Please enable JavaScript.
Coggle requires JavaScript to display documents.
Seguridad de la Información CAP. 2 RIESGOS - Coggle Diagram
Seguridad de la Información CAP. 2 RIESGOS
2.1 Vulnerabilidad, debilidad, oportunidad
2.1.1 Publicacion de vulnerabilidades
Seguridad por oscuridad
RIESGO: Medida CUANTITATIVA de la importancia de un INCIDENTE que es mayor cuanto mayor es su impacto y probabilidad
VULNERABILIDAD: EVALUACIÓN OBJETIVA de la PROBABILIDAD de SUFRIR un determinado ATAQUE en un plazo determinado
No solo depende de lo BIEN nos DEFENDEMOS, sino tambien de CUANTO nos ATACAN
PROBABILIDAD: para conocerla se hacen ESTADISTICAS basadas en sucesos del PASADO, elaboradas a partir de un numero de casos favorables y el numero de casos posibles.
PREDICCION: mediante PROBABILIDADES estamos SUPONIENDO que el futuro se parece al pasado, y que las condiciones externas no cambian.
Debilidad: sinonimo de VULNERABILIDAD. Existe siempre que un ATAQUE es POSIBLE. Por ejemplo un ERROR DE SOFTWARE
2.2 Nomenclaturas
2.3 Amenazas
Las amenazas son cualquier CIRCUNSTANCIA POTENCIAL que pueda AFECTAR a los PROCESOS y EXPECTATIVAS de la organización
Las amenazas se pueden clasificar en TRES GRANDES GRUPOS
Amenazas Terciarias o Directas
Son las que amenazan DIRECTAMENTE el cumplimiento de nuestras EXPECTATIVAS
Por ejemplo: INUNDACIÓN
Amenazas secundarias
DISMINUYEN o eliminan el GRADO de EXITO de las MEDIDAS que ponemos para mitigar las amenazas PRIMARIAS
Ejmeplo: Defectos en un cortafuegos
Amenazas primarias
EVITA que se MANTENGAN o lleguen a establecerse las MEDIDAS que mitigan las amenazas TERCIARIAS o SECUNDARIAS
Ejemplo: Organización de Seguridad ineficaz
2.4 Amenazas terciarias
2.4.1 Ataques
Espionaje -> Acceso ilegitimo
Escuchas-> canal NO PROTEGIDO, TEMPEST
Lectura o copia de información-> Acceso directo a la información
Lectura de mensajes o información cifrados-> criptoanalisis / fuerza bruta
Suplantación, intermediario, reproducción
Suplantación: AUTENTICACIÓN en TIEMPO REAL
Intermediación: autenticacion en ambos sentidos. Simula para ambos extremos de la comunicacion al interlocutor
Reproducción: AUTENTICACIÓN de una FUENTE, uso del TIEMPO REAL
Analisis de trafico -> Amenaza poco conocida
Sabotaje -> ataque destructivo / protección contra sabotaje es eliminar oportunidades y medidas de REDUCCIÓN DEL IMPACTO
Interrupción, borrado -> AUTOEXPLICATIVA / protegerse -> medios alternativos de COMUNICACIÓN, dificultar acceso al medio, utilizar COPIAS DE SEGURIDAD de la informacion
Modificación y generación malintencionada de datos o información -> Se puede hacer sobre el almacenaminento o en la transmición de datos
Denegación de servicio (Negación de recursos) -> CONSUMO de Recursos DEDICADOS a algun FIN LEGITIMO
Terrorismo-> Destrucción, muerte heridas
Compromiso de medios de autenciación -> 3 formas tipicas de autenticar -> mayor enfoque a las CONTRASEÑAS en este apartado
Compromiso de claves -> amenazas MAS SERIAS -> permita ATACANTE actuar SUPLANTANDONOS
Infracción de derechos de autor -> USO o COPIA sin PAGAR -> protegerse con Claves de Acceso al Producto / "MOCHILAS"
Denegación de la autoria propia -> REPUDIO , Tecnologia de PKI
Codigo malicioso-> Un DATO -> Virus, Gusano, Exploit , 6 tipos de TOYANO
Ingeniería social-> amenazas MAS GRAVES y SENCILLAS de explotar
Hurtos, Robos -> sin violencia/con violencia -> evitarlo con el MARCADO del equipo/Codigos de Acceso/Limitaciones de Acceso Fisico/ENAJENACION del activo/ cadenas y CANDADOS
Acceso fisico no autorizado -> Acceso a Zona Reservada uso FRAUDULENTO de una CREDENCIAL
Perdida de sincronia -> Fuente de Tiempos
Fraudes -> aprovechar recursos forma NO LEGITIMA
2.4.2 Accidentes
Catastrofes -> INCIDENTES no PROVOCADOS, proteccion uso de REDUNDANCIA
Fallos de comunicación o de almacenamiento -> Ruido Electrico y fallos ESPURIOS, para prevenir enviar los datos DOS VECES-> CODIGO DE REDUNDANCIA
Fallos en el hardware o en el software -> hardware EFECTOS TERMICOS / software fabricación ARTE, proteccion Controles de CALIDAD y uso de REDUNDANCIA
2.4.3 Errores
Permanencia incontrolada de información o servicios
HOAX cartas encadenadas, SPAM -> Forma de denegación de servicios, caracteristicas comunes de fraudes y correos encadenados / conviene recordar ....
Interfaces pobres -> Confirmar acciones
Error Humano-> falta de DILIGENCIA o INCOMPETENCIA, protección BUENAS INTERFACEZ
Cesion de medios de autenticación-> prestamo entre usuarios de CONTRASEÑA o una TARJETA, Origen/cesión de CONTRASEÑAS, protección DIRECTORIOS DE CREDENCIALES pequeños
Derechos excesivos -> INDEBIDOS, errores de ADMINISTRADOR
Incumplimiento de normativas-> Leyes, Regulaciones, Contraactuales
Baja de personal -> Garantizar informacion CIA es protegida y transferida
Falta de suministros o de distribución -> sector INDUSTRIAL, procesos de NEGOCIO, RESERVAS, IMAGEN/INGRESOS, productos TANGIBLES/INTANGIBLES
Violación de la privacidad-> conflicto AUTENTICACIÓN y PRIVACIDAD, Organización y su CLIENTE
Amenazas terciarias se pueden clasificar en....
Ataques
Tienen siempre detras un ACTOR(Interno/Externo) con con una determinada MOTIVACIÓN, MEDIOS Y CAPACIDAD
medidas para prevenirlo-> LIMITAR las OPORTUNIDADES
considerados TRADICIONALMENTE como un PROBLEMA DE SEGURIDAD
Accidentes
SUELEN ser NATURALES, como un TERREMOTO o FALLO DE UN DISCO DURO POR EL USO(uso de elementos fisicos de la org)
evitarla -> ELIMINAR LA OPORTUNIDAD
cuestion de protección contra CATASTROFES
Errores
PUEDEN ser NATURALES, pero tambien se pueden MANIPULAR, como un CRACKER que genera un COREDUMP en un sistema que esta atacando
prevenirlo-> ACTUAR sobre la OPORTUNIDAD
LIMBO-> prevención de riesgos laborales/problema de continuidad de los sistemas
Errar es humano, errores/falta de DILIGENCIA son amenazas de este tipo, pueden ser para realizar ATAQUES
errores de DISEÑO, IMPLEMENTACIÓN y ADMINISTRACIÓN
2.5 Amenazas Secundarias-> Relacionadas con el CICLO DE VIDA de los ACTIVOS y MEDIDAS DE SEGURIDAD
2.5.1 Selección o diseño incorrecto de las medidas de segurdiad ->INEFECTIVAS , protegerse probar EFECTIVIDAD, contratando AUDITORÍA PERIODICA
2.5.2 Implantación incorrecta de las medidas de seguridad-> INCOHERENTEMENTE, desperdiciamos INVERSION, protegerse concentrar primero AMENAZAS mas Probables y despliega diligentemente
2.5.3 Defectos en las medidas de seguridad-> uso incorrecto tecnicas de cifrado, ENIGMA, protegerse simulaciones de ATAQUES y CATASTROFES, hallazgos por TERCEROS , utilizar MEDIDAS ampliamente USADAS, AUDITADOS por TERCEROS
Uso de algoritmos inventados por legos
Uso de numeros aleatorios pobres
Comunicación de contraseñas en claro
Uso de claves cortas o debiles
2.5.4 Operacion incorrecta de las medidas de seguridad -> Operada correctamente, protegerse personal competente, bien formado y procedimientos detallados.
2.5.5 Defectos o ausencia de pruebas en las medidas, NO PROBAMOS MEDIDAS, son INUTILES, cuando producirse un INCIDENTE. CARENCIA DE PRUEBAS impide EVALUAR si fueron Seleccionadas e Implantadas u OPERADAS correctamente.
Cuando la seleccion, implantación u operación o pruebas de una MEDIDA es defectuosa, sensación de NO PROTECCIÓN
Cuando la selección, implantación u operacion o prueba de un ACTIVO es defectuosa, expectativas INCUMPLIDAS
2.6 Amenazas Primarias-> Capacidad de la ORGANIZACIÓN para matener la SEGURIDAD. Impiden tomar MEDIDAS de seg EFECTIVAS. TECNOLOGIA NO puede CORREGIRLAS
2.6.1 Organización insegura
Responsabilidad no asumida por nadie, Responsabilidad asignada a INCOMPETENTE, nadie SUPERVISA RESPONSABILIDAD importante
Particion de Responsabilidades. Responsabilidades cumplidas por algun GRUPO DE TRABAJO
Relación UNO a UNO entre poder y responsabilidad
Responsabilidad pertenece al rol que autoriza y no a quien realiza
Establecer un CONTROL. Por cada ROL, otro responsable de CONTROLARLO
2.6.2 Responsabilidades de seguridad mal definidad o ejercidas
Responsables de seguridad
Responsabilidades de seguridad NOOOO ESTAN DEFINIDAS
2.6.3 Carencia de normativas de seguridad -> Impide saber medidas NECESARIAS/OPTIMAS, Normativas de Seguridad Minimas -> Politica de Seguridad/ Plan de Contin. Operaciones/ Politica de Uso Aceptable
2.7 El riesgo y su medida
2.7.1 Incidentes y su coste
cuando AMENAZA se MATERIALIZA tenemos un INCIDENTE
Indicentes PROVOCADOS-> ATAQUES
Incidentes por falta de DILIGENCIA -> ERRORES
Incidentes SOBREVENIDOS -> ACCIDENTES o Catastrofes
Analisis de INCIDENTES
Acciones a la hora de gestionar un incidente.....identific, recopi,indetifi, reacci,recup,evalu,acciones LEGALES
Efectos de un incidente..... del activo del activo del activo del activo
el IMPACTO mide el Perjuicio Potencia de un INCIDENTE
Entre estos perjuicios estan...
Costes Directos -> perdida,perdia,perdida,perida, pago de MULTAS
Costes Indirectos -> Perdida imagen, confianza, problemas flujo CAJA, incumplimiento, gastos adicionales
Valorar un INCIDENTE= valor de los ACTIVOS AFECTADOS
2.7.2 Retorno de Inversión en Seguridad
Calculo del retorno de inversión en seguridad
Coste de la medida
Costos directos
Implantación, Operación Adquisición
Costos indirectos
Selección, auditoría, monitorización
RECOGIDA DE INFORMACIÓN es un coste indirecto INTRINSECO