Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL TUCUMAN UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Unidad 1 PROTECCIÓN DE LA INFORMACIÓN Propiedades caracteristicas de la Informacion. La información es hoy en día considerada como un bien activo en la organización; de un importante valor económico no tangible, por lo que se hace necesaria la instalación de controles destinados a su protección. La información está sujeta a determinadas contingencias que pueden afectar las propiedades que la CARACTERIZAN. Estas propiedades se refieren a su INTEGRIDAD, OPERATIVIDAD, CONFIDENCIALIDAD , Y AUTENTICIDAD. Por INTEGRIDAD entendemos la característica que asegura que su contenido permanezca invariable a menos que sea modificado por personas y/o procesos debidamente autorizados. En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes. En términos de seguridad de la información, la integridad hace referencia a la la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.Podríamos decir que la integridad existe cuando la información no difiere de la contenida en sus documentos originales y no ha sido accidentalmente o maliciosamente alterada o destruida. Por OPERATIVIDAD O DISPONIBILIDAD entenderemos la capacidad de tenerla accesible para ser procesada y/o consultada. Y un sistema 'no disponible' es tan malo como no tener sistema, no sirve. Para ser efectiva requiere que esté correctamente almacenada en los formatos preestablecidos y que el hardware que lo contiene funcione adecuadamente. Por CONFIDENCIALIDAD O PRIVACIDAD entendemos la necesidad de que la información sea sólo conocida por personas y/o procesos debidamente autorizados. En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos. Y Por AUTENTICIDAD debemos entender la propiedad de poder reconocer y certificar el origen y/o destino de la información, como así la documentación que la sustenta. Podemos corroborar que una entidad, ya sea de origen o destino de la información, es la deseada. Es tambien conocida como la integridad del origen, ya que puede afectar a su exactitud, credibilidad y “confianza” que las personas y/o procesos ponen en la información. Debemos hacer hincapie en el concepto de “personas y/o procesos” ya que en el interior de un sistema informatico es habitual que ambos sean asimilados como “usuarios” de dicho sistema, es decir que pueden o no tener determinados privilegios. - UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL TUCUMAN UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Contingencias Las contingencias pueden ser de carácter intencional o accidental y pueden ser categorizadas en actos de naturaleza, errores u omisiones, actos fraudulentos y daño intencional ocasionado por los individuos. En base a ello podemos ensayar una clasificación por el origen de la contingencia en: Contingencias de Origen Natural (CONTINGENCIAS NATURALES) producidas por fenómenos naturales, climatológicos o tectónicos. Incendios forestales, inundaciones, tormentas eléctricas, terremotos, maremotos, etc. Contingencias de Origen Técnico (CONTINGENCIAS TECNICAS) las que podremos subdividir en Contingencias de Origen Técnico vinculadas directamente con el sistema informático (Fallas de Hardware -disco rígido, fuente de alimentación, fallas en las impresoras, en los modems, en el monitor; Fallas de Software - incompatibilidades de librerías, conflictos en el uso de recursos, errores de programación); y Contingencias de Origen Técnico no vinculadas directamente con el sistema informático (Fallas en la red de Energía Eléctrica, fallas en los sistemas de climatización, proximidad a sistemas generadores de campos electromagnéticos - motores, ascensores-, fallas en sistemas de distribución de fluidos -gases o líquidos - por explosiones, humedad) Contingencias de Origen Humano (CONTINGENCIAS HUMANAS) ocasionadas por la interacción entre el hombre y el sistema informático, puede tratarse de hechos fortuitos o no; que actúan contra el recurso físico o lógico (datos erróneos, alteración de programas, destrucción de periféricos, virus informáticos, negación de servicios). Ejemplo de factores de riesgo Se debe analizar en forma concienzuda todos y cada uno de los Factores de riesgo que puedan afectar un sistema informático. Estos factores pueden ser de distintos tipos. A continuación se da una descripción de estos factores clasificados en tres categorías: INTEGRIDAD Sabotaje Virus Informáticos OPERATIVIDAD Catástrofe climática Incendio Hurto Sabotaje Intrusión Virus Informáticos CONFIDENCIALIDAD Hurto Intrusión Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 3 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 La Protección de la Información versus la Operatividad de un sistema Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”. Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla más bien de fiabilidad del sistema, que, en realidad es una relajación del primer término, entendiendo a dicho concepto como la probabilidad de que un sistema se comporte tal y como se espera de él, lo que en general se puede alcanzar al garantizar las cuatro propiedad características de la información ya definidos. “La protección de un sistema informático nunca podrá alcanzar una cobertura del 100 x 100” Por otro lado es cierto que la seguridad informática es siempre, en alguna medida, restrictiva de la Operatividad. Ejm Si se requiere que determinada información de una empresa sea sólo conocida por los gerentes, es lógico generar un mecanismo que impida el acceso del resto de los empleados y que los gerentes deban hacer algún tipo de operación adicional para acceder a ella (como por ejemplo identificarse). Ejm Cuando se instala un programa antivirus, éste ocupa lugar en el disco rígido, en la INTEGRIDAD OPERATIVIDAD CONFIDENCIALIDAD Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 4 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 memoria y consume tiempo de procesamiento, inclusive su operación periódica y su mantenimiento llevará tiempo. Los anteriores son sólo dos ejemplos que aclaran la idea de que cualquier tipo de elemento de protección que se utilice restringirá la Operatividad de alguna manera. Por lo tanto, es una ley fundamental de la seguridad informática que “si se aumenta la seguridad de un sistema informático, forzosamente se disminuye la operatividad”. Seguridad informática y OperatividadOperatividad Seguridad FIGURA A medida que se aumenta la seguridad de un sistema informático se disminuye su Operatividad, por lo que son inversamente proporcionales. Esta es una de las leyes fundamentales de la seguridad informática. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 5 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 ¿Por qué invertir en protección de la Información? Repercusión de las infracciones de seguridad Las infracciones de seguridad afectan a las organizaciones de diversas formas. Con frecuencia, tienen los resultados siguientes: Pérdida de beneficios Perjuicio de la reputación de la organización Pérdida o compromiso de la seguridad de los datos Interrupción de los procesos empresariales Deterioro de la confianza del cliente Deterioro de la confianza del inversor Consecuencias legales: en muchos estados o países, la incapacidad de proteger un sistema tiene consecuencias legales; Las infracciones de seguridad tienen efectos de gran repercusión. Cuando existe una debilidad en la seguridad, ya sea real o sólo una percepción, la organización debe emprender acciones inmediatas para garantizar su eliminación y que los daños queden restringidos. - Muchas organizaciones tienen ahora servicios expuestos a los clientes, como los sitios Web. Los clientes pueden ser los primeros en observar el resultado de un ataque. Por lo tanto, es esencial que la parte de una compañía que se expone al cliente sea lo más segura posible. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 6 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Encuesta de CSI/FBI desde 2003 Anualmente, el Instituto de seguridad informática y el FBI liberan sus conclusiones sobre la encuesta CSI/FBI. El Computer Security Institute (CSI) hace diez años, en conjunto con de la Oficina Federal de investigaciones (FBI escuadrón de intrusión informática en San Francisco), realiza y publica los resultados de la encuesta de seguridad, cuyo objetivo es elevar el nivel de conciencia de seguridad entre empresas, instituciones educativas y las agencias gubernamentales. El enfoque del estudio es determinar el tipo y la gama de delitos informáticos en los Estados Unidos y comparar tendencias anuales ciberdelito con los de años anteriores. El costo de la implementación de medidas de seguridad no es trivial; sin embargo, sólo es una fracción del costo que supone mitigar un incidente de seguridad. La encuesta más reciente sobre seguridad y delitos informáticos del Instituto de seguridad de equipos y de la Oficina Federal de Investigación (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las pérdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren. La encuesta demuestra que los ataques de denegación de servicio (DoS, Denial Of Service) y de robo de información son los responsables de las mayores pérdidas. En consecuencia, es importante saber que aunque el costo de la implementación de sistemas de protección de la seguridad no es trivial, supone una fracción del costo que conlleva mitigar los compromisos de la seguridad. La solución de seguridad más efectiva es la creación de un entorno en niveles de modo que se pueda aislar un posible ataque llevado a cabo en uno de ellos. Un ataque tendría que poner en peligro varios niveles para lograr su propósito. Esto se conoce como defensa en profundidad. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 7 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Vulnerabilidades de un sistema informático Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema informático. Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de: Diseño Debilidad en el diseño de protocolos utilizados en las redes. Políticas de seguridad deficientes e inexistentes. Implementación Errores de programación. Existencia de “puertas traseras” en los sistemas informáticos. Descuido de los fabricantes. Uso Mala configuración de los sistemas informáticos. Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática. Disponibilidad de herramientas que facilitan los ataques. Limitación gubernamental de tecnologías de seguridad. Vulnerabilidad del día cero Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución “conocida”, pero se sabe como explotarla. Vulnerabilidades conocidas Vulnerabilidad de desbordamiento de buffer. Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes. En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador. Vulnerabilidad de condición de carrera (race condition). Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado. Vulnerabilidad de Cross Site Scripting (XSS). Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 8 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante. Vulnerabilidad de denegación del servicio. La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima. Vulnerabilidad de ventanas engañosas (Window Spoofing). Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque. En http://www.cert.org/ hay disponibles unas tablas que indican el nº de vulnerabilidades detectadas por año. Es interesante visitar la web de vez en cuando y comprobar el elevado número de vulnerabilidades que se van detectando. Habría que ver cuántas no se detectan. ¿De qué queremos proteger el sistema informático? Entendemos la amenaza como el escenario en el que una acción o suceso, ya sea o no deliberado, compromete la seguridad de un elemento del sistema informático. Cuando a un sistema informático se le detecta una vulnerabilidad y existe una amenaza asociada a dicha vulnerabilidad, puede ocurrir que el suceso o evento se produzca y nuestro sistema estará en riesgo. Si el evento se produce y el riesgo que era probable ahora es real, el sistema informático sufrirá daños que habrá que valorar cualitativa y cuantitativamente, y esto sellama 'impacto'. Integrando estos conceptos podemos decir que “un evento producido en el sistema informático que constituye una amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre él”. Si queremos eliminar las vulnerabilidades del sistema informático o queremos disminuir el impacto que puedan producir sobre él, hemos de proteger el sistema mediante una serie de medidas que podemos llamar defensas o salvaguardas, y que se integran en lo que denominaremos PLAN INTEGRAL DE PROTECCIÓN INFORMATICA. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 9 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 PLAN INTEGRAL DE PROTECCION INFORMATICA ANALISIS DE RIESGO En un Sistema informático los riesgos son muchos y, además, de variada naturaleza. Para la toma de decisiones basadas en elementos de juicio que posibiliten, hasta donde resulte factible, la eliminación de la incertidumbre, resultará necesario un análisis de los riesgos que permita su conocimiento, probabilidad de ocurrencia y cuantificación. Es necesario determinar: A) )Qué se necesita proteger? B) )De qué debo protegerlo? C) )En qué grado se necesita proteger? En respuesta a la primera interrogante, o sea determinar cuáles son los elementos componentes del sistema a proteger, se debe realizar una lista minuciosa del sistema informático y sus interrelaciones, haciendo incapie en el conjunto de datos críticos 1) para el desembolvimiento de la organización y 2) para el funcionamiento del sistema en sí. El objetivo esencial del control y de la seguridad de los sistemas informáticos es mantener la autenticidad, integridad, operatividad y confidencialidad de la información manejada o almacenada en computadoras, frente a contingencias que pueden generar la pérdida de archivos, o de registros o bien la alteración de uno o más registros, o que alteren la prestación de un servicio o la rentabilidad de la organización. Para la seguridad informática, un sistema informático está formado por las personas, computadoras, papeles, medios de almacenamiento digital, el entorno donde actúan y sus interacciones. Para eliminar o disminuir el riesgo de ocurrencia o bien para limitar las consecuencias de una contingencia, existen distintos tipos de actividades o funciones de control o seguridad. Es conveniente recordar que el nivel de seguridad de un sistema informático nunca puede llegar al 100 % y lo que se trata de alcanzar es el menor grado de inseguridad, aunque este es variable y depende del tipo de sistema de que se trate. Hay tres maneras principales de atacar la seguridad del ordenador: Obtención no autorizada de información. Modificación no autorizada de la información. Denegación no autorizada de servicio normal a los usuarios. La obtención no autorizada de información se denomina ataque pasivo y la modificación no autorizada de la información o la denegación de servicios se denomina ataque activo. Ambas formas de ataque pueden tener lugar en cualquier punto del enlace de comunicaciones o de red, que puedan transportar información relevante. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 10 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Los objetivos principales de las contramedidas contra los ataques a la seguridad son: _ Minimizar la probabilidad de una intrusión proporcionando dispositivos y procedimientos de protección. _ Detectar cualquier intrusión tan pronto como sea posible. _ Identificar la información objeto del ataque e identificar la información de control y estado necesaria para recuperarse del ataque. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 11 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 ATAQUES PASIVOS Los ataques pasivos pueden resultar en la obtención del contenido de determinados mensajes, pero si los datos están cifrados todavía pueden ser de valor para el intruso para obtener la localización e identidades de los interlocutores; esta información esta generalmente disponibles en los encabezamientos de lo mensaje o de bloque. La longitud de los mensajes y su frecuencia de transmisión pueden revelar la naturaleza de los mensajes que pueden estar siendo transmitidos. Estas formas de ataque pasivo ( que no causan la obtención del contenido del mensaje ), conocidas como violaciones de la seguridad de la transmisión, se pueden utilizar como parte de una intrusión más sofisticada. ATAQUES ACTIVOS Un ataque activo en un enlace de comunicaciones puede tomar muchas formas, como por ejemplo: _ Modificación selectiva de los encabezamientos o de los datos. _ Borrado de mensajes o de los datos. _ Retraso de mensajes. _ Reordenamiento de mensajes. _ Duplicación de mensajes. _ Insertación de mensajes adicionales. Los ataques activos se pueden subdividir en tres categorías: Modificación de mensajes. Negación de servicio de mensajes. Iniciación de asociación espuria. La modificación de mensajes incluye ataques sobre: _ La autenticidad (modificando la información de control de protocolos y haciendo que el mensaje sea enviado hacia un destino equivocado, o mediante la inserción de mensajes ficticios. _ La integridad (mediante la modificación de los datos). _ La ordenación (mediante el borrado de mensajes o la modificación de la información de secuenciamiento en el protocolo). La denegación del servicio de mensajes incluye los ataques en los cuales el intruso descarta o retrasa mensajes. La iniciación de asociación espuria incluye los ataques en los cuales se emiten secuencias de mensajes previamente grabados o se hacen intentos de establecer un acceso bajo una identidad falsa. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 12 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 CONTRAMEDIDAS Se pueden tomar muchas precauciones para reducir la probabilidad de fallos en la seguridad de las comunicaciones. Estas contramedidas pueden, en algunos casos, ser caras e incómodas, y es necesario seleccionar aquellas que sean adecuadas al nivel de riesgo y al tipo de amenaza que se prevé. La gestión de riesgo es un método para la identificación, medida y control de sucesos inciertos, y se puede aplicar a la seguridad de las comunicaciones. Los elementos de gestión de riesgo son: _ Análisis de riesgo, que es una investigación sistemática de las amenazas potenciales y una cuantificación del impacto producido por acciones potenciales. _ Diseño alternativo de contramedidas que consiste en el diseño de varias contramedidas para cada amenaza, de modo que se satisfagan los requerimientos de seguridad especificados. _ Implementación y monitorización, que implementa un sistema de seguridad efectiva y monitoriza el sistema para garantizar una efectividad continua. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 13 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 INSTANCIAS DE UN PLAN INTEGRAL DE PROTECCION INFORMATICA Análisis de riesgo Vs. Valoración de Riesgo Los objetivos de la valoración de riesgo se enfocan en los siguientes aspectos: 1. Ayudar en la identificación de exposiciones 2. Ayudar en la cuantificación de los valores de las exposiciones. Mientras que un análisis de riesgo es más amplioy su finalidad además de la valoración de riesgos incluye 3. Permitir un ranking de exposiciones por prioridad 4. Servir como base para el análisis del coste eficaz. Las exposiciones implican puntos de riesgo para los datos y en general determinan puntos de control para los mismos. Todo proceso de Análisis de riesgo debe basarse en los siguientes factores: * Factor Crítico de Éxito Si un estudio es suficientemente importante para hacerlo, es suficientemente importante hacerlo correctamente - y eso empieza con un apoyo total y compromiso de la Cabeza estratégica de una organización. * Elementos de riesgo Básicamente hay dos elementos principales de riesgo: P, la probabilidad de números de veces por año que ocurra una exposición, y C, el costo o pérdida atribuido a tal exposición. Los que se relacionan mediante la expresión R = P x C donde el riesgo R esta expresado en términos de pérdidas por año. * Valor de la probabilidad (P) Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 14 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 La mejor forma de expresar este factor de clasificadores de tiempo es como Tasas de ocurrencia esperadas. Tiempo de frecuencia subjetiva Valor (P) Multiplicador de Pérdidas (Pl) Anualizado por año Una vez en 300 años 1 1/300 0,00333 Una vez en 30 años 2 1/30 0,03333 Una vez en 3 años 3 1/3 0,33333 Una vez en 100 días 4 365/100 3,65000 Una vez en 10 días 5 365/10 36,50000 Una vez al día 6 365/1 365,00000 10 veces al día 7 365/0.1 3650,00000 100 veces al día 8 365/0.01 36500,00000 Asignar valores de costo Se debe elegir entre los siguientes tipos de coste (pérdidas) más conveniente para una determina exposición 1) El costo del material activo 2) El costo para reparar el activo (daños, menos el seguro) 3) El costo para reinstalar el activo (Incluye pedido, fletes e instalación) 4) El costo para operar sin el activo (incluye pérdida general, pérdida aplazada, pérdida confidencial del negocio y oportunidad de pérdida) 5) El costo de la capacidad de retroceso/recuperación 6) El costo del seguro. Pérdida Potencial por Incidente (P.P.P.I) Representa un índice que intenta acercar un valor que relaciona una estimación de la pérdida económica en que se incurriría por la ocurrencia de una contingencia y la probabilidad de ocurrencia de la misma (figurativamente es igual a R), pero está orientado a comparar los efectos de dos contingencias P.P.P.I= C x P Por ejemplo si queremos estimar las pérdidas por la ocurrencia de una contingencia de origen natural, un terremoto, los costos asociados a la pérdida serán totales (el peor de los casos) y equivaldrían al valor de los todos los bienes; si el Sistema informático tiene un valor para la organización de u$s 47.000 este será la perdida prevista; ahora si consideramos una contingencia menos dramática, una infección por código malicioso que afecte la disponibilidad de un servicio por determinadas horas, las pérdidas estimadas, en el supuesto, serian de u$s 500. Al poner a consideración de los responsables de la organización, parece obvio que Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 15 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 deberían inclinarse por protegerse del terremoto (acondicionando un área antisísmica, pagando una prima de seguro); pero si calculamos ahora la P.P.P.I., Suponiendo que las estadísticas estiman que un terremoto se da 1 vez cada 30 años; P.P.P.I.(terremoto)= 47.000 x 0,03333 =1566,51 Y suponiendo entonces que un código malicioso puede afectar el sistema una vez cada diez días, P.P.P.I.(cod.malicioso)=500 x 36,5 = 18250 Entendemos que ahora el cotejo se inclina hacia el riesgo con mayor P. P. P. I., dado que el mismo balancea la consideración de los daños eventuales. Conviene a veces utilizar un enfoque holístico al valorar las posibles contingencias, ya que pueden existir costos ocultos o no inmediatamente obvios que no hayamos considerado. Evaluación de riesgos Evaluación de Costos Estrategia de Protección Evaluación de riesgos El primer paso a dar es establecer qué es lo que se desea proteger, por qué y cuál es su valor, así como de quién se desea proteger. El objetivo que perseguimos no es otro que lograr que un ataque a nuestros bienes sea más costoso que su valor, invirtiendo menos de lo que vale. El motivo es muy sencillo: si proteger nuestros bienes es más caro de lo que valen, entonces nos resulta más conveniente obtenerlos de nuevo que protegerlos, e igualmente, si atacarlos es más caro de lo que valen, a los atacantes les merecerá más la pena obtenerlos por sí mismos que atacarnos. De esta simple ecuación se pueden derivar fácilmente las normas básicas en la evaluación de los riesgos, que podemos desglosar en dos partes: Valor Intrínseco del producto a proteger Costo derivados de su pérdida Ambos conceptos son fundamentales, y ambos deben extenderse por toda la gama de posibilidades. Para ello lo mejor es observar el objeto de protección fría y metódicamente: Valor intrínseco Es probablemente el elemento más fácil de valorar: nadie mejor que Ud. para saber cuánto vale. Sólo necesita asegurarse de que valora todos los costos afectados, examinando minuciosamente todos los componentes a proteger. Por ejemplo: un servidor de un departamento donde trabajan varios grupos de investigación podría valorarse -muy simplemente - de esta forma: valor del ordenador valor del software valor de los resultados de investigación, patentes, etc., almacenados costo del esfuerzo y materiales invertidos en obtener esos datos valor de la información personal que contiene Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 16 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Costos derivados Una vez más, hay que intentar abarcar todas las posibilidades. Aquí es bueno a menudo contar con un experto en temas de seguridad, pues pueden existir costos derivados que Ud. no conozca o imagine. Podemos seguir el ejemplo anterior: valor de sustituir el hardware valor de sustituir el software valor de los resultados costo de reproducir los experimentos significativos costo de regenerar la información personal Estos parecen los costos más obvios. Pero puede haber mucho más. Por ejemplo, los resultados pueden ser públicos y tener un valor aparente nulo, pero en un entorno bajo las últimas propuestas de leyes internacionales de derechos de copia, su pérdida a manos de una compañía comercial podría suponer su desaparición del dominio público y el que esa información deje de ser gratuita y pase a ser comercial con un costo -incluso para quien originalmente la desarrolló- notoriamente elevado. Más aún, información aparentemente inocua puede resultar tremendamente sensible: unos datos personales en apariencia inocentes podrían permitir a alguien suplantar a otra persona, otorgándole impunidad para cometer crímenes que al final serán imputados a la persona cuyos inocentes datos fueron comprometidos. Un análisis detallado del sistema podría revelar que además existen datos confidenciales, o acuerdos con empresas, o información privilegiada que un agresor avezado podría usar en su beneficio y -probablemente- en nuestro detrimento. Es decir, no sólo se trata del valor del elemento perdido -si es que algo se pierde- si no también del valor añadido quegana el atacante y la repercusión de esa ganancia sobre nosotros. Esta evaluación debe afectar todos los aspectos: además de los bienes, está en nuestro ejemplo el tiempo que fue necesario para obtenerlos. Un atacante podría intentar acceder a ellos sólo por ahorrarse el costo de realizar un desarrollo propio o el tiempo que éste supuso, o para obtener la experiencia y conocimientos que se ganó en su obtención. En resumen, aunque en principio pueda parecer fácil la valoración de los bienes protegidos, pueden existir numerosos costos ocultos inherentes a su pérdida o compromiso que sólo un análisis detallado puede revelar y que a menudo requieren una valoración por alguien con experiencia en seguridad en conjunción con expertos especializados en el tratamiento de los bienes protegidos. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 17 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Evaluación de costos La evaluación de los costos debe seguir las normas del sentido común Esto supone una serie de normas o reglas derivadas: La seguridad debe cubrir todos los posibles métodos de ataque La máxima seguridad obtenible es la del elemento más débil del sistema La solución de seguridad constituye un sistema complejo Deben evaluarse tanto las medidas individuales como las interacciones entre todos los componentes del sistema Recordemos que nuestro objetivo es minimizar el costo de la protección manteniéndolo por debajo del de los bienes protegidos maximizando el costo de los ataques manteniéndolo por encima del de los bienes protegidos, lo que nos lleva a esta otra regla: Toda medida de seguridad debe contrastarse con el costo asociado a intentar romperla. Conviene en general ser metódicos al evaluar las medidas de seguridad, y buscar un compromiso que asegure la protección sin dañar excesivamente la funcionalidad del sistema. Y siempre recordar la norma principal: la evaluación debe ajustarse al sentido común. Si bien los comerciales, ejecutivos y demás integrantes de la organización ajena a la materia es muy propensa a engrosar los costos para aparentar una mayor importancia y enriquecer su autoestima promocionando su imagen personal, el profesional de la seguridad debe ser capaz de ver más allá de estas mezquindades y saber mantener un punto de referencia sensato en su evaluación. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 18 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Herramientas de Análisis de Riesgo Es conveniente en este punto mencionar que podemos encontrar diversas herramientas que ayudan y facilitan encarar la gestión de riesgos; las aquí sugeridas, se basan en la Metodología MAGERIT (http://administracionelectronica.gob.es) “…MAGERIT es un método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. MAGERIT persigue los siguientes objetivos: 1. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2. Ofrecer un método sistemático para analizar tales riesgos. 3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. 4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso…” Se expresa también “…Descripción: MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica. MAGERIT permite: •Estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización; señala los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determina la vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados. •Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios…” Nota del autor: tomando de la página web previamente aludida.- Varias de estas herramientas las encontramos en http://www.ar- tools.com/es/index.html, donde nos proponen EAR Entorno de Análisis de Riesgo Las herramientas de personalización están previstas para consultores y grandes organizaciones, y presentan una pantalla como la siguiente. Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinámicamente a la biblioteca, extendiéndola para adaptarse a un determinado contexto…” Nota del autor: tomando de la página web antes aludida.- El Modelo MAGERIT utiliza cuestionamientos de la forma: Pregunta Clave para identificar Amenazas Cómo podría el Agente Causal "k" (ACk, donde K= 1, 2 …), de manera accidental o intencional generar la Categoría de Riesgo "j" (CRj, j = 1, 2, …, 9) en el Escenario de Riesgo "n" (ERn) de Ui ?. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 19 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Donde, ACk puede ser: • Las personas (staff permanente, staff temporal, contratistas o terceros). • Los actos de la naturaleza (Actos de Dios). • La Escasez o insuficiencia de servicios esenciales. • El malfuncionamiento de equipos. CRj puede ser una cualquiera de las categorías de riesgos (J= 1, 2 …, 9). Los 9 escenarios de riesgo o áreas de exposición que componen la infraestructura Informática de las organizaciones (Controles Generales de Sistemas de Información). Planeación Estratégica de Sistemas. Organización del Departamento de Sistemas. Seguridad Física y Respaldo de Recursos Informáticos. Adquisición, Desarrollo y Mantenimiento de Sistemas. Operaciones en los Centros de Procesamiento de Datos (CPD). Seguridad de los datos y del software (integridad, confidencialidad y disponibilidad) . Seguridad en Redes y Comunicación de Datos. Calidad y Eficiencia de los Servicios de Informáticos. Uso de Estándares de Control y de Seguridad Informática. ERn puede ser uno cualquiera de los componentes del proceso o sistema sujeto de estudio. Por ejemplo, uno cualquiera de los 34 procesos de tecnología de información del estándar COBIT o del ciclo de vida del control de los datos o los subprocesos de la empresa en los que se divida el proceso o sistema sujeto a estudio. Ui puede ser: • La empresa. • Un proceso o macroproceso. • Un sistema de información. • Un componente de un proceso. • Un componente de un sistema. • Un Departamento o Dependencia. Las respuestas a esta pregunta clave conforman la lista de amenazas (accidentales e intencionales) para cada categoría de riesgo (CRj) en el Escenario de Riesgo "n" (ERn) del Universo "i" sujeto a estudio. “…Las herramientas se pueden personalizar en varios aspectos: EVL - Perfiles de protección Criterios de evaluación/acreditación específicos de ciertos sectores o de puntos de vista específicos. Por ejemplo: leyes nacionales de protección de datos personales. TSV - Perfiles de amenazas Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes entornos de operación. KB - Protecciones adicionales Detallando protecciones adicionales sobre ciertos tipos deactivos. Se puede llegar a dar instrucciones al administrador del activo. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 20 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 Software de Análisis de Riesgos Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 21 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 IIa INSTANCIA Hemos concluido la I instancia con la determinación de un conjunto de sistemas críticos para la organización (sino todos) (que se necesita proteger?); una variedad de riesgos que pueden afectar las propiedades características de la información contenida en ellos (de que debo protegerlos?); e incluso hemos procurado valuar las eventuales pérdidas por la ocurrencia de contingencias (En qué grado necesito protegerlo?), lo que deberíamos hacer ahora corresponde a la IIa INSTANCIA La pregunta a responder ahora es COMO ME PROTEGO DE LOS RIESGOS, CON QUE HERRAMIENTAS (DE HARDWARE Y/O SOFTWARE, CON ENTRENAMIENTO Y CAPACITACION DE LOS OPERADORES Y USUARIOS DEL SISTEMA) obviamente tomando MEDIDAS DE PROTECCIÓN. En principio consideraremos las Medidas de protección como un conjunto que incluye Medidas de Control y Medidas de Seguridad La distinción entre ambas tiene que ver con su alcance; así hablaremos de medidas de control, cuando hagamos referencia a medidas de protección que son aplicables a cualquier sistema informático (independiente de su envergadura y que fundamentalmente apuntan a garantizar las propiedades de integridad y operatividad de la información o datos contenidos en el mismo); por otra parte la alusión a medidas de seguridad hará referencia a aquellas aplicables a sistemas de múltiples usuarios (también independiente de su envergadura y fundamentalmente apuntando a garantizar las propiedades de confidencialidad y autenticidad de la información o datos contenidos en el sistema). El lector posiblemente encontrara una cantidad de Medidas de Protección cuyo alcance no esta tan bien delimitado; es así, los conceptos vertidos en este párrafo definen un criterio del autor que permite subdividir y facilitar la planificación sobre la implantación o instalación de las medidas de protección más adecuadas. La tarea del encargado del grupo responsable de definir el Plan de Protección Informática, esta facilitada con la importante bibliografía existente (Ver Anexo II) Las funciones esenciales del control o seguridad son, en situación de su momento de activación 1) DISUADIR: para impedir los errores, omisiones, abusos, siniestros y violaciones de secreto, previo a las operaciones de entrada de datos o podríamos decir antes de ingresar al sistema informático. En este caso se trata de contar con medidas de protección que inspiren respeto (temor) como para mover a alguien a desistir de sus propósitos. El fin de EVITAR; parte incluso de analizar si alguna actividad del sistema informático debería interrumpirse por cuanto se corren importantes riesgos 2) PREVENIR mediante la adopción de medidas que actúan conjuntamente con el ingreso de datos, rechazando los inválidos y obligando a su corrección o activando medidas de advertencia para un administrador del sistema. Esta es una función clásica de la seguridad y la más conocida. 3) DETECTAR para que, mediante diversos procedimientos, se advierta sobre errores ocurridos. Detectado un evento no deseado, es necesario que se informe de la falla. Por otra parte, la sola ubicación es de por sí insuficiente. Debe tenderse a una adecuada combinación de prevención y detección. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 22 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 4) RECUPERAR Y CORREGIR; comprende aquellas acciones que permiten a un sistema recuperar en el menor tiempo posible su capacidad de procesamiento y brindar la información necesaria. Deberá estudiarse la necesidad de hacer frente a una emergencia máxima. En resumen el responsable de seguridad puede proponer un conjunto de medidas de protección, de control o de seguridad, que actuaran en forma disuasiva, preventiva, o de detección. En cuanto a las medidas de corrección debemos aclarar que salvo excepciones la aplicación de las mismas requiere de la intervención del recurso humano. IIIa INSTANCIA En esta instancia la gran interrogante es ¿Son realmente eficaces las medidas de protección tomadas? Y parece lógico suponer que solo la ocurrencia de una contingencia nos dará la respuesta esperada; justo en el peor momento para detectar errores, omisiones o imprevisiones. Que podemos hacer entonces? Bueno esta IIIa Instancia nos habla de simulacros, pruebas de penetración, de análisis sobre el impacto de nuevas vulnerabilidades, es decir preparar una acción de simulación de la ocurrencia de una contingencia, tomando los recaudos necesarios, en un marco controlado y ver como es la respuesta a la misma, tanto desde el punto de vista del hardware, del software, del personal técnico y los usuarios, involucrados; apreciando a partir de las respuestas la calidad de la medida de protección bajo prueba y las consecuencias de la potencial ocurrencia. Otra herramienta útil consiste en la contratación de personal externo, para que partiendo de datos de conocimiento público o general, intente penetrar las reglas de control de acceso del sistema informático, poniendo en evidencia potenciales fallas, y ver el funcionamiento de las medidas de detección impuestas y la reacción propia del sistema.- Plan de Recuperación de Contingencias Ahora bien por una lado la Auditoria Informática, de la IIa Instancia, como las medidas de simulación y pruebas de vulnerabilidad, de la IIIa Instancia, no dan garantías de no ocurrirán contingencias en algún momento. Surge entonces en esta instancia fomentar la definición de una PLAN DE RECUPERACION DE CONTINGENCIAS, que marque pautas de acción en tal circunstancias; desde I) Que alertas debemos activar; II) Quienes son los agentes que deben afectarse, tanto técnicos, como administrativos, jerárquicos; III) Qué grado de gravedad representa (por ej.: MUY GRAVE, GRAVE, LEVE, MUY LEVE) ; IV) ACTIVACION DE SISTEMAS (INFORMATICOS O NO) PROVISORIOS ALTERNATIVOS. Fase de Transición; V) Cuál es el orden adecuado de Restauración de: Sistema(s) Operativo(s); Archivos de Configuración de hardware; Archivos de Configuración de Seguridad; Sistemas de Aplicaciones; Archivos de Bases de Datos; Datos de Personalización de usuarios individuales y de grupos de usuarios; Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 23 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 VI) Cuando debería comenzar la fase de puesta en marcha y de verificación de Operatividad e de Integridad. Definición de métodos. Este esquema representa los pasos que se detallaron en el texto principal, cada fase debe estar especificada en un Manual de Procedimientos para casos de contingencias, al alcance del operador responsable de turno. En el diagrama del Plan de Protección Integral, incluimos dos ciclos de a) Revisión por Fallas o Debilidades encontradas, durante los simulacros o, luego de enfrentar una contingencia, si aquellas ocurrieron. debemos establecer cuál fue la causa o la impericia que impidió la acción adecuada prevista al implementar lamedida de protección. Este bucle implica una revisión permanente del Plan en sí mismo y es parte fundamental del mantenimiento. Las acciones pueden comprender la rectificación de métodos o procedimientos e incluso la sustitución de la medida de protección involucrada, aplicación de medidas correctoras a las Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 24 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 personas involucradas, si les cabe responsabilidad (adecuadamente formuladas y difundidas en las Políticas de Protección de la Organización). En estos casos en muchas organizaciones se resuelve realizar una Auditoria Informática con el propósito de determinar y deslindar responsabilidades, una actividad que, insistimos, debe de practicarse en la segunda instancia como una rutina de prevención y no solo para descubrir “responsabilidades”. b) Nuevos Riesgos, sabemos que la subsistencia de una red informática involucra una constante actualización, (de hardware, software, cableado, electrónica de comunicaciones, servicios, diferentes usuarios) lo que implica una revisión del posible surgimiento de nuevos riesgos, que desde el punto de vista del Plan de Protección informática, reiniciaría el mismo evaluando todas las instancias descriptas e incluso definiendo si es menester una actualización de las Políticas de Seguridad de la Organización. Todo nuevo proyecto debe incluir el Análisis de Riesgos respectivo. UTN 2018-11-10T17:25:33-0300 FRT AV
Compartir