Misin de la seguridad

La seguridad informtica debe establecer normas que

minimicen los riesgos a la informacin o infraestructura
informtica. Estas normas incluyen horarios de
funcionamiento, restricciones a ciertos lugares,
autorizaciones, denegaciones, perfiles de usuario, planes de
emergencia, protocolos y todo lo necesario que permita un
buen nivel de seguridad informtica minimizando el impacto
en el desempeo de los trabajadores y de la organizacin en
general y como principal contribuyente al uso de programas
realizados por programadores.
La seguridad informtica est concebida para proteger los
activos informticos, entre los que se encuentran los
siguientes:
La infraestructura computacional: es una parte fundamental
para el almacenamiento y gestin de la informacin, as como
para el funcionamiento mismo de la organizacin. La funcin
de la seguridad informtica en esta rea es velar por que los
equipos funcionen adecuadamente y anticiparse en caso de
fallas, robos, incendios, sabotajes, desastres naturales, fallas
en el suministro elctrico y cualquier otro factor que atente
contra la infraestructura informtica.
Los usuarios: son las personas que utilizan la estructura
tecnolgica, zona de comunicaciones y que gestionan la
informacin. Debe protegerse el sistema en general para que
el uso por parte de ellos no pueda poner en entredicho la
seguridad de la informacin y tampoco que la informacin que
manejan o almacenan sea vulnerable.
La informacin: esta es el principal activo. Utiliza y reside en
la infraestructura computacional y es utilizada por los
usuarios.
Definicin de polticas de seguridad.

La poltica de seguridad es un conjunto de leyes, reglas y

prcticas que regulan la manera de dirigir, proteger y
distribuir recursos en una organizacin para llevar a cabo los
objetivos de seguridad informtica dentro de la misma.
Las polticas de seguridad definen lo que est permitido y lo
que est prohibido, permiten definir los procedimientos y
herramientas necesarias, expresan el consenso de los
dueos y permiten adoptar una buena actitud dentro de la
organizacin.
Diseo de polticas de seguridad.
Las polticas promulgadas deben escribirse en prrafos que
sean, cada uno por separado, implementarles mediante un
mecanismo especfico. Es decir, hay que procurar pensar
claramente en la conveniencia de que las polticas sean
sumamente especficas, si esto se puede lograr, es deseable
fragmentar las polticas por departamento o unidad de
trabajo. Pueden entonces pensarse en una jerarqua de
polticas, unas con aplicabilidad general, y otras para
aplicabilidad para grupos o tareas especficas.
Las polticas que no cuenten con la aceptacin entusiasta de
los usuarios de todos los niveles sern muy difciles de
implantar. Todos aquellos que seran afectados por las
polticas deben tener la oportunidad de revisarlas y hacer
comentarios antes de que se promulguen, deben contar con el
apoyo total de los administradores.
En esta etapa deben considerarse los mecanismos de
difusin, capacitacin y concientizacin iniciales y
permanentes sobre seguridad informtica.

La cultura de la organizacin y sus necesidades de seguridad

son un factor determinante para el equipo de redaccin de las
polticas. El nivel del control que se establezca no debe
resultar en una reduccin de la productividad, pues en
muchos casos los ingresos y la carrera de la persona esta
designadas por su productividad. Si son demasiadas
restrictivas en comparacin de la cultura organizacional se
violarn las polticas.
Las razones que llevan la implantacin de una poltica deben
de explicarse dentro de la poltica misma. Tambin debe
definirse la cultura de cada poltica: quin, qu y cundo.
Anlisis de riesgos.
Podemos definir el riesgo como:
"La posibilidad de que ocurra algn evento negativo para las
personas y/o empresas."
Los equipos de cmputo que habitualmente se utilizan en las
empresas estn sujetos al riesgo de que ocurra alguna
eventualidad que los dae y debido a que no existe una
seguridad total y las medidas de seguridad no pueden
asegurar al 100% la proteccin en contra de las
vulnerabilidades, es imprescindible realizar peridicamente en
una organizacin, un anlisis de riesgos, para identificar las
consecuencia probables o los riesgos asociados con las
vulnerabilidades, y as, lograr un manejo de riesgo tras la
implementacin y mantenimiento de controles que reduzcan
los efectos de ste a un nivel aceptable.
El anlisis de riegos proporciona herramientas tiles para
cuantificar el riesgo y evaluar si este anlisis es adecuado,
tomar medidas para reducirlo, adems intenta mantener un
balance econmico entre el impacto de los riesgos y el costo
de las soluciones de un programa efectivo de seguridad
destinadas a manejarlos.
Proceso del Anlisis de Riesgos

En un proceso de anlisis del riesgo debe considerarse la

siguiente terminologa:
Activo: es todo aquello con valor para una organizacin y que
necesita proteccin datos infraestructura, hardware,
software, personal y su experiencia, informacin, servicios.
Riesgo: posibilidad de sufrir algn dao o prdida.
Aceptacin del riesgo: decisin para aceptar un riesgo.
Anlisis de riesgo: uso sistemtico de informacin disponible
para identificar las fuentes y para estimar qu tan seguido
determinados eventos no deseados pueden ocurrir y la
magnitud de sus consecuencias. Uso sistemtico de la
informacin para describir y calcular el riesgo.
Evaluacin de amenazas y vulnerabilidades de la informacin
y su impacto en el procesamiento de la informacin as como
su frecuencia de ocurrencia

Objetivo
El objetivo del anlisis de riegos es tener capacidad de:
Identificar, evaluar y manejar los riesgos de seguridad.
Estimar la exposicin de un recurso a una amenaza
determinada.

Determinar qu combinacin de medidas de seguridad

proporcionar un nivel de seguridad razonable a un costo
aceptable.
Tomar mejores decisiones en seguida de la informacin.
Enfocar recursos y esfuerzos en la proteccin de activos
Tipos de anlisis del riesgo
Una de las principales funciones del anlisis del riesgo de
seguridad es poner este proceso sobre una base ms objetiva.
Existen dos tipos esenciales del anlisis del riesgo :
Anlisis cuantitativo del riesgo
Anlisis cualitativo del riesgo
Anlisis cuantitativo del riesgo
Todos los activos, sus recursos y los controles se identifican, y
se evalan en trminos monetarios. Todas las amenazas
potenciales se identifican y se estima la frecuencia de su
ocurrencia, estas amenazas se comparan con las
vulnerabilidades potenciales del sistema de tal forma que se
identifiquen las reas que son sensibles.
Posteriormente el anlisis cuantitativo del riesgo hace uso del
trmino Expectativa de Prdida Anual (ALE) o Costo Anual
Estimado (EAC), el cual es calculado para cierto
acontecimiento simplemente multiplicando la frecuencia de la
ocurrencia de la amenaza por el valor del activo o clasificacin
del dao. Para esto, es necesario recolectar con detalle
estimaciones exactas utilizando tcnicas matemticas y
estadsticas.
De esta forma se puede decidir si los controles existentes son
adecuados o si se requiere la implementacin de otros, esto
se observa cuando el producto obtenido tras multiplicar el
valor del activo por la frecuencia de la ocurrencia de la
amenaza en un perodo de tiempo determinado por la
duracin del control es menor que el costo de dicho control.

Los problemas con este tipo de anlisis de riesgo se asocian

generalmente a la falta de fiabilidad y a la inexactitud de los
datos y algunas veces puede interpretarse errneamente los
resultados.
Anlisis cualitativo del riesgo
En lugar de establecer valores exactos sedan notaciones
como alto, bajo, medio que representan la frecuencia de
ocurrencia y el valor de los activos. La desventaja es que
pueden existir reas significativamente expuestas que no
hayan sido identificadas como posibles fuentes de riesgo.
Ambos tipos de anlisis del riesgo hacen uso de los siguientes
elementos interrelacionados:
Amenazas: las amenazas estn siempre presentes en cada
sistema.
Vulnerabilidades: las vulnerabilidades permiten que un
sistema sea ms propenso a ser atacado por una amenaza o
que un ataque tenga mayor probabilidad de tener xito o
impacto.
Controles: son las medidas contra las vulnerabilidades.
Existen cuatro tipos:
Los controles disuasivos reducen la probabilidad de un ataque
deliberado.
Los controles preventivos protegen vulnerabilidades y hacen
que un ataque fracase o reduzca su impacto.
Los controles correctivos reduce el efecto de un taque.
Los controles detectores descubren ataques y disparan
controles preventivos o correctivos.
Pasos del anlisis del riesgo
Cualquier anlisis del riesgo de seguridad debe indicar:
El actual nivel de riesgo.

Las consecuencias probables.

Qu hacer con el riesgo residual si es muy alto.
Los tres elementos principales en un anlisis de riesgo son:
Un balance del impacto o del costo de alguna dificultad
especfica si sta sucede.
Una medida de la efectividad de los controles dentro del lugar,
Una serie de recomendaciones para corregir o minimizar los
problemas identificados.
El proceso de anlisis de riesgo consiste de ocho pasos
interrelacionados:
1. Identificar y evaluar los activos
Identificar y asignar un valor a los activos que necesitan
proteccin. El valor del activo se basa en su costo,
sensibilidad, misin crtica, o la combinacin de estas
propiedades.
2. Identificar las amenazas
Despus de identificar los activos que requieren proteccin,
las amenazas a stos deben ser identificadas y examinadas
para determinar cul sera la prdida si dichas amenazas se
presentan.
3. Identificar/describir vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las
amenazas y las vulnerabilidades. Un riesgo existe cuando una
amenaza tiene una vulnerabilidad correspondiente, aunque
hay reas de lata vulnerabilidad que no tienen consecuencia
si no presentan amenazas.
4. Determinar el impacto de la ocurrencia de una
amenaza

Cuando la explotacin de una amenaza ocurre, los activos

sufren cierto impacto. Las prdidas son catalogadas en reas
de impacto llamadas:
Revelacin: cuando la informacin es procesada y se pierde la
confidencialidad.
Modificacin: el efecto de la manifestacin de una amenaza
cambia de estado original del activo
Destruccin: el activo es logrando su completa prdida.
Denegacin de servicio: prdida temporal de los servicios.

5. Controles en el lugar
La identificacin de los controles es parte del proceso de
recoleccin de datos en cualquier proceso de anlisis del
riesgo. Existen dos tipos principales:
Controles requeridos: todos los controles de es esta categora
pueden ser definidos con base en una o ms reglas escritas.
Controles discrecionales: este tipo de controles es elegido por
los administradores.
6. Determinar los riesgos residuales (conclusiones)
Siempre existir un riesgo residual por lo tanto, debe
determinarse cundo el riesgo residual, es aceptable o no. El
riesgo residual toma la forma de las conclusiones alcanzadas
en el proceso de evaluacin. Las conclusiones deben
identificar:
Las tareas que tienen alta vulnerabilidad junto con la
probabilidad de ocurrencia de la amenaza.
Todos los controles que no estn dentro del lugar.
7. Identificar los controles adicionales
(recomendaciones)

El siguiente paso es identificar la forma ms efectiva y menos

costosa para reducir el riesgo a un nivel aceptable. Un
intercambio operacional el cual puede tomar la forma de
costo, convivencia, tiempo, o una mezcla de los anterioresdebe realizarse al mismo tiempo que los controles adicionales
son implementados. Las recomendaciones son:
Recomendacin de controles requeridos: controles requeridos
u obligatorios que no se encuentran en el lugar son las
primeras recomendaciones.
Recomendaciones de controles discrecionales: la segunda
recomendacin generalmente identifica los controles
direccionales necesarios para reducir el nivel de riesgo.
8. Preparar un informe del anlisis del riesgo
El proceso de anlisis del riesgo determina si los controles son
efectivos. Cuando el anlisis est completo, un informe de la
evaluacin del riesgo debe prepararse. Los detalles tcnicos
del reporte deben incluir como mnimo:
Niveles de vulnerabilidad.
Amenazas correspondientes y su frecuencia.
El ambiente usado.
Conexin del sistema
Nivel o niveles de sensibilidad de los datos
Riesgo residual, expresado en una base individual de
vulnerabilidad.
Clculos detallados de la expectativa de prdida anual.
Es esencial asegurarse que los controles y el gasto que
implica sean completamente proporcionales a los riesgos a los
cuales se expone la organizacin
9. anlisis de vulnerabilidad.