EVALUACIN DE LA SEGURIDAD

EVALUACIN DE LA SEGURIDAD.
Al momento de evaluar la seguridad de los sistemas informticos (SI), de una
organizacin, conviene conocer, cual es la terminologa que se emplea, cuales son las
reas en las que se puede aplicar y cul es el entorno normativo y legislativo en el que
nos podemos mover.
1.1 ADMINISTRACIN DE LA SEGURIDAD.
La informacin es un activo esencial para el negocio por lo que la mayora de las
empresas dependen de la TI para el manejo de esta.
Definimos la administracin como la que establece, mantiene y elimina las
autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones
usuario-recursos.
La administracin de la seguridad informtica dentro de una organizacin es una tarea
en continuo cambio y evolucin, ya que las tecnologas utilizadas cambian muy
rpidamente y con ellas los riesgos.
Con referencia al cdigo de Practicas de Administracin de la Seguridad de la
informacin (BS7799), versin 1999, desarrollado por el instituto de Estndares
Britnico. Comprende los siguientes 10 elementos del Cdigo de Practicas para la
Administracin de la seguridad de la informacin.
1. Polticas de Seguridad: Proporciona a la alta direccin apoyo para la seguridad
de la informacin.
2. Organizacin de la seguridad: Ayuda a administrar la seguridad de la
informacin dentro de la organizacin.
3. Clasificacin y Control de Activos: Provee las medidas de seguridad necesarias
para proporcionar una proteccin adecuada a los activos de la organizacin.
4. Seguridad del Personal: Necesaria para reducir los riesgos de errores
humanos, robo, fraude o mal uso de las instalaciones de equipo.
5. Seguridad Fsica y Ambiental: Previene el acceso fsico no autorizado a los
sistemas de informacin, as, como los posibles daos a las instalaciones y a la
informacin del negocio.
6. Administracin de Comunicaciones y Operaciones: Permite garantizar la
operacin correcta y segura de las instalaciones de procesamiento de la
informacin.
7. Control de Acceso: Previene el acceso lgico y cambio no autorizado a la
informacin y a los sistemas de informacin, otorgando confidencialidad en la
informacin para evitar interrupciones en los procesos normales de produccin.
8. Desarrollo y Mantenimiento de los Sistemas: Permite incorporar la seguridad a
los sistemas de informacin.
9. Administracin de la continuidad del negocio: Contrarresta las interrupciones a
las actividades del negocio y protege sus procesos crticos, controla los efectos
causados por fallas mayores o desastres.
10. Conformidad: Contribuye a evitar infracciones a las leyes civiles, jurdicas,
obligaciones reguladoras o contractuales y cualquier otro requerimiento de
seguridad.

1.2 ENTORNOS Y DOMINIOS DE SEGURIDAD.
El concepto de control dentro de la norma agrupa todo el conjunto de acciones,
documentos, procedimientos y medidas tcnicas adoptadas para garantizar que cada
amenaza, identificada y valorada con un cierto riesgo, sea minimizada.

reas dominios contemplados por la norma ISO27001. La norma se desarrolla en 11
reas o dominios que recogen los 133 controles a seguir.

1. Poltica de Seguridad:
2. Organizacin de la Informacin:








3. Administracin de Recursos:

4. Seguridad de los Recursos Humanos:



5. Seguridad Fsica y del Entorno:

6. Administracin de las Comunicaciones y Operaciones:

7. Control de Accesos:

8. Adquisicin de Sistemas de Informacion, Desarrollo y Mantenimiento:

9. Administracin de los Incidentes de Seguridad y Contabilidad:
10. Marco Legal y Buenas Prcticas.



1.3 ACTIVOS Y VULNERABILIDADES
En un sistema informtico lo que queremos proteger son sus activos, es decir los
recursos que forman parte del sistema y que podemos agrupar en:
HARDWARE: Elementos fsicos del sntoma informtico (cintas, DVD, cables).
SOFTWARE: Elementos lgicos o programas que se ejecutan sobre el
hardware, tanto si es el propio sistema operativo como las aplicaciones.
DATOS: Comprenden la informacin lgica que procesa el software haciendo
uso del hardware, en general se dan informaciones estructuradas en bases de
datos o paquetes de informacin que viajan por la red.
OTROS: Fungibles, personas, infraestructuras, aquellos que se usan y se
gastan como tinta, papel, soporte tipo DVD.
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que
puede producir un dao (material o inmaterial) sobre los elementos de un sistema, en
el caso de la Seguridad Informtica, los Elementos de Informacin.
Las vulnerabilidades son debilidades que pueden ser usadas por las amenazas para
comprometer la seguridad del sistema informtico, las amenazas pueden ser
(personas, programas, virus, desastre natural).
TIPOS DE VULNERABILIDADES.
Fsica: se encuentra en el nivel del edifico o entorno fsico del sistema, se
relaciona con la probabilidad de entrar fsicamente al sistema para robar.
Natural: el sistema puede verse afectado por desastres naturales como el
fuego, inundaciones, rayos, polvo, humedad, temperatura excesiva.
De Hardware y Software: desde el punto de vista del hardware, ciertos
dispositivos pueden ser ms vulnerables que otros, tambin ciertos fallos o
debilidades del software hacen ms fcil acceder al mismo y lo hace menos
fiable.
De los Medios o Dispositivos: se refiere a la posibilidad de robar o daar los
discos, cintas, listado de impresoras.
Por Emanacin: algunos dispositivos emiten ondas o radiaciones
electromagnticas y hay dispositivos que los interceptan y reconstruyen la
informacin transmitida.
De la Comunicaciones: la conexin de los ordenadores en redes incremento la
vulnerabilidad del sistema, se puede penetrar al sistema a travs de la red.
Humana: la gente que administra y utiliza el sistema es la mayor vulnerabilidad
del sistema, el administrador tiene mximo nivel de acceso.

1.4 ANLISIS Y EVALUACIN DE RIESGOS.
Un riesgo es la probabilidad de que algo malo ocurra, o la combinacin de la
probabilidad de un evento y sus consecuencias.
En el mbito de la Seguridad Informtica, el mtodo ms usado es el Anlisis de
Riesgo.
La importancia del anlisis de riesgos es que nos ayuda a visualizar cules son
nuestras debilidades, nos permite como analizarlo y en qu orden las atenderemos.
La valoracin del riesgo basada en la frmula matemtica
Riesgo = Probabilidad de Amenaza x Magnitud de Dao

Segn la ISO27001 indica 6 pasos para un anlisis de riesgo.
1. Identificacin de los activos
2. Identificacin de las amenazas
3. Identificacin de las vulnerabilidades que pueden ser explotadas por las
amenazas
4. Evaluacin de los posibles impactos de las amenazas
5. Evaluacin de la probabilidad de ocurrencia
6. Evaluacin del riesgo. Implica el establecimiento del nivel del riesgo, que es
una funcin del impacto y la probabilidad, y suele tener 3 posibles valores
(bajo, medio, alto).

En el proceso de analizar un riesgo tambin es importante de reconocer que cada
riesgo tiene sus caractersticas [4]:
Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una institucin que tal
vez puede terminar en resultados inadecuados y por tanto es importante que
participan las personas especialistas de los diferentes elementos del sistema
(Coordinacin, Administracin financiera, Tcnicos, Conserje, Soporte tcnico externo
etc.)

Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es el
riesgo y el peligro al sistema, lo que significa que es necesario implementar medidas
de proteccin.


1.5 GESTIN DEL RIESGO.
La gestin de riesgo es un mtodo para determinar, analizar, valorar y clasificar el
riesgo, para posteriormente implementar mecanismos que permitan controlarlo.
En su forma general contiene 4 fases.
Anlisis: determina los componentes de un sistema que requiere proteccin,
sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro,
con el resultado de revelar su grado de riesgo.
Clasificacin: determina si los riesgos encontrados y los riesgos restantes son
aceptables.
Reduccin: define e implementa las medidas de proteccin. Adems sensibiliza
y capacita los usuarios conforme a las medidas.
Control: analiza el funcionamiento, la efectividad y el cumplimiento de las
medidas para determinar y ajustar las medidas deficientes y sanciona el
incumplimiento.