Ensayo sobre análisis de riesgos y vulnerabilidades
Por Carolina Guzmán Rodríguez
Presentado Fernando Quintero
Grupo 38110
SENA Centro de servicios y Gestión empresarial Administración de redes de cómputo Medellín ² Colombia Año 2011
La naturaleza de la seguridad informática
En lo que se comprende comprende a la seguridad seguridad informática, informática, dentro de de este campo se habla del análisis de riesgo que se implementa a todo lo que quiero proteger,así proteger,así una gestión de riesgo riesgo es un método método para determinar, determinar, analizar, valorar y clasificar el riesgo como tal y aplicar a este un mecanismo o método que permitan controlarlo, el análisis de riesgos contiene cuatro fases que son: En primer lugar se comienza por el análisis que determina todos aquellos componentes que requieren de protección, también da a conocer cuáles son aquellas vulnerabilida vulnerabilidades des que lo ponen en riesgo, disposición disposición de otros y sus amenazas que son las que atacan las vulnerabilidades para así degradar este componente; la clasificación que determina tanto los riesgos encontrados como los riesgos restantes que son aceptable para la implementación del método de mejora; la reducción se encarga de ejecutar o implementar las medidas de protección que se necesitan para aquellos componentes vulnerables, también sensibiliza y capacita en gran medida a los usuarios enfoque a las medidas que se implementan; y por ultimo esta lo que se denomina control que se ejecuta después de la reducción del riesgo con el objetivo de analizar el funcionamiento, la efectividad y el cumplimiento de todas las medidas que se pensaron en un comienzo para ejecutar las mejoras, también en ajustar las medidas deficientes que se implementan y sancionar el incumplimiento incumplimiento de estas. Todo el proceso de análisis de riesgo está basado en lo que se denomina o llamamos las políticas de seguridad, que serían normas o reglas institucionales que se establecen de acuerdo a mi necesidad dentro de todo lo que es empresa, con el objetivo de que por medio del marco operativo del proceso, potenciar las capacidades empresariales o institucionales para que tengan claro que es importante implementar un método de seguridad que ayude a reducir las vulnerabilidades que de un cierto modo son vulneradas por las amenazas, por ende se se tiende a reducen el riesgo, otra es motivar y fomentar el funcionamiento funcionamiento organizativo organizativo y eficaz dentro de la compañía garantizando garantizando comportamiento comportamiento homogéneo que garantiza garantiza la corrección corrección de conductas conductas o practicas por los mismos empleados que los hacen vulnerables. v ulnerables. Hoy en día existen muchas amenazas amenazas que ponen en riesgo nuestros activos tanto humanos como no humanos, la amenaza es la posibilidad de
ocurrencia ocurrencia de cualquier cualquier tipo tipo de evento, acción o proceso proceso que que puede producir un daño (material o inmaterial) sobre cualquier elemento de un sistema, existen amenazas de origen externo como interno que se encargan de buscar las vulnerabilidades para así atacarlas como sea,por lo general se distinguen tres grupos de amenazas en los cuales dentro de la criminalidad se encuentran todas aquellas acciones causadas por la intervención humana que viola la ley y están penalizadas, los sucesos de origen físico que son todos aquellos sucesos como incendio, inundación, suspensión de energía, sobrecarga entre otras, negligencia y decisiones institucionales que son aquellas decisiones, acciones por parte de las personas que tienen influencia sobre el sistema. La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.Las vulnerabilidades en los activos de información desde siempre se han dado, por ello es el afán de crear herramientas y parches para evitar los riesgos en esta clase de activos, esto ayuda también a aquellos administradores encargados del que se aplique la disponibilidad, confidencialidad e integridad en los datos e información de los sistemas. Cuando en una empresa se tiene conciencia de que hay que proteger todo aquello que me genera valor (activos) se implementa un análisis de riesgos y luego después de estos resultados lo que se hace es ejecutar medidas medidas de protección para la reducción reducción de los riesgos existentes, aquí es donde aparece el denominado riesgo restante que son aquellos peligros peligros y amenazas que quedaron después de haber implementado las medidas de protección, este riesgo lo podemos verlo de dos formas, una es que ponerlo en modo de alerta e implementar más medidas para así reducirlo hasta donde sea posible posible y llevar un control control para que que a la hora que sea atacado no cause mucho daño, otra forma es aceptar conscientemente de los posibles impactos y sus consecuencias y no hacer nada sobre ello. También es importante que dentro del informe final que comprende a un análisis de riesgosse incluyan el análisis de las vulnerabilidades ya que este nos muestra en donde están las posibles fallas que inciden a que presenten los riesgos, además a través de un análisis de vulnerabilidades podemos examinar detalladamente los robustez y la seguridad de cada uno de los sistemas y dispositivos para analizar cuáles son las mejores contramedidas
que se pueden implementar con el objetivo de minimizar en un 1% el impacto de un ataque. El análisis de vulnerabilidades se debe hacer siempre y cuando ocurran cambios en el diseño de la red o los sistemas ya sea porque queremos extender la red o actualizar actualizar nuestros sistemas y dispositivos. dispositivos. Para saber que vulnerabilidades puedo tener se pueden implementar distintos métodos y herramientas según sea lo que queramos vulnerar,si tenemos conocimiento en el tema de seguridad, lo que podemos hacer ante esta pregunta ¿será que mis activos son vulnerables? es ponernos del otro lado, eso quiere decir en simular ser un atacante, desde esta posición aplicar todos nuestro conocimientos para vulnerar la mayor cantidad de activos realizando varios intentos de ataque a la red, buscando las debilidades, mediante un escaneo de puertos, analizador de protocolos, password crackers entre otras, con este resultado nos daremos cuenta y tendremos una idea general del estado en el que se encuentran nuestros sistemas frente a los ataques. Sabemos que las vulnerabilidades provienen de diferentes ámbitos y las implementación, podemos clasificar como vulnerabilidades de vulnerabilidades de configuración, vulnerabilidades de dispositivos, vulnerabilidades de protocolos, vulnerabilidades de aplicación; para tener un conocimiento más amplio del tema de cómo explotar las vulnerabilidades existen sitios en internet en donde puedo encontrar diversa información desde publicaciones y bibliografías especificas en seguridad, seguridad, hasta repositorios de vulnerabilid v ulnerabilidades ades con sus exploits: y y y y
CERT ² Computer Emergency Response Team SANS ²SysAdmin, Audit, Network, Security NSA ² National Security Agency NIST ² National Institute of Standards and Technology
Dentro del análisis de vulnerabilidades debemos ser discretos y realizar un acuerdo de confidencialidad entre todas las partes involucradas en el análisis, ya que a lo largo del desarrollo que se implementa se puede obtener información crítica o que compromete a la empresa u organización organización analizada.