PNF INFORMTICA. T4T1SEGURIDAD INFORMTICAPROF: Johanna Gmez

Estimacin del grado de exposicin de una amenaza sobre uno o ms activos causando daos o perjuicios a la Organizacin.

El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente.

Las amenazas son eventos que pueden producir daos materiales o inmateriales en los activos. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un dao.

Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminacin, fallos elctricos, ...) ante los cuales el sistema de informacin es vctima.

Tambin hay amenazas causadas por las personas, bien errores o bien ataques intencionados.

Gracias a este anlisis de riesgos conoceremos el impacto econmico de un fallo de seguridad y la probabilidad realista de que este ocurra .

Por ejemplo, imaginemos que una organizacin tiene un servidor que contiene informacin definida como de bajo valor.

Servidor

El objetivo principal de este proceso es establecer el marco general de referencia para todo el anlisis. Esta etapa incluye la estimacin de:

Personal tcnico: Personas cuya funcin es recabar la informacin y establecer las medidas necesarias para cumplir con el anlisis. Usuarios: Son aquellas de quienes se recoger la informacin dentro de la organizacinRecursos econmicos necesarios para la ejecucin. Definir los objetivos del proceso de anlisis de riesgos. Tiempo estimado para realizar el anlisis y elaborar las polticas. Podra ser con un diagrama de Gantt

Estimacin del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.

El entregable de esta etapa ser un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo.

Anlisis y gestin de riesgosEtapa 1: PlanificacinFecha: Objetivos:

Personal:Tcnico:Usuarios: Programador(es):______Gerente:_____Entrevistador(es):______Secretaria:____Entre otros:_____Docentes: ____Recursos

Se denomina activos a los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.Conviene repetir que slo interesan los recursos de los sistemas de informacin que tienen un valor para la Organizacin. A ttulo de ejemplo, un servidor donde se encuentre almacenada toda informacin es un activo de mucho valor. Todo su valor es imputado: la indisponibilidad, la interrupcin del servicio es el valor de disponibilidad que se le imputar al servidor el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. el coste que suponga la prdida de confidencialidad de los datos es el valor de confidencialidad que se le imputar al servidor.

Quizs la mejor aproximacin para identificar los activos sea preguntar directamente: Qu activos son fundamentales para que la organizacin consiga sus objetivos?Hay ms activos que se tengan que proteger por obligacin ? Hay activos relacionados con los anteriores?No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idnticos a efectos de configuracin y datos que manejan, no es conveniente analizar 300 activos idnticos. Basta analizar un PC genrico que cuya problemtica representa la de todos. Agrupar simplifica el anlisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajera, de la intranet, del sistema de gestin documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.

El entregable de esta etapa es la descripcin de cada tipo de activo con su respectiva , funcin dentro de la organizacin entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato:

Anlisis de riesgos Etapa 2: Identificacin de activosActivo #: _____Tipo de activoFsico: ____Lgico:____Nombre: Descripcin:

Tipo de amenaza: Tipos de activos:Dimensiones: Descripcin:

Tipo de activo:Amenazas:Dimensiones: Descripcin:

Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la informacin.

Ellas son caractersticas o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materializacin de una amenaza. La valoracin que recibe un activo en una cierta dimensin es la medida del perjuicio para la organizacin si el activo se ve daado en dicha dimensin. Ellas son:

AutenticidadConfidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad

Llevndolas a la realidad, las dimensiones en un activo, las podemos definir as:

su autenticidad: qu perjuicio causara no saber exactamente quien hace o ha hecho cada cosa? Esta valoracin es tpica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar)

su confidencialidad: qu dao causara que lo conociera quien no debe? Esta valoracin es tpica de datos.

su integridad: qu perjuicio causara que estuviera daado o corrupto? Esta valoracin es tpica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos.

su disponibilidad: qu perjuicio causara no tenerlo o no poder utilizarlo? Esta valoracin es tpica de los servicios.

Ahora bien, en sistemas dedicados a la administracin electrnica o al comercio electrnico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, adems de la autenticidad, interesa calibrar la:

la trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal servicio? O sea, quin hace qu y cundo?

la trazabilidad del acceso a los datos: qu dao causara no saber quin accede a qu datos y qu hace con ellos?

A continuacin vemos un ejemplo sobre la determinacin de las amenazas:

Desastres naturales: Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa o indirecta.

Tipo de amenaza: FuegoTipos de activos:ComputadorasRedes de comunicacinSoportes de informacinEquipamiento auxiliar Instalaciones Dimensiones: Disponibilidad

Descripcin: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema.

Estimacin de los riesgos:

Amenaza: Fallas no intencionales causados por los usuariosTipos de activos:Datos/informacinAplicacionesDimensiones: DisponibilidadIntegridadRiesgo :Prdida de la informacin.Modificacin de los datos a ser procesados. Desconfiguracin de alguna aplicacin.Valor: 9Dao grave para la organizacin, ya que implica prdida de datos/informacin importantes para la organizacin.

Descripcin: Equivocaciones de las personas cuando usan los servicios, datos, etc.

Escala de valoracin de riesgos:

ValorCriterio10Muy altoDao muy grave a la organizacin7-9altoDao grave 4-6medioDao importante1-3bajoDao menor0despreciableirrelevante

El anlisis de los riesgos es un paso importante para implementar la seguridad de la informacin. Se realiza para detectar los riesgos a los cuales estn sometidos los activos en una organizacin, para saber cul es la probabilidad de que una amenaza se concrete. La relacin que existe entre la amenaza y el valor del riesgo, es la condicin principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la correccin de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un anlisis de riesgos.

A continuacin se les har entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.