1.3 amenazas

1.3. Amenazas Informticas.

Son los problemas ms vulnerables que ingresan a nuestra computadora con el

hecho de afectarlo (virus). Se puede definir como amenaza a todo elemento o accin

capaz de atentar contra la seguridad de la informacin.

Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin

que puede producir un dao (material o inmaterial) sobre los elementos de un sistema,

en el caso de la Seguridad Informtica, los Elementos de Informacin.

Debido a que la Seguridad Informtica tiene como propsitos de garantizar

la confidencialidad, integridad, disponibilidad y autenticidad de los datos e

informaciones, las amenazas y los consecuentes daos que puede causar un evento

exitoso, tambin hay que ver en relacin con la confidencialidad, integridad,

disponibilidad y autenticidad de los datos e informaciones.

Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una

amenaza slo puede existir, si hay una vulnerabilidad que pueda ser aprovechada, e

independientemente de que se comprometa o no la seguridad de un sistema de

informacin.

Diversas situaciones, tales como el incremento y el perfeccionamiento de las

tcnicas de ingeniera social, la falta de capacitacin y concientizacin a los usuarios

en el uso de la tecnologa, y sobre todo la creciente rentabilidad de los ataques, han

provocado en los ltimos aos el aumento de amenazas intencionales.

Virus circulando por la red.

Diferentes tipos de virus circulan por la red en busca de ordenadores desprotegidos y

usuarios incautos. Las principales motivaciones para infectar tu equipo son varias:

Conseguir los datos bancarios o de servicios de pago en lnea para suplantar tu

identidad y hacer desaparecer tu dinero.

Utilizar tu sistema como puente para realizar otro tipo de actividades maliciosas;

enviar correo basura o atacar otros sistemas.

Las vas de entrada de los virus para infectar los sistemas son muy variadas y estn en

constante evolucin. Las ms comunes son:

http://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/glosario/#autenticidad

Al visitar pginas maliciosas, que aprovechan agujeros de seguridad en el

navegador y en los programas utilizados para ver las pginas; reproductores de

video, visores de texto (pdf), etc.

Al abrir ficheros maliciosos, que llegan al sistema a travs del correo

electrnico, mensajera instantnea, redes P2P o descargados directamente de

alguna pgina poco confiable.

Al conectar al ordenador memorias USB que previamente han sido utilizadas en

un PC infectado.

Para protegerte tendrs que tener en cuenta una serie de buenas prcticas; unas

sencillas medidas, para configurar el sistema de forma segura, y apoyarlo con unos

buenos hbitos al navegar, al usar el correo, mensajera instantnea- que no te

expongan a situaciones de riesgo innecesario.

Cantidad de correos innecesarios

Cuando recibes correos electrnicos de remitentes que no conoces y con contenidos

que son ofertas comerciales o no te interesan en absoluto, estas recibiendo spam.

Ejemplos tpicos de spam son:

Venta de medicamentos como viagra o sucedneos- y toda clase de productos

milagrosos.

Software pirata o supuestamente original a precios de escndalo.

Ofertas de trabajo con suculentos dividendos.

Descuentos para suscripciones a pginas pornogrficas o de apuestas.

Aparte de la prdida de tiempo que esto te supone el spam tambin es utilizado como

apoyo a otras actividades maliciosas; como la propagacin de virus o el fraude bancario

(mediante notificaciones que suplantan la identidad de t banco).

El avance de las nuevas tecnologas de la comunicacin, abre tambin nuevas vas a los

spammers - individuos u organizaciones que envan spam - por las que hacen llegar la

publicidad. Servicios altamente difundidos como la mensajera instantnea, chats,

forosincluso el telfono mvil, estn tambin siendo utilizados para tal fin.

Tipos de amenazas

Las amenazas pueden clasificarse en dos tipos:

Intencionales, en caso de que deliberadamente se intente producir un dao (por

ejemplo el robo de informacin aplicando la tcnica de trashing, la propagacin de

cdigo malicioso y las tcnicas de ingeniera social).

No intencionales, en donde se producen acciones u omisiones de acciones que si bien

no buscan explotar una vulnerabilidad, ponen en riesgo los activos de informacin y

pueden producir un dao (por ejemplo las amenazas relacionadas con fenmenos

naturales).

Desde el punto de vista de la entidad que maneja los datos, existen amenazas de

origen externo como por ejemplo las agresiones tcnicas, naturales o humanos, y

tambin amenazas de origen interno, como la negligencia del propio personal o las

condiciones tcnicas, procesos operativos internos.

Generalmente se distingue y divide tres grupos (Figura 1)

1. Criminalidad: son todas las acciones, causado por la intervencin humana, que

violan la ley y que estn penadas por esta. Con criminalidad poltica se entiende

todas las acciones dirigido desde el gobierno hacia la sociedad civil.

2. Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino

tambin eventos indirectamente causados por la intervencin humana.

3. Negligencia y decisiones institucionales: son todas las acciones, decisiones u

omisiones por parte de las personas que tienen poder e influencia sobre el

sistema. Al mismo tiempo son las amenazas menos predecibles porque estn

directamente relacionado con el comportamiento humano.

Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y por eso

es la tarea de la gestin de riesgo de preverlas, implementar medidas de proteccin

para evitar o minimizar los daos en caso de que se realice una amenaza.

Figura 1. TIPOS DE AMENAZAS INFORMTICAS.

Fuente: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

Vulnerabilidades

La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo

(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el

resultado de sufrir algn dao. En otras palabras, es la capacitad y posibilidad de un

sistema de responder o reaccionar a una amenaza o de recuperarse de un dao.

Las vulnerabilidades estn en directa interrelacin con las amenazas porque si no

existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no

se puede ocasionar un dao.

Dependiendo del contexto de la institucin, se puede agrupar las vulnerabilidades en

grupos caractersticos: Ambiental, Fsica, Econmica, Social, Educativo, Institucional

y Poltica (Figura 2). Figura 2. VULNERABILIDADES.


Cmo actuar

La presencia de una amenaza es una advertencia de que puede ser inminente el dao

a algn activo de la informacin, o bien es un indicador de que el dao se est

produciendo o ya se ha producido. Por ello siempre debe ser reportada como un

incidente de seguridad de la informacin.


Anlisis del Riesgo

El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como propsito

determinar los componentes de un sistema que requieren proteccin, sus

vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de

valorar su grado de riesgo.

La clasificacin de datos tiene el propsito de garantizar la proteccin de datos

(personales) y significa definir, dependiendo del tipo o grupo de personas internas y

externas, los diferentes niveles de autorizacin de acceso a los datos e informaciones.

Considerando el contexto de nuestra misin institucional, tenemos que definir los

niveles de clasificacin como por ejemplo: confidencial, privado, sensitivo y pblico.

Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los

datos, el grado y mecanismo de autenticacin. Ver Figura 3.

Una vez clasificada la informacin, tenemos que verificar los diferentes flujos

existentes de informacin internos y externos, para saber quines tienen acceso a qu

informacin y datos.

Clasificar los datos y analizar el flujo de la informacin a nivel interno y externo es

importante, porque ambas cosas influyen directamente en el resultado del anlisis de

riesgo y las consecuentes medidas de proteccin. Porque solo si sabemos quines

tienen acceso a qu datos y su respectiva clasificacin, podemos determinar el riesgo

de los datos, al sufrir un dao causado por un acceso no autorizado. Figura 3. CLASIFICACIN Y FLUJO DE INFORMACIN.



Probabilidad de Amenaza

Se habla de un Ataque, cuando una amenaza se convirti en realidad, es decir cuando

un evento se realiz. Pero el ataque no dice nada sobre el xito del evento y s o no, los

datos e informaciones fueron perjudicado respecto a su confidencialidad, integridad,

disponibilidad y autenticidad. Ver Figura 4.

Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas:

Cul es el inters o la atraccin por parte de individuos externos, de

atacarnos? Algunas razones pueden ser que manejamos informacin que contiene

novedades o inventos, informacin comprometedora etc., tal vez tenemos

competidores en el trabajo, negocio o simplemente por la imagen o posicin pblica

que tenemos.

Cules son nuestras vulnerabilidades? Es importante considerar todos los grupos

de vulnerabilidades. Tambin se recomienda incluir los expertos, especialistas de

las diferentes reas de trabajo para obtener una imagen ms completa y ms

detallada sobre la situacin interna y el entorno.

Cuntas veces ya han tratado de atacarnos? Ataques pasados nos sirven para

identificar una amenaza y si su ocurrencia es frecuente, ms grande es la

probabilidad que pasar otra vez. En el caso de que ya tenemos implementadas

medidas de proteccin es importante llevar un registro, que muestra los casos

cuando la medida se aplic exitosamente y cuando no. Porque de tal manera,

sabemos en primer lugar si todava existe la amenaza y segundo, cul es su riesgo

actual. Figura 4. VALOR UN AMENAZA.



Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de

Amenaza. Sin embargo, antes tenemos que definir el significado de cada condicin de

la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la figura 4, solo

son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin

comn y por tanto se recomienda que cada institucin defina sus propias condiciones.

Magnitud de Dao

Se habla de un Impacto (Ver Figura 5), cuando un ataque exitoso perjudic la

confidencialidad, integridad, disponibilidad y autenticidad de los datos e

informaciones.

Figura 5. IMPACTOS.


Estimar la Magnitud de Dao generalmente es una tarea muy compleja. La manera ms

fcil es expresar el dao de manera cualitativa, lo que significa que aparte del dao

econmico, tambin se consideran otros valores como daos materiales, imagen,

emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos

los componentes en un solo dao econmico, resulta en un ejercicio an ms complejo y

extenso. (Figura 6)

Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden

ser mltiples, a veces son imprevisibles y dependen mucho del contexto donde

manejamos la informacin, sea en una ONG (derechos humanos, centro de informacin


etc.), en una empresa privada (banco, clnica, produccin etc.), en una institucin

Estatal o en el mbito privado. Otro factor decisivo, respecto a las consecuencias, es

tambin el entorno donde nos ubicamos, es decir cules son las Leyes y prcticas

comunes, culturales que se aplica para sancionar el incumplimiento de las normas.

Figura 6. VALORAR LA MAGNITUD DEL DAO.


Un punto muy esencial en el anlisis de las consecuencias es la diferenciacin entre los

dos propsitos de proteccin de la Seguridad Informtica, la Seguridad de la

Informacin y la Proteccin de datos, porque nos permite determinar, quien va a

sufrir el dao de un impacto, nosotros, otros o ambos. En todo caso, todos nuestros

comportamientos y decisiones deben ser dirigidos por una conciencia responsable, de

no causar dao a otros, aunque su realidad no tenga consecuencias negativas.

Otras preguntas que podemos hacernos para identificar posibles consecuencias

negativas causadas por un impacto son:

Existen condiciones de incumplimiento de confidencialidad (interna y externa)?

Esto normalmente es el caso cuando personas no autorizadas tienen acceso a

informacin y conocimiento ajeno que pondr en peligro nuestra misin.

Existen condiciones de incumplimiento de obligacin jurdicas, contratos y

convenios? No cumplir con las normas legales fcilmente puede culminar en


sanciones penales o econmicas, que perjudican nuestra misin, existencia laboral y

personal.

Cul es el costo de recuperacin? No solo hay que considerar los recursos

econmicos, tiempo, materiales, sino tambin el posible dao de la imagen pblica y

emocional.

Considerando todos los aspectos mencionados, nos permite clasificar la Magnitud del

dao. Sin embargo, otra vez tenemos que definir primero el significado de cada nivel

de dao (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo

son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinin

comn y por tanto se recomienda que cada institucin defina sus propios niveles.

Clasificacin de Riesgo

El objetivo de la clasificacin de riesgo es determinar hasta qu grado es factible combatir los

riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad

econmica de una institucin, sino tambin del entorno donde nos ubicamos. Los riesgos que no

queremos o podemos combatir se llaman riesgos restantes y no hay otra solucin que

aceptarlos. (Figura 10)

Figura 7. CLASIFICACIN DEL RIESGO.


http://protejete.wordpress.com/gdr_principal/clasificacion_riesgo/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.files.wordpress.com/2009/07/pres_15_clasificacion_riesgo.jpg

Implementar medidas para la reduccin de los riesgos significa realizar inversiones, en general

econmicas. El reto en definir las medidas de proteccin, entonces est en encontrar un buen

equilibrio entre su funcionalidad (cumplir con su objetivo) y el esfuerzo econmico que tenemos

que hacer para la implementacin y el manejo de estas.

De igual manera como debemos evitar la escasez de proteccin, porque nos deja en peligro que

pueda causar dao, el exceso de medidas y procesos de proteccin, pueden fcilmente

paralizar los procesos operativos e impedir el cumplimiento de nuestra misin. El caso extremo

respecto al exceso de medidas sera, cuando las inversiones para ellas, superen el valor del

recurso que pretenden proteger.

Entonces el estado que buscamos es, que los esfuerzos econmicos que realizamos y los

procesos operativos, para mantener las medidas de proteccin, son suficientes, ajustados y

optimizados, para que respondan exitosamente a las amenazas y debilidades (vulnerabilidades)

que enfrentamos.

Figura 8. RIESGO RESTANTE.


Con Riesgo restante se entiende dos circunstancias, por un lado son estas amenazas y peligros

que, aunque tenemos implementados medidas para evitar o mitigar sus daos, siempre nos

pueden afectar, si el ataque ocurre con una magnitud superior a lo esperado. Podemos

protegernos de cierto modo contra los impactos de un terremoto comn, sin embargo cuando

ocurre con una fuerza superior o antes no conocido, el impacto general ser mucho ms grande

y muy probablemente afectar tambin a nosotros.

http://protejete.wordpress.com/glosario/#vulnerabilidadhttp://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.files.wordpress.com/2009/07/pres_16_riesgo_restante.jpg

La otra situacin es cuando aceptamos conscientemente los posibles impactos y sus

consecuencias, despus de haber realizado el anlisis de riesgo y la definicin de las medidas

de proteccin. Las razones para tomar esta decisin pueden ser varias, sea que evitar los daos

no est dentro de nuestra posibilidad y voluntad econmica o porque no entendemos que no

tenemos suficiente poder sobre el entorno. Sea lo que sea la razn, el punto importante es que

sabemos sobre la amenaza y decidimos vivir con ella y su posible consecuencia.

Reduccin de Riesgo

La reduccin de riesgo se logra a travs de la implementacin de Medidas de proteccin, que

basen en los resultados del anlisis y de la clasificacin de riesgo.

Las medidas de proteccin estn divididas en medidas fsicas y tcnicas,

personales y organizativas, como lo muestra la Figura 12.

Figura 9. REDUCCIN DE RIESGO.


En referencia al Anlisis de riesgo, el propsito de las medidas de proteccin, en el mbito de

la Seguridad Informtica, solo tienen un efecto sobre los componentes de la Probabilidad

de Amenaza, es decir aumentan nuestra capacidad fsica, tcnica, personal y organizativa,

reduciendo as nuestras vulnerabilidades que estn expuestas a las amenazas que enfrentamos.

Las medidas normalmente no tienen ningn efecto sobre la Magnitud de Dao, que depende de

los Elementos de Informacin y del contexto, entorno donde nos ubicamos. Es decir, no se

trata y muy difcilmente se puede cambiar el valor o la importancia que tienen los datos e

http://protejete.wordpress.com/gdr_principal/reduccion_riesgo/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.wordpress.com/glosario/#analisishttp://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/glosario/#amenazahttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.files.wordpress.com/2009/07/pres_17_reduccion_riesgo.jpg

informaciones para nosotros, tampoco vamos a cambiar el contexto, ni el entorno de nuestra

misin.

La fuerza y el alcance de las medidas de proteccin, dependen del nivel de riesgo.

Alto riesgo: Medidas deben evitar el impacto y dao.

Medio riesgo: Medidas solo mitigan la magnitud de dao pero no evitan el impacto.


Considerando que la implementacin de medidas de proteccin estn en directa relacin con

inversiones de recursos econmicos y procesos operativos, es ms que obvio, que las medidas,

para evitar un dao, resultarn (mucho) ms costosas y complejas, que las que solo mitigan un

dao.

Para que las medias sean exitosas, es esencial que siempre verificamos su factibilidad, es decir

que tcnicamente funcionan y cumplen su propsito, que estn incorporadas en los procesos

operativos institucionales y que las personas se apropian de ests. Es indispensable que estn

respaldadas, aprobadas por aplicadas por la coordinacin, porque si no, pierden su credibilidad.

Tambin significa que deben ser diseadas de tal manera, que no paralizan u obstaculizan los

procesos operativos porque deben apoyar el cumplimiento de nuestra misin, no impedirlo.

Otro punto clave es, que las personas que deben aplicar y apropiarse de las medias saben sobre

su existencia, propsito e importancia y son capacitadas adecuadamente en su uso, de tal

manera, que las ven como una necesidad institucional y no como otra cortapisa laboral.

Debido a que la implementacin de las medidas no es una tarea aislada, nica, sino un proceso

continuo, su manejo y mantenimiento debe estar integrado en el funcionamiento operativo

http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.files.wordpress.com/2009/07/pres_18_medidas_proteccion.jpg

institucional, respaldado por normas y reglas que regulan su aplicacin, control y las sanciones

en caso de incumplimiento

Control de Riesgo

El propsito del control de riesgo es analizar el funcionamiento, la efectividad y el

cumplimiento de las medidas de proteccin, para determinar y ajustar sus deficiencias.

Las actividades del proceso, tienen que estar integradas en el plan operativo institucional,

donde se define los momentos de las intervenciones y los responsables de ejecucin.

Medir el cumplimiento y la efectividad de las medidas de proteccin requiere que levantemos

constantemente registros sobre la ejecucin de las actividades, los eventos de ataques y sus

respectivos resultados. Estos tenemos que analizados frecuentemente. Dependiendo de la

gravedad, el incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones

institucionales para los funcionarios.

En el proceso continuo de la Gestin de riesgo, las conclusiones que salen como resultado del

control de riesgo, nos sirven como fuente de informacin, cuando se entra otra vez en el

proceso de la Anlisis de riesgo.


http://protejete.wordpress.com/gdr_principal/control_riesgo/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

1.3 amenazas

Documents