Uniminuto _ Esp. Luis Alberto Gamboa Coral.

Objetivo: Determinar los riesgos informticos que se pueden presentar en una empresa. BASE CONCEPTUAL Y PRCTICA DE RIESGOS INFORMTICOS EN LA EMPRESA. ANLISIS DE RIESGO INFORMTICO El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo. Los riesgos de seguridad de informacin deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, produccin, operaciones, administracin, TI, finanzas, etc. y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos. En esta era digital, las organizaciones que utilizan sistemas tecnolgicos para automatizar sus procesos o informacin deben de estar conscientes que la administracin del riesgo informtico juega un rol crtico. La meta principal de la administracin del riesgo informtico debera ser proteger a la organizacin y su habilidad de manejar su misin no solamente la proteccin de los elementos informticos. Adems, el proceso no solo debe de ser tratado como una funcin tcnica generada por los expertos en tecnologa que operan y administran los sistemas, sino como una funcin esencial de administracin por parte de toda la organizacin. Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administracin de riesgos es el proceso de identificacin, evaluacin y toma de decisiones para reducir el riesgo a un nivel aceptable. El anlisis de riesgo informtico es un elemento que forma parte del programa de gestin de continuidad de negocio (Business Continuity Management)

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

En el anlisis de riesgo informtico es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad ser de riesgo no controlado. Dentro de la evaluacin del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) de forma cualitativa (matriz de riesgos) PROCESO DE ANLISIS DE RIESGOS INFORMTICOS. El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total as como tambin el tratamiento del riesgo, evaluacin del riesgo y gestin del riesgo entre otras. La frmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles podremos obtener el riesgo residual. La evaluacin del riesgo incluye las siguientes actividades y acciones: 1. Identificacin de los activos. 2. Identificacin de los requisitos legales y de negocios que son relevantes para la identificacin de los activos. 3. Valoracin de los activos identificados. Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una prdida de confidencialidad, integridad y disponibilidad. 4. Identificacin de las amenazas y vulnerabilidades importantes para los activos identificados. 5. Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir. 6. Clculo del riesgo. Evaluacin de los riesgos frente a una escala de riesgo preestablecidos. Despus de efectuar el anlisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser: 1. Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles. 2. Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

3. Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. 4. Aceptar el riesgo.- Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta. REGULACIONES Y NORMAS QUE TRATAN EL RIESGO Comunicacin A 4609 del BCRA para entidades Financieras. Requisitos mnimos de gestin, implementacin y control de los riesgos relacionados con tecnologa informtica y sistemas de informacin. ISO/IEC 27001. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) ISO/IEC 27005. Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la informacin. Basilea II. Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX). Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros. PCI DSS. Impulsada por las principales marcas de tarjetas de pago, este estndar busca garantizar la seguridad de los datos de titulares de tarjetas de pago en su procesado, almacenamiento y transmisin. METODOLOGAS DE ANLISIS DE RIESGOS Citicus One: software comercial de Citicus, implementa el mtodo FIRM del Foro de Seguridad de la Informacin; CRAMM: CCTA Risk Assessment and Management Methodology fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens; ISO TR 13335: fue el precursor de la ISO/IEC 27005; MAGERIT Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin est disponible tanto en espaol como en ingls. OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation Metodologa de Anlisis y Gestin de Riesgos desarrollada por el CERT; NIST SP 800-39 Gestin de Riesgos de los Sistemas de Informacin, una perspectiva organizacional; NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de Tecnologa de la Informacin, es gratuito.

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

MEHARI: Mtodo de Gestin y Anlisis de Riesgos desarrollado por CLUSIF (Club de la Scurit de l'Information Franais); AS/NZS: Norma de Gestin de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo. http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico LOS ATAQUES INFORMTICOS EXTERNOS E INTERNOS Las amenazas, de forma general podemos agruparlas en: Amenazas fsicas y amenazas lgicas. Estas amenazas, son materializadas bsicamente por: Las personas, programas especficos y/o catstrofes naturales, Otros criterios de agrupacin de las amenazas, como son: 1. Por origen de las amenazas Amenazas naturales: inundacin, incendio, tormenta, fallo elctrico, explosin, etc... Amenazas de agentes externos: virus informticos, ataques de una organizacin criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc. Amenazas de agentes internos: empleados descuidados con una formacin inadecuada o descontentos, errores en la utilizacin de las herramientas y recursos del sistema, etc. 2. Por Intencionalidad de las amenazas Accidentes: averas del hardware y fallos del software, incendio, inundacin, etc... Errores: errores de utilizacin, de explotacin, de ejecucin de procedimientos, etc... Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusin, etc... 3. Por la naturaleza de las amenazas La agrupacin de las amenazas atendiendo al factor de seguridad que comprometen es la siguiente: Interceptacin Modificacin Interrupcin Fabricacin La mayor parte de los ataques a los sistemas informticos son provocados, intencionadamente o no, por las personas. En general lo que se busca es conseguir un nivel de privilegio en el sistema que les permita realizar acciones sobre el sistema no autorizadas. Podemos clasificar las personas 'atacantes' en dos grupos: Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin, modificar o sustraerla para su provecho.

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

Pasivos: su objetivo es curiosear en el sistema. Repasamos ahora todos los tipos de personas que pueden constituir una amenaza para el sistema informtico sin entrar en detalles: Personal de la propia organizacin Ex-empleados Curiosos Crackers Terroristas - Intrusos remunerados Amenazas fsicas Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el hardware que se puede presentar en cualquier momento. Por ejemplo, daos en discos duros, en los procesadores, errores de funcionamiento de la memoria, etc. Todos ellos hacen que la informacin o no est accesible o no sea fiable. Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay zonas geogrficas del planeta en las que las probabilidades de sufrir terremotos, huracanes, inundaciones, etc, son mucho mas elevadas. En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de seguridad, no por ello hay que descuidarlo e intentar prever al mximo este tipo de situaciones. Hay otro tipo de catstrofes que se conocen como de riesgo poco probable. Dentro de este grupo tenemos los taques nucleares, impactos de meteoritos, etc. y que, aunque se sabe que estn ah, las probabilidades de que se desencadenen son muy bajas y en principio no se toman medidas contra ellos. Ya hemos explicado el concepto de amenaza fsica. Vamos a conocer ahora cules son las principales amenazas fsicas de un sistema informtico. Tipos de amenazas fsicas: Las amenazas fsicas las podemos agrupar en las producidas por: 1. Acceso fsico: Hay que tener en cuenta que cuando existe acceso fsico a un recurso ya no existe seguridad sobre l. Supone entonces un gran riesgo y probablemente con un impacto muy alto. 2. Radiaciones electromagnticas: Sabemos que cualquier aparato elctrico emite radiaciones y que dichas radiaciones se pueden capturar y reproducir, si se dispone del equipamiento adecuado. 3. Desastres naturales: Respecto a terremotos el riesgo no es reducido en nuestro entorno, ya que las costas de Colombia pertenecen a una zona ssmica muy activa. Pero son fenmenos naturales que si se produjeran tendran un gran impacto y no solo en trminos de sistemas informticos, sino en general para la sociedad. 4. Desastres del entorno: Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres naturales, pueden tener un impacto igual de importante si no se disponen de las medidas de salvaguarda listas y operativas. Amenazas lgicas El punto ms dbil de un sistema informtico son las personas relacionadas en mayor o menor medida con l. Puede ser inexperiencia o falta de preparacin, o sin llegar a ataques

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

intencionados propiamente, simplemente sucesos accidentales. Pero que, en cualquier caso, hay que prevenir. Entre algunos de los ataques potenciales que pueden ser causados por estas personas, encontramos: Ingeniera social: consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran. Shoulder Surfing: consiste en "espiar" fsicamente a los usuarios para obtener generalmente claves de acceso al sistema. Masquerading: consiste en suplantar la identidad de cierto usuario autorizado de un sistema informtico o su entorno. Basureo: consiste en obtener informacin dejada en o alrededor de un sistema informtico tras la ejecucin de un trabajo. Actos delictivos: son actos tipificados claramente como delitos por las leyes, como el chantaje, el soborno o la amenaza. Atacante interno: la mayor amenaza procede de personas que han trabajado o trabajan con los sistemas. Estos posibles atacantes internos deben disponer de los privilegios mnimos, conocimiento parcial, rotacin de funciones y separacin de funciones, etc. Atacante externo: suplanta la identidad de un usuario legtimo. Si un atacante externo consigue penetrar en el sistema, ha recorrido el 80% del camino hasta conseguir un control total de un recurso. Ejemplos de amenazas lgicas Las amenazas lgicas comprenden una serie de programas que pueden daar el sistema informtico. Y estos programas han sido creados:
a) b)

De forma intencionada para hacer dao: software malicioso o malware (malicious software) Por error: bugs o agujeros.

Enumeramos algunas de las amenazas con las que nos podemos encontrar: 1. Software incorrecto: Son errores de programacin (bugs) y los programas utilizados para aprovechar uno de estos fallos y atacar al sistema son los exploits. Es la amenaza ms habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin tener grandes conocimientos. 2. Exploits: Son los programas que aprovechan una vulnerabilidad del sistema. Son especficos de cada sistema operativo, de la configuracin del sistema y del tipo de red en la que se encuentren. Pueden haber exploits diferentes en funcin del tipo de vulnerabilidad. 3. Herramientas de seguridad: Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso puede utilizarlas para detectar esos mismos fallos y aprovechar para atacar el sistema. Herramientas como Nessus o Satan pueden ser tiles pero tambin peligrosas si son utilizadas por crackers buscando informacin sobre las vulnerabilidades de un host o de una red completa.

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

4. Puertas traseras: Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos' en los sistemas de autenticacin de la aplicacin. Estos atajos se llaman puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos. Si estas puertas traseras, una vez la aplicacin ha sido finalizada, no se destruyen, se est dejando abierta una puerta de entrada rpida. 5. Bombas lgicas: Son partes de cdigo que no se ejecutan hasta que se cumple una condicin. Al activarse, la funcin que realizan no esta relacionada con el programa, su objetivo es completamente diferente. 6. Virus: Secuencia de cdigo que se incluye en un archivo ejecutable (llamado husped), y cuando el archivo se ejecuta, el virus tambin se ejecuta, propagndose a otros programas. 7. Gusanos: Programa capaz de ejecutarse y propagarse por s mismo a travs de redes, y puede llevar virus o aprovechar bugs de los sistemas a los que conecta para daarlos. 8. Caballos de Troya: Los caballos de Troya son instrucciones incluidas en un programa que simulan realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones con el objetivo de ocultar la presencia de un atacante o para asegurarse la entrada en caso de ser descubierto. 9. Spyware: Programas espa que recopilan informacin sobre una persona o una organizacin sin su conocimiento. Esta informacin luego puede ser cedida o vendida a empresas publicitarias. Pueden recopilar informacin del teclado de la vctima pudiendo as conocer contrasea o n de cuentas bancarias o pines. 10. Adware: Programas que abren ventanas emergentes mostrando publicidad de productos y servicios. Se suele utilizar para subvencionar la aplicacin y que el usuario pueda bajarla gratis u obtener un descuento. Normalmente el usuario es consciente de ello y da su permiso. 11. Spoofing: Tcnicas de suplantacin de identidad con fines dudosos. 12. Phishing: Intenta conseguir informacin confidencial de forma fraudulenta (conseguir contraseas o pines bancarios) haciendo una suplantacin de identidad. Para ello el estafador se hace pasar por una persona o empresa de la confianza del usuario mediante un correo electrnico oficial o mensajera instantnea, y de esta forma conseguir la informacin. 13. Spam: Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los correos electrnicos, mensajera instantnea y mensajes a mviles. 14. Programas conejo o bacterias. Programas que no hacen nada, solo se reproducen rpidamente hasta que el nmero de copias acaba con los recursos del sistema (memoria, procesador, disco, etc.). 15. Tcnicas salami: Robo automatizado de pequeas cantidades dinero de una gran cantidad origen. Es muy difcil su deteccin y se suelen utilizar para atacar en sistemas bancarios. http://recursostic.educacion.es/observatorio/web/es/software/software-general/1040introduccion-a-la-seguridad-informatica?start=5 Elementos de administracin de riesgos

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

CONCEPTO DE CONTROL Es un mecanismo de seguridad, de prevencin y correccin empleado para disminuir vulnerabilidades MATRIZ Y VALORACIN DE RIESGOS La Matriz para el Anlisis de Riesgo, es el producto clave para analizar y determinar los riesgos en el manejo de los datos e informacin de una organizacin. La Matriz no brindara un resultado detallado sobre los riesgos y peligros de cada recurso, pero si dar una mirada aproximada y generalizada de estos. Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daos de cada recurso de una empresa contra todas las posibles amenazas, es decir terminaramos con un sinnmero de grafos de riesgo que deberamos analizar y clasificar. Por otro lado, hay que reconocer que la mayora de las organizaciones suramericanas, ni cuentan con personal tcnico especfico para los equipos de computacin, ni con recursos econmicos o mucho tiempo para dedicarse o preocuparse por la seguridad de la informacin que manejan y en muchas ocasiones tampoco por la formacin adecuada de sus funcionarios en el manejo de las herramientas informticas. Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organizacin, que estn ms en peligro de sufrir un dao por algn impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superacin de las vulnerabilidades y la reduccin de las amenazas. Fundamento de la Matriz La Matriz la bas en el mtodo de Anlisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Dao La Probabilidad de Amenaza y Magnitud de Dao pueden tomar los valores y condiciones respectivamente 1 = Insignificante (incluido Ninguna) 2 = Baja 3 = Mediana 4 = Alta

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

El Riesgo, que es el producto de la multiplicacin Probabilidad de Amenaza por Magnitud de Dao, est agrupado en tres rangos, y para su mejor visualizacin, se aplica diferentes colores. Bajo Riesgo = 1 6 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo) Uso de la Matriz La Matriz es un archivo con varias hojas de calculo que superan el tamao de una simple pantalla de un monitor. Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Dao (campos amarillas) por cada elemento de Informacin. Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de informacin de sufrir un dao significativo, causado por una amenaza, sino tambin sobre las medidas de proteccin necesarias. Tambin, como se mencion anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de proteccin. http://protejete.wordpress.com/gdr_principal/matriz_riesgo/ MITIGACIN DE RIESGOS Despus de efectuar el anlisis de matriz de riesgos, debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser: 1. Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.

Uniminuto _ Esp. Luis Alberto Gamboa Coral.

2. Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. 3. Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. 4. Aceptar el riesgo.- Se determina que el nivel de exposicin es adecuado y por lo tanto se acepta. PLANES DE CONTINGENCIA Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza. Por otra parte, el plan de contingencias no debe limitarse a estas medidas organizativas. Tambin debe expresar claramente:

Qu recursos materiales son necesarios. Qu personas estn implicadas en el cumplimiento del plan. Cules son las responsabilidades concretas de esas personas y su rol dentro del plan. Qu protocolos de actuacin deben seguir y cmo son.