CLASIFICACIÓN DE LA INFORMACIÓN

Apuntes 19 de Marzo de 2010

Clasificación de la Información

• No todos los datos requieren los mismos niveles de seguridad
• Es necesario destinar más esfuerzo e inversión para proteger los datos más importantes o sensibles.
• Ayuda a determinar cuánto esfuerzo, dinero y recursos deben destinarse y definir cómo controlar su acceso.
• Hay dos esquemas tradicionales de clasificación de la información: comercial y militar.

Clasificación de la información (comercial)

• Pública: Información no incluida en las otras categorías, puede ser entregada y publicada sin restricciones
• Sensible(restringida): Si es divulgada podría afectar la confianza e imagen de la empresa y sus negocios
• Privada: Si es divulgada la información podría afectar negativamente al personal
• Confidencial: Si es divulgada la información podría afectar negativamente la empresa

Clasificación de la información (militar)

• Desclasificada Ninguna de las anteriores
• Sensible: Si es divulgada podría afectar la imagen del país
• Confidencial: Si es divulgada podría causar serios daños en la confianza hacia el país.
• Secreta: Podría causar serios daños a la seguridad nacional
• Ultrasecreta: Podría causar serios daños a la seguridad nacional

CONFIDENCIALIDAD

Apuntes 17 de Marzo de 2010

Confidencialidad de la información

•Los recursos (hardware, software, datos) son accesibles sólo a usuarios ó procesos autorizados.

•Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información.

Confidencialidad de la Información

1. Ataques a la confidencialidad de la información
2. Controles para garantizar la confidencialidad

Ataques contra la Confidencialidad de la Información

1. Acceso no autorizado a los archivos, sistemas de información ó bases de datos
2. Acceso remoto no autorizado
3. Sniffing
4. Keylogger

Ataques contra la Confidencialidad de la Información

• Acceso no autorizado a los archivos, sistemas de información ó bases de datos
• Errores o mala configuración de los mecanismos de autorización y autenticación permiten el acceso a usuarios no autorizados a archivos en servidores y computadores personales.
• Acceso remoto no autorizado
• Errores o mala configuración de los mecanismos de autorización y autenticación de la red permiten el acceso remoto a usuarios no autorizados a archivos en servidores y computadores personales.
• Sniffing: intercepción del tráfico de la red en busca de contraseñas e información sensible, mediante sniffers

Sniffer:

• -Rastreadores, analizadores de protocolos.
• •Detectar intrusos, tráfico anormal
• •Hacking: Obtener información-Ataque pasivo
• Herramienta: Wireshark(antes Ethereal)

Keylogger: del inglés: key (tecla) y logger (registrador);

Combinación de hardware y software que se encargan de capturar todas las pulsaciones que se realizan en el teclado, y almacenarlas en un archivo.

Controles para preservar la Confidencialidad de la Información

1. Autenticación
2. Autorización
3. Clasificación de la información
4. Encripción de la información (Ciframiento)

Autenticación

• Proceso apoyado en mecanismos para confirmar a alguien (usuario, proceso) como auténtico.
• Garantizar la identidad de quien solicita acceso a los recursos (harware, sofware, información)
• Mecanismos: usuario/contraseña, dispositivos biométricos, certificados digitales

Mecanismos de autenticación

• Algo que usted conoce (clave)
• Algo que usted tiene (token, smartcard)
• Algo que usted es (dispositivos biométricos)
• Algo que usted produce (firma, voz)

Factores de autenticación

• Niveles de autenticación es la cantidad de mecanismos o formas utilizadas en un proceso de autenticación de usuarios.
• Existen varios factores ó niveles de autenticación:
  • Factor 1 (clave o password)
  • Factor 2 (clave, token)
  • Factor 3 (clave, tarjetas magnéticas (token), biométrico)

Contraseñas

• Definir contraseñas fuertes: longitud apropiada
• Combinación letras, números, minúsculas, mayúsculas, caracteres espaciales
• No escribirlas
• Usar algoritmo para generarlas
• Evitar “ataques de diccionario” y de “fuerza bruta”

Dispositivos biométricos

• Autenticación de usuarios basados en sus características “únicas”, “propias de cada usuario”.
• Porcentaje alto de confiabilidad
• Huellas dactilares o palma de la mano
• Escaneo de iris, retina
• Geometría de la mano o facial
• Voz25

Problemas:

• Costo elevado de los dispositivos
• Algunos son intrusivos
• Administración engorrosa y almacenamiento voluminoso de patrones e comparación.
• Mala o deficiente configuración de los dispositivos, genera:
  • Falsos positivos: usuarios son aceptados como válidos sin serlos
  • Falsos negativos: usuarios válidos son rechazados

Autorización

• Los recursos son accedidos sólo por los usuarios que reúnen los permisos necesarios para ello.
• El proceso de autorización se usa para decidir si la persona, programa o dispositivo tiene permisos para acceder al dato, funcionalidad o servicio.

Mecanismos

• Permisos sobre directorios y archivos
• Perfiles de usuario
• Por medio de matrices funciones y permisos se diseñan los permisos y se implementan en perfiles.
• ACL –Listas de control de acceso: son para establecer los permisos de acceso a un determinado objeto, su principal en dispositivos de red.
• Firewall

ADMINISTRACIÓN DEL RIESGO

Apuntes 12 de Marzo de 2010

ADMINISTRACION DEL RIESGO

a. Priorizar los riesgos así como identificar las prioridades de la administración.

b. Aceptable el nivel de riesgo?

Formas para el tratamiento del Riesgo

• Riesgo: (Materialidad o consecuencia) x (Probabilidad)
• Reducir la probabilidad de ocurrencia
• Reducir la consecuencia

Formas de tratamiento del riesgo (2)

• Asumirlo: se acepta el riego potencial sin tomar medidas
• Evitarlo: eliminar proceso, o actividad donde puede materializarse el riesgo
• Controlarlo: establecer controles y contramedidas que permiten mitigar o limitar el riesgo a unos niveles aceptables
• Transferirlo: se traspasa el riesgo a otra compañía

Documentación de Administración de riesgos

• Matriz de riesgos: Herramienta para analizar de manera gráfica y con colores, la distribución de los riesgos (del negocio, proceso ó sistema de información) según su nivel.
• Mapa de riesgos
• Planes de tratamiento riesgo

TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS

Apuntes 10 de Marzo de 2010

Técnicas de identificación de riesgos

• Análisis DOFA
• Lluvia de ideas
• Método Delphi
• Principio de Pareto

Análisis DOFA

Debilidades                  Oportunidades

Fortalezas                    Amenazas

Es una herramienta para identificar riesgos la idea es que las fortalezas no se conviertan en amenazas.

Lluvia de ideas

• Tormenta de ideas o brainstorming
• Nombrar a un moderador del ejercicio.
• idea por cada turno de emisión de ideas (riesgos).
• No se deben repetir las ideas (riesgo).
• No se critican las ideas (riesgos).
• Terminada la recepción de las ideas (riesgos), se les
• agrupa y preselecciona conforma a los criterios que
• predefina el equipo

Diagrama de pescado

• Diagrama causa/efecto, o de ISHIKAWA
• Utilizado en los procesos de calidad, de origen japonés.
• Diagrama gráfico representa el esqueleto de un pescado.
• La columna es el defecto (riesgo), de la cual se desprende espinas (causas del riesgo).

Diagrama de flujos y de procesos

• Flujogramas o diagramas de flujo.
• Diagrama de procesos
• Identificar riesgos en los procesos, entradas y salidas

Principio de Pareto

• “El 20% de las causas originan el 80% de los efectos”
• Identificar riesgos más críticos.
• Tratar estos riesgos.

NTC 5254  GESTION DEL RIESGO

Análisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud y la probabilidad. Ejemplo alto, medio, bajo, etc.

• Análisis semi-cuantitativo a las escalas descriptivas se les asocia un valor. Ejemplo: alto=25, medio= 12 y bajo=1.
• Análisis cuantitativo: Utiliza valores numérico par las consecuencias y las probabilidades

Calificación del riesgo (Análisis semi-cuantitativo)

RIESGO = Impacto X Probabilidad

CONSECUENCIA        PROBABILIDAD

1. Insignificante            Improbable

2. Bajo                         Remoto

3. Medio                       Factible

4. Grave                       Probable

5. Muy grave                Muy probable

RIESGO INHERENTE

Insignificante                1 a 3

Bajo                             4 a 6

Moderado                     8 a 12

Alto                              15 a 25

Riesgo Residual

Remanente queda después de aplicar un control. Riesgo sin cubrir.

Riesgo Inherente – control

ADMINISTRACIÓN DE RIESGOS INFORMÁTICOS

Apuntes 5 de Marzo de 2010

ADMINISTRACIÓN DE RIESGOS INFORMÁTICOS

1. Activo: Elemento que tiene valor tangible e intangible para la empresa

2. Amenaza: Agentes capaces de causar daños a los activos aprovechando sus vulnerabilidades.

3. Vulnerabilidad: debilidad (característica o riesgo inherente), asociada con un activo.

Riesgo= Vulnerabilidad + Amenazas

4. Controles: Acciones o mecanismos que impiden, mitigan o reducen el riesgo.

Ejemplo:

• Fuego (Amenaza)
• Desastre natural (Categoría)
• Extinguidores vencidos (vulnerabilidad)
• Destrucción de computadores personales y la información por incendio en los laboratorios (riesgo)

Amenazas vulnerabilidades

Para implantar controles de seguridad (contramedidas), debemos identificar y comprender cuáles son las amenazas a las que esta expuesta la infraestructura de TI y sus vulnerabilidades explotadas en los ataques.

Administración del riesgo

Método sistemático y lógico de identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos de una actividad, función o proceso.

METODOLOGÍAS DE ADMINISTRACIÓN DE RIESGOS

• Estándar Australiano-Neozeolandés AS/NZS 4360:2004-NTC 5254
• ISO 31000:2009 Risk Management. Principles and Guidelines
• MAGERIT 2.0 (España) http://www.csae.map.es/csi/pg5m20.htm
• NIST 800-30 (USA)
• OCTAVE (Cert-USA)

Seguridad informática

Blog dedicado a la publicación de apuntes de clase relacionados con la Seguridad informática.