administracion de riesgos ti
TRANSCRIPT
GUIA PARA LA EVALUACION DE SEGURIDAD EN UNSISTEMA
Luz Marina Santos Universidad de Pamplona
[email protected]éfono: 5685303 Ext. 141
Carrera 9 # 5-53 2do. Piso Pamplona
Resumen
Este documento presentauna serie dedelineamientos básicosproductos de laexperiencia einvestigación para laevaluación de seguridaden un sistema, con elobjeto de articulardiversos conceptos ytécnicas para laidentificación yvaloración de riesgos.El artículo se enfocaprimordialmente en losmétodos de análisis deriesgos, checklist yauditoria.
Palabras claves
Riesgo, amenaza, impacto,frecuencia,vulnerabilidad, checklist,políticas de seguridad yauditoria.
1. INTRODUCCION
A nivel de investigacióny academia diversasmetodologías paraimplantar seguridad ensistemas han sidoplanteadas: Metodología deimplantación de seguridad enredes [ACOS-98], “Metodologíapara la implantación deseguridad en aplicacionesdistribuidas [SANT-99], etc;también se elaboran otraserie de metodologías poranalistas de seguridadque laboran en la empresaprivada.
Todas las metodologíasllegan a un punto dondese preguntan ¿cómovalorar el impacto quecausaría a un sistema laconsecución de unaamenaza?, la respuesta noes fácil, requiere de unanálisis serio por partedel grupo de personasencargado de realizardicha valoración.
El objetivo del presentees exponer y presentar
1
algunas reflexiones sobretres métodostradicionales paraevaluar la seguridad deun sistema: análisis deriesgos, listas dechequeo y auditoria.
En áreas donde laspérdidas esperadas yfrecuencia de lasamenazas están biendefinidas, el análisis deriesgos puede ser usado.Donde las pérdidasesperadas y frecuencia delas amenazas no estaclaro, se pueden usarinicialmente listas dechequeo para verificarlos principios yprácticas de seguridadestándares.Requerimientos deseguridad adicionalespueden ser determinadoscon métodos de auditoriao evaluaciones deprotección de seguridad.[FIPS-79]
2. APLICACIÓN DE LOSMETODOS DE EVALUACION
No se trata deespecificar en quéo cuáles casos se aplicaun método u otro, lostres se complementan conel objeto de evaluar laseguridad, lo que si es
posible diferenciar eslos espacios de tiempo enque se realizan.
Para empezar laevaluación de seguridaden un sistema resultabeneficioso aplicarlistas de chequeo, estasno son un sustituto delformal análisis deriesgos, más bien, alrealizarse constituye unpunto de partida a ésteen aquellos puntos quequedan sujetos arevisión. Además que sepueden tomar medidascorrectivas en formarápida, que no implicanmayor costo y esfuerzo.
El proceso de auditoriaes planeada pararealizarseperiódicamente, lo queindica que se llevará acabo tiempo después quese ha realizado unanálisis de riesgos, conel objeto de verificarsi se están cumpliendolos controles y políticasde seguridad previstosanteriormente.Independiente de siexiste en la organizacióno no informaciónestadística de loselementos que determinanlos riesgos, es
2
recomendable al grupoevaluador realizar elproceso de análisis deriesgos, así sea en formacualitativa, con elobjeto de crear estacultura en laorganización.
A continuación la tabla 1presenta los beneficios ydificultades quepresentan los métodostratados en esteartículo.
Tabla 1. Pros/ContrasMétodos/
PROS CONTRAS
AnálisisdeRiesgos
-Crea la cultura del riesgoy su manejo en unaorganización.-Expresa en mejores términoslas pérdidas al ocurrir unevento desfavorable.
Metodología cuantitativa-Las valoraciones sonobjetivas.-El valor de la informaciónes expresado en términosmonetarios.-El presupuesto destinado ala seguridad del sistemaesta basado en análisisconfiables y biensustentados.
Metodología cualitativa-No es necesario determinarel valor monetario de lainformación, ni lafrecuencia de las amenazas,ni el costo de las medidas atomar y del análisiscosto/beneficio.
-Existe resistencia a suaplicación, ya sea porignorancia, arrogancia omiedo.-Es un proceso que requieregran cantidad de tiempo y deinformación disponible.-Proceso costoso.
Metodología cuantitativa-No es práctico realizarvaloraciones cuantitativassin ayuda de herramientas ybases de conocimiento biensólidas.-Requieren una cantidadsustancial de información.-No existe un estándar sobreamenazas y sus frecuencias.
Metodología cualitativa-Toda valoración esesencialmente subjetiva, enprocesos y métricas.-La percepción de valorespuede no reflejar realmenteel actual valor del riesgo.
Listas dechequeo(Check-list)
-Existen en forma abundantey libre. (Listas de chequeotécnicas)-Fácil de aplicar, resumir ycomparar.-Flexibles-Su análisis es rápido,consiste en verificar si
-Arbitrario y subjetivo-Necesitan actualizarseconstantemente, en el casoque sean listas de chequeode tipo técnico.-Pueden no tratarnecesidades de un sistemaparticular.
3
existe o no existe uncontrol que es aplicable alsistema en análisis.-Se pueden aplicar medidascorrectivas de inmediato.
Auditoria
-Propicia el mejoramiento deprocedimientos en elsistema.-Reduce erroresorganizacionales-Promueve la aplicación delas políticas y estándaresde seguridad.-Descubre nuevas amenazas alsistema. (Retroalimenta elanálisis de riesgos)
-Aptitud negativa de losencargados de las partesauditadas.-Requiere tiempo y esfuerzo.-Requiere tener pistas deauditoria
4
3. ANALISIS DE RIESGOS
El proceso deidentificar, analizar yvalorar, mitigar otransferir el riesgo esgeneralmentecaracterizado como manejodel riesgo [KRAU-99]. Hayuna serie de preguntasque se hacen en esteproceso:
1.¿Que podría ocurrir?(amenaza)2.¿Sí ocurre, cuánto dañopodría causar? (impacto)3.¿Qué tan a menudopodría ocurrir?4.¿Qué tan ciertas sonlas respuestas a lasanteriores preguntas?
Una vez respondidasacertadamente lasanteriores preguntas, seresponden ahora lassiguientes:
1.¿Qué puede ser hecho?(mitigación del riesgo)2.¿Cuál es el costo de lamedida? (anual)3.¿Es la medidaefectiva? (análisiscosto/beneficio)
El manejo de riesgoscompara el costo deimplementar medidas deseguridad contra los
costos generados alocurrir un eventodesfavorable en elsistema que afectedirecta o indirectamentela prestación deservicios.
3.1 ETAPAS DEL ANALISISDE RIESGOS
El análisis de riesgosbusca cuantificar elimpacto de las amenazaspotenciales sobre unsistema, comprende cuatrosubetapas: planeacióndel análisis de riesgos,identificación deamenazas yvulnerabilidades,valoración del impacto yfrecuencia de escenariosrecurso/amenazas ytratamiento del riesgo.
3.1.1 Planeación delanálisis de riesgos
Si el sistema a evaluares muy complejo y laorganización es muygrande, es convenientepara el analista deseguridad elaborar unanálisis de riesgos porsubsistemas, lo quefacilitará también lapresentación ycomprensión de informespor parte de los
5
directivos de la empresa.Los siguientes ítemcorresponden la partepreliminar de el análisisde riesgos:
a)La dirección del análisis:con el objeto deinfluenciar el estilo deanálisis y la informaciónde salida del proceso devaloración del riesgo. Seidentifica el proceso devaloración del riesgo,tipo de salida requeriday necesidades críticas.b)El alcance: se determinael alcance del análisis.Cuales recursos delsistema requiere o no elanálisis de riesgos.Cuales agentes deamenazas no seránconsiderados, etc.c)Los límites: se defineen términos de límitesfísicos y lógicos. Ellímite físico indicadonde termina el sistemay comienza el sistema;indica lascaracterísticas de todaslas interfaces con otrossistemas. El límitelógico define la amplitudy profundidad delanálisis. d)Descripción delsistema: requerimientos(o misión) del sistema,concepto de operación, e
identificación de lanaturaleza de losrecursos del sistema.Está descripción proveelas bases paraposteriores análisis y esprerrequisito parainiciar la valoración deriesgos.e)Objeto del riesgo ycerteza requerida: elobjeto ayudará adeterminar si el riesgoestá en los límitesaceptables. La certezadefine el nivel deacierto para lavaloración del riesgo,este factor determina elnivel de esfuerzo en elanálisis.
3.1.2 Identificación deamenazas yvulnerabilidades
Las amenazas en elsistema provienen delpersonal encargado,personal externo, daño enequipos, caída deenlaces, etc. Al momentose tiene la informacióncomo lo muestra lasiguiente tabla.
Tabla 2. Relaciónrecurso/amenazas
Recurso Amenazas
6
Recurso1
Amenaza 1Amenaza 2....
Recurso2
Amenaza 1Amenaza 2....
Un análisis devulnerabilidades, porejemplo puede identificarsolo la ausencia demedidas para reducir losriesgos, lo anterior sepuede indicarcualitativamente enbinario como si o no. Seencuentran lasdebilidades ovulnerabilidad desde lossiguientes puntos devista.
Vulnerabilidades desoftware: errores deaplicaciones, erroresde sistemas operativos,rutinas de acceso noautorizados, serviciosno autorizados
Vulnerabilidades dehardware: inapropiadaoperación, fallas enmantenimiento,inadecuada seguridadfísica, falta deprotección contradesastres naturales
Vulnerabilidades dedatos: inadecuados
controles de acceso apersonal no autorizado
Vulnerabilidadesadministrativas:ausencia de políticasde seguridad, ausenciade cultura deseguridad, ausencia deprocedimientos, faltade educación yentrenamiento enseguridad
Vulnerabilidades decomunicaciones:inadecuados controlesde acceso a la red,inadecuados mecanismospara prevenir fallas encomunicaciones
Vulnerabilidades depersonal (empleados):inadecuados controlesde acceso físico,inadecuados controlesde acceso lógico
Por medio de entrevistascon cuestionariospreviamente diseñados quecontemplen los principiosy prácticas de seguridadgeneralmente aceptados,se encontrarán lasvulnerabilidades quetiene el sistema. Acontinuación serelacionan una serie defuentes de información
7
importantes a estasubetapa:
National Research CouncilReport “Computers at Risk”
National InformationInfraestructure Task Force(NITF) findings
Presidential National Securityand TelecommunicationsAdvisory Council (NSTAC)report
President’s Commission onCritical InfraestructureProtection (PCCIP) report
Para cada una de lasamenazas encontradas sedefine cualesvulnerabilidades presenta
el sistema que puedenllevar a su realización.Se forman escenariosrecurso/ amenaza/vulnerabilidades como loindica la tabla 3.
Algunas debilidadesobservadas en el sistema,dan píe a una serie derecomendaciones de seguridadiniciales que se puedenponer en práctica deinmediato, por logeneral implican bajoscostos, como respaldo aestos controles seimplanta lascorrespondientespolíticas de seguridad.
Tabla 3. Relación recurso/amenaza/vulnerabilidades
Recurso Amenaza Vulnerabilidades
Recurso 1
Amenaza 1Vulnerabilidad 1Vulnerabilidad 2...
Amenaza 2Vulnerabilidad 1Vulnerabilidad 2...
Recurso 2 Amenaza 1Vulnerabilidad 1Vulnerabilidad 2...
3.1.3 Valoración delimpacto y frecuencia deocurrencia de lasamenazas
a)Método cuantitativo: eneste punto se hace unarevisión de lainformación quepreviamente se ha
8
recolectado, lafrecuencia esta basadaen las diferentesbitácoras, logs y reportesde incidentes. El impactose determina en formacuantitativa tomandodiversos: criterios, peroen últimas todosrepresentan valoreseconómicos: valor del #de operaciones que dejael sistema de procesarpor la ocurrencia de unevento. Lo ideal es poderexpresar el impacto entérminos económicos.
El impacto se determinade la siguiente fórmula:[KRAU-99]
Los impactos afectan laconfidencialidad,integridad y
disponibilidad de losrecursos del sistema. Elimpacto de una amenaza ala integridad de losdatos es diferente a síocurre modificación odestrucción de los datos.Igual ocurre con elimpacto de una amenaza ala disponibilidad,depende del tiempo que elrecurso de redpermanezca no disponibley la frecuencia con queel sistema requiere losdatos. Al final de estasubetapa se genera latabla 4.
La frecuencia se da enforma anual, por ejemplo,si una amenaza ocurre unavez en 10 años, tiene unafrecuencia de 1/10 ó 0.1;una amenaza ocurriendo 50veces en un año tiene unafrecuencia de 50.
Tabla 4. Recurso/Amenaza/Impactos
Integridad Datos Confiden-
cialidad
DisponibilidadModificac.
Destrucción
2hrs 24hrs
72hr
RecursoAmen.1
if
if
if
if
if
if
Amen. i i i i i i
9
2 f f f f f f........
b)Métodos cualitativos:estos métodos valoran deuna forma muy subjetivael riesgo, a loselementos para valorarlos riesgos generalmentese le asignan los valoresde alto, medio y bajo.
El grupo evaluador tengao no el impacto expresadoen términos económicospuede escoger un nivel deimpacto cualitativamentecomo bajo, medio o alto,teniendo en cuenta rangosde pérdidas económicas.
Algunas métodos utilizancomo elemento paravalorar los riesgos laposibilidad de ocurrenciade presentarse unaamenaza.
3.1.4 Cálculo delriesgo
a)Tener el impacto yfrecuencia(cuantitativo). Como entoda disciplina lapérdida es igual alproducto de los valoresde impacto y frecuenciade ocurrencia (i x f).
Para f, el periodo anuales el común tomado comoreferencia en lasmetodologías yherramientas paraanálisis de riesgos."Aquí el riesgo indica las pérdidasanuales que genera laamenaza". Se genera larelaciónrecurso/amenaza/impactoanual como indica tabla6.
b)Métodos cualitativos.No se tiene en cuenta lafrecuencia para valorarlos riesgos. La tabla 5muestra un claro ejemplodonde se emplea unamatrizimpacto/posibilidad deocurrencia de una amenazapara determinar el nivelde riesgo que se tiene."Aquí el riesgo indica las pérdidasante la posibilidad de presentarsela amenaza"
Tabla 5. Nivel del riesgoPosibilidad de ocurrencia
Impacto
Alta Media Baja
Alta A A MMedia A M MBaja B B B
10
Las áreas señaladas comoA indican que son riesgosque requieren prontaatención, las áreasmarcadas como B no esprioritario la toma demedidas
3.1.5 Tratamiento delriesgo
Luego del análisis deriesgos se procede adeterminar el tipo deacción a tomar para cadariesgo. Se estudian lasamenazas que presentanlos recursos del sistemay se determina si esposible la implantaciónde mecanismos quereduzcan o eliminen elriesgo, en caso contrariolas acciones a tomarserían la aceptación otransferencia del riesgo.
El costo de proteger lasaplicaciones de unaamenaza debe ser menorque el costo de larecuperación. Para eltratamiento de un riesgose puede seguir lasestrategias planteadas en[HIGU-94]: aceptar,transferir, eliminar,reducir.
A los anteriores seagrega la estrategia“evaluar”, en la cual loscontroles quedan en unestado de evaluación pordesconocerse la forma dellevarlo a cabo, requiereun tratamiento de másinvestigación y/oconsenso con el staff delsistema. Por lo generalen este tipo de casos lafecha queda por definir.
Tabla 6. Recurso/Amenaza/Impacto Anual
Integridad Datos Confidencialidad
Disponibilidad Rie
s.Modificac.
Destrucción
2hrs
24hrs
RecursoAmen.1
($) ($) ($) ($) ($) ($) ($)
Amen.2
($) ($) ($) ($) ($) ($) ($)
......
..
11
3.1.6 Mitigación delriesgo
El proceso de mitigaciónde riesgos se sigue encaso de que la acciónsobre el riesgo seareducirlo o eliminarlo,incluye como primeramedida la identificaciónde metas, cuyo propósitoes describir el estadodeseado resultantedespués de la mitigacióndel riesgo.
Posteriormente seidentifican lasestrategias a seguir paramitigar los riesgos. Supropósito es obteneralternativas de soluciónpara cada riesgo. [SANT-99]
El diseño de controles esun proceso que requierede mucho cuidado, se debetener presente toda
Tabla 7. Relación amenaza/estrategias/costo anual
RECURSO: XXXAMENAZA ESTRATEGIAS COSTO
Amenaza nEstrategia 1Estrategia ... Estrategia n
la información deseguridad obtenidaanteriormente. Seplantean cuestiones como:¿de qué forma puedoreducir vulnerabilidadesy por ende reducir elnivel de vulnerabilidad?,¿qué mecanismos aunque noreducen el nivel devulnerabilidad reducen elimpacto?, puede unmecanismo determinadoeliminar completamente laamenaza, etc.
Las estrategias aquíasignadas deben servaloradas en términoseconómicos para realizarun análisiscosto/beneficio, no sepueden plantearsoluciones que excedan elvalor del impacto paradeterminado riesgo.
4. OTROS METODOS DEEVALUACION DE SEGURIDAD
12
4.1 AUDITORIA
La auditoria examina siel sistema estacumpliendo con losrequerimientos deseguridad incluyendopolíticas de laorganización y delsistema. Dentro de lastécnicas a emplearincluye investigación,observación y pruebas.Una auditoria puedevariar ampliamente enalcance, examinar unsistema entero para elproceso de reacreditacióno puede investigar unsolo evento malicioso.
La auditoria puede serinterna o externa, ladiferencia puede radicaren la objetividad con quese realice. La auditoriainterna puede tenerconflictos de intereses,o al contrario, estarmotivado por el deseo demejorar la seguridad delsistema, además de serconocedores del sistemapueden encontrarproblemas ocultos.
La auditoria tomadocumentación existenteen cuanto a: políticasaplicables, análisis deriesgos, descripción de
procesos, lista decontroles. La ausencia dealgún documento ameritala recomendación de larealización del mismo.
Los procesos de auditoriacon el objeto de asegurarel funcionamientooperacional de laseguridad en un sistemaes planificada y basadaen la revisión de logs,por lo que a continuaciónse presenta laimportancia delestablecimiento de logs ycomo se aplica estecontrol.4.1.1 Establecimiento delogs. las pistas deauditoria o logs mantienenun registro de lasactividades que losadministradores yusuarios realizan sobreun sistema. Junto conherramientas yprocedimientos adecuados,los logs pueden ayudar adetectar violaciones deseguridad, problemas dedesempeño, etc. Los logsson usados como soportepara las operacionesrequeridas del sistemay/o medio para asegurarpolíticas.
Como soporte paraoperaciones, los logs son
13
usados para ayudar a losadministradores delsistema que no hansufrido daño por hackers,intrusos o problemastécnicos. Los logs deberíanregistrar como mínimo lossiguientes eventos:
Cualquier intento delogearse (exitoso y noexitoso)
Identidad Fecha Tiempo de cada intento
de entrada Fecha y tiempo de
salida Dispositivos usados Las funciones
ejecutadas.
Una auditoria podríaidentificar intentos delogin fallidos,especialmente si no selimita el número deintentos en el sistema.Algunos sistemas notienen la función deregistrar intentos deacceso fallidos, de estaforma sólo se puedemonitorear los intentosde acceso exitosos.
4.1.2 Aplicación delcontrol: dos procesosestán involucrados en laaplicación de logs :
definición e implantacióny revisión.
a)Definición eimplantación: alimplementar logs se debenconsiderar informaciónconfidencial y por lotanto requierenprotección contra borradoo modificación noautorizada. Fuertescontroles de acceso yencripción pueden sermecanismos efectivos parapreservar laconfidencialidad eintegridad. El acceso enlínea a logs debería estarestrictamente controlado,sólo visible al personalde administración que lorequiera para propósitosde revisión.
b)Revisión: los logsrequieren ser revisadosya sea ante la ocurrenciade un incidente deseguridad,automáticamente en tiemporeal (monitoreo) o poruna evaluación deseguridad planeada. Losadministradores delsistema determinarán lalongitud de los logs queserá mantenido. Para elsistema elestablecimiento de logsayudará en los aspectos
14
de control de acceso,reconstrucción de eventosy detección de intrusos.
-Control de acceso: loslogs trabajan en conjuntocon los controles deacceso lógico, las cualesrestringen el uso de losrecursos del sistema. Elacceso se concedeteniendo en cuenta lo queel usuario del sistemanecesite para realizarsus labores. Los logssirven para analizar lasacciones que los usuariosautorizados realizan,siempre que las cuentasy passwords de acceso nosean genéricos.
-Reconstrucción deeventos: la operación delsistema no se escapa dela ocurrencia deproblemas, estos puedenser resueltos fácilmentecon la revisión de logspara hacer seguimiento alas últimas operacionesrealizadas y detectarcomo, cuando y porque seoriginó el problema. Elanálisis de los logs ayudaa distinguir si loserrores fueron inducidospor los operadores o porerrores del software.Adicionalmente, sí unproblema técnico ocurre
(por ejemplo daño dearchivos) los logs puedenayudar en el proceso derecuperación.
-Detección de intrusos:los logs deben diseñarse eimplementarse con lainformación apropiada queasista en la detección deintrusos. Las intrusionespueden detectarse entiempo real o después deocurrido el evento. Losequipos y sistemascríticos para el sistemapodrían tenerimplementado logs comoherramientas en líneapara monitorearconstantemente su estado,teniendo en cuenta noafecte el desempeño delsistema.
4.2 CHECKLIST
La lista de chequeo esconsiderada como unaherramienta de auditoria,es uno de los métodos deevaluación más viejosampliamente usados, enseguridad informáticaconsiste en revisar siexisten controlesadministrativos,operativos y técnicos,este proceso no evalúa laefectividad de loscontroles implantados.
15
Además se identifica quese cumplan los principiosde seguridad generalmenteaceptados (GSSPs).
Controles administrativos:estos controles hacenreferencia a larecolección de documentoscomo: políticas ynormatividad generalreferente a la seguridaddel sistema. [NIST1]
Controles operativos: estoscontroles hacenreferencia a losprocedimientos que sirvenpara asegurar losrequerimientos deseguridad. Ejemplo:planes de contingencia,manejo de incidentes,realización de backupsetc.
Controles técnicos: estoscontroles hacenreferencia a cualquierdispositivo de hardware osoftware que aseguran elcumplimiento de losrequerimientos deseguridad. Ejemplo:control de acceso yautorización, firewalls,mecanismos de auditoriade eventos, etc.
A continuación se ampliacada uno de los controles
enfocados a un sistema deredes:
Controles Administrativos Existe una política
especifica del sistemapara el manejo deseguridad
Existen políticas parael manejo de redes,sistemas operativos,aplicaciones, etc.
Existen políticas parael manejo de Internet Tipo de información
que puede sertransmitida
Tipos de sistemasque pueden serconectados a la red
Uso de firewalls ygateways seguros
Requerimientos paraautenticación deusuarios
Existen políticas parael manejo de otrasredes externas
Existe un enteencargado de darsolución a incidentesde seguridad
Las funciones deseguridad estánintegradas en lasfunciones del personal
Donde existan políticaslos siguientes tópicosson evaluados: Define el objetivo?
16
Esta respaldada por losdirectivos?
Define procedimientos,son claros yentendibles?
Indica la información,software y hardware aemplear?
Designa personalresponsable?
Dicta las penalidades yaccionesdisciplinarias?
Los procedimientos sonactualizadosperiódicamente?
Conoce los usuarios ypersonal adecuado laspolíticas?
Controles Operacionales Análisis de riesgos Separación de deberes Identificación del
personal clave Conocimiento y
entrenamiento depersonal
Efectiva administraciónde usuarios
Registro de intrusos Planes de contingencia Controles de acceso
físico Seguridad física contra
incendios
Controles Técnicos Identificación y
autenticación
Manejo de llaves Control de acceso
lógico Protección a puertos Firewalls, gateways
seguros Autenticación basada en
hots Auditoria Detección de intrusos Reconstrucción de
eventos Logs, revisión Criptografía Firmas electrónicas Certificados
Dependiendo del sistemaen análisis se establecelos seis o más relevantescontroles que seidentificaran con letrasmayúsculas. Los controlespueden tomar uno de cincoposibles estados:implantado (I), enproceso de ser implantado(P), control noexistente (N), sedesconoce su estado/porverificar (V) ó no aplica(X). Por ejemplo si elrecurso1 es un servidor yel control A es “Backupsde configuración y datosde equipos” el siguientecuadro indica que si seencuentra enfuncionamiento dichocontrol.
17
Tabla 8. Estado de los controles técnicos
ControlesTécnicos
Estado de los controlesA B C D E F
SistemaRecurso1 I N P N N NRecurso2 I N P N N N......Recurson I N P N N N
5. CONCLUSIONES
En Colombia lasorganizaciones y/oempresas no cuentan conregistros acerca de losincidentes de seguridad,lo que dificulta la laborde determinar el impactode los riesgos entérminos económicos,necesitando considerarseen la mayoría de loscasos una serie decomplicadas matrices paradeterminar el impacto delos riesgos en términoscualitativos de alto,medio o bajo, siendo estoademás un procesobastante polémico ydesgastante al interiorde las Organizaciones.
Como recomendación deseguridad fundamental alas empresas esimportante empezar a
llevar registros sobreincidentes de seguridadcon el fin de dar mayorconfiabilidad y mejorarlos resultados en elciclo de vida delanálisis de riesgos.
Es indispensableretroalimentar elprocceso de análisis deriesgos que obedecen alos siguientes:realización de cambios enel sistema, incidentes deseguridad y revisionesperiódicas. [ORTI-88]
Son de vital importanciapara el analista deseguridad informática lapuesta en práctica de losmétodos de checklist yauditoría para determinarcontroles ausentes en elsistema, ya que estasherramientas se basan enestándares mínimos de
18
seguridad que debecumplir todo sistema, laausencia de alguno deellos implica larecomendación inmediatadel cumplimiento de esta.
6. REFERENCIAS
[ACOS-98] Beatríz Acosta.Metodología de Implantación deSeguridad en Redes, Tesis dePostgrado en Ingenieríade Sistemas yComputación, Universidadde los Andes, 1998.
[FIPS-79] FederalInformation ProcessingStandards PublicationsFIPS PUB65 - Guidelinefor Automatic DataProcessing Risk Analysis,1979.
[HIGU-94] HigueraRonald, et al., "AnIntroduction to team riskmanagement", CarnegieMellon University,Pensilvania, 1.994.
[KRAU-99] Micki Krauseand Harold F. Tipton.“Handbook of InformationSecurity Management”, 1999
[NIST1] NIST ComputerSecurity Handbook.
[ORTI-99] John CarlosOrtíz, “Metodología paraevaluación de seguridad ensistemas distribuidos”, Tesisde Postgrado enIngeniería de Sistemas yComputación, Universidadde los Andes, 1999.
[SANT-99] Santos LuzMarina, “Metodologia para laimplantación de seguridad enaplicaciones distribuidas”. Tesisde Postgrado enIngeniería de Sistemas yComputación, Universidadde los Andes.
7. AUTORALuz Marina Santos JaimesIngeniera de SistemasMagíster en Ingeniería y Sistemas y Computación, Univ. de los AndesOcupación actual: Docentede tiempo completo Universidad de PamplonaArea de interés: seguridad computacional, internet, sistemas distribuidos y trabajo cooperativo.Correo: [email protected]éfono: 5685303 Ext. 141 5681672
8. GLOSARIO
19
Una amenaza es cualquierevento que puede causardaño sobre los recursosdel sistema.
Las vulnerabilidades sonpuntos débiles deseguridad que presenta elsistema que podríanpermitir la ocurrencia deuna amenaza. El Factor de exposiciónrepresenta una medida dela magnitud de pérdidas oimpacto sobre el valor deun recurso, es expresadocomo un porcentaje que vadesde 0% a 100%.
Los recursos de unsistema pueden ser denaturaleza tangible ointangible, su valordepende de su naturaleza.Los recursos tangiblesincluyen hardware,documentación, ypresupuesto que soportanel almacenamiento,procesamiento y entregade la información, suvalor típicamente se daen el costo dereemplazarlos. El valorde los recursosintangibles como porejemplo la información,puede darse en el costo ytiempo de recuperación dela misma, o en el valorde la confidencialidad,integridad ydisponibilidad de lainformación (ISSA-published GIVreference).
Impacto (i) es el dañopotencial sobre unsistema cuando unaamenaza se presenta. Estedaño puede ser expresadoen términos cuantitativoso cualitativos.
La frecuencia de ocurrencia (f)determina las veces queuna amenaza puede ocurriren un periodo de tiempo.La frecuencia se da en
20
número de ocurrencias poraño.
Posibilidad de ocurrencia: esuna medida cualitativaque indica la opción quetiene la amenaza dematerializarse o no.
21