Seguridad Informática:
Capítulo 2: Análisis de
Riesgos
Titulación: Ingeniero en Informática.
Curso 5º - Cuatrimestral (2005-2006)
Javier Jarauta Sánchez
José María Sierra
Rafael Palacios Hielscher
Indice: Análisis de Riesgos
Identificación y valoración de activos
Identificación y valoración de las amenazas
Identificación de las medidas de seguridad existentes
Identificación y valoración de vulnerabilidades
Identificación de restricciones y objetivos de seguridad
1.
2.
3.
4.
5.
6. Determinar medidas del riesgo
7. Determinar el impacto
8.
Identificación y seleccionar las medidas de protección
2
Capítulo 2
Fase 1. Inventario Clasificación
y valoración de Activos
3
Capítulo 2
Fase 1.1 : Inventario y clasificación de
activos
• Físicos, edificios
• Equipos de soporte: climatización,
• Suministros varios
• Personal: propio y externo, función, perfil, formación
• Hardware: Mainframe, Servidores, PC, portátiles
• Software: S.O., aplicaciones comerciales y propias,
herramientas de desarrollo y otros
• Equipos de comunicaciones: routers, modems
• Equipos y sistemas de back-up: discos, cintas, robot, cartuchos
•
• Documentación: procedimientos operativos, manuales de los
Información: bases de datos, ficheros
sistemas, planes de contingencia
• Confianza de los clientes
Imagen de la organización
•
• Otros...
4
Capítulo 2
Fase 1.2: Valoración de activos
• El valor representa la importancia del activo en
la organización
• No tiene por qué ser directamente económico
(p.e. Imagen de la empresa)
• El método debe permitir valoración cualitativa
(Alto, Medio, Bajo) y cuantitativa (en Meuros)
• El valor ha de tener en cuenta todo: su
adquisición, desarrollo, mantenimiento,
sustitución, credibilidad....
• Identificar y valorar los activos críticos
5
Capítulo 2
Tabla inventario de activos
• Clave: Código que lo identifique
• Activo: Nombre del activo
• Propietario:
• Administrador:
• Usuario (s):
• Confidencialidad: Alta, Media, Baja(actual / requerida)
•
• Disponibilidad: Alta, Media, Baja(actual / requerida)
• Control de acceso: A, M, B (actual / requerida)
• Criticidad – Valoración: A, M, B – Valor estimado
• Observaciones:
Integridad: Alta, Media, Baja(actual / requerida)
6
Capítulo 2
Fase 2. Inventario Clasificación
y valoración de Amenazas
7
Capítulo 2
Amenazas: definiciones y tipificación
• Activo: algo de valor al que afecta la amenaza
• Actor: quién o que puede violar los requisitos de seguridad
• Motivo: Accidental (desastres naturales, errores humanos,
fallos en equipos) o Intencionado (solo a acciones
humanas)
• Acceso: Cómo el actor accede al activo (físico, lógico (solo
aplica a acciones humanas)
• Resultado: de la violación de los requisitos de seguridad
de un activo (pérdida de confidencialidad, integridad –
modificación-, disponibilidad -destrucción, pérdida,
interrupción-)
Impacto: efecto de una amenaza
•
8
Capítulo 2
Fase 2.1: Identificación de las
amenazas
• 01. Desastres naturales (Tormentas, rayos,
terremotos, inundaciones)
• 02. Estructurales (Incendios, inundaciones, humedad,
cortes de electricidad, agua, refrigeración,
comunicaciones)
• 03. Hardware (Fallo total o parcial de Servidores,
Estaciones PC, portátiles)
• 04. Software (Errores en los SO, BD, software base,
Web servers, aplicaciones, elementos de seguridad)
• 05. Red LAN y WAN (red interna, redes con
delegaciones, sistemas de seguridad de las
comunicaciones, redes públicas ajenas)
9
Capítulo 2
Fase 2.1: Identificación de las
amenazas
• 06. Copias de seguridad (Fallos en elementos de
copias, fallos en soportes cintas, discos, robot)
• 07. Información (Bases de datos, ficheros, manuales,
procedimientos, planes de contingencia)
• 08. Personal (Errores y ataques de personal interno,
externo, funciones, perfiles, formación)
• 09. Riesgos contra el patrimonio (Robo, pérdida no
intencionada de activos)
• 10. Otros riesgos (Terrorismo, epidemias, confianza
de los clientes, imagen de empresa, insolvencia de
servicios externos, seguros, outsourcing...)
10
Capítulo 2
Fase 2.2: Valoración de las amenazas
• Establecer la importancia de la amenza
• Para cada amenaza hay que identificar:
– El origen (qué o quién)
– El blanco (elementos que pueden ser afectados)
• En una fase posterior del análisis se identificará:
– La probabilidad de ocurrencia
– El impacto y consecuencias de su ocurrencia
• Clasificación de su importancia en tres o cinco
niveles
– Alta, Media, Baja
– Muy alta, Alta, Media, Baja, Muy baja
11
Capítulo 2
Fase 3. Identificación de las
medidas de seguridad existentes
12
Capítulo 2
Fase 3.1: Identificación de las
medidas de seguridad existentes
• Identificar las medidas de seguridad existentes
• Conocer su grado de efectividad
• Identificar a los activos que aplican
• Clasificación de las medidas existentes:
– Medidas organizativas:
– Medidas de seguridad física:
– Medidas de seguridad lógica (tecnológicas)
– Medidas legales
• Estimación de su criticidad y estado (bien,
mejorable, malo)
13
Capítulo 2
Identificación de medidas existentes
(I)
• Medidas organizativas:
– Política de seguridad
– Procedimientos, recomendaciones y normas
– Formación y concienciación
• Seguridad física:
– Acceso a edificios y salas de SI (Vigilancia,..)
– Sistemas anti-intrusión (puertas blindadas, arcos detectores,
control de accesos por llave, tarjeta...)
– Sistemas anti-incendio y anti-inundación
– Sistemas de alimentación eléctrica (general, baterías,
generadores,...)
– Aire acondicionado
– Suministro de agua para refrigeración
14
Capítulo 2
Identificación de medidas existentes
(II)
• Seguridad lógica
– Integridad de los sistemas
– Confidencialidad: cifrado en transmisión o almacenamiento,
...
– Disponibilidad: redundancia,...
– Identificación y autenticación de usuarios: estándar o
fuerte,...
– Auditorias: habilitación de logs y pistas
• Cumplimiento con la legislación:
– Identificación de la legislación aplicable
– Cumplimiento con LOPD, LSSI, otras
15
Capítulo 2
Fase 4. Identificación de
vulnerabilidades
16
Capítulo 2
Fase 4.1: Identificación de
vulnerabilidades
• Han de identificarse las vulnerabilidades generales
para la organización
• Han de identificarse las vulnerabilidades específicas
para cada activo o grupo de activos inventariados,
especialmente los identificados como críticos
• Clasificar por categorías utilizando las mismas que las
amenazas (01 a 10 categorías)
• Ha de evaluarse la importancia de la vulnerabilidad
identificando si existe o no medida de protección
frente a la misma, así como su eficacia
• Conviene ampliar el estudio con pruebas:
– Test de intrusión (hacking ético) interno y externo
– Ingeniería social
17
Capítulo 2
Fase 4.2: Valoración de
vulnerabilidades
• Criterios de valoración en tres o cinco niveles
– Alta, Media, Baja
– Muy alta, Alta, Media, Baja, Muy baja
• Tabla de vulnerabilidades
– Código:
– Descripción:
– Activo(s) a los que afecta
– Impacto:
– Valoración:
– Recomendaciones
18
Capítulo 2
Fase 5. Identificación de
restricciones y objetivos
19
Capítulo 2
Fase 5.1: Identificación de
restricciones
• Afectan a las medidas de protección a implantar
• Restricciones de tiempo: que sea aceptable, limitar el tiempo
máximo para un riesgo específico
• Restricciones financieras: el coste de las medidas no debe ser
mayor que el de los activos que protegen
• Restricciones técnicas: mejor implantar medidas en la fase de
diseño que en explotación. Si no existen medidas, implantar alguna
compensatoria mediante procedimientos o de seguridad física
• Restricciones sociológicas: costumbres, cultura, mentalización,
aceptación de la organización. Ante la negatividad, las medidas
serán inoperativas
• Restricciones ambientales: superficie y espacio disponible, entorno,
etc.
• Restricciones legales: informáticas y otras (edificios, laboral...)
Suelen ser medidas impulsoras más que restricciones
20
Capítulo 2
Fase 5.2: Identificación de objetivos
de seguridad
• Identificar lo que se espera del plan de
seguridad de los Sistemas de Información
• Objetivos estratégicos definidos en la Política de
seguridad
• Objetivos específicos cualitativos y cuantitativos
referentes a un activo o grupo de activos
• Pueden definirse en relación a los servicios de
Integridad, Confidencialidad y Disponibilidad
• Pueden identificarse fases limitando el alcance,
teniendo en cuenta las restricciones identificadas
21
Capítulo 2
Fase 6. Determinación de
la medida del riesgo
22
Capítulo 2
Fase 6: Determinar medidas del
riesgo
• Es la probabilidad de que una amenaza ocurra
• Es la facilidad con que un ataque se implementa
(Amenaza x Vulnerabilidad)
• Un riesgo resulta de la existencia de una amenaza
explotando una vulnerabilidad
• Una amenaza sin vulnerabilidad no presenta riesgo, y
una vulnerabilidad sin amenaza tampoco
• Si la combinación de amenaza y vulnerabilidad no
produce impacto, tampoco han de implantarse las
medidas de protección necesarias
• Un riesgo puede estar compuesto por varias
amenazas
23
Capítulo 2
Determinar la medida del riesgo
• Existen tres medidas del riesgo a considerar:
– 1. Inherente: medido sin tener en cuenta el efecto
de las medidas de protección existentes
– 2. Actual: medido teniendo en cuenta las medidas
de protección existentes
– 3. Residual: medido teniendo en cuenta las
medidas de protección existentes, recomendadas y
planificadas
• La diferencia entre 1, 2 y 3 es una medida de la
efectividad de las medidas de protección
24
Capítulo 2
Determinación de las probabilidades
• Clasificación para amenazas naturales (4 niveles)
– Alta (A): 1 ocurrencia cada año
– Media (M): 1 ocurrencia cada 5 años
– Baja (B): 1 ocurrencia cada 10 años
– Muy baja (MB): 1 ocurrencia cada 20 años
• Clasificación para amenazas accidentales o
intencionadas (5 niveles)
– Extremadamente frecue
Comentarios de: Seguridad Informática: Capítulo 2: Análisis de Riesgos (0)
No hay comentarios