PDF de programación - Seguridad Informática: Capítulo 2: Análisis de Riesgos

Seguridad Informática:
Capítulo 2: Análisis de
Riesgos

Titulación: Ingeniero en Informática.
Curso 5º - Cuatrimestral (2005-2006)

Javier Jarauta Sánchez
José María Sierra
Rafael Palacios Hielscher

Indice: Análisis de Riesgos

Identificación y valoración de activos
Identificación y valoración de las amenazas
Identificación de las medidas de seguridad existentes
Identificación y valoración de vulnerabilidades
Identificación de restricciones y objetivos de seguridad

1.
2.
3.
4.
5.
6. Determinar medidas del riesgo
7. Determinar el impacto
8.

Identificación y seleccionar las medidas de protección

2
Capítulo 2

Fase 1. Inventario Clasificación
y valoración de Activos

3
Capítulo 2

Fase 1.1 : Inventario y clasificación de
activos

• Físicos, edificios
• Equipos de soporte: climatización,
• Suministros varios
• Personal: propio y externo, función, perfil, formación
• Hardware: Mainframe, Servidores, PC, portátiles
• Software: S.O., aplicaciones comerciales y propias,

herramientas de desarrollo y otros

• Equipos de comunicaciones: routers, modems
• Equipos y sistemas de back-up: discos, cintas, robot, cartuchos
•
• Documentación: procedimientos operativos, manuales de los

Información: bases de datos, ficheros

sistemas, planes de contingencia

• Confianza de los clientes
Imagen de la organización
•
• Otros...

4
Capítulo 2

Fase 1.2: Valoración de activos

• El valor representa la importancia del activo en

la organización

• No tiene por qué ser directamente económico

(p.e. Imagen de la empresa)

• El método debe permitir valoración cualitativa
(Alto, Medio, Bajo) y cuantitativa (en Meuros)

• El valor ha de tener en cuenta todo: su
adquisición, desarrollo, mantenimiento,
sustitución, credibilidad....

• Identificar y valorar los activos críticos

5
Capítulo 2

Tabla inventario de activos

• Clave: Código que lo identifique
• Activo: Nombre del activo
• Propietario:
• Administrador:
• Usuario (s):
• Confidencialidad: Alta, Media, Baja(actual / requerida)
•
• Disponibilidad: Alta, Media, Baja(actual / requerida)
• Control de acceso: A, M, B (actual / requerida)
• Criticidad – Valoración: A, M, B – Valor estimado
• Observaciones:

Integridad: Alta, Media, Baja(actual / requerida)

6
Capítulo 2

Fase 2. Inventario Clasificación
y valoración de Amenazas

7
Capítulo 2

Amenazas: definiciones y tipificación

• Activo: algo de valor al que afecta la amenaza
• Actor: quién o que puede violar los requisitos de seguridad
• Motivo: Accidental (desastres naturales, errores humanos,

fallos en equipos) o Intencionado (solo a acciones
humanas)

• Acceso: Cómo el actor accede al activo (físico, lógico (solo

aplica a acciones humanas)

• Resultado: de la violación de los requisitos de seguridad

de un activo (pérdida de confidencialidad, integridad –
modificación-, disponibilidad -destrucción, pérdida,
interrupción-)
Impacto: efecto de una amenaza

•

8
Capítulo 2

Fase 2.1: Identificación de las
amenazas

• 01. Desastres naturales (Tormentas, rayos,

terremotos, inundaciones)

• 02. Estructurales (Incendios, inundaciones, humedad,

cortes de electricidad, agua, refrigeración,
comunicaciones)

• 03. Hardware (Fallo total o parcial de Servidores,

Estaciones PC, portátiles)

• 04. Software (Errores en los SO, BD, software base,
Web servers, aplicaciones, elementos de seguridad)

• 05. Red LAN y WAN (red interna, redes con
delegaciones, sistemas de seguridad de las
comunicaciones, redes públicas ajenas)

9
Capítulo 2

Fase 2.1: Identificación de las
amenazas

• 06. Copias de seguridad (Fallos en elementos de

copias, fallos en soportes cintas, discos, robot)

• 07. Información (Bases de datos, ficheros, manuales,

procedimientos, planes de contingencia)

• 08. Personal (Errores y ataques de personal interno,

externo, funciones, perfiles, formación)

• 09. Riesgos contra el patrimonio (Robo, pérdida no

intencionada de activos)

• 10. Otros riesgos (Terrorismo, epidemias, confianza
de los clientes, imagen de empresa, insolvencia de
servicios externos, seguros, outsourcing...)

10
Capítulo 2

Fase 2.2: Valoración de las amenazas

• Establecer la importancia de la amenza
• Para cada amenaza hay que identificar:

– El origen (qué o quién)
– El blanco (elementos que pueden ser afectados)

• En una fase posterior del análisis se identificará:

– La probabilidad de ocurrencia
– El impacto y consecuencias de su ocurrencia

• Clasificación de su importancia en tres o cinco

niveles
– Alta, Media, Baja
– Muy alta, Alta, Media, Baja, Muy baja

11
Capítulo 2

Fase 3. Identificación de las
medidas de seguridad existentes

12
Capítulo 2

Fase 3.1: Identificación de las
medidas de seguridad existentes

• Identificar las medidas de seguridad existentes
• Conocer su grado de efectividad
• Identificar a los activos que aplican
• Clasificación de las medidas existentes:

– Medidas organizativas:
– Medidas de seguridad física:
– Medidas de seguridad lógica (tecnológicas)
– Medidas legales

• Estimación de su criticidad y estado (bien,

mejorable, malo)

13
Capítulo 2

Identificación de medidas existentes
(I)

• Medidas organizativas:
– Política de seguridad
– Procedimientos, recomendaciones y normas
– Formación y concienciación

• Seguridad física:

– Acceso a edificios y salas de SI (Vigilancia,..)
– Sistemas anti-intrusión (puertas blindadas, arcos detectores,

control de accesos por llave, tarjeta...)

– Sistemas anti-incendio y anti-inundación
– Sistemas de alimentación eléctrica (general, baterías,

generadores,...)

– Aire acondicionado
– Suministro de agua para refrigeración

14
Capítulo 2

Identificación de medidas existentes
(II)

• Seguridad lógica

– Integridad de los sistemas
– Confidencialidad: cifrado en transmisión o almacenamiento,

...

– Disponibilidad: redundancia,...
– Identificación y autenticación de usuarios: estándar o

fuerte,...

– Auditorias: habilitación de logs y pistas

• Cumplimiento con la legislación:

– Identificación de la legislación aplicable
– Cumplimiento con LOPD, LSSI, otras

15
Capítulo 2

Fase 4. Identificación de
vulnerabilidades

16
Capítulo 2

Fase 4.1: Identificación de
vulnerabilidades

• Han de identificarse las vulnerabilidades generales

para la organización

• Han de identificarse las vulnerabilidades específicas

para cada activo o grupo de activos inventariados,
especialmente los identificados como críticos

• Clasificar por categorías utilizando las mismas que las

amenazas (01 a 10 categorías)

• Ha de evaluarse la importancia de la vulnerabilidad

identificando si existe o no medida de protección
frente a la misma, así como su eficacia

• Conviene ampliar el estudio con pruebas:

– Test de intrusión (hacking ético) interno y externo
– Ingeniería social

17
Capítulo 2

Fase 4.2: Valoración de
vulnerabilidades

• Criterios de valoración en tres o cinco niveles

– Alta, Media, Baja
– Muy alta, Alta, Media, Baja, Muy baja

• Tabla de vulnerabilidades

– Código:
– Descripción:
– Activo(s) a los que afecta
– Impacto:
– Valoración:
– Recomendaciones

18
Capítulo 2

Fase 5. Identificación de
restricciones y objetivos

19
Capítulo 2

Fase 5.1: Identificación de
restricciones

• Afectan a las medidas de protección a implantar
• Restricciones de tiempo: que sea aceptable, limitar el tiempo

máximo para un riesgo específico

• Restricciones financieras: el coste de las medidas no debe ser

mayor que el de los activos que protegen

• Restricciones técnicas: mejor implantar medidas en la fase de

diseño que en explotación. Si no existen medidas, implantar alguna
compensatoria mediante procedimientos o de seguridad física

• Restricciones sociológicas: costumbres, cultura, mentalización,
aceptación de la organización. Ante la negatividad, las medidas
serán inoperativas

• Restricciones ambientales: superficie y espacio disponible, entorno,

etc.

• Restricciones legales: informáticas y otras (edificios, laboral...)

Suelen ser medidas impulsoras más que restricciones

20
Capítulo 2

Fase 5.2: Identificación de objetivos
de seguridad

• Identificar lo que se espera del plan de

seguridad de los Sistemas de Información

• Objetivos estratégicos definidos en la Política de

seguridad

• Objetivos específicos cualitativos y cuantitativos

referentes a un activo o grupo de activos

• Pueden definirse en relación a los servicios de

Integridad, Confidencialidad y Disponibilidad

• Pueden identificarse fases limitando el alcance,
teniendo en cuenta las restricciones identificadas

21
Capítulo 2

Fase 6. Determinación de
la medida del riesgo

22
Capítulo 2

Fase 6: Determinar medidas del
riesgo

• Es la probabilidad de que una amenaza ocurra
• Es la facilidad con que un ataque se implementa

(Amenaza x Vulnerabilidad)

• Un riesgo resulta de la existencia de una amenaza

explotando una vulnerabilidad

• Una amenaza sin vulnerabilidad no presenta riesgo, y

una vulnerabilidad sin amenaza tampoco

• Si la combinación de amenaza y vulnerabilidad no
produce impacto, tampoco han de implantarse las
medidas de protección necesarias

• Un riesgo puede estar compuesto por varias

amenazas

23
Capítulo 2

Determinar la medida del riesgo

• Existen tres medidas del riesgo a considerar:

– 1. Inherente: medido sin tener en cuenta el efecto

de las medidas de protección existentes

– 2. Actual: medido teniendo en cuenta las medidas

de protección existentes

– 3. Residual: medido teniendo en cuenta las

medidas de protección existentes, recomendadas y
planificadas

• La diferencia entre 1, 2 y 3 es una medida de la

efectividad de las medidas de protección

24
Capítulo 2

Determinación de las probabilidades

• Clasificación para amenazas naturales (4 niveles)

– Alta (A): 1 ocurrencia cada año
– Media (M): 1 ocurrencia cada 5 años
– Baja (B): 1 ocurrencia cada 10 años
– Muy baja (MB): 1 ocurrencia cada 20 años

• Clasificación para amenazas accidentales o

intencionadas (5 niveles)
– Extremadamente frecue