Universidad Nacional Autnoma de Mxico Aut M

Facultad de Ingeniera Ingenier Ingeniera en Computacin Ingenier Computaci

Asignatura de Seguridad Informtica I Inform

Luis Miguel Murgua, CISSP, CISM

1

Objetivo del Curso

Comprender y aplicar los mtodos y elementos que permitan planificar el desarrollo de una arquitectura de seguridad, con base en la identificacin y anlisis de amenazas, ataques y vulnerabilidades en los sistemas y redes de cmputo, enmarcados en una base tica.

Temario
1. Fundamentos tericos 2. Modelos de seguridad 3. Administracin de riesgos
1. Anlisis de riesgos, amenazas, vulnerabilidades 2. Exposicin, adversarios, evento de seguridad

4. Identificacin de ataques y tcnicas de intrusin 5. Polticas de seguridad 6. tica

Captulo IV Cap Administracin de Riesgos Administraci

Temario del Captulo Cap

Definiciones

Definiciones Administracin de Riesgos

Es el proceso total usado para identificar, controlar y minimizar el impacto de eventos inciertos

La principal funcin de la administracin de riesgos es la de mitigar los riesgos, que es reducir los mismos hasta que alcancen un nivel aceptable para la Organizacin

Definiciones Administracin de Riesgos

Es importante sealar que los riesgos de una Organizacin nunca podrn ser totalmente eliminados. La mitigacin de riesgos significa encontrar cul es el nivel de riesgo que la Organizacin pueda aceptar y tolerar con un alto nivel de seguridad y poder continuar operando efectivamente

La Administracin de Riesgos es una parte fundamental de los procesos de negocios de una Organizacin
8

Definiciones

Amenaza: Es una actividad deliberada o involuntaria con el potencial de daar un sistema de cmputo.

Humanas Intencionales Humanas Involuntarias De Ambiente Naturales De Ambiente Provocadas

Pueden ser

Definiciones
Vulnerabilidad: Error o debilidad que permite daar la actividad de un sistema. La debilidad se puede hallar en los procedimientos de seguridad, en la administracin informtica, en los controles y tcnicas operativas, etc. Es un control o una medida de seguridad faltante, mal implantada o mal administrada Las vulnerabilidades pueden ser:
Inherentes al sistema Por falta de un control

10

Definiciones

Riesgo: Es una combinacin de la posibilidad de que ocurra que una amenaza se encuentre con una vulnerabilidad (la explote) y que la severidad del impacto sea adverso para la organizacin causando dao o perjuicio.

Al reducir las amenazas y/o vulnerabilidades se disminuyen los riesgos

Al conocer ms los riesgos uno est mejor preparado para manejarlos

11

Ejemplos de amenazas a la comunicacin comunicaci

Amenaza: Es una actividad deliberada o involuntaria con el potencial de daar un sistema de cmputo.

Para que exista una comunicacin debe haber 4 elementos:

1) Emisor 2) Receptor 3) Mensaje 4) Canal o medio de comunicacin

Admon. Riesgos.- Ejemplo de un evento de seguridad Riesgos.-

13

Definiciones: Amenazas
Amenazas: Su Naturaleza
Robo Vouyerismo Fraudes Vandalismo Extorsin Ataques a la sociedad y su privaca

Su motivacin psicolgica es la misma en ambos ambientes: Vida real y ciberespacio Nada en el ciberespacio es nuevo! Pornografa, Cultos Bizarros, robo, etc.

Automatizacin de los ataques (Scripts) Accin a distancia, no hay distancias fsicas para los ataques (Citibank) Velocidad de propagacin (virus)

14

Definiciones: Amenazas

Amenazas Criminales
Fraude (Cheques, tarjetas crdito, ATMs) Scams (tranzas) (Pirmides, remates, cadenas) Ataques destructivos (Revanchas, venganzas) Robo de propiedad intelectual (Piratera) Robo de identidad Robo de marcas registradas (marca = reputacin)

Internas a la empresa con intenciones maliciosas No los detectan los firewalls, IDS, etc.

15

Definiciones

Exposicin: es una instancia especfica, de una condicin en que se est indebidamente expuestos a alguna prdida o dao, como resultado de que ocurran uno o ms eventos de amenazas

16

Definiciones

Evento de seguridad: Es cuando una amenaza encuentra una vulnerabilidad y la explota para causar daos. Los eventos son de diferente impacto. Qu puede pasar? (Amenaza) Si pasa, qu tan malo puede ser? (Impacto) Qu tan frecuente podra ocurrir? (Frecuencia anualizada de la amenaza) Con qu certeza estoy respondiendo estas preguntas? (Incertidumbre) La incertidumbre es el foco principal del manejo de los riesgos

17

Definiciones

Exploit (Explotar): Sacar provecho. Utilizar en provecho propio, por lo general de un modo abusivo, las cualidades o sentimientos de una persona, de un suceso o de una circunstancia cualquiera. Utilizar algo para sacar o tomar ventaja de sobre algo o sobre alguien. En seguridad Informtica.- Sacar provecho de una debilidad de un sistema para ocasionar un comportamiento que no haya sido anticipado y/o no sea intencionado desde su origen, para poder ganar control del sistema, permitiendo al atacante:
1. 2. 3. 4. Una escalada de sus privilegios Una negacin de servicios, Una prdida, modificacin o divulgacin de datos, o Una prdida financiera

18

Teorema Riesgo / Recompensa

19

Teorema Riesgo / Recompensa

Ni las amenazas ni las vulnerabilidades individuales o combinadas causan que ocurra por ellas un exploit Se requiere que una amenaza (amenaza + agente amenaza) combinada con una vulnerabilidad para introducir la posibilidad de un exploit Incluso ante la situacin de que una amenaza combinada con una vulnerabilidad existan en la misma tecnologa, la probabilidad de que la amenaza se materialice va de baja a alta Si una amenaza combinada con una vulnerabilidad existe en la misma tecnologa, la probabilidad de que la amenaza se materialice sea alta, todava falta que se presente la posibilidad que se realice un exploit. No obstante del hacho que una amenaza se aproveche de una vulnerabilidad (exploit) no necesariamente significa que se presente un dao para la organizacin 20

Ejemplos de Eventos
1. Interrupcin de los servicios de Cmputo
Amenazas externas como fallo de servicios de energa y comms.

2.

Daos fsicos
HW daado o destruido que necesite ser reemplazado por causas de fallo o violencia Ataques a medios de almacenamiento, quedando inservible o parcialmente lebles.

3.

Revelar info. de manera NO autorizada

Intruso gana acceso al centro de cmputo, a la red o a medios de almacenamiento, ej. Disco duro

4.

Prdida de control del sistema

Intruso instala un troyano, o alcanza un servidor que puede reinicializar con discos trampa y sobrepasar los controles de acceso y que pueda llevar a revelar informacin, a fraudes o reemplazo de componentes de SW, introducir back dors, etc. perder el control del sistema! HW como laptops, documentacin y medios de almacenamiento

5.

Robos fsicos

21

Motivos de Seleccin de Controles Selecci

1.

Requerimientos regulatorios Salidas de emergencia, equipos y alarmas contra incendios, equipos salvavidas Costo insignificante de mucho beneficio Uso de llaves para salvaguardar documentos y candados para asegurar equipos mviles Costo razonable y necesarios Respaldos peridicos en cintas; manejo off-site de respaldos; borrado y destruccin de medios de almacenamiento masivo Otros controles independientes de su costo asociado Sistemas de deteccin de intrusos fsicos; Sistemas de deteccin de movimiento en el centro de cmputo; uso de CCTV

2.

3.

4.

22

Esquema

23

Administracin de Riesgos Administraci

24

Administracin de Riesgos Administraci

25

Procesos de Administracin de Riesgos Administraci

26

Procesos de la Administracin de Riesgos Administraci

27

Procesos de la Administracin de Riesgos Administraci

Con los procesos de la administracin de riesgos se identifican y determinan:

1. 2. 3. 4. 5. 6. Los procesos sustantivos de negocios Los activos de la Organizacin (informticos y NO informticos) Sus amenazas Sus vulnerabilidades La probabilidad de ocurrencia de que las amenazas sobre las vulnerabilidades ocasionen dao Cuntas veces y con qu frecuencia podra ocurrir esto

La Direccin General de una Organizacin es el dueo funcional de los activos informticos de la misma

28

Procesos de la Administracin de Riesgos Administraci

Concepto
Administracin de Riesgos

Definicin
Es el costo total de identificar, controlar y minimizar el impacto de eventos inciertos. La meta de la administracin de riesgos es reducir el riesgo a un nivel aceptable y tolerable.

29

Procesos de la Administracin de Riesgos Administraci

Concepto
Anlisis de Riegos

Definicin
Es una tcnica para identificar y evaluar los factores que pueden poner en riesgo el xito de un proyecto o alcanzar una meta. Esta tcnica tambin ayuda a definir medidas de prevencin que reduzcan la probabilidad de ocurrencia de estos factores, e identificar contramedidas de proteccin para enfrentar con xito los mismos. Un anlisis de riesgos se debe efectuar siempre que se vaya a erogar un gasto o un recurso en un proyecto

30

Procesos de la Administracin de Riesgos Administraci

Concepto
Evaluacin de Riesgos

Definicin
Es el clculo del riesgo. El riego es una amenaza que ataca (explota) alguna vulnerabilidad que pueda ocasionar daos a un activo de la Organizacin. El resultado del clculo del riesgo est en funcin de los activos, amenazas y vulnerabilidades.
Riesgo = (ValordelAc tivo * Amenaza * Vul _ nerabilida d )
1 n

Con un proceso de evaluacin de riesgos adecuado, solamente aquellos controles y contramedidas realmente necesarias sern implementados.

Identifica las amenazas que existen en un proyecto y/o en la misin de un negocio

31

Procesos de la Administracin de Riesgos Administraci

Concepto
Mitigacin de riegos

Definicin
Es el proceso con el cual una Organizacin implementa controles y contramedidas de proteccin para prevenir que ocurran los riesgos identificados.

32

Procesos de la Administracin de Riesgos Administraci

Concepto

Definicin

Es la revisin y evaluacin sistemtica de la Evaluacin de infraestructura crtica, los sistemas interconectados en vulnerabilidades y controles el cual residen. Es la evaluacin objetiva de la efectividad de las contramedidas y controles implementados Su entregable o producto final es para determinar que tan adecuados son los controles de seguridad instrumentados, identificar sus deficiencias, considerar y evaluar alternativas y verificar la eficacia de estas medidas despus de haberlas instrumentado

33

Anlisis An de Riesgos

34

Anlisis de Riesgos An

Cuantitativos

Anlisis de Riesgos
FRAAP Cualitativos Informal 30 Minutos

35

Anlisis de Riesgos An

Anlisis de riesgos cuantitativos

El anlisis de riesgos cuantitativos busca asignarle valores objetivos e independientes (Ej. Dinero) a los componentes del anlisis de riesgos. El anlisis de riesgos cuantitativos siempre es considerado como un proyecto mayor y debe ser manejado y administrado como tal. El anlisis puro de riesgos cuantitativos es imposible de determinar, ya que en muchas ocasiones se deben asignar valores econmicos a elementos intangibles y no mesurables.

36

Anlisis de Riesgos An

Procesos Cuantitativos
1. Identificacin de Activos y sus valores 2. Identificacin detallada de las amenazas 3. Clculo del factor de exposicin 4. Clculo y determinacin del costo por la prdida esperada ante un evento de seguridad por una sola amenaza 5. Estimacin del nmero de ocurrencias del evento en un ao de esa amenaza 6. Estimacin de la prdida anual por la ocurrencia del evento por esa amenaza

37

Definiciones

Asset: Es un recurso, un proceso, producto, infraestructura tecnolgica, datos, informacin, etc. que la Organizacin determina que debe ser protegido. La prdida o interferencia del activo puede afectar y poner en riesgo la disponibilidad, confidencialidad, integridad o el valor financiero del mismo o de la propia Organizacin. Asset Value (AV): Est integrado por todos los elementos relacionados con el activo. Ej. Su creacin, desarrollo, soporte, reemplazo, credibilidad pblica, costos de propiedad y los propios costos del activo. Factor de exposicin (EF): Representa el porcentaje (%) de prdida cuando un evento de seguridad se presenta en un activo especfico. Este valor es necesario para calcular el SLE.

38

Definiciones

Annualized Rate of Occurrence (ARO): Es un nmero que representa la frecuencia estimada con la cual se espera que una amenaza pueda ocurrir en un ao. La manera de encontrar este nmero puede llegar a ser muy complicada (Ej. Compaas de seguros y Actuarios). Usualmente est basado en la posibilidad de ocurrencia de un evento y la cantidad de empleados en la Organizacin que pudieran hacer ocurrir ese error o evento. El costo de que ocurra ese evento no concierne a este punto, solamente que tan frecuente puede ocurrir el mismo.

39

Definiciones

Annualized Loss Expectancy (ALE): Es un cantidad monetaria ($), derivada de la frmula Es la prdida financiera anualizada para una Organizacin en caso del evento de seguridad por una amenaza. Ejemplo: SLE = $100,000 USD ARO= 0.001 ocurrencia anual (1 ocurrencia cada 1,000 aos) ALE= 100,000*0.001=$100 USD

ALE = SLE * ARO

40

Definiciones

Single Loss Expectancy (SLE): Es una cantidad monetaria ($) asignada a un evento de seguridad informtico. Representa la prdida financiera de una sola amenaza. Tambin es utilizado para determinar un evento catastrfico para el clculo de evaluacin de impacto al negocio (BIA Business Impact Assessment)

SLE = AssetValue ( AV $) * ExposureFa ctor ( EF )

41

Anlisis de Riesgos An

Anlisis de riegos cualitativos

El anlisis de riesgos cualitativos busca asignarle valores menos tangibles y mtricos (Alto, Medio, Bajo) a los componentes del anlisis de riesgos.

42

Anlisis de Riesgos An Herramientas de apoyo para los Procesos Cualitativos Tcnica Delphi Brainstorming Storyboarding Questionaries Checklists

43

Anlisis de riegos cualitativos An

El anlisis de riesgos cualitativos busca asignarle valores menos tangibles y mtricos (Alto, Medio, Bajo) a los componentes del anlisis de riesgos.
Tcnica Delphi Brainstorming Storyboarding Questionaries Checklists Con la informacin de anlisis de impacto y probabilidad, se genera un lista priorizada de riesgos, de acuerdo al efecto potencial sobre los objetivos del proyecto. El impacto y probabilidad se pueden calcificarn de acuerdo a la siguiente escala: Impacto: Probabilidad: Alto, Moderado y Bajo Alta, Moderada y Baja

44

Mapa Cualitativo de Riesgos

45

Definiciones

Riesgo residual

Ningn sistema o ambiente es 100% seguro, lo que significa que siempre existe un nivel de riesgo con el que se tiene que lidiar al final del da, este nivel de riesgo remanente es el Riesgo Residual

46

Anlisis de Riesgos An 30 Minutos

Tcnicas empleadas igual que el punto anterior Se identifican y seleccionan los tres procesos sustantivos ms importantes de la Organizacin Se identifican los recursos asociados a esos procesos Se clasifican y valan los mismos Se identifican sus amenazas y vulnerabilidades Se evalan los riesgos asociados Se instrumentan las medidas de control correspondientes Se evala la eficacia de los controles y su costos Se determinan y evalan los riesgos residuales Se instrumentan las medidas correctivas necesarias Inicia de nuevo el proceso con los siguientes tres procesos ms importantes y as sucesivamente El tiempo de instrumentacin con esta metodologa debe ser en el corto plazo y obtener los primeros resultados antes de 45 das naturales
47

Anlisis de Riesgos An Informal

La opcin es conducir un anlisis de riesgos informal y pragmtico de todos los sistemas. No se basa en una metodologa estructurada, pero explota el conocimiento y experiencia de las personas. Si no existe esta experiencia al interior de la organizacin, un consultor externo puede realizar estas actividades. Ventajas: No se requieren de habilidades especiales para llevar a cabo un anlisis informal, y este se lleva a cabo ms rpidamente que un anlisis formal. Desventajas importantes: Sin un enfoque estructurado, la probabilidad de errar sobre algunos riesgos es realmente alta. Los resultados pueden ser influenciados por visiones subjetivas o por prejuicios del analista. Regularmente la seleccin de las soluciones de seguridad no se encuentran lo suficientemente justificadas.
48

Resultados del anlisis de riesgos an

El costeo de los activos crticos para la Organizacin Una lista detallada de las amenazas significativas La probabilidad de que ocurra cada una de esas amenazas y su posible tasa de ocurrencia La prdida potencial por amenaza, el impacto financiero de que una amenaza se presente sobre un activo Relacin de medidas propuestas para remediar las amenazas con sus respectivas contramedidas de proteccin y costos

49

Evaluacin de Evaluaci Riesgos y Controles

50

Evaluacin de Riesgos Evaluaci

Es un procedimiento usado para estimar las expectativas de las prdidas potenciales que puedan resultar de un evento de seguridad informtica, as como identificar el dao que puede ocurrir si se presenta el evento

51

Proceso de Evaluacin de Riesgos Evaluaci

Es un proceso constante, cclico y evolutivo de mejora continua.

Identifica los procesos, los recursos que utilizan (activos) y sus costos, sus amenazas, se determina la probabilidad de que ocurra la amenaza, se determina el impacto de la misma si sta se presenta, se recomiendan medidas de control respectivas y estos se evalan as como los riesgos residuales. Se establece las medidas correctivas necesarias. Inicia Ciclo
52

Mitigacin Mitigaci de Riesgos

53

Definiciones

Contramedidas o Controles
Son los mecanismos de proteccin que se aplican para mitigar las amenazas o las vulnerabilidades de un sistema. Antes que nada, estas deben ser de buen sentido comn, esto significa que deben ser factibles, efectivas y sus costos menores al impacto que pudiera ocasionar un evento de seguridad con una amenaza. Contramedidas (Safeguards) Aplicacin Configuracin de software Hardware Procedimientos

Costo de la contramedida para la Organizacin = ALE (antes de la contramedida) ALE (despes de implementarla) Costo anual de la contramedida

54

Mitigacin de Riesgos: Remedios Mitigaci

Evitar el riesgo Reduccin del riesgo Compartir el riesgo Retener el riesgo Negar el riesgo No mitigar Utilizar el riesgo Suprimir el proceso que contiene el riesgo Reduccin o mitigacin del riesgo Antes Transferir Antes Aceptar Inaceptable No hacer nada ante el riesgo Se retiene el riesgo (se acepta) y adems se aprovecha la existencia del mismo
55

Resumen de Administracin de Riesgos Administraci

56

Resumen del Captulo Cap

57