cual podemos notar las diferentes vulnerabilidades identificadas en cada una de las actividades de dicho proceso.

La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.

La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.

La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.

El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.

La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se le ha otorgado acceso.

Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.

La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no

tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

Finalizaremos esta sección dejando sobre la mesa estas preguntas:

Preguntas de

reflexión

¿Sabe usted que procesos son de mayor relevancia para los negocios

de la empresa? ¿Esta conciente de qué actividades dentro de la empresa son las más

afectadas actualmente por ataques internos y externos?

4.4. Identificación de la relevancia de los activos para dirigir las acciones de seguridad de la información Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.

Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad. En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

Concepto clave

La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.

Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.

Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.

Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.

Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.

Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Es importante reflexionar un poco respecto de cómo en su entorno profesional ha identificado la relevancia que tienen los activos al momento de definir las acciones de seguridad en su empresa, con este fin le proponemos estas preguntas:



Comprendimos la importancia de aumentar la seguridad a

aquellos procesos que tienen un mayor impacto para nuestra empresa, así sabremos priorizar en que ámbitos tomar acciones que sean en mayor beneficio para el negocio.

Reconocimos la importancia de proteger los principales activos del negocio, esto con el fin de dar mayor importancia a aquello que es vital para el crecimiento y la supervivencia de la empresa.

Preguntas de

reflexión

¿Qué activos podrían verse más afectados ante un ataque dirigido a su

empresa? ¿Tiene identificados aquellos activos que, en caso de falla o ataque,

pudieran representar grandes pérdidas de dinero para su empresa?

Capítulo 5. Definición del equipo involucrado y entrevistas a los usuarios. 5.1 Introducción Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias. En la siguiente nota, vemos como un punto clave en la seguridad de la información, que frecuentemente es poco tomado en cuenta, es el factor humano. Esto será importante notar, no solamente para atender las necesidades de seguridad esa materia como lo hace notar el artículo, sino también, para considerar los equipos de trabajo necesarios para la realización del equipo involucrado en el análisis de riesgos y entrevistas a los usuarios. Protegiendo al Factor Humano Por Jorge Olivares, gerente de Educación de NEOSECURE Es indiscutible que la preocupación por los aspectos tecnológicos asociados a la seguridad de la información ha aumentado considerablemente en el mundo de los negocios. No obstante, son muy pocos los que han avanzado en la protección de uno de los eslabones más débiles en la cadena de seguridad, el factor humano. Esto ha permitido que, utilizando técnicas de Ingeniería Social, una de las más antiguas técnicas de hackeo, se burlen los controles tecnológicos establecidos, simplemente engañando a las personas que poseen la información requerida o que conocen la forma de llegar a ella. Y es que la Ingeniería Social consiste, precisamente, en las diversas tácticas con las que se busca obtener información de otras personas sin que éstas perciban que están revelando información sensible o efectuando acciones no autorizadas. De hecho, se asocia mucho a lo que es el espionaje industrial o corporativo. Un ejemplo clásico es el de un individuo que se hace pasar por un alto ejecutivo. Bien vestido, con finos modales y firmeza al hablar, ¿quién podría negarse a concederle un favor o, más aún, una orden?. Así, fácilmente obtiene la información o la acción que necesita para entrar al sistema, el cual es en realidad su objetivo final. La persona que entregó la información queda feliz por haber ayudado o en paz por haber cumplido a un superior y no queda ni la más mínima sospecha del engaño. Presa fácil de estas técnicas son las personas que, sin considerar los controles de seguridad, son muy confiadas, buscan siempre ayudar o ser útiles, sin evaluar a quien o se intimidan fácilmente, por el miedo a perder algo, o no caer en problemas. Asimismo se presentan como vulnerabilidades la ignorancia, el exceso de curiosidad, el manejo descuidado de información o el tratar de devolver falsos

favores. Típicamente la Ingeniería Social busca que estas personas efectúen tareas no autorizadas como parte de sus tareas habituales de trabajo y de una manera natural, para que no se den cuenta que están apoyando una acción indebida. Por eso, el primer objetivo del atacante es obtener la confianza de su víctima, la cual se puede ganar armando una relación basada en inocentes conversaciones. Una vez lograda, procede a inquirir la información sensible que realmente busca. No hay que ser tan confiado No es necesario llegar a la paranoia, pero sí es importante tener presente que estos hechos cada día son más habituales y es vital estar atentos. Una buena forma de comprobar si se están realizando ataques es recoger estadísticas de incumplimiento de procedimientos. Por ejemplo, analizar el número de personas que han llamado a la Mesa de Ayuda y que no se les ha entregado la información porque no proporcionaban todos los datos de identificación solicitados. Poder reconocer ciertas señas típicas de una acción de esta naturaleza, como son rehusarse a entregar información de contacto, tener mucho apuro, referenciar a una persona importante, intimidación o requerimiento de información olvidada, por enumerar las más comunes, es claramente otra manera de estar alertas. De cualquier forma, en la actualidad, es vital educar, capacitar, sensibilizar y establecer políticas y procedimientos relativos a este tema. Una forma de defensa contra estos ataques es conocer los conceptos básicos que pueden ser utilizados contra una persona o la compañía a la que pertenece y que abren brechas para conseguir datos. Con este conocimiento se debe adoptar una actitud proactiva que alerte y concientizar a los empleados que avisen de cualquier pregunta o actitud sospechosa. Eso sí, las políticas de seguridad deben ser realistas con reglas concisas y concretas que se puedan cumplir. NOTA EN: http://www.mundoenlinea.cl/noticia.php?noticia_id=762&categoria_id=31 5.2 Objetivos

Objetivos

Conocer las tareas relativas a la definición del equipo de

trabajo que realiza, entre otras cosas, las entrevistas a los usuarios.

Conocer, por medio de entrevistas, los diferentes procesos de la empresa y los detalles de los mismos, lo que permite identificar con facilidad las posibles vulnerabilidades de dichos procesos.

5.3 Definición del equipo involucrado

Concepto

clave

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.

En la gráfica siguiente aparecen otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

A continuación citamos un ejemplo de por qué es necesario que las personas que integren en equipo de analistas sean sólo personas de confianza:

Ejemplos

El personal que seleccione para realizar las entrevistas a los usuarios, debe ser de su entera confianza, ya que en muchos de los casos manejaran información crítica de la empresa. Por ejemplo, las vulnerabilidades que tiene el sistema de nóminas de su compañía.

A manera de cierre de esta sección, le dejamos estas preguntas para su reflexión:

Preguntas de

reflexión

¿Cuenta usted con personal capacitado para la realización de un análisis de riesgos? ¿Dicho personal, si existe, tiene su entera confianza para manejar toda la información sensible que se obtendrá en dicho análisis?

5.4. Entrevista a los usuarios

En la definición de los equipos de trabajo que

intervienen en el análisis de riesgos es importante

considerar…

…que tienen que ser definidoscon anticipación con laposibilidad que durante el análisisde incluir nuevos elementos envirtud de nuevos descubrimientostecnológicos o de proceso quesucedan durante el análisis.

… que es importante considerar la confidencialidad del análisis de riesgos porque es un proceso de identificación de los puntos débiles de la organización, por tanto sólo personas de confianza forman parte de estos equipos.

… que los resultados queobtenga de su labor en el análisisdeben ser resguardados seraccedidos y utilizados sólo porlas personas previamenteidentificadas y autorizadas

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.

La entrevista a usuarios de los procesos de negocio permite:

Obtener detalles sobre cómo son gestionados, implementados y utilizados. Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias

organizacionales a que está sometido, Definir el nivel de capacitación necesaria del equipo involucrado en su

sustentación Conocer la forma con que se da el flujo de información dentro del proceso, Conocer la forma de uso y tratamiento de sus productos derivados,

entre otras cosas. Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso. Enseguida un ejemplo de cuán importante es este aspecto de lo crítico que es determinada información:

Ejemplo

Al entrevistar a empleados del área de contabilidad de la empresa, usted se da cuenta que los usuarios que manejan esa información comparten sus cuentas de acceso con personal de otras áreas de la empresa. Lo que significa un grave problema de seguridad.

Cerramos esta sección proponiéndole las siguientes preguntas para reflexionar desde su experiencia y conocimiento previo:

Concepto

clave

Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Preguntas de

reflexión

¿Está consciente de la necesidad de entrevistar a los empleados en todos los procesos importantes de la empresa? ¿Conoce la manera en la que dichas entrevistas tienen que ser llevadas a cabo, cómo debe analizar la información obtenida?



Comprendimos la importancia de la buena selección del equipo involucrado en el análisis de riesgos de la empresa, al distinguir no sólo la capacidad del mismo, sino también el nivel de seguridad de la información que se manejará.

Determinamos que las entrevistas a los usuarios nos permiten recibir una retroalimentación valiosa que ayuda a cumplir de forma satisfactoria nuestros objetivos como la seguridad de la empresa.

Capítulo 6. Análisis técnico de seguridad 6.1 Introducción El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa. En un estudio publicado por Hispasec se muestran estadísticas importantes respecto de la temática de la seguridad de la información y cómo las empresas encuestadas están actuando para protegerse.

Noticias del

mundo

02/06/2003 Estudio sobre la seguridad informática en la empresa española 2003 Según un informe llevado a cabo por la Asociación Española de Empresas de Tecnologías de la Información (Sedisi), seis de cada diez compañías españolas sufrieron ataques contra sus sistemas informáticos durante el pasado año. El estudio realizado por el grupo de análisis tecnológico Penteo, arroja unas cifras muy inquietantes, pero que esperamos contribuyan a una mayor concienciación de la importancia de la planificación de sistemas de actuación para acometer esta carencia dentro de las empresas españolas. Uno de los talones de Aquiles dentro de la inseguridad de las empresas españolas son los planes de continuidad, tan sólo una de cada diez empresas españolas lo posee. Aunque parece ser que se ve un poco de luz en la oscuridad, ya que según afirman las empresas encuestadas el 42% de ellas

tienen previsto el acometerlo en breve plazo. Otro de los problemas, es la carencia de formación de los empleados, aunque el 26% de las firmas encuestadas le dan prioridad dentro de los objetivos a largo plazo. Por otra parte, el 100% de las compañías afirma poseer antivirus y el 91% cortafuegos, afirmando el 85% de estas corporaciones que realizan copias de seguridad a diario y el cuatro por ciento semanalmente. Desde Hispasec Sistemas y desde nuestra experiencia como compañía pionera en seguridad informática en España, intentamos de concienciar a nuestros clientes y lectores de la importancia que tiene la seguridad informática para las empresas y particulares. Una empresa atacada no sólo puede tener perdidas económicas directas, también existen las indirectas no por ello menos importantes (mala imagen empresarial, perdida de clientes, etc.), sin olvidar las importantes sanciones económicas con las que pueden verse afectadas estas firmas debido a una mala protección de los datos de los clientes. Por ello, desde Hispasec ofrecemos todo tipo de servicios orientados a mejorar y garantizar la seguridad de las empresas, siempre con el punto de vista de colaborar con los técnicos y administradores, ayudándoles a llevar a cabo su trabajo. Entre los servicios ofrecidos destaca la realización de auditorias, consultoría, el servicio de notificación y alertas (SANA) y formación. Fuente: http://www.hispasec.com/unaaldia/1681

6.2 Objetivos

Objetivos

Conocer los principios del análisis técnico de seguridad

aplicado a diferentes activos de la empresa para valorar los riesgos existentes en cada uno ellos para así acercarse más a la reducción de los mismos.

Comprender la importancia de profundizar en este análisis, al identificar que el mejor resultado viene del conocimiento a fondo cada uno de los elementos involucrados en los procesos de la empresa.

6.3 Análisis técnico El análisis técnico de seguridad es una de las etapas más importantes del análisis de riesgos. A través de éste se hacen las colectas de información sobre la forma en que los activos:

fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.

En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales. Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

Análisis técnico de seguridad

Estaciones de trabajo Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas. Ejemplos de vulnerabilidades comunes en este tipo de activos:

ausencia de protector de pantallas bloqueado por clave, que permite que las máquinas dejadas solas no sean utilizadas por personas no autorizadas;

ausencia de configuraciones de seguridad que permitan la instalación o ejecución de ficheros maliciosos;

periodicidad de actualización de programas antivirus, forma de organización de los directorios, presencia o ausencia de documentos confidenciales,

forma de utilización de la estructura de servidores de ficheros, que garanticen de una manera más eficiente la copia de seguridad de los datos, es decir, su disponibilidad.

Servidores Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas. El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores. La interacción que estos servidores tienen con las

Concepto clave

El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.

estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

Equipos de conectividad El análisis de equipos de conectividad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio. Se debe identificar en este análisis la manera en que estos activos han sido configurados:

dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión

de cuadro), puentes y otros.

Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

Conexiones Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

Bases de datos Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las

demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

Aplicaciones Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

Para afinar un poco más los conceptos antes expuestos consideremos estos ejemplos:

Finalmente le proponemos, desde su perspectiva profesional, reflexionar sobre estas cuestiones:

Ejemplos

Identificar la falta de actualizaciones de seguridad en las estaciones de trabajo de los usuarios del área de contabilidad.

Revisar las políticas de respaldos en los servidores de bases de datos para conocer si son los adecuados para la información almacenada en ellos.

Preguntas

de reflexión

¿Sabe si sus equipos de comunicación cuentan con la configuración necesaria para que la información transmitida a través de ellos se encuentre completamente segura?

¿Todos sus servidores cuentan con respaldos de información adecuados a los procesos que manejan?

¿Sus sistemas antivirus son actualizados constantemente? ¿Esta tarea se encuentra automatizada o los usuarios la realizan manualmente?

¿Sus aplicaciones cuentan con las actualizaciones de seguridad más recientes?



Enfatizamos el proceso de análisis técnico de seguridad, al permitir identificar los diferentes aspectos que deben cubrirse para los activos dentro de la empresa.

Obtuvimos el conocimiento necesario para identificar con mayor facilidad los detalles que debemos reconocer, en materia de vulnerabilidades, en los activos tecnológicos de la empresa.

Capítulo 7. Análisis de seguridad física 7.1 Introducción El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno

organizativo en el cual se realizan los trabajos de análisis. La siguiente nota presenta un caso real, en el que la falta de un análisis correcto de la seguridad física, ocasiona que un pequeño accidente dentro de las instalaciones de una empresa, ponga en riesgo el negocio entero de la organización.

Noticias del

mundo

Un incendio en La Muñoza colapsa el sistema informático de Iberia C. R. G. Madrid La aerolínea española Iberia no descansa. A los continuos enfrentamientos con los pilotos se añadió ayer un incendio en la sala central de ordenadores de la compañía, que sembró el caos en los aeropuertos españoles. Los mil vuelos programados por Iberia en todo el mundo se vieron afectados. La zona industrial de Iberia, conocida como La Muñoza, fue ayer testigo de un incendio sin precedentes y aparentemente originado por una sobrecarga eléctrica. Las consecuencias fueron inmediatas y, en muchos casos, caóticas. El incidente provocó el colapso de todas las operaciones de facturación y

embarque en los aeropuertos donde opera la compañía aérea. Estas labores tuvieron que realizarse de forma manual y provocaron numerosos retrasos y 43 cancelaciones que afectaron a ocho aeropuertos. Por añadidura, el sistema de reservas Savia-Amadeus se vio colapsado y no pudo realizar ninguna reserva. La gran mayoría de las agencias de viajes y de los touroperadores que operan en España y en Portugal utilizan el sistema de Savia. Iberia alberga en La Muñoza sus servicios de mantenimiento y centraliza las redes informáticas de la aerolínea en todo el mundo, por lo que casi mil vuelos programados ayer se vieron afectados. El incendio en el ordenador central del grupo colapsó también su sistema informático alternativo. Aeropuertos Españoles y Navegación Aérea (Aena) se vio obligada a poner en marcha un comité de crisis, para hacer un seguimiento “pormenorizado” de la situación y reforzar los sistemas de información de los aeropuertos. En los aeropuertos se formaron largas colas de resignados pasajeros que esperaban a embarcar. Las mayores complicaciones se presentaron en el aeropuerto de Madrid, donde Iberia tenía programados quinientos vuelos y tuvo que cancelar 17; y en el Prat, en Barcelona, con 13 cancelaciones, informa Europa Press. A Coruña y Fuerteventura fueron los únicos aeropuertos que no registraron ningún retraso mayor de 30 minutos, mientras que en Lanzarote y Tenerife Sur el tráfico aéreo no superó el uno por ciento. Todos los clientes del grupo aéreo fueron informados de la situación a través de megafonía y notas informativas. El incendio se extinguió a mediodía, casi cuatro horas después de su inicio. Al cierre de esta edición, sin embargo, la empresa aún desconocía cuándo se solucionará la avería. Este es el segundo fallo que se produce en la red informática de la compañía aérea en una semana. El pasado jueves, el sistema de facturación de Iberia en Barajas sufrió una interrupción que obligó a la aerolínea a suspender cuatro vuelos. Fuente: http://www.expansion.com/edicion/noticia/0,2458,205271,00.html

7.2 Objetivos

Objetivos

Comprender la importancia del análisis de seguridad

física en la empresa. Esto permite sensibilizarnos y comprender el porqué es necesario llevarlo a cabo para mejorar la seguridad completa de la empresa.

Enumerar los diferentes riesgos en el ámbito de seguridad física, como desastres naturales y accesos no autorizados, entre otros. Así permitimos valorar la importancia de mantener nuestras instalaciones en el mejor de los estados.

7.3 Análisis de seguridad física

Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.

Concepto

clave

Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura.

Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física

El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad. Estos ambientes deben ser observados con relación a lo siguiente:

Disposición organizativa Se considera la disposición organizativa en especial sobre:

la organización del espacio con relación a cómo están acomodados los muebles y los activos de información.

que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia.

que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.

Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados:

los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.

Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de:

cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento

individual, entre otros.

Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas.

Se preocupa que se encuentren ubicadas próximas a activos críticos,

Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.

Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Con el propósito de ilustrar aún más la clasificación anterior le proponemos estos ejemplos:

Ejemplos

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias.

Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Algunas preguntas que podemos hacernos y sobre las cuales debemos reflexionar respecto de la seguridad física de nuestros activos relacionados con la información son:

Preguntas de

reflexión

¿Las consolas de equipos críticos están libres del acceso o de la posibilidad de acceso físico no identificado? ¿Los activos críticos se ubican lejos de las puertas de acceso a áreas de circulación de personas no autorizadas? ¿Se cuenta con un sistema contra incendios en los espacios de trabajo de la empresa?



Revisamos los diferentes aspectos a considerar para nuestro análisis de seguridad física, esto nos permite conocer todos los detalles necesarios para un buen análisis final de seguridad.

Comprendimos que nuestros activos son vulnerables ante situaciones que tienen que ver con fenómenos naturales y no sólo con situaciones en las que intervienen personas. Esto sensibiliza nuestro análisis para lograr mejores resultados al final.

Capítulo 8. Relevancia de los activos para el análisis de riesgos y resultados 8.1 Introducción Para que un análisis de riesgos pueda ser llevado a cabo, es importante que los procesos de negocio de la organización, que es el objetivo de la protección, sean considerados con relación a su importancia para la realización de los negocios. Es decir, es necesario que los involucrados en el proceso del análisis de riesgos conozcan a fondo cuáles son los procesos críticos para la empresa y qué activos de la misma forman parte de ellos. “Para ello, es necesario clasificar los activos en base a su relevancia e impacto en los procesos clave de la organización. Esto nos permitirá, dado que los recursos son finitos, identificar los activos que tendrán prioridad dentro de las acciones de seguridad llevadas a cabo en la empresa. De esta manera, los recursos estarán dirigidos a disminuir los riesgos existentes en aquellos activos considerados claves para los negocios de la compañía. El tomar dicho rumbo en nuestras acciones, permitirá entre otras cosas, asegurar que el análisis realizado , podrá proporcionarnos la información necesaria para implementar las mejores acciones de seguridad posibles dentro de la compañía. “ 8.2 Objetivos

Objetivos

Determinar la importancia de cada uno de los activos de

la empresa, para tomar decisiones referentes a la calendarización o asignación de recursos para aplicar las tareas de seguridad.

Comprender la importancia de utilizar de forma adecuada los resultados del análisis de seguridad, al permitir con esto, aprovechar al máximo el trabajo realizado en esta materia.

8.3 Relevancia de los activos para el análisis de riesgos En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.

Revisemos los siguientes ejemplos donde se dimensiona la relevancia de los activos para el análisis de riesgos:

Concepto clave

Cuanto mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso. La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Ejemplos

Para una compañía dedicada al Internet Banking, un activo importante puede ser los servidores dedicados a brindar el servicio de la página principal de operaciones bancarias. Ya que estos son parte de uno de los procesos claves para el negocio de este tipo de empresa.

En una empresa dedicada a brindar servicios de Red, los equipos de ruteo o de enlace de comunicaciones juegan un papel vital en los negocios de la compañía, y por tanto, son de alta importancia a nivel crítico para la organización.

A manera de cierre de esta sección lo invitamos a hacerse las siguientes preguntas desde la experiencia de su empresa:

Preguntas de

reflexión

¿Sabe usted cuales son los procesos más relevantes para su empresa? ¿Conoce los activos que forman parte de dichos procesos? ¿La seguridad de dichos activos esta garantizada?

8.4 Los resultados del análisis de riesgos Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo. Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.

Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.

Concepto clave

El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.

Veamos a manera de ejemplo algunos de los resultados que obtuvieron estas compañías: Al realizar el análisis de riesgos, aumenta el nivel de seguridad de la organización, cuando existe una preocupación con este elemento para la continuidad de los negocios, pues ya hubo conocimiento por parte de los involucrados en el análisis de la real situación de inseguridad en que se encuentra la organización. Esto nos lleva a comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico. A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización. Una vez revisado lo anterior, enseguida le planteamos una pregunta que amerita un reflexión un poco más a fondo:

Después del análisis, viene la política de seguridad. Esta tarea, que será abordada en la próxima unidad, pretende orientar los estándares de seguridad que deben ser adoptados por toda la organización. Por lo general se basa en el resultado del análisis de riesgos. La política de seguridad constituye el establecimiento de las normas de

Ejemplos

El análisis de riesgos que realiza una compañía indica que es necesaria la instalación de Software Antivirus en todos los equipos de altos ejecutivos de la empresa, dada la importancia de la información manejada por ellos.

Después de obtener los resultados, una empresa se da cuenta que las acciones de seguridad que ha estado tomando no incluyen a los activos más relevantes para el negocio de la compañía, y por tanto tiene que reenfocar sus acciones.

Preguntas de

reflexión

Si realizara un análisis de riesgos el día de hoy en su empresa, ¿Cree usted que el resultado coincidiría con las acciones tomadas actualmente en su organización?

seguridad que orientan la práctica diaria de las personas que manipulan los activos, así como la manera con que los activos se comunican entre sí. 8.5 Lecciones aprendidas


Completamos el concepto de análisis de riesgos, al permitir con esto abordar la importancia de evaluar las prioridades en los procesos de la empresa y con ello tomar acciones que representen un mayor impacto positivo en los objetivos de la empresa.

Comprendimos la importancia de examinar adecuadamente los resultados del análisis de riesgos, para permitirnos así dirigir adecuadamente las acciones en materia de seguridad.

unidad 2 concepto de análisis de riesgos - introducciónpd] documentos... · puesto que causan...

Documents