Fuente: Information Security Risk Analysis.

Okinawa International Centre. Japan International

Cooperation Agency. MAGER. ISO/IEC 27005
¿Conceptos relacionados con Seguridad?

Riesgo: es la posibilidad que una amenaza explote una

vulnerabilidad en los activos causando daños o
pérdidas.

Amenaza: algo que puede potencialmente causar daño a

la red o a los sistemas computacionales. Ej: virus

Vulnerabilidad: son las debilidades de la organización,

sistemas computacionales, o la red que pueden ser
explotados por una amenaza. Ej: no tener software
antivirus instalado.
 Relación entre amenazas, vulnerabilidades y pérdida

Amenaza Pérdida Vulnerabilidad

(Amenaza) X (Vulnerabilidad) = (Pérdida)

Virus X no tener instalado = destrucción de datos

software antivirus
Tres Factores de Seguridad de la
Información
Seguridad de la Información: consiste en asegurar y mantener la
confidencialidad, integridad y disponibilidad de la información.

Confidencialidad de la información
La información de la organización nunca debería ser accesible
a los usuarios sin la autorización correspondiente.

Integridad de las aplicaciones y de la información

Consiste en preservar la información completa y exacta.

Disponibilidad del sistema

La información está disponible a los usuarios autorizados cuando
estos la requieran.
Normas para la Seguridad de la
Información
Existen muchas normas disponibles…
ISO (Organización Internacional de Estandarización)

ISO/IEC 17799: Código de buenas prácticas para la gestión de seguridad de la

información
Originalmente establecida como Estándar Británico (BS) 7799, 17799 que proporciona
recomendaciones para desarrollar estándares de seguridad en las organizaciones y
prácticas efectivas de gestión de la seguridad.

ISO/IEC 27005: Gestión de Riesgos de seguridad de la Información

Originalmente establecida como ISO/IEC TR 13335-3 e ISO/IEC TR 13335-4, la cual
provee lineamientos para la gestión de riesgos de seguridad de la información en la
organización.

ISO/IEC 15408: Criterios de evaluación de seguridad para IT (CC: Criterios Comunes)

Criterios usados como evaluación básica de seguridad como propietarios de productos
y sistemas de IT.
3. Estimación de Amenazas y Vulnerabilidades
relacionadas a los Activos de Información

3.1 Amenazas y Vulnerabilidades.

3.2 Estimación de Amenazas.

3.3 Estimación de Vulnerabilidades

3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
3.1 Amenazas y Vulnerabilidades
Significado y Probabilidad de las
Amenazas (Cuándo y Cómo)
¿Cuándo ocurren las amenazas?
Tipos de amenazas • En autenticación
• En transferencia de datos
Amenazas ambientales • En procesos de mantenimiento
Terremotos, inundación, huracanes, ¿Cuáles son las oportunidades para
tormentas que ocurran las amenazas?
• Todos los días
• Una vez a la semana
Amenazas humanas • Una vez al mes
•Intencionales / amenazas deliberadas
• Una vez al año
Alteración de datos o robo, destrucción
de datos, robo de hardware, accesos no
autorizados, intervenciones.

No intencionales / amenazas
accidentales
Errores de operación, errores de
diseño, errores de software o
programación, errores de usuarios,
tropezar con cables eléctricos, fallas de
hardware
Probables Fuentes de Amenazas (Quién)

¿Cuáles son las fuentes de amenaza para los sistemas de información?

Las principales amenazas para los activos de información pueden ser

categorizadas de la siguiente manera:
Internos y no intencionales
Trabajadores desinformados: errores pueden ser hechos, la información
puede ser destruida, datos confidenciales pueden ser expuestos.
Internos e intencionales
Empleados descontentos: dejar errores en los sistemas a propósito.
Trabajadores Contratados: que se quieran volver indispensable mediante
la realización de su trabajo de modo tal que ningún otro lo pueda
sustituir. Ej: desarrollador de software que no sigue ningún estándar de la
organización.
Externos y no intencionales
Desastres naturales – causando interrupción en los servicios.
Externos e intencionales
Hackers – accesando a servidores y robando información personal.
Crackers – destruyendo los sistemas.
Motivos de las Amenazas (Por qué)

¿Por qué ocurren las amenazas?

•Dinero, beneficio
•Ventajas competitivas
•Queja, venganza
•Curiosidad
•Travesura
•Llamar la atención
•Ignorancia
Identificación de Vulnerabilidades

Vulnerabilidad: una debilidad en la organización, sistemas de computación,

o la red.

Ejemplos:
 Políticas de seguridad no están implementadas
 Los roles y responsabilidades no son precisas Organización
 El entrenamiento de seguridad a los empleados es inadecuado
 La entrada a los edificios no es revisada adecuadamente

 No se tiene protección contra los virus de computadoras

 Existen fallas en el software de los servidores de SO Sistemas
 No se han aplicado políticas de contraseñas.

 Datos confidenciales sin protección son enviados por la red Red

Amenazas y Vulnerabilidades Ambientales

Amenazas Vulnerabilidades

Desastres naturales •La organización está en un área susceptible a desastres naturales.

(terremotos, •No se tiene un plan de continuidad del negocio o procedimientos
inundaciones,
que protejan la información y los activos de información.
tormentas)
•Los respaldos de expedientes y sistemas no están disponibles.

Fuego en edificios •Carencia de dispositivos de detección de fuego

•Carencia de sistema automático de supresión de fuego
• Disponibilidad de materiales inflamables como papel o cajas
•Los respaldos de expedientes y sistemas no están disponibles

Falla del •No se tiene UPS o planta eléctrica para cuando se interrumpe el suministro
suministro de energía eléctrica.
•No se tiene un plan de continuidad del negocio o procedimientos
eléctrico que protejan la información y los activos de información
•Los respaldos de expedientes y sistemas no están disponibles
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (1/4)
Amenazas Vulnerabilidades
Código malicioso •No se tiene software anti-virus
(virus, gusanos, •El software anti-virus no se actualiza regularmente.
caballos troyanos) •Falta de entrenamiento al personal de apoyo en virus de software
•Descargas y usos de software de internet no controladas.
•Carencia de políticas respecto a la apertura de correos con
archivos adjuntados.
•Carencia de políticas en el uso de disquete, cds, usb memory sin
ser escaneadas con un software de antivirus previamente.
Ataque de •Carencia de firewall
denegación de •Carencia de un sistema de detección y prevención de intrusos
servicio/ataque de •Los sistemas operativos no se actualizan regularmente con los
distribución de parches de seguridad.
denegación de
servicio/ataque de
tope de memoria
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (2/4)
Amenazas Vulnerabilidades
Escucha a •Comunicaciones sin encriptar
escondidas/interven •Carencia de seguridad física sobre la comunicación de la data.
ir la red •Uso compartido de Ethernet: todo el tráfico es transmitido a
cualquier máquina en un mismo segmento.
Acceso no •Carencia de logs de auditoria para detectar accesos no
autorizado a través autorizados
de la red •Carencia de autenticación de usuarios
•Carencia de un sistema de detección y prevención de intrusos
•Carencia de firewalls
•Políticas inadecuadas de firewalls
•Los sistemas operativos no se actualizan regularmente con los
parches de seguridad.
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (3/4)
Amenazas Vulnerabilidades
Accesos no •Carencia de seguridad física (sin vigilantes, sin llaves)
autorizados •Carencia de accesos lógicos de seguridad (número de
(intrusión en los identificación, contraseñas)
edificios)
Alteración/destrucci •Carencia de seguridad física (sin vigilantes, sin llaves)
ón maliciosa por •Carencia de accesos lógicos de seguridad (número de
personal con acceso identificación, contraseñas)
a información •Carencia de gestión del control de cambios.
confidencial •Derechos de acceso incorrectos
Repudiación •Carencia de pruebas de envío o recibo de mensajes
•Carencia de uso de firmas digitales
Envío fraudulento •Carencia de mecanismos de identificación y autenticación
de correo, usando •Tablas de contraseñas sin protección
un nombre o una •Carencia de identificación del remitente y del destinatario
dirección falsa
(spoofing)
 Amenazas y Vulnerabilidades
Intencionales/Deliberadas (4/4)
Amenazas Vulnerabilidades
Robo •Carencia de seguridad física (sin vigilantes, sin llaves)
•Carencia de accesos lógicos de seguridad (número de
identificación, contraseñas)
•Carencia de controles de administración de hardware y software
•Copiado de datos y software no controlados
•Carencia de rastros de auditorias
Ingeniería social •Carencia de políticas que regulen la entrega de información por
teléfono.
•Carencia de políticas que requieran que toda petición de
información pueda ser suspendida has taque la identidad del
solicitante pueda ser verificada.
 Amenazas y Vulnerabilidades No
Intencionales o Accidentales (1/3)
Amenazas Vulnerabilidades
Errores de usuario o •Carencia de conciencia de los usuarios
del Personal de •Insuficiente entrenamiento de seguridad
operaciones. •Carencia de documentación (ej. guía de usuarios)
•Interface de usuarios complicada
•Carencia de control de cambios en las configuraciones.
Errores de •Procedimientos inadecuados en el del ciclo de vida de desarrollo
programación de de sistemas.
software •Especificaciones confusas o incompletas
•Carencia de un control eficiente y efectivo de los cambios en las
configuración.
•Personal no cualificado / no capacitado.
 Amenazas y Vulnerabilidades No
Intencionales o Accidentales(2/3)
Amenazas Vulnerabilidades
Fallas de hardware •Falta de entrenamiento a los usuarios.
•Mantenimiento inapropiado del hardware.
•Carencia de procedimiento o recursos para hacer respaldos.
•No se tienen planes o procedimientos de continuidad del negocio
Fallas en los •Carencia de redundancia y respaldos
servicios de •Diseño y administración inadecuada de redes
comunicación •Manejo inadecuado de incidentes
 Amenazas y Vulnerabilidades No
Intencionales o Accidentales (3/3)
Amenazas Vulnerabilidades
Falla de operaciones •Obligaciones no claras en los contratos de servicios en
ejecutadas mediante outsourcing.
outsourcing •No se tiene procedimientos o plan de continuidad del negocio
que cubran a la información y los activos de información
Pérdida o ausencia •No se tiene reemplazo del personal clave.
de personal clave •Procedimientos no documentados
 Estimación de las Amenazas

Ejemplos de los criterios de las amenazas

Criterio Criterio por Ejemplos
Nivel de Criterio por
por condición de Criterio por atractivo
amenazas probabilidad
frecuencia ocurrencia
Alto (3) La ocurrencia es muy Más de Bajo El atacante se Código
probable una vez al circunstancia beneficia en gran malicioso
(probabilidad mayor mes s normales medida por el ataque,
del 50%) tiene la capacidad
técnica para ejecutarlo
y la vulnerabilidad es
fácilmente explotable.
Medio (2) La ocurrencia es Alrededor Por errores El atacante se Fallas de
probable de una vez descuidados beneficia de alguna hardware
(probabilidad igual al cada tres manera por el ataque,
50%) meses tiene la capacidad
técnica para ejecutarlo
y la vulnerabilidad es
fácilmente explotable.
Bajo (1) La ocurrencia es Alrededor En rara El atacante no se Desastres
menos probable de una vez ocasión beneficia por el ataque naturales
(probabilidad es al año
mayor que cero y
menor del 50%)
No Aplica (0)
Aspectos a considerar en la Estimación de
las Amenazas

Cuando se estime la posibilidad de pérdida o daño por

amenazas, se deben considerar los siguientes aspectos:

 Ejemplos, experiencias
 Frecuencia
 Atractividad
 Motivación
 Capacidades
 Recursos
 3.3 Estimación de las Vulnerabilidades

Ejemplos de criterios de vulnerabilidades

Nivel de vulnerabilidades Criterio Ejemplos

Alto (3) No existe ninguna medida No se utilizan contraseña para que los usuarios
de seguridad ingresen a los sistemas.
implementada para
prevenir la ocurrencia de la
amenaza.
Medio (2) Existen medidas de Existe norma para la utilización de contraseñas
seguridad implementadas pero no se aplica.
que no reducen la
probabilidad de ocurrencia
de la amenaza a un nivel
aceptable.
Bajo (1) La medida de seguridad es Existe norma para la utilización de contraseñas
adecuada y es aplicada.
 Ejemplo de Tabla de Análisis de Riesgos

Ejemplo de tabla de análisis de riesgos

Nombre del CID Nivel de Nivel de Amenazas Vulnerabilidad Controles
activo de amenaza vulnerabilidad esperadas es esperadas implementados
información actualmente
Lista de C 3 2 3 •Acceso no •La contraseña •Se utiliza
clientes autorizado al del servidor no autenticación
existente servidor se cambia de usuarios
periódicamente (usuario,
contraseña)
I 2 2 3 •Alteración de •No se han •Se registran en
datos en el restringido los el log todos los
servidor derechos sobre accesos.
los archivos
D 2 3 2 •Falla de •El hardware •Los respaldos
hardware del servidor no son creados
•Infección de tiene una vez por
virus mantenimiento semana
•El software de
anti-virus no
esta instalado