1.2.2 Activo Cada organización tiene activos y recursos valiosos. La identificación de activos es el proceso por Medio del cual una compañía intenta valuar la información y sus sistemas
Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario,
Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo y utilitarios.
Activos físicos:
equipamiento informático (procesadores, monitores, computadoras portátiles,
módems)
Servicios: servicios informáticos y de comunicaciones, utilitarios generales, por ej., Calefacción, iluminación, energía eléctrica, aire acondicionado.
Recursos humanos.
1.2.3 Vulnerabilidades El modelo STRIDE de Microsoft proporciona una estructura para identificar las amenazas y los posibles puntos débiles:
La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario
La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente
El repudio es la capacidad de negar que algo ha ocurrido. La divulgación de información implica la exposición de información ante usuarios que se Supone que no deben disponer de ella
Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP. La elevación de privilegios es el proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar
1.3.1 RIESGO Y CONTROL El análisis de riesgos implica determinar lo siguiente: • Qué necesita proteger: Evaluación de los activos y su importancia • De quién debe protegerlo: Evaluación de amenazas y vulnerabilidades • Cómo protegerlo: Evaluación de contramedidas
Entre los factores que tenemos que considerar para realizar una correcta evaluación del riesgo, encontramos: • El riesgo de pérdida del recurso, que dependerá de las amenazas a las que está expuesto, las contra medidas implementadas para protegerlo y sus vulnerabilidades asociadas. Es un arte que depende del conocimiento y experiencia del evaluador.
• La importancia que representa el recurso para la empresa, evaluada según cada tipo, de acuerdo a los siguientes factores:
• Disponibilidad: es la medida de qué tan importante es tener el recurso disponible todo el tiempo.
• Integridad: es la medida de cuán importante es que el recurso o los datos del mismo sean consistentes. Esto es de particular trascendencia para los recursos de bases de datos.
• Confidencialidad: es la medida de cuán importante es que los recursos sólo sean observados por las personas autorizadas.
1.3.2 Evaluación del riesgo de un recurso Las técnicas de evaluación de riesgos pueden aplicarse a toda la organización, o sólo a partes de la misma, Necesitaremos determinar los siguientes factores: • Estimación del riesgo de pérdida del recurso (Ri) • Estimación de la importancia del recurso (Wi)
Para realizar la cuantificación del riesgo de perder un recurso, podremos asignarle un valor numérico. Por ejemplo, al riesgo (Ri) de perder un recurso se le asigna un valor de cero a diez, donde cero indica que no hay riesgo y diez es el riesgo más alto.
1.3.3 Objetivos de la Gestión de Riesgo La gestión del riesgo o “Information Risk Management”, no es otra cosa que el proceso de identificar, analizar, determinar y tratar el riesgo. Dicho proceso se encuentra principalmente compuesto por dos fases claramente definidas, siendo estas las mencionadas a continuación:
1. Análisis de Riesgos (Risk Assessment): Comprende la Identificación de vulnerabilidades y amenazas, el análisis de probabilidad de ocurrencia e impacto y el análisis de las medidas para aceptar, evitar o transferir el riesgo. 2. Tratamiento de Riesgos: Comprende las tareas de priorización, presupuestado, Implementación y mantenimiento de medidas seleccionadas para la mitigación de riesgos. Si bien no todos los riesgos a los que se enfrenta una organización se encuentran relacionados con la computación, cuando la gestión de riesgos se centra en seguridad de la información, es posible observar entre otros los siguientes riesgos que es necesario direccionar: • Daño Físico: Fuego, agua, vandalismo, perdida de energía y desastres naturales. • Acciones Humanas: Acción intencional o accidental que pueda atentar contra la productividad. • Fallas del Equipamiento: Fallas del sistema o dispositivos periféricos. • Ataques Internos o Externos: Hacking, Cracking y/o cualquier tipo de ataque. • Pérdida de Datos: Divulgación de secretos comerciales, fraude, espionaje y robo. • Errores en las Aplicaciones: Errores de computación, errores de entrada, buffers overflows
1.3.4 Preguntas a responder Muchas veces resulta más sencillo comprender el verdadero alcance de los procesos relacionados con la Gestión del Riesgo, viendo alguno de los componentes intervinientes en el proceso, como una serie de interrogantes que requieren de respuesta: • ¿Que puede pasar? (Amenaza) • ¿Si Pasa, qué tan malo puede ser? (Impacto de la amenaza) • ¿Qué tan seguido puede pasar? (Frecuencia de la amenaza) • ¿Qué tan seguro estoy de las respuestas anteriores? (Falta de Certeza, Incertidumbre) • ¿Qué puedo hacer? (Mitigar el riesgo) • ¿Cuanto me costará? (Siempre calculado en forma anualizado) • ¿Dicho costo es efectivo? (Relación costo beneficio!)
1.3.5 El equipo de Gestión de Riesgo la Política de Seguridad de la Información y con la Estrategia de la Organización contemple entre otros los siguientes puntos: • Objetivos • Definición de niveles aceptables de riesgo • Procesos de análisis y tratamiento de riesgos • Metodologías
• Definición de roles y responsabilidades • Indicadores claves para el monitoreo de los controles implementados para la mitigación del riesgo
1.3.6 Tipos de Análisis de Riesgo El análisis de riesgo de tipo “Cuantitativo”, intenta asignar valores reales y objetivos a cada componente de la evaluación de riesgos y a cada potencial perdida. el análisis del tipo “Cualitativo” utiliza elementos soft de la organización (opinión, mejores prácticas, intuición, experiencia, etc.) para ponderar el riesgo y sus componentes
1.3.7 Tratamiento de Riesgo Tratamiento de Riesgos”, que como mencionáramos anteriormente, incluye las tareas de priorización, presupuestado, implementación y mantenimiento de los controles seleccionados a efectos de mitigar el riesgo.
1.4.1 CONCEPTOS 1.4.2 Exposición Solemos referirnos bajo el termino “Exposición”, a la instancia en la cual la información o un activo de información, es susceptible a dañarse o perderse por el accionar de un “agente de amenaza”.
1.4.3 Contramedidas Formalmente, el término “Contramedida” o “Salvaguarda” es utilizado para referirnos a cualquier tipo de medida que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza específica.
1.4.4 Hacker, Cracker y Script Kiddies los Hacker es alguien que penetra sistemas con el único fin de obtener un beneficio económico o por simple malicia. Los Crackers forman pequeños grupos, secretos y privados, se adentran en el terreno de lo ilegal, que tienen muy poco que ver con la cultura abierta que se describe en el mundo Hacker. Todos los Hackers tienen Script kiddie es un término despectivo utilizado para describir a aquellos que utilizan programas y scripts desarrollados por otros para atacar sistemas de computadoras y redes.
1.4.5 Black Hat, Grey Hat y White Hat Black Hat, es el término con el que se llama a aquellos quienes comprometen la seguridad de un sistema, sin el permiso de su propietario, usualmente con la intención de lograr acceso no autorizado a las computadoras de la red. el termino White Hat, suele ser utilizado para aquellas personas quienes se encuentran éticamente opuestas al abuso de redes y sistemas. los White Hat utilizan sus conocimientos con el objeto de proteger los sistemas de información, ya sea actuando como oficiales de seguridad, o reportando vulnerabilidades a los vendors Grey Hat, es el término que la comunidad utiliza para referirse a un Hacker que poseyendo el skill suficiente, algunas veces actúa legalmente (Tal como un White Hat) y otras no.
1.4.6 Lamer y Wannabe Lamer es Lo utilizan para hacer referencia a aquella persona que se aprovecha de los recursos que ofrece la comunidad underground sin aportar nada a cambio. el término wannabes, para designar a aquellos que podrán llegar a ser un Hacker, pero que aún le falta conocimiento para serlo.
1.4.7 Breve resumen histórico 1878: Menos de dos años después de que el sistema telefónico de Alexander Graham Bell empezara a funcionar, un grupo de adolescentes echó abajo la red. 1958: EE.UU. crea ARPA ( Advanced Re search Projects Agency ), ciencia y tecnología aplicada al campo militar. 1960: Los Hackers originales utilizaron los primeros mainframes del MIT para desarrollar habilidades y explorar el potencial de la informática. En esa época, Hacker era un término elogioso para los usuarios con un conocimiento exponencial de los ordenadores. 1969: La agencia de proyectos de investigación avanzados del Departamento de Defensa (DoD), construyó Arpanet. 1971: Antes del uso masivo de los ordena dores y de Internet, los phreakers utilizaron la extensa base de redes telefónicas. John Draper (Cap'n Crunch), descubrió que un simple silbato permitía a los usuarios entrar en los sistemas de facturación de las llamadas a larga distancia. 1973: Kahn desarrolla un nuevo protocolo, el TCP/IP (Transmisión Control Protocol/ Internet Protocol). 1976: Dos miembros del Homebrew Com puter Club lanzaron las llamadas blue box, que se utilizaban para Hacker sistemas telefónicos. La pareja (Steve Jobs y Steve Wozniak) con seguirían hacerse famosos después al fundar Apple Computer. 1983: Primer arresto de Hackers por el FBI después de que invadieran el centro de investigación de Los Alamos. Se estrena la película Juegos de guerra , que cambió la percepción del público con relación a los Hackers y estableció su prestigio. 1984: Se funda la publicación trimestral 2600 (nombrada como la frecuencia del silbato de John Draper), que ofrecía una plataforma a los Hackers y phreakers para expresar sus conocimientos y habilidades. Se forma Legion of Doom (LoD). 1987: Herbert Zinn, de 17 años de edad, es arrestado después de entrar en el sistema de AT&T. Los expertos afirman que estuvo a punto de bloquear todo el sistema telefónico norte americano. Se crea el primer virus conocido de MS-DoS, Brain. Los investigadores creen que se escribió en Pakistán. Infectaba el sector de arranque de los disquetes de 360 KB. 1988: Robert Morris bloquea 6.000 ordenadores a través de ARPANET con su famoso virus, que lanzó, según sus propias palabras, de forma accidental. Se funda la CERT ( Computer Emergency Response Team). Aparece el primer software antivirus, escrito por un desarrollador de Indonesia. 1989: Primer caso de ciberespionaje en Alemania Occidental. The Mentor lanza el manifiesto
Conscience of a Hacker , que finaliza con una frase inquietante: pueden detener a una persona, pero no pueden detenernos a todos. 1990: Se lanza el grupo de apoyo Freedom on the Internet . Aparecen sofisticados tipos de virus como los polimórficos (que se modifican a sí mismos cuando se expanden) o los de multipartición (que infectan diversas zonas de una máquina). El First National Citibank de Chicago sufre el primer robo informático reconocido por una cantidad de 70 millones de dólares. El Hacker Dark Dante, Kevin Lee Poulsen, es arrestado después de una búsqueda de 17 meses. Robaba secretos militares. Mitnick y