Normas

Horarios de funcionamiento

Restricciones

Autorizaciones

Denegaciones

Perfiles de usuario

Planes de emergencia

Protocolos

Objetivos

La infraestructura computacional

Los usuarios

La información

Amenazas

Errores de programación

Intrusos

Un siniestro (robo, incendio, inundación)

Personal técnico interno

Fallos electrónicos o lógicos

Catástrofes naturales

Programas maliciosos

Usuarios

CLASIFICACIÓN DE LOS ATAQUES O AMENAZAS.

• Amenazas por el origen.Amenazas internas: Entre el 60 y 80 % de los incidentes de red son causados desde dentro de la misma.Amenazas externas: Amenazas que se originan fuera de la red (Internet).• Amenazas por el efecto.Robo y/o Destrucción de información.Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc.Robo de dinero, estafas,...• Amenazas por el medio utilizado.Virus informáticoPhishing o Ingeniería social.Denegación de servicio.Spoofing: de DNS, de IP, de DHCP, etc.

AMENAZA CLASIFICACIÓN PROTECCIÓN Usuarios (Permisos sobredimensionados) Amenaza por el origen - Interno Asegurar que los usuarios solo

manejen la información que necesitan para desempeñar sus funciones. Controlar bloqueos de acceso a la información y a los módulos. Verificar con continuidad claves de usuario.

Programas maliciosos (Virus, Troyanos Gusanos)

Amenaza por medio utilizado Verificar con continuidad la originalidad y tiempo de caducidad de los antivirus, la activación de cortafuegos y bloqueos de programas espía. Realizar continuamente limpiezas.

Errores de programación Amenaza por medio utilizado Obtener todos los programas y todas las aplicaciones de sitios oficiales. Ejemplo Adobe, Instaladores de impresoras.

Intrusos (Hackers – Acceso por internet a la red Interna de la org.)

Amenaza por el origen - Externo Verificar con continuidad la activación de cortafuegos y bloqueos de programas espía. Los sistemas de prevención de intrusos o IPes.

Un siniestro (robo, incendio, inundación) Amenaza por el efecto Sistemas de seguridad físicos. Cámaras, sensores de activación, de humo. Puertas de contención. Backups a otras sedes.

Personal técnico interno Amenaza por el origen - Interno Los sistemas de prevención de intrusos o IPes, y firewalls son mecanismos NO efectivos en amenazas, no estan orientados al tráfico interno. No la podemos evitar, solo prevenir con la educación del usuario y con el código de ética, políticas, manuales de funcionario o reglamento interno de trabajo. También con un contrato legal donde especifique las leyes que cubre este tipo de amenazas y sus consecuencias legales.

Fallos electrónicos o lógicos Amenazas por el efecto Mantenimiento preventivo de equipos informáticos e instalaciones eléctricas de la organización. Sistemas de apantallamiento, UPS y reguladores de energía, puestas a tierra etc.

Catástrofes naturales (terremotos, rayos, maremotos, inundaciones)

Amenazas por el efecto No se puede tener una solución o protección para este tipo de amenaza. Solo tener copias de la información en diferentes lugares de la organización.

El Phishing

¿Qué es el Phishing?El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.

¿En qué consiste?Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.

¿Cómo lo realizan?El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico.

El Spoofing

Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación, en función de la tecnología utilizada. Entre ellos tenemos IP spoofing (quizás el más conocido)ARP spoofing DNS spoofing Web spoofing Email spoofingGPS spoofingAunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases

EL Análisis de Riesgo incluye las siguientes actividades y acciones:

1. Identificación de los activos vulnerables e importantes.2. Valoración de los activos identificados: Teniendo en cuenta los requisitos legales y el

impacto de una pérdida de confidencialidad, integridad y disponibilidad.3. Identificación de riesgo, amenazas y vulnerabilidades importantes para los activos

identificados.4. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.5. Cálculo del riesgo.

Después de efectuar el análisis debemos determinar las acciones a tomar respecto a las amenazas y riesgos que se identificaron. Las acciones pueden ser:

6. Controlar el riesgo - Fortalecer los controles existentes y/o agregar nuevos controles.7. Compartir el riesgo - Mediante socializaciones y manuales.8. Aceptar el riesgo - Se determina que el nivel de exposición es adecuado y por lo tanto se

acepta.9. Eliminar el riesgo – si es posible.

Clasificación de Riesgo.

Involucra directamente a la información o los datos que se manejan. La clasificación de datos tiene el propósito de garantizar la protección de datos y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones.

Reducción de RiesgoLa reducción de riesgo se logra a través de la implementación de Medidas de protección, basados en los resultados del análisis y de la clasificación de riesgo, además implementa la socialización y capacitación a los usuarios conforme a las medidas.

http://protejete.wordpress.com/descargas/

MATRIZ PARA EL ANÁLISIS DE RIESGO

La Matriz para el Análisis de Riesgo, es una Herramienta para analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones. La Matriz no nos dará un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de información) de la institución, sino una mirada aproximada y generalizada de estos.

MATRIZ PARA EL ANÁLISIS DE RIESGO

formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente

1 = Insignificante (incluido Ninguna)2 = Baja3 = Mediana4 = Alta

El Riesgo se agrupa en tres rangos y se aplica en tres diferentes colores.

Bajo Riesgo = 1 – 6 (verde)Medio Riesgo = 8 – 9 (amarillo)Alto Riesgo = 12 – 16 (rojo)

Alimentación de la Matriz

La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.

Ejemplo: existe una gran probabilidad que roben documentos y equipos en la oficina, porque ya entraron varias veces y no se cuenta todavía con una buena vigilancia nocturna de la oficina, alarmas o empresas de seguridad, entonces se tiene una gran probabilidad en este momento de que se genere más robos y la probabilidad de robar los portátiles con información importante de datos especiales de la empresa o se pueden robar un documento que está encerrado en un archivador con llave también con datos importantes de la oficina (es menos probable que se van a llevar este documento).