Técnicas de evaluación de riesgos (Process Hazards Analysis - PHA)
La metodología de riesgos en el ámbito informático consiste en la ejecución de un conjunto de pasos para obtener la descripción de los riesgos y vulnerabilidades de la organización, para ello se recurre a un ciclo que contempla diversas etapas de planeación, diseño y ejecución, tales como:
- Entrevistas.
- Identificación de vulnerabilidades y evaluación de riesgos y vulnerabilidades.
- Determinación de la probabilidad.
- Determinación de las ocurrencias en un periodo de un año.
- Análisis del impacto y el factor de riesgos.
- Identificación de controles.
- Diseño de métricas e indicadores.
- Plan de implementación tecnológica.
- Plan de contingencia en caso de desastres.
Conceptos
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. [1] Los factores que lo componen son la amenaza y la vulnerabilidad.
La amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. [1] La amenaza se determina en función de la intensidad y la frecuencia.
La vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza. (1) Con los factores mencionados se compone lo siguiente:
Fórmula de riesgo.
RIESGO = AMENAZA x VULNERABILIDAD (1)
Los factores que componen la vulnerabilidad son la exposición, susceptibilidad y resiliencia, expresando su relación en la siguiente fórmula.
VULNERABILIDAD = EXPOSICIÓN x SUSCEPTIBILIDAD / RESILIENCIA (1)
Exposición es la condición de desventaja debido a la ubicación, posición o localización de un sujeto, objeto o sistema expuesto al riesgo.
Susceptibilidad es el grado de fragilidad interna de un sujeto, objeto o sistema para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un evento adverso.
Resiliencia es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas.
[1] UNISDR, Terminología sobre Reducción de Riesgo de Desastres 2009 para los conceptos de Amenaza, vulnerabilidad y riesgo.
La escala de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.
El reto en la aplicación del método es precisar o estimar las condiciones (valores) de las dos variables, para que se basen en parámetros claramente medibles. Para ello, el análisis de riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o positivamente, en el.
En el proceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus características:
- Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad)
- Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
- No siempre es percibido de igual manera entre los miembros de una institución que tal vez puede terminar en resultados inadecuados y por tanto es importante que participen las personas especialistas de los diferentes elementos del sistema (Coordinación, Administración, Finanzas, Técnicos, Conserje, etc.)
El modelo no solo se puede aplicar a los diferentes elementos de manera aislada, sino también al sistema completo, aunque en el primer caso, el resultado final será más preciso pero también requiere más esfuerzo.
Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el peligro al sistema, lo que significa que es necesario implementar medidas de protección.
Probabilidad de amenaza
Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir cuando un evento se realizó. Pero el ataque no dice nada sobre el éxito del evento y sí o no, los datos e información fueron perjudicados respecto a su confidencialidad, integridad, disponibilidad y autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas
- ¿Cuál es el interés o la atracción por parte de individuos externos, de atacarnos? Algunas razones pueden ser que manejamos información que contiene novedades o inventos, información comprometedora etc, tal vez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posición pública que tenemos.
- ¿Cuáles son nuestras vulnerabilidades? Es importante considerar todos los grupos de vulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo para obtener una imagen más completa y más detallada sobre la situación interna y el entorno.
- ¿Cuántas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el caso de que ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplicó exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, antes tenemos que definir el significado de cada condición de la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinión común y por tanto se recomienda que cada institución defina sus propias condiciones.
Vulnerabilidades
La identificación de vulnerabilidades de una plataforma tecnológica, requiere herramientas, entre ellas "listas de verificación" y "software de análisis" que ayuden a determinarlas a nivel del sistema operativo de firewall; una forma de clasificar este proceso en razón de la función que prestan puede ser la siguiente:
|
|
Otra forma de clasificarlo, podría ser la siguiente:
- Seguridad Física
- Seguridad de Redes
- Protocolos / Servicios
- Seguridad del usuario
- Almacenamiento de Datos de Seguridad
- Contraseñas
- Administración del sistema
En todo caso, la forma de planificar el análisis de riesgos, dependerá de la estructura organizacional de la empresa, de las políticas de calidad y seguridad, además de la organización departamental del gerente del área, entre otros factores.
"Lista de Verificación" (Check list)
La "lista de verificación" o “checklist” para llevar a cabo una auditoría de seguridad exhaustiva y efectiva de un sistema informático o red, no se trata de discutir específicamente los detalles técnicos de la prevención en los sistemas informáticos específicos, sino que proporcionará una lista de verificación general para examinar la seguridad de un sistema informático. A continuación algunos de los posibles planteamientos.
1. SEGURIDAD FÍSICA
La seguridad física es la parte más importante del mantenimiento de la seguridad de un sistema informático, y es a menudo pasada por alto por los administradores de sistemas descuidados que asumen que con echar de vez en cuando un vistazo rápido a los sistemas, es protección suficiente. | Ejemplo de preguntas exploratorias? ¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo posible? ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano? ¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el sistema y lo use (aunque sólo sea por unos segundos)? ¿Están todos los usuarios desconectados del terminal? ¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de disco bloqueadas / deshabilitadas? ¿Están los puertos paralelo / serie / infrarrojo / USB / SCSI asegurados o deshabilitados? ¿Existen discos duros conectados físicamente al sistema sin bloquear? ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de frío / calor? |
2. SEGURIDAD DE REDES
La seguridad de redes es la segunda parte más importante del mantenimiento de unos sistemas seguros. Si bien la seguridad física juega un papel importante, si opera en sus sistemas en un entorno de red / multiusuario, el sistema es mucho más susceptible a los ataques externos que un sistema autónomo. La seguridad de la red también es más difícil de evaluar, ya que requiere un conocimiento profundo de los diversos componentes y capas de su sistema y todos los servicios externos que interactúan con el sistema. Crea tus propios planteamientos...
3. PROTOCOLOS / SERVICIOS
Una vez auditadas las capas físicas y de red de su sistema, la siguiente categoría en nuestro checklist de auditoría de seguridad informática es quizás una de los más complejas. Los ordenadores están hechos para calcular y, dependiendo del propósito de su sistema, se va a ejecutar diferente software y programas en cualquier momento. Es probable que en la mayoría de los casos, ya que todo el software fue desarrollado por diferentes personas con diferentes concepciones de la seguridad (y porque siempre hay gente que sabe más acerca de la seguridad), al menos uno de esos programas tiene algún tipo de problema de seguridad que podría ser explotado. Protocolos y Servicios Crea tus propios planteamientos...
La seguridad de redes es la segunda parte más importante del mantenimiento de unos sistemas seguros. Si bien la seguridad física juega un papel importante, si opera en sus sistemas en un entorno de red / multiusuario, el sistema es mucho más susceptible a los ataques externos que un sistema autónomo. La seguridad de la red también es más difícil de evaluar, ya que requiere un conocimiento profundo de los diversos componentes y capas de su sistema y todos los servicios externos que interactúan con el sistema. | Crea tus propios planteamientos... |
3. PROTOCOLOS / SERVICIOS
Una vez auditadas las capas físicas y de red de su sistema, la siguiente categoría en nuestro checklist de auditoría de seguridad informática es quizás una de los más complejas. Los ordenadores están hechos para calcular y, dependiendo del propósito de su sistema, se va a ejecutar diferente software y programas en cualquier momento. Es probable que en la mayoría de los casos, ya que todo el software fue desarrollado por diferentes personas con diferentes concepciones de la seguridad (y porque siempre hay gente que sabe más acerca de la seguridad), al menos uno de esos programas tiene algún tipo de problema de seguridad que podría ser explotado. Protocolos y Servicios | Crea tus propios planteamientos... |
4. SEGURIDAD DE USUARIO
Las particularidades de la seguridad de los usuarios varía mucho dependiendo del sistema que se esté usando. En algunos casos, el sistema será una máquina aislada, realizando principalmente las funciones del servidor con muy pocos usuarios que realmente inicien sesión y usen directamente el sistema, por consiguiente los usuarios interactúan con las funciones del servidor. En otros casos, un sistema puede tener cientos de usuarios accediendo directamente al sistema de forma simultánea. Obviamente, el grado en el que la seguridad del usuario es una inquietud depende en gran medida de la tipología de sus usuarios, pero tenga en cuenta que un usuario que intente violar la seguridad, o que tenga malas prácticas de seguridad, puede afectar y posiblemente poner en peligro todo el sistema. Seguridad de Usuario | Crea tus propios planteamientos... |
5. SEGURIDAD DE DATOS
Los datos y el almacenamiento de archivos, en principio no parece presentarse como un riesgo de seguridad, ya que los usuarios tienen acceso a los archivos o no lo tienen. Resulta que hay muchas formas, y algunas complicadas, de acceder a los mismos datos en un sistema, y un buen administrador de sistemas debería ser consciente de todo esto. Seguridad de Datos | Crea tus propios planteamientos... |
6. CONTRASEÑAS
Las contraseñas son los componentes centrales en la mayoría de los esquemas de seguridad; las cuentas de usuario, los sitios web sensibles y los servicios del sistema están protegidos por ellas. Si conoce las contraseñas correctas, puede obtener privilegios de administrador en un sistema en el que ni siquiera sea un usuario o infiltrarse en un entorno en el que nunca ha trabajado antes. Tradicionalmente se han aceptado como una buena manera de implementar la seguridad, ya que pueden ser incorporados fácilmente en la mayoría de los sistemas operativos y el software sensible y, sin embargo, se pueden hacer suficientemente complejas como para ser difícil de “descifrar”, mientras que sea recordada por el usuario. Su debilidad como medida de seguridad está en su poder, una contraseña es todo lo que necesita para tener acceso completo a todo un sistema y las contraseñas PUEDEN descifrarse. Lo mejor que puede hacer es tratar de hacer que estas dos cosas sean muy poco probables. Contraseñas | Crea tus propios planteamientos... |
7. ADMINISTRACIÓN DEL SISTEMA
Unas técnicas de administración de sistemas de calidad pueden marcar la diferencia en la seguridad. No hay un montón de cosas que haga falta hacer en la mayoría de los sistemas modernos, ya que hacen comprobaciones automáticas y mantienen al administrador del sistema informado de cualquier cambio sospechoso. Pero todavía hay algunos consejos generales a seguir: | Periódicamente navegar a través de su sistema, mirar el contenido de los directorios del sistema, registros y otros archivos. Anote las ubicaciones y tamaños de archivos. Observe los patrones de uso de la máquinas y sus usuarios. Ejecute herramientas de cracking (como “CRACK” y “Satanás” en el entorno Unix) con regularidad para comprobar si hay vulnerabilidades en la configuración del sistema. Trate de romper la seguridad manualmente a través de diferentes medios. Sea consciente de las personas o grupos que puedan tener intenciones de penetrar en su sistema. Mantenga a sus usuarios informados de sus técnicas de seguridad y lo que se espera de ellos para mantener la seguridad. |
Formatos de verificación para auditoría de sistemas
TÍTULO
ÚLTIMA MODIFICACIÓN
7/04/21
VLE-Cynthia Cardinault
7/04/21
VLE-Cynthia Cardinault
7/04/21
VLE-Cynthia Cardinault
7/04/21
VLE-Cynthia Cardinault
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.