SEGURIDAD INFORMÁTICA (ANALISIS DE RIESGOS)

Herramientas que te permitirán instalar, dar soporte y mantenimiento a las redes de datos, mediante el conocimiento

básico de la instalación, conexión, configuración, diagnóstico y reparación de fallas en las redes locales.

Análisis de riesgo

o Prevenir

o Mitigar

o Transferir

Medidas de seguridad y salud laboral.- Sigue las posturas de trabajo, el cuidado de tu equipo de trabajo y tus

hábitos para cumplir con las medidas de seguridad para tener mejores condiciones de trabajo, con más

productividad y cuidar la salud.

Acondiciona un lugar para que puedas realizar tu trabajo de acuerdo a las siguientes instrucciones:

o El escritorio o mesa de trabajo debe estar completamente limpio para que coloques una computadora o

laptop.

o Busca una silla que te permita colocarte a una altura para que el monitor te quede de frente a tu vista.

o Si requieres mouse, consigue también un tapete para mouse.

o Si la silla está muy alta puedes ocupar un apoyo.

o Si vas a trabajar en casa fija un horario de trabajo y de comida. o Mantener un botiquín de primeros auxilios a la mano. o Señalar salidas de emergencia. o Conectar equipo de cómputo a un regulador.

Ética profesional.- respeta los lineamientos para destacar tus valores de trabajo, en la cual existen normas y

obligaciones

Código de ética.- Genera un sentido de pertenencia e identidad. Cuida la Imparcialidad en las relaciones laborales y contratos. Brinda claridad en los criterios que guían la toma de decisiones que afectan a los trabajadores.

Previene conflictos entre los empleados.

Valores.- son las conductas que permiten a cada individuo trabajar de forma pacífica con la empresa:

Honestidad

Lealtad

Respeto

Confianza

Congruencia

Principios.- son acuerdos seguidos por un grupo de personas que garantizan la igualdad y equidad de una

empresa:

Honradez y transparencia

Bien común

Confidencialidad

Originalidad

Puntualidad

Características de la información: a través de medidas y políticas

Disponibilidad

Confidencialidad

Integridad

Autentificación

Clasificación de la información:

Critica.- indispensable para el funcionamiento de la empresa, solo los altos rangos tienen acceso

Valiosa.-información importante y debe manipularse con cuidado

Sensible.- solo debe ser conocida por personas autorizadas

PROCESO DE TRABAJO DEL ANALISIS DE RIESGO

1. IDENTIFICAR LOS ACTIVOS.- son todos los componentes indispensables para el funcionamiento de un

sistema informático, se clasifican en

o Hardware:

Infraestructura

Cableado de red

Equipos de computo

Servidores

o Software

Sistema operativo

Aplicaciones

Programas de computo

o Datos o información

Base de datos

Paquetes de información

Copias de seguridad

Claves

Los activos más importantes son los datos, su protección contempla métodos de seguridad contra:

Extravío, daño o modificación no autorizada

Propagación o abuso de información confidencial

Asignar valor a los activos.- significa evaluar la importancia que tienen para la organización o la empresa

y así asignar el tipo de protección correspondiente.

Inventario de los activos.- debe de tener los siguientes datos:

Identificación del activo.- selecciona un código para ordenarlos por familias y así poder localizarlos fácilmente

Tipo de activo.- reconoce cada elemento: Hardware, Software y Datos Descripción.- explica las características del activo de forma clara y sin ambigüedades Propietario.- establece a los responsables del activo Localización.- señala la ubicación física del activo o el equipo donde se encuentra

Valoración de los activos.- es la asignación de un valor numérico, el cual indica la magnitud de:

Confidencialidad: El nivel de protección que debe tener cada activo contra su uso indebido. Disponibilidad: El nivel de accesibilidad para usuarios y personal de la empresa. Integridad: El nivel de restricción de modificaciones al activo, por personal no autorizado.

La valoración de los activos identificados se hace con la siguiente escala del 1 al 5, donde este último es el

nivel más alto. Al final se promedia el valor de todos los aspectos. Ejemplo

2. IDENTIFICAR LAS VULNERABILIDADES.- el punto débil en la seguridad de un sistema informático, a través

de estas se pueden presentar amenazas que pongan en peligro la confidencialidad e integridad de la

información. A través de un análisis para identificar el tipo y el nivel de cada vulnerabilidad permitirá

conocer el nivel de riesgo.

Amenaza.- evento que puede producir daño en los sistemas

Tipos de amenazas:

Factor Humano.- deliberado o negligencia

Hardware.- mal diseño, fabricación defectuosa, fallas físicas, variación de voltaje,

desgaste, mal uso, descuido

Software.- programas instalados, sistema operativo, código malicioso (virus, troyanos,

gusanos)

Red con ataques externos o daño físico-lógico, filtración no autorizada de la

información

Impacto de las amenazas.- es el nivel de daño que pueden producir las amenazas y se conoce al

definir quiénes son los afectados: el costo de los daños y la recuperación, activos intangibles

(reputación y confianza), costos legales (incumplimiento de contrato de confidencialidad)

(Clasificado del 1-4) donde cuatro es el valor más alto

Impacto de las amenazas Valor

Nulo 1

Bajo 2

Medio 3

Alto 4

Tipos de vulnerabilidad:

Física.- es la probabilidad de acceder al sistema directamente desde el equipo, para

extraerle información, alterarlo o destruirlo.

De las comunicaciones.- es la posibilidad de que varios usuarios puedan acceder a un

sistema informático que se encuentre conectado a una red de computadoras o red global

(internet)

Software.- también conocida como bugs, es la posibilidad de que el sistema se accesible

debido a fallas en el diseño del software.

Natural.- es la posibilidad de que el sistema sufra daños por causas del ambiente o

desastres naturales, como incendios, tormentas, inundaciones, terremotos, humedad

excesiva, picos de bajas y altas de temperatura.

Emanación.- es la posibilidad de interceptar radiaciones electromagnéticas para descifrar

o alterar la información enviada o recibida.

Humana.- la posibilidad del error humano. Los administradores o usuarios del sistema son

una vulnerabilidad, ya que tienen acceso a la red y al equipo.

Nivel de vulnerabilidad.- para continuar con el análisis, se considera que tan posible es que las

vulnerabilidades se exploten para causar algún daño en los activos.

Nivel de vulnerabilidad Valor

Nulo 1

Bajo 2

Medio 3

Alto 4

Ejemplo: al analizar un servidor se obtuvieron los siguientes datos:

Mala ubicación

Enfriamiento deficiente

Falta de mantenimiento

Falta de planta de emergencia

Con los datos obtenidos se elabora la siguiente tabla

3. ESTIMACIÓN DEL RIESGO.- una vez que se haya identificado el nivel de vulnerabilidad y la magnitud del

impacto que pueden sufrir los activos, el siguiente paso es Estimar el riesgo, esto sirve para ubicar en donde

se deben de implementar controles. La estimación de riesgos debe de ser de forma periódica.

El riesgo es la posibilidad de que ocurra un daño en los activos.

Métodos para estimar el riesgo:

Cuantitativos.- se asigna un valor número al riesgo

Cualitativos.- describe al riesgo con palabras

Semicuantitativos.- se utilizan adjetivos

Se usan más los cuantitativos y Semicuantitativos ya que generan un análisis más detallado y más

confiable. Se usa el cualitativo cuando no haya tiempo para hacer un análisis más detallado o no se puede

cuantificar la amenaza.

Como estimar el riego:

Posibilidad de Riesgo= Vulnerabilidad

X Impacto del daño de la amenaza

Se repite el proceso con cada amenaza detectada y se debe realizar una matriz de riesgos

Ejemplo:

Código Activo Valor del activo

Vulnerabilidad Nivel de vulnerabilidad

Amenaza Impacto RIESGO

Su01 Servidor de usuarios

5 Mala ubicación

Enfriamiento deficiente Falta de mantenimiento

Falta de plante de mantenimiento

3

2 3 4

Acceso a personas no autorizadas

Mal funcionamiento Mal funcionamiento

Perdida de info y falla en servidores

3

2 2 4

9 4 6

16

Describir en la tabla las relaciones de tal forma que tengan sentido y presentarlos en donde incluya el valor del riesgo:

RIESGO FACTOR

Acceso al servidor Medio (9)

Perdida información Alto (16)

Mal funcionamiento de servidor Bajo (6)

Controles de seguridad.- es de suma importancia que todas las empresas, conozcan de cómo proteger su

información en contra de ataques informáticos, el objetivo es frenar los intentos de los atacantes de filtrar datos

de la organización a través del cuidado de:

o Accesos.-utiliza procedimientos que sirven para la asignación de accesos y privilegios al

personal autorizado, la asignación se realiza a través de lo siguiente:

o uso de información confidencial para la autentificación del sistema

o gestión de contraseñas del usuario

o uso de software para la administración de sistemas

o gestión de los privilegios del usuario

o Cifrado.-está diseñado para proteger la confidencialidad e integridad de la información

mediante el uso de técnicas criptográficas, existen programas que encripta el contenido de

la b.d. con el fin de que no sean entendibles por el atacante en caso de acceder a la

información, solo los usuarios que tengan el código de encriptación podrán ver los

contenidos.

o Telecomunicaciones.- gestión del flujo de datos a través de las siguientes acciones:

o Controles de red

o Acuerdos de intercambio

o Protección en la mensajería electrónica

o Software de monitoreo de cualquier flujo no autorizado (firewall)

o Operativos.- son los más utilizados por las empresas cuando se requieren cambios en el

sistema, este control verifica los cambios y gestiona las copias de seguridad del sistema, para

funcionar adecuadamente, el control hace uso de los siguientes recursos:

o Gestión de cambios

o Separación de entornos de desarrollo, prueba y productivo

o Detección de códigos maliciosos

o Respaldos del sistema de información

Controles adicionales.- son un complemento de los controles principales para lograr un manejo total de la

organización en las que se implementan:

1. Controles de recursos humanos.- Gestiona la entrada y salida del personal de la organización. Se

compone de:

o Investigación de antecedentes durante la contratación

o Términos y condiciones del puesto

o Educación y capacitación del personal

o Cese o cambio de puesto

2. Controles de activos.- manejan todos los activos, su ubicación o asignación personal. Para esto se

realizan la siguientes acciones:

o Inventario de activos

o Propiedad de los activos

o Devolución de los activos

o Soporte de los activos

3. Controles de adquisición, desarrollo y mantenimiento.- garantizan la inclusión de controles de

seguridad en el desarrollo o actualización de software. Estos se suman al sistema en cualquier momento

requerido. Para eso realizan las siguientes acciones:

o Inclusión de requisitos de seguridad para los nuevos desarrollos

o Procedimientos de control de cambio de sistemas

o Pruebas de funcionalidad durante el desarrollo

4. Controles de incidentes.- garantizan la notificación de las debilidades asociadas al sistema para la

aplicación de medidas preventivas, eso se logra con:

o Alarmas de seguridad

o Avisos en los puntos vulnerables de seguridad

o Ofrecen posibles soluciones a los incidentes de seguridad

o Registran incidentes de seguridad para evitar una reincidencia

Medidas de seguridad.- son los medios utilizados para reducir:

o Vulnerabilidades de los activos

o Ocurrencia de amenazas

o Nivel de impacto de la organización:

o Si el nivel de riesgo es bajo, este puede ser aceptado por la organización

o Si el nivel de riesgo es alto, para aceptarlo deben tomarse medidas para:

o Mitigarlo.- Planes de actuación correctivos (verde)

o Prevenirlo.- Planes de actuación preventivos (amarillo)

o Transferirlo.- Planes de actuación detectivos (rojo)

o Medidas activas.- se emplean diariamente y se ejecutan en todo momento

o Medidas de protección:

Contraseñas

Actualizaciones

Copias periódicas

Políticas

o Medidas de detección:

IDS (sistema de detección de intrusos)

Firewalls (corta fuegos)

Análisis periódicos (antivirus)

o Medidas pasivas o correctivos.- entran en acción para mitigar los efectos de un incidente una

vez que ha ocurrido:

o Uso de antivirus

o Restauración de copias de seguridad y del sistema operativo

La seguridad de la información es la prioridad fundamental en el trabajo.

Niveles de Seguridad.- el estándar más usado a nivel internacional para definir los niveles de seguridad informática está

desarrollado por el Departamento de Defensa de los Estados Unidos en el TCSEC (criterios confiables para la evaluación

de sistemas computacionales) mejor conocido como Orange Book o libro naranja. En él se definen las medidas de

seguridad que debe seguir una red de equipos informáticos y las clasifican en 4 niveles de seguridad:

A. Protección mínima.- aquí se encuentran que todos los equipos informáticos que no son

seguros, ya que no cuentan con mecanismos para restringir el acceso al sistema.

B. Protección discrecional.- los sistemas de este nivel son aquellos en los que cada usuario

tiene acceso a diferente información. Por ejemplo, un equipo o red que cuenta con un

Administrador y varias cuentas de usuario, existen dos subclases

a. Protección de seguridad discrecional.- la base de datos del sistema permite que

cada usuario tenga acceso a su información y la protege de otros que podrían

leerla, alterarla o borrarla

b. Protección de acceso controlado.- el administrador implementa procedimientos

de acceso seguro y puede monitorear las acciones de los usuarios del sistema

C. Protección obligatoria.- son sistemas que utilizan reglas de control de acceso. La

información almacenada tiene un grado de sensibilidad definido (secreto, privado, etc),

para saber quiénes pueden acceder a ella.

a. Seguridad etiquetada.- cumple con los requisitos del B.b. además debe ser capaz

de etiquetar con precisión la información que se envíe. En este subnivel, el control

de acceso es obligatorio. Algunos usuarios tienen un permiso para acceder y

modificar datos específicos.

b. Seguridad estructurada.- en estos subsistemas, el modelo de políticas de

seguridad debe estar expresado en un documento formal. Este nivel de seguridad

requiere que todos los usuarios tengan permisos específicos para acceder a los

datos que contiene el sistema

c. Dominios de seguridad.- los subsistemas con este nivel, todas las medidas de

seguridad, tanto físicas (como cortafuego por hardware) como lógicas (software

de control de acceso) deben probarse para comprobar que son casi invulnerables

ante amenazas de seguridad.

D. Protección verificada.- este niel requiere de todos los controles de seguridad del sistema

se prueben, para asegurar que mantienen segura toda la información almacenada y

procesada.

Políticas de seguridad.- establecer las medidas de seguridad adecuadas, ayudará a mantener la confidencialidad

e integridad de la información.

¿Qué son las políticas de seguridad? Son el conjunto de normas adoptadas por las organizaciones y

empresas cuyo objetivo es:

Proteger la información por robo o alteraciones

Asegurar su disponibilidad

Mantener la confidencialidad

Deben ser entendidas y ejecutadas por todos los miembros de la organización

Elementos de las Políticas de Seguridad:

Alcance y objetivos.- determina los sistemas y usuarios a quienes impactan dichas políticas

Responsabilidades.- indica las consecuencias que se generan al incurrir en alguna falta (accesos

restringidos)

Nivel de privilegios.- conjunto de reglas que definen que personas pueden acceder a los recursos

de la empresa y la manera en que deben realizarlo

Privilegio mínimo.- establece el tipo de autorización que permite acceder a los recursos

indispensables para cada posición.

División de funciones.- consiste en establecer el rol especifico al personal con la finalidad de

evitar ataques a la organización

Monitoreo.- instaura los pasos a seguir para verificar el cumplimiento de los criterios de

seguridad dentro de la organización

Establecimiento de violaciones.- define el acto que se consideran falta a las políticas de

seguridad y las sanciones correspondientes

Generación de respaldos.- copias de seguridad en servidores y unidades de almacenamiento

para proteger la información de la empresa.

Elaboración de un informe.- son documentos que te ayudarán a compartir la información que se ha verificado a

los miembros de una organización.

Se compone de los siguientes elementos:

Estimación de riesgos

Vulnerabilidad de los activos encontrados

Impacto de las amenazas

Tipos de control que se puede implementar para resolver el problema

Complementar la información que permita planear un sistema completo de gestión de seguridad de la

información para la organización

Estructura del informe:

Portada.- fecha, nombre de autor y título

Introducción.- explicar motivo y propósito del análisis

Cuerpo.- se detalla los resultados del análisis que se obtiene de:

La valoración de activos

Los niveles de vulnerabilidad de los activos

El impacto de las amenazas

Propuestas o conclusión de medidas de seguridad.- se elabora una tabla en la que proponga

medidas de seguridad en base en:

Amenazas detectadas

Impacto en los activos

Medidas de uno o varios tipos de control

La elaboración de un informa claro y comprensible, ayudará a determinar la mejor solución

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI).- sirve para:

Asegurar la calidad (sistemas de gestión)

Para el manejo adecuado de los activos

Protegerlos de ataques y amenazas

Durante la gestión de la información una organización debe garantizar:

o Confidencialidad

o Integridad

o Disponibilidad

Hay alternativas viables para minimizar riesgos en pequeñas y medianas empresas, se encuentra el uso de la

metodología de la norma ISO 27001, norma que permite establecer:

POLITICAS

PROCEDIMIENTOS

CONTROLES

REQUISITOS:

o Establecer

o Implementar

o Operar

o Revisar

o Mantener

o Mejorar el sistema

Para implementar este modelo PDCA, es importante la participación de todo el personal

Planeación:

o Diagnóstico del estatus de seguridad

o Medidas de solución

o Minimizar riesgos.- evaluar la importancia de los riesgos y se determine

controles para minimizarlos

Do:

o Implementar controles durante la planificación

o Informar al personal el por qué y el para que de las medidas tomadas

Check.- realiza labores de mantenimiento del sistema aplicando medidas ante fallos o

debilidades que se detecten en la fase de seguimiento.

o Preventivas

o Correctivas

o De mejora

Act:

o Evalúa el éxito y eficiencia de la implementación

o Indicadores de resultados

Todo el proceso debe documentarse en 4 tipos de documentos:

1. Políticas.- se especifica los objetivos generales de la organización al inicio del modelo

2. Procedimientos.- el desarrollo de los objetivos

3. Instrucciones.- comandos técnicos que se realizaran durante los procedimientos

4. Registros.- plasma los indicadores y métricas de los objetivos.

El modelo es un proceso cíclico, una vez que se termine la última fase se debe comenzar de

nuevo tomando como base los resultados obtenidos del primer ciclo.

Beneficios al implementar el modelo PDCA:

Reducción de riesgos

Ahorro en costos

Seguridad como habito

Cumplimiento de la legislación vigente

Incremento de la competitividad

Mejora la imagen corporativa