SEGURIDAD

INFORMTICA
J AVIE R VA SQUE Z CR U Z
UNIDAD 1. INTRODUCCIN A LA
SEGURIDAD INFORMTICA
Describir los conceptos fundamentales sobre seguridad informtica.
Reconocer la importancia de asegurar la informacin sensible.
Que es la seguridad informtica?
Seguridad significa proteger recursos valiosos, que pertenecen a un
legitimo propietario, de los posibles peligros y ataques perpetrados
por agentes no autorizados.
La seguridad informtica se ocupa de proteger dichos recursos.
Que es Seguridad Informtica?
La seguridad informtica, generalmente consiste en asegurar que los
recursos del sistema de informacin de una organizacin sean
utilizados de la manera que se decidi.
La seguridad informtica busca la proteccin contra los riesgos liados
a la informtica. Los riesgos son en funcin de varios elementos:
Las amenazas que pesan sobre los recursos o activos a proteger.
Las vulnerabilidades de estos recursos.
Su sensibilidad, la cual es la conjuncin de diferentes factores: la
confidencialidad, la integridad, la disponibilidad o accesibilidad.
Riesgo
La Organizacin Internacional por la Normalizacin (ISO) define
riesgo tecnolgico como:

La probabilidad de que una amenaza se materialice,

utilizando vulnerabilidad existentes de un activo o un
grupo de activos, generndole perdidas o daos.
Probabilidad
Establecer la probabilidad de ocurrencia puede realizarse de manera
cuantitativa o cualitativa, pero siempre considerando que la medida no
debe contemplar la existencia de ninguna accin paliativa, o sea, debe
considerarse en cada caso qu posibilidades existen que la amenaza se
presente independientemente del hecho que sea o no contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales hay
informacin suficiente (series histricas, compaas de seguros y otros
datos) para establecer con razonable objetividad su probabilidad de
ocurrencia. Otras amenazas presentan mayor dificultad en establecer
cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a
datos; dnde se hacen estimaciones sobre la base de experiencias.
Siguiendo con el ejemplo, para el personal interno del Centro de Cmputos
(CPD), la probabilidad puede ser el 70%, para el personal de la organizacin,
externo al CPD, del 45%, y para personas de fuera, el 80% (a travs de
acceso por Internet).
Amenazas
Las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa.
Comnmente se indican como amenazas a las fallas, a los ingresos no
autorizados, a los virus, uso inadecuado de software, los desastres
ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carcter fsico o lgico, como ser una
inundacin en el primer caso, o un acceso no autorizado a una base
de datos en el segundo caso.
Vulnerabilidades
Son ciertas condiciones inherentes a los activos o presentes en su entorno
que facilitan que las amenazas se materialicen llevan a esos activos a ser
vulnerables.
Mediante el uso de las debilidades existentes es que las amenazas logran
materializarse, o sea, las amenazas siempre estn presentes, pero sin la
identificacin de una vulnerabilidad no podrn ocasionar ningn impacto.
Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se
citan las siguientes: falta de conocimiento del usuario, tecnologa
inadecuadamente probada (testeada), transmisin por redes pblicas,
etc.
Una vulnerabilidad comn es contar con antivirus no actualizado, la cual
permitir al virus actuar y ocasionar daos. Si el antivirus estuviese
actualizado la amenaza (virus) si bien potencialmente seguira existiendo no
podra materializarse.
Activos o Recursos
Los activos o recursos a reconocer son aquellos relacionados con
sistemas de tecnologa informacin o comunicacin. Ejemplos
tpicos son los datos, el hardware, el software, servicios, documentos,
edificios y recursos humanos.
Impactos
Las consecuencias de la ocurrencia de las distintas amenazas son
siempre negativas. Las prdidas generadas pueden ser financieras,
no financieras, de corto plazo o de largo plazo.
Se puede establecer que las ms comunes son: la prdida directa de
dinero, la prdida de confianza, la reduccin de la eficiencia y la
prdida de oportunidades de negocio. Otras no tan comunes,
felizmente, son la prdida de vidas humanas, afectacin del medio
ambiente, etc.
Estrategias de Seguridad
Para establecer una estrategia adecuada es conveniente pensar una
poltica de proteccin en los distintos niveles que esta debe abarcar y
que no son : Fsica, Lgica, Humana y la interaccin que existe entre
estos factores.
En cada caso considerado, el plan de seguridad debe incluir una
estrategia Proactiva y otra Reactiva.
Estrategia Proactiva
La Estrategia Proactiva (proteger y proceder) o de previsin de
ataques es un conjunto de pasos que ayuda a reducir al mnimo la
cantidad de puntos vulnerables existentes en las directivas de
seguridad y a desarrollar planes de contingencia.
La determinacin del dao que un ataque va a provocar en un sistema
y las debilidades y puntos vulnerables explotados durante este
ataque ayudar a desarrollar esta estrategia.
Estrategia Reactiva
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior
al ataque ayuda al personal de seguridad a evaluar el dao que ha
causado el ataque, a repararlo o a implementar el plan de
contingencia desarrollado en la estrategia Proactiva, a documentar y
aprender de la experiencia, y a conseguir que las funciones
comerciales se normalicen lo antes posible.
Conceptos fundamentales sobre la
seguridad informtica
Importancia de la Seguridad Informtica
Es necesaria la Seguridad de la Informacin por la existencia de personas
ajenas a la informacin, tambin conocidas como piratas informticos o
hackers, que buscan tener acceso a una red para modificar, sustraer o borrar
datos.
Tales personajes pueden, incluso, formar parte del personal administrativo
o de sistemas, de cualquier compaa; de acuerdo con expertos en el rea,
ms de 70 por ciento de las violaciones e intrusiones a los recursos
informticos se realiza por el personal interno, debido a que ste conoce los
procesos, metodologas y tiene acceso a la informacin sensible de su
empresa, es decir, a todos aquellos datos cuya prdida puede afectar el
buen funcionamiento de la organizacin.
Conceptos fundamentales sobre la
seguridad informtica
Algunas definiciones:
El conjunto de normas, mecanismos, herramientas, procedimientos y recursos
orientados a brindar proteccin a la informacin resguardando sus disponibilidad,
integridad y confidencialidad
Segn la Real Academia Espaola (http://rae.es), la Seguridad es Calidad de seguro,
donde Seguro es Libre y exento de Peligro, por lo que podramos concluir que
Seguridad Informtica es "la cualidad de un sistema informtico exento de peligro".
Sin embargo, esta definicin, a pesar de que puede ser vlida, no es una definicin
aceptable para nosotros.
Una definicin ms acertada sera la siguiente: Un conjunto de mtodos y
herramientas destinados a proteger la informacin y por ende, los sistemas
informticos ante cualquier amenaza.
Otra definicin sera resguardar y mantener estable una red de datos y red de
computadoras ante cualquier amenaza de entidades externas.
Conceptos fundamentales sobre la
seguridad informtica
Elementos a proteger
Los activos son los elementos que la seguridad informtica tiene como objetivo
proteger. Son tres elementos que conforman los activos:

Informacin: Es el objeto de mayor valor para una organizacin, el objetivo es el

resguardo de la informacin, independientemente del lugar en donde se encuentre
registrada, en algn medio electrnico o fsico.

Equipos que la soportan: Software, hardware y organizacin.

Usuarios: Individuos que utilizan la estructura tecnolgica y de comunicaciones que

manejan la informacin.
Principios de Seguridad
Servicios de Seguridad Informtica
Un servicio de seguridad es aquel que mejora la seguridad de un sistema de
informacin y el flujo de informacin de una organizacin. Los servicios estn
dirigidos a evitar los ataques de seguridad y utilizan uno o ms mecanismos de
seguridad para proveer el servicio.
Clasificacin, Una clasificacin muy utilizada de los servicios de seguridad es la
siguiente:
Confidencialidad Integridad Disponibilidad
Autenticacin
No repudio
Control de acceso
 Principios de Seguridad
En general se suele decir que los tres objetivos fundamentales de la seguridad informtica son:
Principios de Seguridad
El ISO 17799:
Confidencialidad. Asegurar que nicamente personal autorizado
tenga acceso a la informacin.

Integridad. Garantizar que la informacin no ser alterada, eliminada
o destruida por entidades no autorizadas.

Disponibilidad. Asegurar que los usuarios autorizados tendrn
acceso a la informacin cuando la requieran.
Confidencialidad (Confidentiality)
El acceso a los activos del sistema est limitado a usuarios
autorizados. Estamos respondiendo a la pregunta: quin podr
acceder a los mismos? La confidencialidad intenta prevenir la
revelacin no autorizada, intencional o no, del contenido de un
mensaje o de informacin en general.
La prdida de informacin puede producirse de muchas maneras, por
ejemplo, por medio de la publicacin intencional de informacin
confidencial de una organizacin o por medio de un mal uso de los
derechos de acceso en un sistema.
Integridad (Integrity)
Los activos del sistema slo pueden ser borrados o modificados por
usuarios autorizados, qu se podr hacer con ella?.
La integridad asegura que:
No se realizan modificaciones de datos en un sistema por personal o procesos no
autorizados.
No se realizan modificaciones no autorizadas de datos por personal o procesos
autorizados.
Los datos son consistentes, es decir, la informacin interna es consistente entre si
misma y respecto de la situacin real externa.
Disponibilidad (Availability)
El acceso a los activos en un tiempo razonable est garantizado para
usuarios autorizados.
La informacin tiene que estar disponible para quienes la necesiten y
cuando la necesiten, si estn autorizados: de qu manera, y cuando
se podr acceder a ella?
La disponibilidad asegura que el acceso a los datos o a los recursos de
informacin por personal autorizado se produce correctamente y en
tiempo. Es decir, la disponibilidad garantiza que los sistemas
funcionan cuando se les necesita.
Confidencialidad Integridad
Disponibilidad
Lo contrario de la confidencialidad, integridad y la disponibilidad son
la revelacin, la modificacin y la destruccin.
Por tanto, la confidencialidad, la integridad y la disponibilidad son
unos conceptos claves en el mbito de la seguridad de la informacin
y los activos.
Preguntas
Cuales seran las prdidas generadas a la compaa si los datos estn
comprometidos?
Cuales seran las prdidas generadas a la compaa si existe una
prdida de propiedad intelectual?
Qu valor implica la prdida de privacidad?
Qu valor representa la prdida de reputacin?
Tendr sentido proteger la informacin si los usuarios no
contribuyen en tal accin?
Autenticacin, Es realmente quien dice
ser?
Es el servicio que trata de asegurar que una comunicacin sea
autntica, es decir, verificar que el origen de los datos es el correcto,
quin los envi y cundo fueron enviados y recibidos tambin sean
correctos.
Algunos mtodos de autenticacin son:
Biomdicas, por huellas dactilares, retina del ojo, etc.
Tarjetas inteligentes que guardan informacin de los certificados de un usuario

Mtodos clsicos basados en contrasea:

Comprobacin local o mtodo tradicional en la propia mquina
Comprobacin en red o mtodo distribuido, ms utilizado actualmente
No repudio, ha enviado/recibido esto
realmente?
El no repudio sirve a los emisores o a los receptores, para negar un
mensaje transmitido. Por lo que cuando un mensaje es enviado, el
receptor puede probar que el mensaje fue enviado por el presunto
emisor. De manera similar, cuando un mensaje es recibido, el
remitente puede probar que el mensaje fue recibido por el presunto
receptor.
Control de Acceso, tiene derecho a hacer
lo que pide?
Un control de acceso se ejecuta con el fin de que un usuario sea identificado
y autenticado de manera exitosa para que entonces le sea permitido el
acceso.
Los componentes bsicos de un mecanismo de control de acceso son las
entidades de red, los recursos de la red y los derechos de acceso. Estos
ltimos describen los privilegios de la entidad o los permisos con base en
qu condiciones las entidades pueden tener acceso a un recurso de la red y
cmo estas entidades son permitidas para tener acceso a un recurso de la
red.
El control de acceso puede ejecutarse de acuerdo con los niveles de
seguridad y puede ejecutarse mediante la administracin de la red o por una
entidad individual de acuerdo con las polticas de control de acceso.
TIPOS DE AMENAZAS
1. Humanas
2. Hardware
3. Red
4. Lgicas
5. Fenmenos naturales que provocan desastres
Amenazas Humanas
Surge por ignorancia en el manejo de la informacin, por descuido,
por negligencia, por inconformidad. Para este caso se pueden
considerar a los hackers, crakers, phreakers, carding, trashing, gurs,
lamers o scriptkiddies, copyhackers, bucaneros, newbie, wannabers,
samurai, creadores de virus y los que se listan a continuacin:
Amenazas Humanas
Ingeniera social: Es la manipulacin de las personas para
convencerlas de que ejecuten acciones o actos que normalmente no
realizan de forma que revelen datos indispensables que permitan
superar las barreras de seguridad. Esta tcnica es una de las ms
usadas y efectivas al momento de averiguar nombres de usuarios y
contraseas.
Amenazas Humanas
Ingeniera social inversa: Consiste en la generacin, por parte de los
intrusos, de una situacin inversa a la original en la ingeniera social.
En este caso el intruso publicita de alguna manera que es capaz de
brindar ayuda a los usuarios y stos lo llaman ante algn imprevisto.
El intruso aprovechar esta oportunidad para pedir informacin
necesaria para solucionar el problema del usuario y el propio.
Amenazas Humanas
Robo: Las computadoras son las posesiones ms valiosas de la empresa y se
encuentran expuestas. Es frecuente que los operadores utilicen las
computadoras de las empresas para realizar trabajos privados o para otras
organizaciones y de esta manera robar tiempo de mquina.
Fraude: Cada ao millones de dlares son sustrados de las empresas y, en
muchas ocasiones, las computadoras son utilizadas para dichos fines. Es
uno de los problemas ms habituales de las Organizaciones, sea del tipo que
sea y a todos los niveles, ya que se refiere al perjuicio econmico
patrimonial realizado con nimo de lucro y llevado a cabo con engao.

El fraude no trata ms que lograr un beneficio ilegal reduciendo las

propiedades de la compaa.
Amenazas Humanas
Sabotaje: ( Dao o destruccin que se hace intencionadamente
en un servicio, una instalacin, un proceso, etc.) El sabotaje ha
sido utilizado desde la antigedad, partiendo del axioma de una
eficiencia mxima, con unos medios y un riesgo mnimo para el
saboteador. Para lograr estos fines el saboteador tratar de
determinar los puntos dbiles de la Organizacin y estudiar las
posibilidades de acceder a las reas donde mayor dao pueda hacer.
Es el peligro ms temido en los centros de procesamiento de datos,
ya que ste puede realizarlo un empleado o un sujeto ajeno a la
empresa.
Amenazas Humanas
Personal: De los robos, fraudes, sabotajes o accidentes relacionados
con los sistemas, el 73% es causado por el personal de la organizacin
propietaria de dichos sistemas.
Personal interno: Son las amenazas al sistema provenientes del
personal del propio sistema informtico. Los daos causados por el
personal pueden ser accidentales, deliberados o productos de la
negligencia. Los recursos y programas as como la informacin,
deben estar especialmente protegidos contra estos tipos de daos.
Ex-empleado: Generalmente son personas descontentas con la
organizacin y que conocen a la perfeccin la estructura del sistema,
por consiguiente, tienen los conocimientos necesarios para causar
cualquier tipo de dao.
Amenazas Humanas
Curiosos: Son personas que tienen un alta inters en las nuevas
tecnologas, pero an no tienen la experiencia ni conocimientos
bsicos para considerarlos hacker o crackers, generalmente no se
trata de ataques dainos, pero afecta el entorno de fiabilidad y
confiabilidad generado en un sistema.
Terrorista: En esta definicin se engloba a cualquier persona que
ataca al sistema causando un dao de cualquier ndole en l, tienen
fines proselitistas o religiosos.
Amenazas Humanas
Intrusos remunerados: Se trata de crackers o piratas con grandes
conocimientos y experiencia, pagados por una tercera parte para
robar secretos o simplemente para daar de alguna manera la
imagen de la entidad atacada.
Amenazas Hardware
Este tipo de amenazas se da por fallas fsicas que se encuentra
presente en cualquier elemento de dispositivos que conforman la
computadora. Los problemas ms identificados para que el
suministro de energa falle son el bajo voltaje, ruido
electromagntico, distorsin, interferencias, alto voltaje, variacin de
frecuencia, etc.
Amenazas Red
Se presenta una amenaza cuando no se calcula bien el flujo de
informacin que va a circular por el canal de comunicacin, es decir,
que un atacante podra saturar el canal de comunicacin provocando
la no disponibilidad de la red. Otro factor es la desconexin del canal.
La amenaza se hace presente cuando un diseo bien elaborado de un
mecanismo de seguridad se implementa mal, es decir, no cumple con
las especificaciones del diseo. La comunicacin entre procesos
puede resultar una amenaza cuando un intruso utilice una aplicacin
que permita evitar y recibir informacin, sta podra consistir en
enviar contraseas y recibir el mensaje de contrasea vlida; dndole
al intruso elementos para un posible ataque.
Amenazas Lgicas
En la mayora de los sistemas, los usuarios no pueden determinar si el
hardware o el software con que funcionan son los que supone que
deben ser. Esto facilita al intruso para que pueda reemplazar un
programa sin conocimiento del usuario y ste pueda
inadvertidamente teclear su contrasea en un programa de entrada
falso al cual tambin se le denomina cdigos maliciosos.
Los tipos de cdigos maliciosos ms comunes son: caballos de Troya,
virus, gusanos, bombas de tiempo y keyloggers.
Amenazas: Fenmenos naturales que
provocan desastres
Los diferentes fenmenos naturales que provocan desastres
representan uno de los riesgos ms fuertes y debido a la existencia de
stos se convierte en una de las razones por la cuales deben
desarrollarse planes de contingencia y aplicarse medidas en pro de la
seguridad de la informacin. De acuerdo a Rodrguez (1995) la
clasificacin de fenmenos naturales que causan desastres utilizados
en las Bases para el Establecimiento del Sistema Nacional de
Proteccin Civil son descritos a continuacin:
Geolgicos
Tienen sus orgenes en la actividad de las placas tectnicas y fallas
continentales y regionales que cruzan y circundan a la Repblica
Mexicana.
Como son:
Algunas consecuencias de los sismos y erupciones tales como maremotos (tsunami) y
lahares
Sismos
Vulcanismo
Colapso de suelos
Hundimiento regional y agrietamiento
Hidrometeorolgicos
Son los fenmenos que derivan de accin violenta de los agentes
atmosfricos, como los huracanes, las inundaciones fluviales y
pluviales, etc. Como son:
Lluvias
Tormentas de granizo
Inundaciones
Temperaturas extremas
Sequias
Tormentas elctricas
Vientos
Qumicos
Se encuentran estrechamente ligados a la compleja vida en sociedad,
al desarrollo industrial y tecnolgico de las actividades humanas, y al
uso de diversas formas de energa. Como son:
Contaminantes
Envenenamientos
Incendios
Explosiones
Radiaciones
Sanitarios
Se vinculan con el crecimiento de la poblacin y la industria. Sus
fuentes se ubican en las grandes concentraciones humanas y
vehiculares. Como son:
Epidemia
Plagas
Socio-Organizativos
Tiene su origen en las actividades de las concentraciones humanas, y en el
mal funcionamiento de algn sistema de subsistencia que proporciona
servicios bsicos. Como son:
Explosin demogrfica
Fallas humanas
Disturbios sociales
Actos delictivos
Accidentes
Acciones blicas
Drogadiccin-alcoholismo
Efectos negativos producidos por la operacin actual de servicios
Interrupcin de servicios
Anlisis de Riesgos
Podemos definir el riesgo como:
"La posibilidad de que ocurra algn evento negativo para las personas y/o empresas.
Ya que cualquier persona o entidad est expuesta a una serie de riesgos derivados de factores
internos y externos, tan variables como su propio personal, su actividad, la situacin econmica, la
asignacin de sus recursos financieros o la tecnologa utilizada (Rodrguez, 1995).
Los equipos de cmputo que habitualmente se utilizan en las empresas estn sujetos al riesgo de
que ocurra alguna eventualidad que los dae y debido a que no existe una seguridad total y las
medidas de seguridad no pueden asegurar al 100% la proteccin en contra de las vulnerabilidades,
es imprescindible realizar peridicamente en una organizacin, un anlisis de riesgos, para
identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y as, lograr
un manejo de riesgo tras la implementacin y mantenimiento de controles que reduzcan los
efectos de ste a un nivel aceptable.
El anlisis de riegos proporciona herramientas tiles para cuantificar el riesgo y evaluar si este
anlisis es adecuado, tomar medidas para reducirlo, adems intenta mantener un balance
econmico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de
seguridad destinadas a manejarlos.
Proceso del Anlisis de Riesgos
En un proceso de anlisis del riesgo debe considerarse la siguiente
terminologa:
Activo o recurso: es todo aquello con valor para una organizacin y que
necesita proteccin datos infraestructura, hardware, software, personal y
su experiencia, informacin, servicios.
Riesgo: posibilidad de sufrir algn dao o prdida.
Aceptacin del riesgo: decisin para aceptar un riesgo.
Anlisis de riesgo: uso sistemtico de informacin disponible para
identificar las fuentes y para estimar qu tan seguido determinados eventos
no deseados pueden ocurrir y la magnitud de sus consecuencias. Uso
sistemtico de la informacin para describir y calcular el riesgo. Evaluacin
de amenazas y vulnerabilidades de la informacin y su impacto, en el
procesamiento de la informacin as como su frecuencia de ocurrencia.
Proceso del Anlisis de Riesgos
Prdida esperada: el impacto anticipado y negativo a los activos debido a
una manifestacin de la amenaza.
Vulnerabilidad: una condicin de debilidad.
Amenaza: una accin potencial (que puede suceder o existir, pero no existe
an) con la posibilidad de causar dao.
Riesgo residual: el nivel de riesgo que queda despus de la consideracin de
todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas
relacionadas. ste debe ser aceptado como es o reducirse a un punto donde
pueda ser aceptado.
Control: son los protocolos y mecanismos de proteccin que permiten el
cumplimiento de las polticas de seguridad de la organizacin.
Ejemplo de escala de riesgo
Ejemplo del impacto del acontecimiento
Ejemplo de la frecuencia de ocurrencia de un
acontecimiento
Proceso del Anlisis de Riesgos
Un anlisis de riesgo de seguridad es un procedimiento para estimar
el riesgo de los activos de cmputo relacionados y la prdida debido a
la manifestacin de las amenazas. El primer procedimiento
determina el nivel de vulnerabilidad del activo tras identificar y
evaluar el efecto de los controles colocados en el lugar. Un nivel de
vulnerabilidad de activo para cierta amenaza se determina con
controles que se encuentran en el lugar en el momento en el que se
realiza el anlisis del riesgo.
Proceso del Anlisis de Riesgos
Un anlisis de riesgos de seguridad define el ambiente actual y realiza
acciones correctivas recomendadas si el riesgo residual no es
aceptable; es un parte virtual de cualquier programa de manejo de
riesgo de seguridad. El proceso de anlisis de riesgo debe ser
realizado con suficiente regularidad para asegurar que cada
aproximacin del manejo del riesgo de la organizacin sea respuesta
real a los riesgos actuales asociados con la informacin de sus activos.
El manejo de riesgos debe decir si acepta el riesgo residual o
implementa las actividades recomendadas.
Proceso del Anlisis de Riesgos
Las relaciones entre lo elementos de un anlisis del riesgo:
Anlisis de Riesgos: Objetivo
El objetivo del anlisis de riegos es tener capacidad de:
Identificar, evaluar y manejar los riesgos de seguridad.
Estimar la exposicin de un recurso a una amenaza determinada.
Determinar qu combinacin de medidas de seguridad proporcionar un nivel de
seguridad razonable a un costo aceptable.
Tomar mejores decisiones en seguridad de la informacin.
Enfocar recursos y esfuerzos en la proteccin de activos.
Anlisis de Riesgos: Tipos
Una de las principales funciones del anlisis del riesgo de seguridad es
poner este proceso sobre una base ms objetiva.
Existen dos tipos esenciales del anlisis del riesgo:
Anlisis cuantitativo del riesgo
Anlisis cualitativo del riesgo
Anlisis de Riesgos: Anlisis cuantitativo
Todos los activos, sus recursos y los controles se identifican, y se
evalan en trminos monetarios. Todas las amenazas potenciales se
identifican y se estima la frecuencia de su ocurrencia, estas amenazas
se comparan con las vulnerabilidades potenciales del sistema de tal
forma que se identifiquen las reas que son sensibles.
Posteriormente el anlisis cuantitativo del riesgo hace uso del
trmino Expectativa de Prdida Anual (ALE) o Costo Anual Estimado
(EAC), el cual es calculado para cierto acontecimiento simplemente
multiplicando la frecuencia de la ocurrencia de la amenaza por el
valor del activo o clasificacin del dao. Para esto, es necesario
recolectar con detalle estimaciones exactas utilizando tcnicas
matemticas y estadsticas.
Anlisis de Riesgos: Anlisis cuantitativo
De esta forma se puede decidir si los controles existentes son
adecuados o si se requiere la implementacin de otros, esto se
observa cuando el producto obtenido tras multiplicar el valor del
activo por la frecuencia de la ocurrencia de la amenaza en un perodo
de tiempo determinado por la duracin del control es menor que el
costo de dicho control.
Los problemas con este tipo de anlisis de riesgo se asocian
generalmente a la falta de fiabilidad y a la inexactitud de los datos y
algunas veces puede interpretarse errneamente los resultados.
Anlisis de Riesgos: Anlisis cualitativo
En lugar de establecer valores exactos sedan notaciones como alto,
bajo, medio que representan la frecuencia de ocurrencia y el valor de
los activos. La desventaja es que pueden existir reas
significativamente expuestas que no hayan sido identificadas como
posibles fuentes de riesgo.
Ambos tipos de anlisis del riesgo hacen uso de los siguientes
elementos interrelacionados:
Amenazas: las amenazas estn siempre presentes en cada sistema.
Vulnerabilidades: las vulnerabilidades permiten que un sistema sea
ms propenso a ser atacado por una amenaza o que un ataque tenga
mayor probabilidad de tener xito o impacto.
Anlisis de Riesgos: Anlisis cualitativo
Controles: son las medidas contra las vulnerabilidades. Existen cuatro
tipos:
Los controles disuasivos reducen la probabilidad de un ataque
deliberado.
Los controles preventivos protegen vulnerabilidades y hacen que un
ataque fracase o reduzca su impacto.
Los controles correctivos reduce el efecto de un taque.
Los controles detectores descubren ataques y disparan controles
preventivos o correctivos.
Anlisis de Riesgos
Anlisis de Riesgos: Cmo establecer los
requerimientos y riesgos de seguridad
Existen tres fuentes principales que deben considerarse para que una
organizacin identifique sus requerimientos de seguridad:
La primera fuente se deriva de determinar los riesgos de la organizacin. A travs
de la evaluacin del riesgo se identifican las amenazas a los activos y la
vulnerabilidad de stos, tambin se evala la probabilidad de ocurrencia y se
estima el potencial de impacto.
La segunda fuente se refiere a los requerimientos legales, regulatorios,
contractuales y establecidos que una organizacin, sus socios comerciales y
proveedores de servicio tienen que satisfacer.
La tercera fuente es el conjunto particular de principios, objetivos y
requerimientos para el procesamiento de la informacin que una organizacin ha
desarrollado para mantener sus operaciones.
Anlisis de Riesgos: Cmo establecer los
requerimientos y riesgos de seguridad
Los requerimientos de seguridad son identificados mediante una
evaluacin metdica de riesgos de seguridad. Las tcnicas de
evaluacin de riesgo pueden ser aplicadas a toda la organizacin, o
slo en algunas partes, como en los sistemas individuales de
informacin, componentes especficos del sistema o servicios donde
esto es factible, realista y til.
Anlisis de Riesgos: Cmo establecer los
requerimientos y riesgos de seguridad
La evaluacin del riesgo es una consideracin sistemtica de:
El dao al negocio es probablemente debido a una falla de seguridad,
tomando en cuenta las consecuencias potenciales de una prdida de
confidencialidad, integridad o disponibilidad de la informacin y
otros activos.
La probabilidad real de la ocurrencia de una falla ante amenazas y
vulnerabilidades comunes y de controles recientemente
implementados.
Anlisis de Riesgos: Cmo establecer los
requerimientos y riesgos de seguridad
Los resultados de esta evaluacin ayudarn a guiar y determinar la accin apropiada
de administracin y las prioridades para manejar los riesgos de seguridad de la
informacin.
Es necesario realizar revisiones peridicas de riesgos de seguridad y controles
implementados para:
Tomar en cuenta los cambios de requerimientos de negociacin y las prioridades.
Considerar nuevas amenazas y vulnerabilidades.
Confirmar que los controles son efectivos y apropiados.
Las evaluaciones de riesgo son generalmente verificadas primero en un nivel alto,
como medio para establecer la prioridad de los recursos en reas de alto riesgo, y
posteriormente en un nivel ms detallado para analizar los riesgos especficos.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
Cualquier anlisis del riesgo de seguridad debe indicar:
El actual nivel de riesgo.
Las consecuencias probables.
Qu hacer con el riesgo residual si es muy alto.

Los tres elementos principales en un anlisis de riesgo son:

Un balance del impacto o del costo de alguna dificultad especfica si sta sucede.
Una medida de la efectividad de los controles dentro del lugar,
Una serie de recomendaciones para corregir o minimizar los problemas
identificados.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
El proceso de anlisis de riesgo consiste de ocho pasos
interrelacionados:
1. Identificar y evaluar los activos
Identificar y asignar un valor a los activos que necesitan proteccin. El valor del
activo se basa en su costo, sensibilidad, misin crtica, o la combinacin de estas
propiedades.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
2. Identificar las amenazas
Despus de identificar los activos que requieren proteccin, las amenazas a stos
deben ser identificadas y examinadas para determinar cul sera la prdida si dichas
amenazas se presentan.

Humanas

Hardware

Red

Logica

Fenomenos Naturales
Anlisis de Riesgos: Pasos del anlisis del
riesgo
3. Identificar/describir vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las
amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza
tiene una vulnerabilidad correspondiente, aun que hay reas de lata
vulnerabilidad que no tienen consecuencia si no presentan amenazas.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
4. Determinar el impacto de la ocurrencia de una amenaza
Cuando la explotacin de una amenaza ocurre, los activos sufren cierto
impacto. Las prdidas son catalogadas en reas de impacto llamadas:
Revelacin: cuando la informacin es procesada y se pierde la confidencialidad.
Modificacin: el efecto de la manifestacin de una amenaza cambia de estado
original del activo
Destruccin: el activo es logrando su completa prdida.
Denegacin de servicio: prdida temporal de los servicios.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
5. Controles en el lugar
La identificacin de los controles es parte del proceso de recoleccin de
datos en cualquier proceso de anlisis del riesgo. Existen dos tipos
principales:
Controles requeridos: todos los controles de es esta categora pueden ser
definidos con base en una o ms reglas escritas.
Controles discrecionales: este tipo de controles es elegido por los
administradores.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
6. Determinar los riesgos residuales (conclusiones)
Siempre existir un riesgo residual por lo tanto, debe determinarse
cundo el riesgo residual, es aceptable o no. El riesgo residual toma la
forma de las conclusiones alcanzadas en el proceso de evaluacin.
Las conclusiones deben identificar:
Las tareas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia
de la amenaza.
Todos los controles que no estn dentro del lugar.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
7. Identificar los controles adicionales (recomendaciones)
El siguiente paso es identificar la forma ms efectiva y menos costosa
para reducir el riesgo a un nivel aceptable. Un intercambio
operacional el cual puede tomar la forma de costo, convivencia,
tiempo, o una mezcla de los anteriores- debe realizarse al mismo
tiempo que los controles adicionales son implementados. Las
recomendaciones son:
Recomendacin de controles requeridos: controles requeridos u obligatorios que
no se encuentran en el lugar son las primeras recomendaciones.
Recomendaciones de controles discrecionales: la segunda recomendacin
generalmente identifica los controles direccionales necesarios para reducir el
nivel de riesgo.
Anlisis de Riesgos: Pasos del anlisis del
riesgo
8. Preparar un informe del anlisis del riesgo
El proceso de anlisis del riesgo determina si los controles son efectivos. Cuando el
anlisis est completo, un informe de la evaluacin del riesgo debe prepararse. Los
detalles tcnicos del reporte deben incluir como mnimo:
Niveles de vulnerabilidad.
Amenazas correspondientes y su frecuencia.
El ambiente usado.
Conexin del sistema
Nivel o niveles de sensibilidad de los datos
Riesgo residual, expresado en una base individual de vulnerabilidad.
Clculos detallados de la expectativa de prdida anual.

Es esencial asegurarse que los controles y el gasto que implica sean completamente
proporcionales a los riesgos a los cuales se expone la organizacin.
Anlisis de Riesgos: Consideraciones
adicionales durante el anlisis del riesgo
En cualquier anlisis del riesgo deben tomarse en cuenta tres costos o
valores fundamentales:
Costo del sistema informtico (Cr): valor de los recursos y la
informacin a proteger.
Costo de los medios necesarios (Ca): qu medios y el costo respectivo
que un criptoanalista requiere para romper las medidas de seguridad
establecidas en el sistema.
Costo de las medidas de seguridad necesarias (Cs): medidas y su costo
para salvaguardar los bienes informticos.
Anlisis de Riesgos: Consideraciones
adicionales durante el anlisis del riesgo
Para que la poltica se seguridad del sistema sea lgica debe cumplirse
la siguiente relacin:
Ca > Cr > Cs
En el que Ca > Cr, significa que el ataque al sistema debe ser ms
costoso que su valor.
El que Cr > Cs, significa que no debe costar ms la informacin que la
informacin protegida. Si esto ocurre, resultara conveniente no
proteger el sistema y volver a obtener la informacin en caso de
prdida.
Anlisis de Riesgos: Consideraciones
adicionales durante el anlisis del riesgo
a) Anlisis del valor del sistema informtico
Al evaluarse el sistema informtico que se desea proteger, su valor
puede desglosarse en dos parte fundamentales:
El valor intrnseco del producto que se va a proteger.
Los costos derivados de su prdida.
Anlisis de Riesgos: Consideraciones
adicionales durante el anlisis del riesgo
b) Valor intrnseco
Es la parte ms sencilla de valorar, puesto que en la mayora de los
casos se pueden establecer valores objetivos y medibles de los
recursos e informacin. Se trata de enumerar los recursos incluidos en
el sistema informtico y de establecer su valor.
Anlisis de Riesgos: Consideraciones
adicionales durante el anlisis del riesgo
c) Costos derivados
Dependiendo del tipo de sistema con que se trata, pueden ser muy distintos,
o su valor e importancia relativa pueden variar enormemente. En trminos
generales se puede incluir los siguientes conceptos:
Valor de sustituir el hardware.
Valor de sustituir el software.
Valor de los resultados.
Costo de reproducir los experimentos significativos.
Costo de regenerar la informacin personal.
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
Bolivia tambin fue afectada por los mltiples ataques cibernticos que se
perpetraron este jueves en al menos 74 pases. El virus del tipo ransomware conocido
como WannaCryptor o WCry afect a 45.000 servidores de todo el planeta. De
acuerdo con una herramienta en lnea de la iniciativa britnica MalwareTech, que
realiz un mapa de distribucin geogrfica, a las 17.30 en Bolivia se reportaba un
servidor afectado por WannaCryptor. Adems el sitio identificaba en un pantallazo
otras amenazas. Usando el mismo anlisis, el diario espaol El Mundo daba cuenta
que el ataque que presumiblemente se inici Espaa alcanz dimensiones globales.
Adems, el mapa del sitio identifica amenazas a servidores del pas como: Sality4,
Kelihos, Necurs, ZeroAccess2, ZeroAccess3 o Mirai. En ninguno de los casos superaba
los cinco a la hora que se hizo la revisin. No obstante, ninguna institucin pblica o
empresa boliviana report oficialmente que haya sido vctima de este ataque. Segn
el Instituto Nacional de Ciberseguridad de Espaa la mayor parte de estos virus tipo
troyanos infecta a los ordenadores con sistema operativo Windows. Una vez
infectados pueden ser utilizados para cometer acciones criminales o maliciosas. En el
caso del ransomware, que fue reportado en el ataque global bloquea un servidor y
exige el pago antes de devolverle el acceso al usuario. Es considerada una de las
mayores y crecientes amenazas informticas del mundo. (12/05/2017)
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
20/04/2017 En Bolivia no hay una ley informtica, as que prcticamente se puede hacer de todo, seala el
ingeniero Elvin Mollinedo, que lidera en Bolivia el Proyecto Abierto de Seguridad para Aplicaciones Web. Lo que
en otros pases son crmenes, incluso penados con crcel, en Bolivia no tienen siquiera una multa ligera. Entre los
delitos ms habituales el experto cita piratear internet del vecino, hackear la portada de una pgina web, infectar
virus en computadoras o dispositivos mviles y robar datos.

Ms all de la falta de normativa, la vulnerabilidad tambin responde a dos factores: la falta de testeo de
seguridad por parte de los programadores de algunas empresas y la instalacin de softwares no autorizados por
parte de los usuarios. En Bolivia estamos mal acostumbrados a usar software crackeados, preferimos comprar un
CD de 15 bolivianos para instalar Windows y al momento de introducirlo hemos infectado el ordenador, seala
Mollinedo. Recomienda usar los paquetes autorizados o software libres, que son gratuitos y revisados por
expertos en seguridad informtica.

Cuando no hay vuelta atrs Willians Duabyakosky, experto en seguridad de aplicaciones mviles, explica que los
virus ingresan de diversas vas a los dispositivos mviles a travs de redes wifi desconocidas, aplicaciones, fotos o
hasta mensajes de texto- y que muchos de ellos son silenciosos y prcticamente invisibles.
Algunas seales de alerta son que el telfono se hace ms lento, los procesos ms pesados, nos llega publicidad de
pginas a las que no nos hemos registrado o las aplicaciones se traban, o directamente dejan de funcionar.

En ese caso, explica Duabyakosky, se debe acudir a un tcnico para escanear el dispositivo y, dependiendo del tipo
del ataque, se puede reparar. Si somos objetos de un ataque persistente, hay que cambiar de telfono y de
contraseas, concluye.
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
17:05 / 31 de mayo de 2016 , El usuario de Twitter Joshua Provoste, difundi en las ltimas horas en su cuenta en esta red
social el hackeo de las pginas web de la Defensora del Pueblo, la Gobernacin de Santa Cruz, la Direccin General de
Migracin, la Escuela de Idiomas del Ejrcito, la Escuela Militar de Ingeniera (EMI), del Ejrcito de Bolivia y del Sistema de
Contrataciones Estatales (Sicoes). Provoste, quien refiere como lugar de residencia Chile, inform del hackeo en mensajes
acompaados de fotografas de los logos de las instituciones y de los enlaces a videos de su canal en Youtube, donde
explica todo el procedimiento que realiz en la vulneracin de la seguridad informtica de estos sitios web. Casi al final de
todas las grabaciones, que son capturas de pantalla, se observa los nombres de usuarios y contraseas de los
funcionarios de esas instituciones. Este medio convers con funcionarios de dos de las entidades afectadas. A un
principio sealaron desconocer la vulneracin, pero tras consultar con las oficinas de sistemas confirmaron el hecho y
aseguraron que trabajaban en resolver el problema. Eliana Quiroz, columnista de La Razn y jefa de Gobierno Electrnico
de la estatal Agencia de Gobierno Electrnico y Tecnologas de la Informacin y Comunicacin (AgeTIC), manifest que
hasta ahora en Bolivia la mayora de las vulneraciones a las pginas fueron de tipo defacement, (palabra inglesa que
significa desfiguracin), operacin que solo se limitaba a cambiar la cara a una pgina. Pero en este caso han entrado a
las bases de datos, eso significa que han vulnerado la seguridad y es grave. Cuando se cambia la portada no estn
vulnerando la base de datos, no acceden a la pgina web en este caso, s han accedido a la informacin y la han
publicado en algunos casos usuarios y contraseas, manifest Quiroz. Para la experta, en Bolivia no se tienen pginas
web "muy seguras", aunque tambin resalt que quien hizo el hackeo en este caso es una persona con mucho
conocimiento. En estos casos lo que se tiene que hacer es mejorar los sistemas de seguridad. En la AgeTIC tenemos
previsto crear un centro de incidentes informticos, que buscar incrementar los niveles de seguridad, adelant. En
este tipo de hackeos, si solo se ingresa a la base de datos y se copia, el ataque puede quedar inadvertido. En esos casos, la
informacin se la usa para ser comercializada. Cuando existen modificaciones en los sitios web los encargados de sistemas
suelen alertarse y tomar medidas. En la mayora, se roba informacin y se la publica por diversos medios solo para
mostrarlo como un logro hacker.
Casos de ataques a la seguridad informtica
en Bolivia y el mundo
En Bolivia unas 1.665 pginas web fueron hackeadas en la ltima
dcada 11/01/2016
La Agencia para el Desarrollo de la Sociedad de la Informacin en
Bolivia (ADSIB), dependiente de la Vicepresidencia del Estado
Plurinacional, reporta un promedio anual de 166 sitios web, de
instituciones pblicas y privadas, que sufrieron ataques cibernticos,
desde 2006