SEGURIDAD INFORMÁTICA (ANALISIS DE RIESGOS) · 2021. 3. 10. · SEGURIDAD INFORMÁTICA (ANALISIS...
Transcript of SEGURIDAD INFORMÁTICA (ANALISIS DE RIESGOS) · 2021. 3. 10. · SEGURIDAD INFORMÁTICA (ANALISIS...
SEGURIDAD INFORMÁTICA (ANALISIS DE RIESGOS)
Herramientas que te permitirán instalar, dar soporte y mantenimiento a las redes de datos, mediante el conocimiento
básico de la instalación, conexión, configuración, diagnóstico y reparación de fallas en las redes locales.
Análisis de riesgo
o Prevenir
o Mitigar
o Transferir
Medidas de seguridad y salud laboral.- Sigue las posturas de trabajo, el cuidado de tu equipo de trabajo y tus
hábitos para cumplir con las medidas de seguridad para tener mejores condiciones de trabajo, con más
productividad y cuidar la salud.
Acondiciona un lugar para que puedas realizar tu trabajo de acuerdo a las siguientes instrucciones:
o El escritorio o mesa de trabajo debe estar completamente limpio para que coloques una computadora o
laptop.
o Busca una silla que te permita colocarte a una altura para que el monitor te quede de frente a tu vista.
o Si requieres mouse, consigue también un tapete para mouse.
o Si la silla está muy alta puedes ocupar un apoyo.
o Si vas a trabajar en casa fija un horario de trabajo y de comida. o Mantener un botiquín de primeros auxilios a la mano. o Señalar salidas de emergencia. o Conectar equipo de cómputo a un regulador.
Ética profesional.- respeta los lineamientos para destacar tus valores de trabajo, en la cual existen normas y
obligaciones
Código de ética.- Genera un sentido de pertenencia e identidad. Cuida la Imparcialidad en las relaciones laborales y contratos. Brinda claridad en los criterios que guían la toma de decisiones que afectan a los trabajadores.
Previene conflictos entre los empleados.
Valores.- son las conductas que permiten a cada individuo trabajar de forma pacífica con la empresa:
Honestidad
Lealtad
Respeto
Confianza
Congruencia
Principios.- son acuerdos seguidos por un grupo de personas que garantizan la igualdad y equidad de una
empresa:
Honradez y transparencia
Bien común
Confidencialidad
Originalidad
Puntualidad
Características de la información: a través de medidas y políticas
Disponibilidad
Confidencialidad
Integridad
Autentificación
Clasificación de la información:
Critica.- indispensable para el funcionamiento de la empresa, solo los altos rangos tienen acceso
Valiosa.-información importante y debe manipularse con cuidado
Sensible.- solo debe ser conocida por personas autorizadas
PROCESO DE TRABAJO DEL ANALISIS DE RIESGO
1. IDENTIFICAR LOS ACTIVOS.- son todos los componentes indispensables para el funcionamiento de un
sistema informático, se clasifican en
o Hardware:
Infraestructura
Cableado de red
Equipos de computo
Servidores
o Software
Sistema operativo
Aplicaciones
Programas de computo
o Datos o información
Base de datos
Paquetes de información
Copias de seguridad
Claves
Los activos más importantes son los datos, su protección contempla métodos de seguridad contra:
Extravío, daño o modificación no autorizada
Propagación o abuso de información confidencial
Asignar valor a los activos.- significa evaluar la importancia que tienen para la organización o la empresa
y así asignar el tipo de protección correspondiente.
Inventario de los activos.- debe de tener los siguientes datos:
Identificación del activo.- selecciona un código para ordenarlos por familias y así poder localizarlos fácilmente
Tipo de activo.- reconoce cada elemento: Hardware, Software y Datos Descripción.- explica las características del activo de forma clara y sin ambigüedades Propietario.- establece a los responsables del activo Localización.- señala la ubicación física del activo o el equipo donde se encuentra
Valoración de los activos.- es la asignación de un valor numérico, el cual indica la magnitud de:
Confidencialidad: El nivel de protección que debe tener cada activo contra su uso indebido. Disponibilidad: El nivel de accesibilidad para usuarios y personal de la empresa. Integridad: El nivel de restricción de modificaciones al activo, por personal no autorizado.
La valoración de los activos identificados se hace con la siguiente escala del 1 al 5, donde este último es el
nivel más alto. Al final se promedia el valor de todos los aspectos. Ejemplo
2. IDENTIFICAR LAS VULNERABILIDADES.- el punto débil en la seguridad de un sistema informático, a través
de estas se pueden presentar amenazas que pongan en peligro la confidencialidad e integridad de la
información. A través de un análisis para identificar el tipo y el nivel de cada vulnerabilidad permitirá
conocer el nivel de riesgo.
Amenaza.- evento que puede producir daño en los sistemas
Tipos de amenazas:
Factor Humano.- deliberado o negligencia
Hardware.- mal diseño, fabricación defectuosa, fallas físicas, variación de voltaje,
desgaste, mal uso, descuido
Software.- programas instalados, sistema operativo, código malicioso (virus, troyanos,
gusanos)
Red con ataques externos o daño físico-lógico, filtración no autorizada de la
información
Impacto de las amenazas.- es el nivel de daño que pueden producir las amenazas y se conoce al
definir quiénes son los afectados: el costo de los daños y la recuperación, activos intangibles
(reputación y confianza), costos legales (incumplimiento de contrato de confidencialidad)
(Clasificado del 1-4) donde cuatro es el valor más alto
Impacto de las amenazas Valor
Nulo 1
Bajo 2
Medio 3
Alto 4
Tipos de vulnerabilidad:
Física.- es la probabilidad de acceder al sistema directamente desde el equipo, para
extraerle información, alterarlo o destruirlo.
De las comunicaciones.- es la posibilidad de que varios usuarios puedan acceder a un
sistema informático que se encuentre conectado a una red de computadoras o red global
(internet)
Software.- también conocida como bugs, es la posibilidad de que el sistema se accesible
debido a fallas en el diseño del software.
Natural.- es la posibilidad de que el sistema sufra daños por causas del ambiente o
desastres naturales, como incendios, tormentas, inundaciones, terremotos, humedad
excesiva, picos de bajas y altas de temperatura.
Emanación.- es la posibilidad de interceptar radiaciones electromagnéticas para descifrar
o alterar la información enviada o recibida.
Humana.- la posibilidad del error humano. Los administradores o usuarios del sistema son
una vulnerabilidad, ya que tienen acceso a la red y al equipo.
Nivel de vulnerabilidad.- para continuar con el análisis, se considera que tan posible es que las
vulnerabilidades se exploten para causar algún daño en los activos.
Nivel de vulnerabilidad Valor
Nulo 1
Bajo 2
Medio 3
Alto 4
Ejemplo: al analizar un servidor se obtuvieron los siguientes datos:
Mala ubicación
Enfriamiento deficiente
Falta de mantenimiento
Falta de planta de emergencia
Con los datos obtenidos se elabora la siguiente tabla
3. ESTIMACIÓN DEL RIESGO.- una vez que se haya identificado el nivel de vulnerabilidad y la magnitud del
impacto que pueden sufrir los activos, el siguiente paso es Estimar el riesgo, esto sirve para ubicar en donde
se deben de implementar controles. La estimación de riesgos debe de ser de forma periódica.
El riesgo es la posibilidad de que ocurra un daño en los activos.
Métodos para estimar el riesgo:
Cuantitativos.- se asigna un valor número al riesgo
Cualitativos.- describe al riesgo con palabras
Semicuantitativos.- se utilizan adjetivos
Se usan más los cuantitativos y Semicuantitativos ya que generan un análisis más detallado y más
confiable. Se usa el cualitativo cuando no haya tiempo para hacer un análisis más detallado o no se puede
cuantificar la amenaza.
Como estimar el riego:
Posibilidad de Riesgo= Vulnerabilidad
X Impacto del daño de la amenaza
Se repite el proceso con cada amenaza detectada y se debe realizar una matriz de riesgos
Ejemplo:
Código Activo Valor del activo
Vulnerabilidad Nivel de vulnerabilidad
Amenaza Impacto RIESGO
Su01 Servidor de usuarios
5 Mala ubicación
Enfriamiento deficiente Falta de mantenimiento
Falta de plante de mantenimiento
3
2 3 4
Acceso a personas no autorizadas
Mal funcionamiento Mal funcionamiento
Perdida de info y falla en servidores
3
2 2 4
9 4 6
16
Describir en la tabla las relaciones de tal forma que tengan sentido y presentarlos en donde incluya el valor del riesgo:
RIESGO FACTOR
Acceso al servidor Medio (9)
Perdida información Alto (16)
Mal funcionamiento de servidor Bajo (6)
Controles de seguridad.- es de suma importancia que todas las empresas, conozcan de cómo proteger su
información en contra de ataques informáticos, el objetivo es frenar los intentos de los atacantes de filtrar datos
de la organización a través del cuidado de:
o Accesos.-utiliza procedimientos que sirven para la asignación de accesos y privilegios al
personal autorizado, la asignación se realiza a través de lo siguiente:
o uso de información confidencial para la autentificación del sistema
o gestión de contraseñas del usuario
o uso de software para la administración de sistemas
o gestión de los privilegios del usuario
o Cifrado.-está diseñado para proteger la confidencialidad e integridad de la información
mediante el uso de técnicas criptográficas, existen programas que encripta el contenido de
la b.d. con el fin de que no sean entendibles por el atacante en caso de acceder a la
información, solo los usuarios que tengan el código de encriptación podrán ver los
contenidos.
o Telecomunicaciones.- gestión del flujo de datos a través de las siguientes acciones:
o Controles de red
o Acuerdos de intercambio
o Protección en la mensajería electrónica
o Software de monitoreo de cualquier flujo no autorizado (firewall)
o Operativos.- son los más utilizados por las empresas cuando se requieren cambios en el
sistema, este control verifica los cambios y gestiona las copias de seguridad del sistema, para
funcionar adecuadamente, el control hace uso de los siguientes recursos:
o Gestión de cambios
o Separación de entornos de desarrollo, prueba y productivo
o Detección de códigos maliciosos
o Respaldos del sistema de información
Controles adicionales.- son un complemento de los controles principales para lograr un manejo total de la
organización en las que se implementan:
1. Controles de recursos humanos.- Gestiona la entrada y salida del personal de la organización. Se
compone de:
o Investigación de antecedentes durante la contratación
o Términos y condiciones del puesto
o Educación y capacitación del personal
o Cese o cambio de puesto
2. Controles de activos.- manejan todos los activos, su ubicación o asignación personal. Para esto se
realizan la siguientes acciones:
o Inventario de activos
o Propiedad de los activos
o Devolución de los activos
o Soporte de los activos
3. Controles de adquisición, desarrollo y mantenimiento.- garantizan la inclusión de controles de
seguridad en el desarrollo o actualización de software. Estos se suman al sistema en cualquier momento
requerido. Para eso realizan las siguientes acciones:
o Inclusión de requisitos de seguridad para los nuevos desarrollos
o Procedimientos de control de cambio de sistemas
o Pruebas de funcionalidad durante el desarrollo
4. Controles de incidentes.- garantizan la notificación de las debilidades asociadas al sistema para la
aplicación de medidas preventivas, eso se logra con:
o Alarmas de seguridad
o Avisos en los puntos vulnerables de seguridad
o Ofrecen posibles soluciones a los incidentes de seguridad
o Registran incidentes de seguridad para evitar una reincidencia
Medidas de seguridad.- son los medios utilizados para reducir:
o Vulnerabilidades de los activos
o Ocurrencia de amenazas
o Nivel de impacto de la organización:
o Si el nivel de riesgo es bajo, este puede ser aceptado por la organización
o Si el nivel de riesgo es alto, para aceptarlo deben tomarse medidas para:
o Mitigarlo.- Planes de actuación correctivos (verde)
o Prevenirlo.- Planes de actuación preventivos (amarillo)
o Transferirlo.- Planes de actuación detectivos (rojo)
o Medidas activas.- se emplean diariamente y se ejecutan en todo momento
o Medidas de protección:
Contraseñas
Actualizaciones
Copias periódicas
Políticas
o Medidas de detección:
IDS (sistema de detección de intrusos)
Firewalls (corta fuegos)
Análisis periódicos (antivirus)
o Medidas pasivas o correctivos.- entran en acción para mitigar los efectos de un incidente una
vez que ha ocurrido:
o Uso de antivirus
o Restauración de copias de seguridad y del sistema operativo
La seguridad de la información es la prioridad fundamental en el trabajo.
Niveles de Seguridad.- el estándar más usado a nivel internacional para definir los niveles de seguridad informática está
desarrollado por el Departamento de Defensa de los Estados Unidos en el TCSEC (criterios confiables para la evaluación
de sistemas computacionales) mejor conocido como Orange Book o libro naranja. En él se definen las medidas de
seguridad que debe seguir una red de equipos informáticos y las clasifican en 4 niveles de seguridad:
A. Protección mínima.- aquí se encuentran que todos los equipos informáticos que no son
seguros, ya que no cuentan con mecanismos para restringir el acceso al sistema.
B. Protección discrecional.- los sistemas de este nivel son aquellos en los que cada usuario
tiene acceso a diferente información. Por ejemplo, un equipo o red que cuenta con un
Administrador y varias cuentas de usuario, existen dos subclases
a. Protección de seguridad discrecional.- la base de datos del sistema permite que
cada usuario tenga acceso a su información y la protege de otros que podrían
leerla, alterarla o borrarla
b. Protección de acceso controlado.- el administrador implementa procedimientos
de acceso seguro y puede monitorear las acciones de los usuarios del sistema
C. Protección obligatoria.- son sistemas que utilizan reglas de control de acceso. La
información almacenada tiene un grado de sensibilidad definido (secreto, privado, etc),
para saber quiénes pueden acceder a ella.
a. Seguridad etiquetada.- cumple con los requisitos del B.b. además debe ser capaz
de etiquetar con precisión la información que se envíe. En este subnivel, el control
de acceso es obligatorio. Algunos usuarios tienen un permiso para acceder y
modificar datos específicos.
b. Seguridad estructurada.- en estos subsistemas, el modelo de políticas de
seguridad debe estar expresado en un documento formal. Este nivel de seguridad
requiere que todos los usuarios tengan permisos específicos para acceder a los
datos que contiene el sistema
c. Dominios de seguridad.- los subsistemas con este nivel, todas las medidas de
seguridad, tanto físicas (como cortafuego por hardware) como lógicas (software
de control de acceso) deben probarse para comprobar que son casi invulnerables
ante amenazas de seguridad.
D. Protección verificada.- este niel requiere de todos los controles de seguridad del sistema
se prueben, para asegurar que mantienen segura toda la información almacenada y
procesada.
Políticas de seguridad.- establecer las medidas de seguridad adecuadas, ayudará a mantener la confidencialidad
e integridad de la información.
¿Qué son las políticas de seguridad? Son el conjunto de normas adoptadas por las organizaciones y
empresas cuyo objetivo es:
Proteger la información por robo o alteraciones
Asegurar su disponibilidad
Mantener la confidencialidad
Deben ser entendidas y ejecutadas por todos los miembros de la organización
Elementos de las Políticas de Seguridad:
Alcance y objetivos.- determina los sistemas y usuarios a quienes impactan dichas políticas
Responsabilidades.- indica las consecuencias que se generan al incurrir en alguna falta (accesos
restringidos)
Nivel de privilegios.- conjunto de reglas que definen que personas pueden acceder a los recursos
de la empresa y la manera en que deben realizarlo
Privilegio mínimo.- establece el tipo de autorización que permite acceder a los recursos
indispensables para cada posición.
División de funciones.- consiste en establecer el rol especifico al personal con la finalidad de
evitar ataques a la organización
Monitoreo.- instaura los pasos a seguir para verificar el cumplimiento de los criterios de
seguridad dentro de la organización
Establecimiento de violaciones.- define el acto que se consideran falta a las políticas de
seguridad y las sanciones correspondientes
Generación de respaldos.- copias de seguridad en servidores y unidades de almacenamiento
para proteger la información de la empresa.
Elaboración de un informe.- son documentos que te ayudarán a compartir la información que se ha verificado a
los miembros de una organización.
Se compone de los siguientes elementos:
Estimación de riesgos
Vulnerabilidad de los activos encontrados
Impacto de las amenazas
Tipos de control que se puede implementar para resolver el problema
Complementar la información que permita planear un sistema completo de gestión de seguridad de la
información para la organización
Estructura del informe:
Portada.- fecha, nombre de autor y título
Introducción.- explicar motivo y propósito del análisis
Cuerpo.- se detalla los resultados del análisis que se obtiene de:
La valoración de activos
Los niveles de vulnerabilidad de los activos
El impacto de las amenazas
Propuestas o conclusión de medidas de seguridad.- se elabora una tabla en la que proponga
medidas de seguridad en base en:
Amenazas detectadas
Impacto en los activos
Medidas de uno o varios tipos de control
La elaboración de un informa claro y comprensible, ayudará a determinar la mejor solución
SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI).- sirve para:
Asegurar la calidad (sistemas de gestión)
Para el manejo adecuado de los activos
Protegerlos de ataques y amenazas
Durante la gestión de la información una organización debe garantizar:
o Confidencialidad
o Integridad
o Disponibilidad
Hay alternativas viables para minimizar riesgos en pequeñas y medianas empresas, se encuentra el uso de la
metodología de la norma ISO 27001, norma que permite establecer:
POLITICAS
PROCEDIMIENTOS
CONTROLES
REQUISITOS:
o Establecer
o Implementar
o Operar
o Revisar
o Mantener
o Mejorar el sistema
Para implementar este modelo PDCA, es importante la participación de todo el personal
Planeación:
o Diagnóstico del estatus de seguridad
o Medidas de solución
o Minimizar riesgos.- evaluar la importancia de los riesgos y se determine
controles para minimizarlos
Do:
o Implementar controles durante la planificación
o Informar al personal el por qué y el para que de las medidas tomadas
Check.- realiza labores de mantenimiento del sistema aplicando medidas ante fallos o
debilidades que se detecten en la fase de seguimiento.
o Preventivas
o Correctivas
o De mejora
Act:
o Evalúa el éxito y eficiencia de la implementación
o Indicadores de resultados
Todo el proceso debe documentarse en 4 tipos de documentos:
1. Políticas.- se especifica los objetivos generales de la organización al inicio del modelo
2. Procedimientos.- el desarrollo de los objetivos
3. Instrucciones.- comandos técnicos que se realizaran durante los procedimientos
4. Registros.- plasma los indicadores y métricas de los objetivos.
El modelo es un proceso cíclico, una vez que se termine la última fase se debe comenzar de
nuevo tomando como base los resultados obtenidos del primer ciclo.
Beneficios al implementar el modelo PDCA:
Reducción de riesgos
Ahorro en costos
Seguridad como habito
Cumplimiento de la legislación vigente
Incremento de la competitividad
Mejora la imagen corporativa