Taller de Seguridad Informtica

Anlisis de riesgos
En un entorno informtico existen una serie de recursos (humanos, tcnicos, de infraestructura...) que estn expuestos a diferentes tipos de riesgos: los `normales', aquellos comunes a cualquier entorno, y los excepcionales, originados por situaciones concretas que afectan o pueden afectar a parte de una organizacin o a toda la misma, como la inestabilidad poltica en un pas o una regin sensible a terremotos. Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un anlisis de riesgos, trmino que hace referencia al proceso necesario para responder a tres cuestiones bsicas sobre nuestra seguridad:

>qu queremos proteger? >contra quin o qu lo queremos proteger? >cmo lo queremos proteger?

En la prctica existen dos aproximaciones para responder a estas cuestiones, una cuantitativa y otra cualitativa. La primera de ellas es con diferencia la menos usada, ya que en muchos casos implica clculos complejos o datos difciles de estimar. Se basa en dos parmetros fundamentales: la probabilidad de que un suceso ocurra y una estimacin del costo o las prdidas en caso de que as sea; el producto de ambos trminos es lo que se denomina coste anual estimado (EAC, Estimated Annual Cost), y aunque tericamente es posible conocer el riesgo de cualquier evento (el EAC) y tomar decisiones en funcin de estos datos, en la prctica la inexactitud en la estimacin o en el clculo de parmetros hace difcil y poco realista esta aproximacin. El segundo mtodo de anlisis de riesgos es el cualitativo, de uso muy difundido en la actualidad especialmente entre las nuevas `consultoras' de seguridad (aquellas ms especializadas en seguridad lgica, cortafuegos, tests de penetracin y similares). Es mucho ms sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimacin de prdidas potenciales. Para ello se interrelacionan cuatro elementos principales: las amenazas, por definicin siempre presentes en cualquier sistema, las vulnerabilidades, que potencian el efecto de las amenazas, el impacto asociado a una amenaza, que indica los daos sobre un activo por la materializacin de dicha amenaza, y los controles o salvaguardas, contramedidas para minimizar las vulnerabilidades (controles preventivos) o el impacto (controles curativos). Por ejemplo, una amenaza sera un pirata que queramos o no (no depende de nosotros) va a tratar de modificar nuestra pgina web principal, el impacto sera una medida del dao que causara si lo lograra, una vulnerabilidad sera una configuracin incorrecta del servidor que ofrece las pginas, y un control la reconfiguracin de dicho servidor o el incremento de su nivel de parcheado. Con estos cuatro elementos podemos obtener un indicador cualitativo del nivel de riesgo asociado a un activo determinado dentro de la organizacin,
Jusaji Pgina 1

Taller de Seguridad Informtica

visto como la probabilidad de que una amenaza se materialice sobre un activo y produzca un determinado impacto. En Espaa es interesante la metodologa de anlisis de riesgos desarrollada desde el Consejo Superior de Informtica (Ministerio de Administraciones Pblicas) y denominada MAGERIT (Metodologa de Anlisis y GEstin de Riesgos de los sistemas de Informacin de las AdminisTraciones pblicas); se trata de un mtodo formal para realizar un anlisis de riesgos y recomendar los controles necesarios para su minimizacin. MAGERIT se basa en una aproximacin cualitativa que intenta cubrir un amplio espectro de usuarios genricos gracias a un enfoque orientado a la adaptacin del mecanismo dentro de diferentes entornos, generalmente con necesidades de seguridad y nivel de sensibilidad tambin diferentes. En la pgina web del Consejo Superior de Informtica podemos encontrar informacin ms detallada acerca de esta metodologa, as como algunos ejemplos de ejecucin de la misma. Tras obtener mediante cualquier mecanismo los indicadores de riesgo en nuestra organizacin llega la hora de evaluarlos para tomar decisiones organizativas acerca de la gestin de nuestra seguridad y sus prioridades. Tenemos por una parte el riesgo calculado, resultante de nuestro anlisis, y este riesgo calculado se ha de comparar con un cierto umbral (umbral de riesgo) determinado por la poltica de seguridad de nuestra organizacin; el umbral de riesgo puede ser o bien un nmero o bien una etiqueta de riesgo (por ejemplo, nivel de amenaza alto, impacto alto, vulnerabilidad grave, etc.), y cualquier riesgo calculado superior al umbral ha de implicar una decisin de reduccin de riesgo. Si por el contrario el calculado es menor que el umbral, se habla de riesgo residual, y el mismo se considera asumible (no hay porqu tomar medidas para reducirlo). El concepto de asumible es diferente al de riesgo asumido, que denota aquellos riesgos calculados superiores al umbral pero sobre los que por cualquier razn (poltica, econmica...) se decide no tomar medidas de reduccin; evidentemente, siempre hemos de huir de esta situacin. Una vez conocidos y evaluados de cualquier forma los riesgos a los que nos enfrentamos podremos definir las polticas e implementar las soluciones prcticas - los mecanismos para minimizar sus efectos. Vamos a intentar de entrar con ms detalle en cmo dar respuesta a cada una de las preguntas que nos hemos planteado al principio de este punto: Sub secciones

Identificacin de recursos Identificacin de amenazas Medidas de proteccin

Jusaji

Pgina 2

Taller de Seguridad Informtica

Identificacin de recursos
Debemos identificar todos los recursos cuya integridad pueda ser amenazada de cualquier forma; por ejemplo, define bsicamente los siguientes:

Hardware Procesadores, tarjetas, teclados, terminales, estaciones de trabajo, ordenadores personales, impresoras, unidades de disco, lneas de comunicacin, servidores, routers... Software Cdigos fuente y objeto, utilidades, programas de diagnstico, sistemas operativos, programas de comunicacin... Informacin En ejecucin, almacenada en lnea, almacenada fuera de lnea, en comunicacin, bases de datos... Personas Usuarios, operadores... Accesorios Papel, cintas, tners...

Aparte del recurso en s (algo tangible, como un router) hemos de considerar la visin intangible de cada uno de estos recursos (por ejemplo la capacidad para seguir trabajando sin ese router). Es difcil generar estos aspectos intangibles de los recursos, ya que es algo que va a depender de cada organizacin, su funcionamiento, sus seguros, sus normas...No obstante, siempre hemos de tener en cuenta algunos aspectos comunes: privacidad de los usuarios, imagen pblica de la organizacin, reputacin, satisfaccin del personal y de los clientes - en el caso de una universidad, de los alumnos -, capacidad de procesamiento ante un fallo... Con los recursos correctamente identificados se ha de generar una lista final, que ya incluir todo lo que necesitamos proteger en nuestra organizacin.

Identificacin de amenazas
Una vez conocemos los recursos que debemos proteger es la hora de identificar las vulnerabilidades y amenazas que se ciernen contra ellos. Una vulnerabilidad es cualquier situacin que pueda desembocar en un problema de seguridad, y una amenaza es la accin especfica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relacin: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades. Se suelen dividir las amenazas que existen sobre los sistemas informticos en tres grandes grupos, en funcin del mbito o la forma en que se pueden producir:

Desastres del entorno. Pgina 3

Jusaji

Taller de Seguridad Informtica

Dentro de este grupo se incluyen todos los posibles problemas relacionados con la ubicacin del entorno de trabajo informtico o de la propia organizacin, as como con las personas que de una u otra forma estn relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres producidos por elementos cercanos, como los cortes de fluido elctrico, y peligros relacionados con operadores, programadores o usuarios del sistema.

Amenazas en el sistema. Bajo esta denominacin se contemplan todas las vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema operativo, medidas de proteccin que ste ofrece, fallos en los programas, copias de seguridad...

Amenazas en la red. Cada da es menos comn que una mquina trabaje aislada de todas las dems; se tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y esta interconexin acarrea nuevas - y peligrosas - amenazas a la seguridad de los equipos, peligros que hasta el momento de la conexin no se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en trnsito por la red, a proteger una red local del resto de internet, o a instalar sistemas de autenticacin de usuarios remotos que necesitan acceder a ciertos recursos internos a la organizacin (como un investigador que conecta desde su casa a travs de un mdem).

Algo importante a la hora de analizar las amenazas a las que se enfrentan nuestros sistemas es analizar los potenciales tipos de atacantes que pueden intentar violar nuestra seguridad. Es algo normal que a la hora de hablar de atacantes todo el mundo piense en crackers, en piratas informticos mal llamados hackers. No obstante, esto no es ms que el fruto de la repercusin que en todos los medios tienen estos individuos y sus acciones; en realidad, la inmensa mayora de problemas de seguridad vienen dados por atacantes internos a la organizacin afectada. En organismos de I+D estos atacantes suelen ser los propios estudiantes (rara vez el personal), as como piratas externos a la entidad que aprovechan la habitualmente mala proteccin de los sistemas universitarios para acceder a ellos y conseguir as cierto status social dentro de un grupo de piratas. Los conocimientos de estas personas en materias de sistemas operativos, redes o seguridad informtica suelen ser muy limitados, y sus actividades no suelen entraar muchos riesgos a no ser que se utilicen nuestros equipos para atacar a otras organizaciones, en cuyo caso a los posibles problemas legales hay que sumar la mala imagen que nuestras organizaciones adquieren. No siempre hemos de contemplar a las amenazas como actos intencionados contra nuestro sistema: muchos de los problemas pueden ser ocasionados por accidentes, desde un operador que derrama una taza de caf sobre una terminal hasta un usuario que tropieza con el cable de Jusaji Pgina 4

Taller de Seguridad Informtica

alimentacin de un servidor y lo desconecta de la lnea elctrica, pasando por temas como el borrado accidental de datos o los errores de programacin; decir `no lo hice a propsito' no ayuda nada en estos casos. Por supuesto, tampoco tenemos que reducirnos a los accesos no autorizados al sistema: un usuario de nuestras mquinas puede intentar conseguir privilegios que no le corresponden, una persona externa a la organizacin puede lanzar un ataque de negacin de servicio contra la misma sin necesidad de conocer ni siquiera un login y una contrasea, etc.

Medidas de proteccin
Tras identificar todos los recursos que deseamos proteger, as como las posibles vulnerabilidades y amenazas a que nos exponemos y los potenciales atacantes que pueden intentar violar nuestra seguridad, hemos de estudiar cmo proteger nuestros sistemas, sin ofrecer an implementaciones concretas para protegerlos (esto ya no seran polticas sino mecanismos). Esto implica en primer lugar cuantificar los daos que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades de que una amenaza se pueda convertir en realidad. Este clculo puede realizarse partiendo de hechos sucedidos con anterioridad en nuestra organizacin, aunque por desgracia en muchos lugares no se suelen registrar los incidentes acaecidos. En este caso, y tambin a la hora de evaluar los daos sobre recursos intangibles, existen diversas aproximaciones como el mtodo Delphi, que bsicamente consiste en preguntar a una serie de especialistas de la organizacin sobre el dao y las prdidas que cierto problema puede causar; no obstante, la experiencia del administrador en materias de seguridad suele tener aqu la ltima palabra a la hora de evaluar los impactos de cada amenaza. La clasificacin de riesgos de cara a estudiar medidas de proteccin suele realizarse en base al nivel de importancia del dao causado y a la probabilidad aproximada de que ese dao se convierta en realidad; se trata principalmente de no gastar ms dinero en una implementacin para proteger un recurso de lo que vale dicho recurso o de lo que nos costara recuperarnos de un dao en l o de su prdida total. Por ejemplo, podemos seguir un anlisis similar en algunos aspectos al problema de la mochila: llamamos al riesgo de perder un recurso i (a la probabilidad de que se produzca un ataque), y le asignamos un valor de 0 a 10 (valores ms altos implican ms probabilidad); de la misma forma, definimos tambin de 0 a 10 la importancia de cada recurso, , siendo 10 la importancia ms alta. La evaluacin del riesgo es entonces el producto de ambos valores, llamado peso o riesgo evaluado de un recurso, , y medido en dinero perdido por unidad de tiempo (generalmente, por ao): De esta forma podemos utilizar hojas de trabajo en las que, para cada recurso, se muestre su nombre y el nmero asignado, as como los tres valores anteriores. Evidentemente, los recursos que presenten un riesgo evaluado mayor sern los que ms medidas de proteccin deben poseer, ya que esto significa que es probable que sean atacados, y que adems el ataque puede causar prdidas importantes. Es especialmente importante un grupo de riesgos denominados inaceptables, aquellos cuyo peso supera un cierto umbral; se trata de problemas que no nos Jusaji Pgina 5

Taller de Seguridad Informtica

podemos permitir en nuestros sistemas, por lo que su prevencin es crucial para que todo funcione correctamente. Una vez que conocemos el riesgo evaluado de cada recurso es necesario efectuar lo que se llama el anlisis de costes y beneficios. Bsicamente consiste en comparar el coste asociado a cada problema (calculado anteriormente, ) con el coste de prevenir dicho problema. El clculo de este ltimo no suele ser complejo si conocemos las posibles medidas de prevencin que tenemos a nuestra disposicin: por ejemplo, para saber lo que nos cuesta prevenir los efectos de un incendio en la sala de operaciones, no tenemos ms que consultar los precios de sistemas de extincin de fuego, o para saber lo que nos cuesta proteger nuestra red slo hemos de ver los precios de productos como routers que bloqueen paquetes o cortafuegos completos. No slo hemos de tener en cuenta el coste de cierta proteccin, sino tambin lo que nos puede suponer su implementacin y su mantenimiento; en muchos casos existen soluciones gratuitas para prevenir ciertas amenazas, pero estas soluciones tienen un coste asociado relativo a la dificultad de hacerlas funcionar correctamente de una forma contnua en el tiempo, por ejemplo dedicando a un empleado a su implementacin y mantenimiento. Cuando ya hemos realizado este anlisis no tenemos ms que presentar nuestras cuentas a los responsables de la organizacin (o adecuarlas al presupuesto que un departamento destina a materias de seguridad), siempre teniendo en cuenta que el gasto de proteger un recurso ante una amenaza ha de ser inferior al gasto que se producira si la amenaza se convirtiera en realidad. Hemos de tener siempre presente que los riesgos se pueden minimizar, pero nunca eliminarlos completamente, por lo que ser recomendable planificar no slo la prevencin ante de un problema sino tambin la recuperacin si el mismo se produce; se suele hablar de medidas proactivas (aquellas que se toman para prevenir un problema) y medidas reactivas (aquellas que se toman cuando el dao se produce, para minimizar sus efectos).

Jusaji

Pgina 6

Taller de Seguridad Informtica

Qu es el anlisis de riesgos Anlisis de riesgos

Es un paso importante para implementar la seguridad de la informacin. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales estn sometidos los activos de una organizacin, es decir, para saber cul es la probabilidad de que las amenazas se concreten. Las amenazas se pueden convertir en realidad a travs de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al mximo para que el ambiente que se desea proteger est libre de riesgos de incidentes de seguridad. Por lo tanto, la relacin entre amenaza-incidente-impacto, es la condicin principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la correccin de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un anlisis de riesgos.

Jusaji

Pgina 7

Taller de Seguridad Informtica

Ejemplos de la relacin amenaza-incidente-impacto

Empecemos con el caso de la prdida de un documento confidencial, que trae el listado de los principales deudores de una empresa. El incidente de la prdida de esta informacin en s es pequeo, pero el impacto que puede causar es inmenso, cuando se divulguen los nombres de las personas deudoras. En el caso de la accin de una amenaza de un fenmeno meteorolgico como un huracn, el incidente puede ser muy grande, pero si la empresa cuenta con la proteccin adecuada en su infraestructura, el impacto puede ser pequeo. Como podr darse cuenta, con lo que se hemos comentado, slo se hace referencia a lo que usted ya sabe, la tecnologa es clave para su negocio, y con el incremento en frecuencia de los ataques a los mismos, su seguridad se convierte en algo vital para la supervivencia de la empresa.

Una vez revisado lo anterior, podemos proponer una definicin de anlisis de riesgos.

Jusaji

Pgina 8

Taller de Seguridad Informtica

Otro punto importante a considerar en la realizacin del anlisis de riesgos es la relacin costo-beneficio. Este clculo permite que sean evaluadas las medidas de seguridad con relacin a su aplicabilidad y el beneficio que se agregar al negocio. As, esta visin orienta la implementacin de las medidas de seguridad slo en las situaciones en que la relacin costo-beneficio se justifique. Sin embargo, es fundamental que en la organizacin est clara la relacin costobeneficio, es decir, que todos aquellos involucrados en la implementacin de la seguridad (el equipo de ejecucin del proyecto, la alta administracin y todos sus usuarios) deben estar conscientes de los beneficios que las medidas de seguridad traern para los individuos y para la organizacin como un todo.

Momento de anlisis de riesgos

El anlisis de riesgos puede ocurrir antes o despus de la definicin de una poltica de seguridad. Segn la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha despus de la definicin de la poltica. El propsito de tomar en cuenta una poltica de seguridad en el anlisis se debe a varias razones: La poltica de seguridad delimita el alcance del anlisis. Permite ser selectivo en la verificacin de activos que la poltica establece como vulnerables. El anlisis toma en cuenta la lista de amenazas potenciales que la misma poltica contempla.

Jusaji

Pgina 9

Taller de Seguridad Informtica

Para tener ms claro por qu decimos que la definicin de una poltica de calidad marca el momento para iniciar un anlisis de riesgos de la seguridad de la informacin recordemos qu es poltica de seguridad:

Sin embargo, la realizacin del anlisis de riesgos como primer elemento de la accin de seguridad, es un hecho determinante para procesos crticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organizacin, sea por muestreo o en su totalidad, para que estn libres de vulnerabilidades con el propsito de reducir los riesgos. Por esta razn sern abordados en esta unidad todos los elementos necesarios para la realizacin de un anlisis de riesgos como etapa de rastreo de vulnerabilidades de todo el ambiente de un proceso de negocios. Algunos factores que pueden ser considerados y que tienen influyen en el momento de la realizacin de un anlisis de riesgos son los siguientes:

Adems de identificar el momento del anlisis antes o despus de la definicin de una poltica de seguridad, existe otra serie de factores que determinan la oportunidad de ese anlisis. Esta tabla ilustra la manera en que el tiempo tomado para la realizacin del anlisis de riesgos debe ser afectado en razn de algunos de esos factores.
Como se observa en la imagen, entre mayor sea la exposicin o el dao histrico a los bienes de la empresa, el margen de tiempo tomado para el anlisis de riesgos debe ser menor y viceversa. Para tener ms clara esta relacin revisemos unos ejemplos concretos de cada uno de los factores: Factor Valor alto o alta exposicin de los bienes afectados Accin En una empresa de asesores en contabilidad, los activos comnmente afectados son las bases de datos con las auditorias de sus clientes, y por tanto, son de alto valor para la compaa y sus negocios. En una empresa se tienen estadsticas de que los servidores que han sido atacados por virus o hackers siempre resultan daados en su informacin o configuracin y esto ocasiona perjuicios en las operaciones de la compaa.

Histricamente los bienes atacados son Afectados

Jusaji

Pgina 10

Taller de Seguridad Informtica

Factores atenuadores

Bajo Riesgo

Si por ejemplo, sabemos que los activos que comnmente son atacados en la empresa no poseen un alto valor para los negocios de la misma Los activos que comnmente en la empresa se catalogan como de bajo riesgo son por citar alguno, las estaciones de trabajo que no manejan o almacenan informacin vital para los negocios.

mbitos del anlisis de riesgos

Adems de conocer el momento y duracin adecuada para la realizacin de nuestro anlisis de riesgos, es importante tambin estar concientes de los diferentes mbitos en los que podemos aplicar dicho anlisis. La presente seccin tiene como propsito presentar a usted dichos mbitos.

Jusaji

Pgina 11

Taller de Seguridad Informtica

Jusaji

Pgina 12

Taller de Seguridad Informtica

Actividades del anlisis de riesgos Introduccin

En la siguiente nota de Europa Press se alerta sobre vulnerabilidades en un navegador de pginas web, esto como un ejemplo de cmo a travs de aplicaciones de uso tan comn y aparentemente inofensivo puede estar expuesta a posibles ataques la informacin de la empresa, de ah que, sea importante que en todo momento y con la finalidad de protegerlos estemos consientes de cules vulnerabilidades son las ms comunes para los activos clave dentro de la organizacin.

Jusaji

Pgina 13

Taller de Seguridad Informtica

Enseguida, y con la finalidad de ampliar un poco ms el panorama de las posibles vulnerabilidades que pueden comprometer la informacin de la empresa, se muestra una clasificacin concisa de blancos, tipos de ataque y el mtodo de uso ms comn para lograrlo.
Si deseamos analizar los diferentes mbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cules vulnerabilidades son las ms comunes cuando nos referimos a los sistemas de informacin. En esta tabla se observan ejemplos de los mtodos ms comunes utilizados por personas con intenciones maliciosas para el ataque o infiltracin a nuestros sistemas. Es importante mencionar que estos son slo algunos de los ataques potenciales a los que nuestra empresa est expuesta.

Revisaremos un caso hipottico de identificacin de los mbitos de realizacin del anlisis de riesgos, antes reafirmemos el concepto de anlisis de riesgos que tratamos en el captulo anterior: Un anlisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cules son sus elementos o partes constituyentes, cules los equipos necesarios en para efectuarlo.

Jusaji

Pgina 14

Taller de Seguridad Informtica

Ejemplo de anlisis de riesgos

En seguida se muestra una tabla que la empresa Internet Banking utiliza para aplicar el anlisis de riesgos en los diferentes mbitos de su negocio y saber qu factores pudiera toma en cuenta para cada uno ellos.

Jusaji

Pgina 15

Taller de Seguridad Informtica

Jusaji

Pgina 16

Taller de Seguridad Informtica

Por medio del ejemplo, conocimos un poco ms a detalle los mbitos en los que se aplica un anlisis de riesgos, los que nos permitir reconocer dichos mbitos ms fcilmente en nuestra empresa. Comprendimos que para iniciar la labor del anlisis de riesgos, es importante comenzar, como en el ejemplo, analizando los diferentes procesos clave para el negocio de la empresa.

Jusaji

Pgina 17