ambiente “amenazante” pueden considerarse la inclusión de
reportes
anónimos,
lo
que
seguramente
devenga
en
una
mayor
probabilidad
de que los incidentes sean efectivamente reportados.
Información de apoyo
Para
proveer
a
los
usuarios,
empleados
y
gerentes
con
información
de contacto y de referencia a ser usada ante incidentes de seguridad.
En todos los casos, los aspectos legales deben ser tenidos en cuenta. Como
mínimo es recomendable que el departamento legal de la organización (o un
consultor externo) de su aval a las políticas de seguridad.
El
NIST,
por
su
parte,
indica
que
los
componentes
de
una
política
de
seguridad
deben incluir un programa estratégico de seguridad, políticas específicas,
(concernientes a temas específicos) y políticas específicas-sistema (concernientes
a
sistemas particulares). Esta visión es similar a la del RFC-2196
El CERT indica que una política de seguridad debe incluir:
Descripción de alto nivel.
Esto sería equivalente a la “Política estratégica de seguridad”
mencionada anteriormente
Análisis de riesgos
Identificando los valores, las amenazas a las que están expuestos
estos
valores
y
los
eventuales
costos
en
caso
de
que
un
valor
sea
perdido o “atacado”. Es una visión similar a la de la ISO 17799
Líneas maestras para administradores
Define como administrar los sistemas cubiertos
Líneas maestras de cómo reaccionar ante un ataque
La ISO ha
desarrollado un conjunto de “buenas
prácticas” en la
norma ISO/IEC
17799:2000.
Este
documento,
junto
con
el
standard
BS7799-2
(norma
“certificable”) constituyen una especificación para un “Sistema de Gestión de la
Seguridad de la Información”, conocido habitualmente como ISMS (Information
Security Management System). La orientación de estos documentos apuntan al
desarrollo de “procesos” acerca de la seguridad de la información. Estos procesos
se basan en el esquema de “Planificar” – “Hacer” – “Verificar” – “Actuar”.
El proceso indicado en la ISO 17799:2000 incluye 6 etapas:
Definir política de seguridad
Definir ámbito del ISMS
Evaluación de riesgos
Administración de riesgos
Seleccionar controles
Declaración de aplicabilidad
8.3
Vulnerabilidades, amenazas y contramedidas
8.3.1 Vulnerabilidad
Varios actores pueden potencialmente amenazar los sistemas de seguridad de
una organización. Entre ellos podemos mencionar “insiders”, o personal interno,
competidores,
o
“hackers”
en
general.
Las
amenazas
explotan
posibles
vulnerabilidades a la infraestructura de la información.
Una
lista
de
las
vulnerabilidades
consideradas
más
críticas
puede
verse
en
[53].
Una
lista completa
y
detallada de las
vulnerabilidades conocida se puede obtener
de CVE [54].
La
vulnerabilidad
de
una
organización
depende
de
varios
factores,
entre
los
que
se encuentran:
8.3.1.1 Factores relacionados con la tecnología:
Tipo de Firewall instalado y su configuración: Diferentes arquite©tu®as de
Firewalls
o
cortafuegos
pueden
ser
mas
o
menos
vulnerables.
Adicionalmente, la adecuada configuración de este sistema es fundamental
para disminuir la vulnerabilidad.
Sistemas operativos utilizados: Todos los sistemas ope®ativos tienen
vulnerabilidades conocidas, y en forma permanente se publican nuevos
“parches”
tendientes
a
solucionar
problemas
de
vulnerabilidad.
Las
empresas que sistemáticamente instalan estos parches serán menos
vulnerables.
Aplicaciones y servicios instalados:
Especialmente,
las aplicaciones
o
servicios
publicados
a
Internet,
ya
que,
por
su
propia
función,
están
expuestos al público.
Sistemas de IDS utilizados: Las emp®esas que puedan instala® algún tipo de
sistema de IDS (NIDS, HIDS, etc.) pueden reducir considerablemente su
vulnerabilidad.
Utilización
de
aplicaciones
de
“Antivirus”:
Muchos
de
los
ataques
actuales
se propagan por
virus, gusanos o troyanos. Disponer de servicios Antivirus
centralizados y actualizados reduce la vulnerabilidad.
8.3.1.2 Factores humanos:
Correcto uso de las aplicaciones por los usuarios: Mu©hos ataques son
producidos por técnicas de “ingeniería social”. Concientizar a los
usuarios
y
empleados en general de los riesgos causados por el mal uso de
aplicaciones, por instalar programas
no autorizados, o por revelar sus
contraseñas, reduce considerablemente estas vulnerabilidades.
Capacitación:
Tener
personal
calificado
en
seguridad
de
la
información
es
un factor clave para poder reducir las vulnerabilidades
8.3.1.3 Política de seguridad:
Finalmente,
tener
una
buena
política
de seguridad
de
la
información,
divulgada entre todos los actores, es, quizás, la mejora manera de disminuir
la vulnerabilidad de la organización.
8.3.2 Amenazas
Una amenaza es una condición del entorno del sistema de información con el
potencial de causar una violación de la seguridad (confidencialidad, integridad,
disponibilidad o uso legítimo). Las amenazas son, por tanto, el conjunto de los
peligros a los que están expuestos la información y sus recursos tecnológicos
relacionados.
Para cada amenaza, se pueden distinguir
°
Agentes: Quien potencialmente puede generar una violación de la
seguridad. Puede ser una persona, una máquina o fenómenos naturales
°
Motivos: Lo que mueve al agente a actuar. Pueden existir motivos
intencionales o accidentales.
°
Resultados: El resultado de la ejecución de la amenaza
(divulgación,
modificación, indisponibilidad)
Una vulnerabilidad
es
una
debilidad
de
un
sistema,
aplicación
o
infraestructura
que lo haga susceptible a la materialización de una amenaza.
El riesgo puede verse como la probabilidad de que una amenaza en particular
explote una vulnerabilidad
Un ataque no es más que la concreción o realización de una amenaza.
La
política
de
seguridad
y
el
análisis
de
riesgos
deben
identificar
las
vulnerabilidades
y
amenazas,
y
evaluar
los
correspondientes
riesgos.
Los
riesgos
pueden ser:
°
Mitigados: Mediante la implementación de los correspondientes controles
°
Transferidos Por ejemplo. Tomando un seguro
°
Eludidos: Cambiando la forma de hacer las cosas, o prescindiendo del
activo amenazado.
°
Aceptado:
Luego
de
evaluado,
decidir
que
no
es
conveniente
tomar
acciones.
En general, es sumamente importante ser concientes de las vulnerabilidades y
amenazas a las que está expuesta la información, de manera de mitigar, transferir,
eludir o aceptar el riesgo. Muchas
veces,
la decisión de cuanto dinero
vale la pena
invertir para eliminar o bajar el riesgo de una amenaza no es sencillo. En [55]
puede verse un estudio genérico de la “rentabilidad” de las medidas de seguridad.
A
continuación se detallan algunas de las amenazas más relevantes:
Desastres
naturales
(Incendio,
Inundación,
Terremotos
Tormentas
eléctricas, etc)
Fallas de infraestructura (Instalación eléctrica deficitaria, cambios bruscos
de tensión, etc.)
Robo físico
Ataques a través de Internet
Empleados actuales o ex - empleados descontentos, curiosos, hackers,
terroristas.
8.3.2.1 Tipos de ataques
Los ataques a sistemas de información pueden ser clasificados según diversos
criterios,
entre
los
que
podemos
citar
la
clasificación
por
origen
(Personas,
Amenazas
lógicas y Catástrofes)
y
la clasificación por
tipo (Acceso
no autorizado,
revelación de información y negación del servicio) [56].
Otra clasificación para los ataques es la siguiente [57] :
Interrupción: Un
recurso del sistema es destruido o se vuelve
no disponible.
Este es un ataque contra la disponibilidad.
Intercepción: Una entidad no auto®izada ©onsigue acceso a un ®e©u®so. Este
es un ataque contra la confidencialidad.
Modificación: Una entidad no auto®izada no sólo ©onsigue accede® a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad
Fabricación: Una entidad no auto®izada inse®ta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad
En [58] se clasifican los ataques o incidentes de la siguiente manera:
Pruebas
Barridos
Comprometer cuentas de usuario.
Comprometer cuentas del administrador.
Husmeo de paquetes (“Packet Sniffer”)
Denegación de servicio.
Explotación de confianza.
Código malicioso.
Ataques a la infraestructura de Internet.
Se describen a continuación varios Tipos de ataques [59]:
INGENIERIA SOCIAL
La
ingeniería
social
consiste
en
la
manipulación
de
las
personas
para
que
voluntariamente realicen actos que normalmente no harían. Uno de los motivos
mas frecuentes para que
un atacante
utilice la ingeniería social es intentar obtener
información sensible para la organización o acceder a un sistema o dispositivo
que, normalmente, no estaría disponible desde el exterior.
EAVESDROPPING³ Y PACKET SNIFFING
4
Se entiende por Eavesdropping la pasiva intercepción (sin modificación) del
tráfico de red. En general esto es realizado por packet sniffers, que son
programas que
monitorean los paquetes de red. Este
método
puede ser
utilizado para capturar usuarios, claves, números de tarjetas de crédito, etc.
que viajen sin encriptar.
SNOOPING
5
Y
DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener
la información sin modificarla.
Sin embargo los
métodos
son diferentes.
Además de interceptar el tráfico de
red, el atacante ingresa a los
documentos,
mensajes
de
e-mail y
otra
información,
guardando
en
la
mayoría
de
los
casos
esa información a su propia computadora.
TAMPERING
6
O
DATA DIDDLING
7
Se refiere a la modificación desautorizada de datos, o al software de en un
sistema,
incluyendo
borrado
de
archivos.
Puede
ser
realizado
por
“insiders”
o
“outsiders”,
generalmente
con
el
propósito
de
fraude
o
dejar
fuera
de
Portal para Investigadores y Profesionales
