Professional Documents
Culture Documents
Confidencialidad de la información
La información de la organización nunca debería ser accesible
a los usuarios sin la autorización correspondiente.
No intencionales / amenazas
accidentales
Errores de operación, errores de
diseño, errores de software o
programación, errores de usuarios,
tropezar con cables eléctricos, fallas de
hardware
Probables Fuentes de Amenazas (Quién)
•Dinero, beneficio
•Ventajas competitivas
•Queja, venganza
•Curiosidad
•Travesura
•Llamar la atención
•Ignorancia
Identificación de Vulnerabilidades
Ejemplos:
Políticas de seguridad no están implementadas
Los roles y responsabilidades no son precisas Organización
El entrenamiento de seguridad a los empleados es inadecuado
La entrada a los edificios no es revisada adecuadamente
Amenazas Vulnerabilidades
Falla del •No se tiene UPS o planta eléctrica para cuando se interrumpe el suministro
suministro de energía eléctrica.
•No se tiene un plan de continuidad del negocio o procedimientos
eléctrico que protejan la información y los activos de información
•Los respaldos de expedientes y sistemas no están disponibles
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (1/4)
Amenazas Vulnerabilidades
Código malicioso •No se tiene software anti-virus
(virus, gusanos, •El software anti-virus no se actualiza regularmente.
caballos troyanos) •Falta de entrenamiento al personal de apoyo en virus de software
•Descargas y usos de software de internet no controladas.
•Carencia de políticas respecto a la apertura de correos con
archivos adjuntados.
•Carencia de políticas en el uso de disquete, cds, usb memory sin
ser escaneadas con un software de antivirus previamente.
Ataque de •Carencia de firewall
denegación de •Carencia de un sistema de detección y prevención de intrusos
servicio/ataque de •Los sistemas operativos no se actualizan regularmente con los
distribución de parches de seguridad.
denegación de
servicio/ataque de
tope de memoria
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (2/4)
Amenazas Vulnerabilidades
Escucha a •Comunicaciones sin encriptar
escondidas/interven •Carencia de seguridad física sobre la comunicación de la data.
ir la red •Uso compartido de Ethernet: todo el tráfico es transmitido a
cualquier máquina en un mismo segmento.
Acceso no •Carencia de logs de auditoria para detectar accesos no
autorizado a través autorizados
de la red •Carencia de autenticación de usuarios
•Carencia de un sistema de detección y prevención de intrusos
•Carencia de firewalls
•Políticas inadecuadas de firewalls
•Los sistemas operativos no se actualizan regularmente con los
parches de seguridad.
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (3/4)
Amenazas Vulnerabilidades
Accesos no •Carencia de seguridad física (sin vigilantes, sin llaves)
autorizados •Carencia de accesos lógicos de seguridad (número de
(intrusión en los identificación, contraseñas)
edificios)
Alteración/destrucci •Carencia de seguridad física (sin vigilantes, sin llaves)
ón maliciosa por •Carencia de accesos lógicos de seguridad (número de
personal con acceso identificación, contraseñas)
a información •Carencia de gestión del control de cambios.
confidencial •Derechos de acceso incorrectos
Repudiación •Carencia de pruebas de envío o recibo de mensajes
•Carencia de uso de firmas digitales
Envío fraudulento •Carencia de mecanismos de identificación y autenticación
de correo, usando •Tablas de contraseñas sin protección
un nombre o una •Carencia de identificación del remitente y del destinatario
dirección falsa
(spoofing)
Amenazas y Vulnerabilidades
Intencionales/Deliberadas (4/4)
Amenazas Vulnerabilidades
Robo •Carencia de seguridad física (sin vigilantes, sin llaves)
•Carencia de accesos lógicos de seguridad (número de
identificación, contraseñas)
•Carencia de controles de administración de hardware y software
•Copiado de datos y software no controlados
•Carencia de rastros de auditorias
Ingeniería social •Carencia de políticas que regulen la entrega de información por
teléfono.
•Carencia de políticas que requieran que toda petición de
información pueda ser suspendida has taque la identidad del
solicitante pueda ser verificada.
Amenazas y Vulnerabilidades No
Intencionales o Accidentales (1/3)
Amenazas Vulnerabilidades
Errores de usuario o •Carencia de conciencia de los usuarios
del Personal de •Insuficiente entrenamiento de seguridad
operaciones. •Carencia de documentación (ej. guía de usuarios)
•Interface de usuarios complicada
•Carencia de control de cambios en las configuraciones.
Errores de •Procedimientos inadecuados en el del ciclo de vida de desarrollo
programación de de sistemas.
software •Especificaciones confusas o incompletas
•Carencia de un control eficiente y efectivo de los cambios en las
configuración.
•Personal no cualificado / no capacitado.
Amenazas y Vulnerabilidades No
Intencionales o Accidentales(2/3)
Amenazas Vulnerabilidades
Fallas de hardware •Falta de entrenamiento a los usuarios.
•Mantenimiento inapropiado del hardware.
•Carencia de procedimiento o recursos para hacer respaldos.
•No se tienen planes o procedimientos de continuidad del negocio
Fallas en los •Carencia de redundancia y respaldos
servicios de •Diseño y administración inadecuada de redes
comunicación •Manejo inadecuado de incidentes
Amenazas y Vulnerabilidades No
Intencionales o Accidentales (3/3)
Amenazas Vulnerabilidades
Falla de operaciones •Obligaciones no claras en los contratos de servicios en
ejecutadas mediante outsourcing.
outsourcing •No se tiene procedimientos o plan de continuidad del negocio
que cubran a la información y los activos de información
Pérdida o ausencia •No se tiene reemplazo del personal clave.
de personal clave •Procedimientos no documentados
Estimación de las Amenazas
Ejemplos, experiencias
Frecuencia
Atractividad
Motivación
Capacidades
Recursos
3.3 Estimación de las Vulnerabilidades