Autor: Santiago Galvn Snchez

La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destruccin. Por lo tanto, es imperativo estudiarla profundamente. Hay que valorarla en trminos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda. El primero de estos factores es la poltica; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina. Mediante todo esto, uno puede adivinar el resultado final de la batalla.
El arte de la guerra Sun Tzu, 2.000 a.C.

Seguro con respecto a qu?

Para el dinero, para sus empleados, para sus clientes.

Ante qu es seguro?
Un robo, un incendio, una crisis econmica, etc.

Qu medidas incluye para aumentar la seguridad? El reducir la cantidad de dinero efectivo, aumenta la seguridad? Las medidas de seguridad hacen que no exista ningn riesgo para el banco?

Prdida de beneficios

Perjuicio de la reputacin

Deterioro de la confianza del inversor

Prdida o compromiso de la seguridad de los datos

terioro de la confianza del cliente Interrupcin de los procesos empresa Consecuencias legales

Seguridad es la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

La norma UNE-ISO/IEC 17799 define la seguridad de la informacin como la preservacin de... ... su confidencialidad.
Slo quienes estn autorizados pueden acceder a la informacin.

... su integridad.
La informacin y sus mtodos de proceso son exactos y completos.

... su disponibilidad.
Los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran.

Protegemos los activos. Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.

El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:

Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informticas (software) que permiten manejar los datos. Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de informacin que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informtico. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados.

Protegemos los activos de las amenazas. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un dao.

Las vulnerabilidades son debilidades asociadas a activos de informacin. En s mismas no causan dao. Esas debilidades pueden ser explotadas por amenazas que pueden causar una rotura de seguridad que tenga como consecuencia dao o perdida de esos activos de informacin

Reduciendo su riesgo. El riesgo es una estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin (impacto). El riesgo crece con el impacto y con la frecuencia.

Implantar controles o salvaguardas con el objetivo de reducir el riesgo. Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar pruebas y seguimiento de las mismas. La seguridad absoluta no existe
siempre hay que aceptar un riesgo que, eso s, debe ser conocido y sometido al umbral de calidad que se requiere del servicio.

ACTIVO: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Vulnerabilidades: debilidades asociadas a activos de informacin AMENAZA: Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas en sus activos. RIESGO: Posibilidad de que una amenaza se materialice. IMPACTO: Consecuencia sobre un activo de la materializacin de una amenaza. CONTROL: Prctica, procedimiento o mecanismo que reduce el nivel de riesgo.

Es de sentido comn que no se puede invertir en salvaguardas ms all del valor de los propios activos a proteger.

orar los activos riesgos de la seguridad gnar prioridad a los riesgos de la seguridad

e implementacin

todos correctivos de seguridad todos correctivos de seguridad macin de seguridad

miento

ar los activos nuevos y los que han sufrido cambios, as como l mplementar medidas preventivas nuevas o que han cambiado

Iden 1 tific aci n

2 Anl isis 5 Cont rol 4 Segu imie nto 3 Plan

Declaracin de iesgos

Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin. Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Anlisis de riesgos + Tratamientos de riesgos = Gestin de riesgos

Paso 1. Identificar los activos. Paso 2. Valorar los activos. Paso 3. Identificar las amenazas. Paso 4. Determinar el impacto de una amenaza. Paso 5. Determinacin del riesgo. Paso 6. Establecer salvaguardas. Paso 7. Revisin del paso 4, determinar el impacto residual. Paso 8. Revisin del paso 5, determinar el riesgo residual.

Por qu interesa un activo? Por lo que vale.

Si algo no vale para nada, prescndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.

El valor de un activo puede ser propio o acumulado.

Si un activo A depende de otro activo B, el valor de B se incrementa.

La valoracin es la determinacin del coste que supondra salir de una incidencia que degradara el activo. Hay muchos factores a considerar:

coste de reposicin: adquisicin e instalacin coste de mano de obra (especializada) invertida en recuperar (el valor) del activo lucro cesante: prdida de ingresos capacidad de operar: confianza de los usuarios y proveedores que se traduce en una prdida de actividad o en peores condiciones econmicas sanciones por incumplimiento de la ley u obligaciones contractuales dao a otros activos, propios o ajenos dao a personas daos medioambientales.

La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en alguna escala de niveles). Los criterios ms importantes a respetar son:
la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, as como poder determinar si es ms grave el dao en una dimensin o en otra la relatividad: es importante poder relativizar el valor de un activo en comparacin con otros activos

D disponibilidad Qu importancia tendra que el activo no estuviera disponible? I integridad Qu importancia tendra que el activo fuera modificado fuera de control? C confidencialidad Qu importancia tendra que el activo fuera conocido por personas no autorizadas? A autenticidad Qu importancia tendra que quien accede al activo no sea realmente quien se cree? T trazabilidad (accountability) Qu importancia tendra que no quedara constancia del uso del activo?

1. El servidor proporciona una funcionalidad bsica pero no tiene un impacto financiero en el negocio. 3. El servidor contiene informacin importante, pero los datos se pueden recuperar rpida y fcilmente. 5. El servidor contiene datos importantes que llevara algn tiempo recuperar. 8. El servidor contiene informacin importante para los objetivos empresariales de la compaa. La prdida de este equipamiento tendra un efecto considerable en la productividad de todos los usuarios. 10.El servidor tiene un efecto considerable en el negocio de la compaa. La prdida de este equipamiento resultara en una desventaja con respecto a la competencia.

Tipos de amenazas

Ejemplos
Falsificar Alterar

Suplantacin Alteracin Repudio Divulgacin de

informacin

mensajes de correo electrnico Reproducir paquetes de autenticacin datos durante la transmisin Cambiar datos en archivos Eliminar un archivo esencial y denegar este hecho Adquirir un producto y negar posteriormente que se ha adquirido
Exponer

la informacin en mensajes de error Exponer el cdigo de los sitios Web

Inundar

Denegacin de
servicio

una red con paquetes de sincronizacin Inundar una red con paquetes ICMP falsificados
Explotar

Elevacin de
privilegios

la saturacin de un bfer para obtener privilegios en el sistema Obtener privilegios de administrador de forma ilegtima

Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuanta. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable es el activo, en dos sentidos:
degradacin: cun perjudicado resultara el activo frecuencia: cada cunto se materializa la amenaza

Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza.

DREAD

Dao Capacidad de reproduccin Capacidad de explotacin Usuarios afectados Capacidad de descubrimiento

Las salvaguardas entran en el clculo del riesgo de dos formas:

Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. Limitando el dao causado. Hay salvaguardas que directamente limitan la posible degradacin, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.

Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:
es tericamente idnea est perfectamente desplegada, configurada y mantenida se emplea siempre existen procedimientos claros de uso normal y en caso de incidencias los usuarios estn formados y concienciados existen controles que avisan de posibles fallos Entre una eficacia del 0% para aquellas que estn de adorno y el 100% para aquellas que son perfectas, se estimar un grado de eficacia real en cada caso concreto.

Algunas salvaguardas, notablemente las de tipo tcnico, se traducen en el despliegue de ms Equipamiento que se convierte a su vez en un activo del sistema.
Estos activos soportan parte del valor del sistema y estn a su vez sujetos a amenazas que pueden perjudicar a los activos de valor.

Hay que repetir el anlisis de riesgos, amplindolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original; es decir, que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organizacin.

Si se puede, se evita Si no, hay que plantear una estrategia

hay que tener medidas preventivas hay que tener un plan de emergencia hay que tener un plan de recuperacin

Controles disuasorios: reducen la posibilidad de incidente (cmaras de vigilancia). Controles preventivos: reduce la vulnerabilidad (ej. Parches en los Sistemas operativos) Controles detectores: detectan incidente en curso (sensores IDS en las redes). Controles correctivos: posterior al incidente (copias de seguridad).

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Promovido por CSAE: Consejo Superior de Administracin Electrnica.

Directos: concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo ofrecer un mtodo sistemtico para analizar tales riesgos ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Indirectos: preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso

Ejemplo prctico incluido en el documento mtodo

Adobe Acrobat Document

Dimensiones de valoracin incluido en el catalogo de elementos de Margerit.

Adobe Acrobat Document

The Security Risk Management Guide.

Microsoft.

MAGERIT versin 2 Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.

Ministerio espaol de Administraciones Pblicas

Fundamentos de seguridad Microsoft Technet.