BACHILLERATO EN INGENIERIA

TELEMATICA
CURSO: Seguridad en Redes de Datos
CODIGO: BIT-37
Crditos 3
Ing. Ren M. Cubillo Rivera, Msc
Tema III
Administracin de Riesgos
Definicin de riesgos
Identificacin
Evaluacin
Desarrollo
Auditorias
El riesgo es un concepto que forma parte
de la seguridad.
El riesgo es el potencial de lo que puede
ser perdido y requiere proteccin.
Si no hay riesgo, no hay necesidad de
seguridad.


Definicin de Riesgo
Un ejemplo claro de la definicin de riesgo
es el negocio de los seguros:
Una persona adquiere un seguro porque tiene
la sensacin de que enfrenta un riesgo o un
peligro.
La persona podra tener un accidente y no
tener dinero para cubrir los gastos.
La compaa de seguros hace un calculo de
la prima en base en la cantidad probable que
costar la reparacin.


Definicin de Riesgo
Es una va de ataque o peligro potencial, es una
debilidad que podra ser aprovechada por un atacante
para cometer un acto en contra de una persona u
organizacin.
En el ejemplo de los seguros la vulnerabilidad para la
empresa de seguros es tener que pagar si ocurre un
accidente.
Se deben analizar todas las vulnerabilidades y
clasificarlas dependiendo del grado de explotacin y el
activo que esta en peligro. Este anlisis no incluye solo
las parte de redes y sistemas de computo, tambin
incluye seguridad fsica, seguridad de la informacin en
transito.
Vulnerabilidad
Es una accin o evento que puede violar la
seguridad de un entorno fsico o de sistemas de
informacin. Existen tres componentes de
amenaza: Objetivos, agentes y eventos
Objetivos: El aspecto de la seguridad que puede ser
atacado. (Confidencialidad, integridad, disponibilidad,
autenticacin o responsabilidad). Una amenaza
puede tener mltiples objetivos por ejemplo la
responsabilidad o autenticacin para borrar el rastro
o evitar que se guarde algn registro, seguido de la
confidencialidad o sea los datos crticos de una
organizacin.
Amenaza
Agentes: Las personas u organizaciones que originan la amenaza. Para que un agente se
considere una amenaza debe cumplir con los siguientes tres puntos:
Acceso: Capacidad que tiene un agente para llegar al objetivo, ya sea acceso al sistema ,a la red, a
las instalaciones o a la informacin que se desea.
Conocimiento: El nivel y tipo de informacin que tiene un agente acerca del objetivo. Este tipo de
conocimiento podra incluir:
Identificacin de usuarios
Contraseas
Ubicacin de archivos
Etc.
Motivacin: Esto se requiere para actuar en contra de un objetivo. Las motivaciones se podra
clasificar en :
Reto: El deseo de averiguar si algo es posible y luego poder jactarse de haberlo hecho.
Codicia: Deseo de obtener ganancias, ya sea dinero, bienes, servicios o informacin.
Intento Malintencionado: Deseo de daar a una organizacin o un individuo.
Con base a los factores anteriores se deben considerar los siguientes agentes:
Empleados y exempleados: Por el acceso y el conocimiento de los sistemas y el conocimiento del
entorno de una organizacin, para el caso de los exempleados la organizacin debe de retirar todos
los acceso fsicos y lgicos.
Los hackers: Pueden averiguar la informacin para obtener conocimiento y poder ingresar.
Rivales comerciales: Tienen una motivacin para enterarse de informacin confidencial de una
organizacin de la competencia.
Delincuentes
Terroristas
Clientes
Etc.
Amenaza
Eventos: Son las maneras en las que un agente de amenaza
puede ocasionar el dao a una organizacin. Otra manera de
apreciar los eventos es considerar el dao que posiblemente
podra ser realizado si el agente obtuviera el acceso. A
continuacin se detallan algunos eventos que deben ser
considerados:
Alteracin y destruccin malintencionada de la informacin.
Alteracin y destruccin accidental de la informacin.
Acceso no autorizado a la informacin.
Interferencia malintencionada y accidental de la informacin.
Robo de hardware o software.
En el ejemplo de los seguros la amenaza es la probabilidad de
que la persona se involucre en un accidente, la cual causar
que la vulnerabilidad sea explotada (el pago del costo de la
reparacin)


Amenaza
El riesgo es la combinacin de las amenazas
con la vulnerabilidad.
Las amenazas sin vulnerabilidades no
representan un riesgos de igual forma las
vulnerabilidades sin amenazas no plantean
riesgo. Pero estas condiciones no existen.
Por lo tanto la evaluacin de riesgo es un
intento de identificar la probabilidad de que
ocurra un evento perjudicial.



Amenaza + Vulnerabilidad = Riesgo
El riesgo puede definirse cualitativamente en tres niveles:
Bajo: La vulnerabilidad representa un nivel de riesgo bajo para
la organizacin y es poco probable que ocurra. Se deben tomar
acciones para eliminar la vulnerabilidad si fuera posible pero
esto debe valorarse en relacin con la pequea reduccin en el
riesgo.
Medio: La vulnerabilidad representa un nivel significativo de
riesgo hacia la confidencialidad, integridad, disponibilidad y/o
responsabilidad. Existe una posibilidad real de que esto ocurra.
Se deben tomar medidas para eliminar la vulnerabilidad.
Alto: La vulnerabilidad plantea un peligro real hacia la
confidencialidad, integridad, disponibilidad y/o responsabilidad.
Se deben tomar medidas de inmediato para eliminar la
vulnerabilidad.


Amenaza + Vulnerabilidad = Riesgo
Para esto se necesita identificar tanto las
vulnerabilidades como las amenazas.
Otro componente que se debe agregar son
las contramedidas (acciones para
contrarrestar la vulnerabilidad).


Identificacin del Riesgo
Niveles de riesgo
organizacional
Vulnerabilidades
Identificadas
Amenazas
Identificadas
Contramedidas
Identificadas
Comience por localizar todos los puntos de entrada a la
organizacin, o sea los puntos de acceso a la informacin (tanto
en forma electrnica como fsica) y a los sistemas dentro de la
organizacin. Esto quiere decir identificar los siguientes puntos:
Conexiones a Internet.
Puntos de acceso remoto.
Conexiones a otras organizaciones
Acceso fsico a las instalaciones
Puntos de acceso de los usuarios.
Puntos de acceso inalmbrico.
Identifique la informacin y los sistemas que estn accesibles en
cada uno de estos puntos.
Identifique como puede tener acceso a la informacin y los
sistemas.
Se deben incluir cualquier vulnerabilidad conocida en los
sistemas operativos y aplicaciones.

Identificacin de
Vulnerabilidades
Esta es una tarea en algunos casos muy difcil. Ya que la
mayora de la amenazas estn, ocultas a las vista.
Las amenazas que se dirigen hacia un objetivo pueden no
hacerse evidentes hasta que haya ocurrido un evento.
Una amenaza dirigida a un objetivo es la combinacin de un
agente conocido que tenga un acceso conocido con una
motivacin conocida, realizando un evento conocido en contra
de un objetivo conocido.
Lo ms recomendable es suponer un nivel genrico de amenaza
ya que esto se podra dar por cualquiera que tenga acceso
potencial a la informacin o a los sistemas.
Identificacin de Amenazas
Es preciso examinar una va potencial de ataque en el entorno y
se deben tomar en cuenta controles compensatorios cuando se
determine si la vulnerabilidad existe en verdad. Las
contramedidas pueden incluir las siguientes:
Muros de fuego
Software antivirus
Controles de acceso
Sistemas de autenticacin de dos factores
Distintivos
Biomtrica
Lectores de tarjeta para el acceso a las instalaciones
Guardias
Controles de acceso para los archivos
Encriptacin
Empleados conscientes, bien capacitados
Sistemas de deteccin de intrusos

Contramedidas
Una vez que las vulnerabilidades, amenazas y contramedidas
son identificadas, podemos identificar riesgo especficos para la
organizacin.
Para esto tomamos las amenazas y examinamos los objetivos
potenciales (confidencialidad, integridad, disponibilidad y
responsabilidad) a travs de cada punto de acceso.
Dependiendo del dao que puede ser hecho cada riesgo se
clasifica entonces en alto, medio bajo.
La misma vulnerabilidad podra tener diferentes niveles de
riesgo dependiendo del punto de acceso. Por ejemplo se
encuentra una vulnerabilidad en el sistema de correo, pero
desde el exterior un atacante no la puede explotar porque existe
el muro de fuego de modo que aqu no hay riesgo; pero la
misma vulnerabilidad puede ser explota de los usuarios internos
ya que no pasan por el muro de fuego en este caso se podra
clasificar el nivel de riesgo en medio.


Identificacin del Riesgo
La evaluacin de riesgo debe identificar los
costos para la organizacin si un ataque tiene
xito.
Si un riesgo se hace realidad, el factor crucial
para cualquier decisin acerca de cmo
manejar el riesgo ser el costo para la
organizacin.
El riesgo nunca puede ser eliminado
completamente debe ser administrado.



Evaluacin del Riesgo
La manera de evaluar el riesgo es considerar la cantidad de dinero que puede
costar sufrir una penetracin exitosa a la organizacin. Este costo puede incluir
lo siguiente:
Prdidas de la productividad
Equipo o dinero robados
Costo de una investigacin
Costo por reparar o remplazar los sistemas
Costo de la asistencia de expertos
Horas extras
Tiempo
Recursos, activos
Reputacin
Negocios perdidos
Etc.
Se debe realizar este calculo y se debe dar un costo a todos los activos de la
organizacin.
Para el clculo de estos costos se requiere de la ayuda del departamento de
finanzas y contabilidad ya que hay costos que no se puede recuperar como la
perdida de productividad.



Evaluacin del Riesgo
Este es el paso final en el proceso de seguridad de la informacin,
despus de crear las polticas, procedimientos e implementar controles
tcnicos y entrenar al personal.
La funcin de la auditoria asegura que los controles estn configurados
correctamente respecto a la poltica. Esta auditoria consta de tres
funciones diferentes:
Auditorias del cumplimiento de la poltica: Esta es la funcin tradicional de
auditoria la cual es determinar si la seguridad definida en las polticas se
esta cumpliendo, de encontrar algo diferente se considera una violacin.
Evaluaciones peridicas: Los entornos de redes y cmputo dentro de las
organizaciones estn en constante cambio, estos cambios pueden hacer
que las evaluaciones resulten obsoletas disminuyendo algunos riesgos o
creando nuevos. Estas evaluaciones son realizadas por el departamento de
seguridad.
Pruebas de penetracin: Estas pruebas intentan explotar una vulnerabilidad
identificada para obtener acceso a los sistemas. Con esto se prueba que los
controles implementados fueros efectivos. Estas pruebas pueden ser
contratas a una empresa externa o realizadas por el mismo departamento
de seguridad.

Auditorias
Procesos de la disciplina de
administracin de riesgos de seguridad
Evaluacin
Evaluar y valorar los activos
Identificar los riesgos de seguridad
Analizar y asignar prioridad a los riesgos
de seguridad
Seguimiento, planeamiento y programacin de riesgos
Desarrollo e implementacin
Desarrollar mtodos correctivos de seguridad
Probar los mtodos correctivos de seguridad
Obtener informacin de seguridad
Funcionamiento
Volver a valorar los activos nuevos y los que han sufrido
cambios, as como los riesgos
de seguridad
Estabilizar e implementar medidas preventivas nuevas o
que han cambiado
Evaluacin: evaluar y valorar
Prioridades de activos (escala de 1 a 10)
1. El servidor proporciona una funcionalidad
bsica pero no tiene un impacto financiero
en el negocio.
3. El servidor contiene informacin importante,
pero los datos se pueden recuperar rpida
y fcilmente.
5. El servidor contiene datos importantes
que llevara algn tiempo recuperar.
8. El servidor contiene informacin importante
para los objetivos empresariales de la
compaa. La prdida de este equipamiento
tendra un efecto considerable en la
productividad de todos los usuarios.
10.El servidor tiene un efecto considerable en el
negocio de la compaa. La prdida de este
equipamiento resultara en una desventaja
con respecto a la competencia.
Evaluacin: identificar
amenazas de seguridad
Tipos de amenazas Ejemplos
Suplantacin
Falsificar mensajes de correo electrnico
Reproducir paquetes de autenticacin
Alteracin
Alterar datos durante la transmisin
Cambiar datos en archivos
Repudio
Eliminar un archivo esencial y denegar este hecho
Adquirir un producto y negar posteriormente que se
ha adquirido
DIvulgacin
de informacin
Exponer la informacin en mensajes de error
Exponer el cdigo de los sitios Web
Denegacin
de servicio
Inundar una red con paquetes de sincronizacin
Inundar una red con paquetes ICMP falsificados
Elevacin
de privilegios
Explotar la saturacin de un bfer para obtener
privilegios en el sistema
Obtener privilegios de administrador de forma ilegtima
Evaluacin: anlisis y
establecimiento de prioridades
de los riesgos de seguridad: DREAD
DREAD
Dao
Capacidad de Reproduccin
Capacidad de Explotacin
Usuarios Afectados
Capacidad de Descubrimiento
Exposicin al riesgo = Prioridad del activo x
Categora de la amenaza
Tipos de amenazas Ejemplos
Suplantacin
Falsificar mensajes de correo electrnico
Reproducir paquetes de autenticacin
Alteracin
Alterar datos durante la transmisin
Cambiar datos en archivos
Repudio
Eliminar un archivo esencial y denegar este hecho
Adquirir un producto y negar posteriormente que se
ha adquirido
Divulgacin de
informacin
Exponer la informacin en mensajes de error
Exponer el cdigo de los sitios Web
Denegacin de servicio
Inundar una red con paquetes de sincronizacin
Inundar una red con paquetes ICMP falsificados
Elevacin de privilegios
Explotar la saturacin de un bfer para obtener
privilegios en el sistema
Obtener privilegios de administrador de forma
ilegtima
Evaluacin: seguimiento, diseo y
programacin de actividades relacionadas
con los riesgos de seguridad
Directiva de
seguridad
Desarrollo e implementacin: Desarrollo
de mtodos correctivos de seguridad
Directiva de
seguridad
Administracin de la
configuracin
Administracin
de revisiones
Supervisin del sistema
Auditora del sistema
Directivas operativas
Procedimientos operativos
Desarrollo e implementacin: verificacin
de los mtodos correctivos de seguridad
Administracin de la
configuracin
Administracin
de revisiones
Supervisin del sistema
Auditora del sistema
Directivas operativas
Procedimientos operativos
Laboratorio
de pruebas
Desarrollo e implementacin: obtencin de
informacin de seguridad
Laboratorio
de pruebas
Oficina principal
Servicios Internet
LAN
Funcionamiento: reevaluacin
de los activos y los riesgos
Los activos nuevos, los que han sufrido
cambios y los riesgos de seguridad
Oficina principal
Servicios Internet
LAN
Nuevos
servicios
Internet
Laboratorio
de pruebas
Funcionamiento: estabilizacin
y desarrollo de medidas preventivas
Medidas preventivas nuevas o con cambios
Seguimiento
Plan
Anlisis
Control
Identificacin
1
2
3
5
4
Declaracin
de riesgos