DIPLOMADO

EN CIBERSEGURIDAD Y AUDITORIA
INFORMÁTICA
MOD.V
ANÁLISIS DE RIESGO Y EVALUACIÓN
DE LA SEGURIDAD
Docente: ING. HENRY RAÚL VARGAS GRILLO
 ¿Qué es el riesgo?

• El riesgo es la posibilidad de que ocurra un evento no deseado o negativo

que pueda afectar a una organización, sus activos o su capacidad para
alcanzar sus objetivos. En el contexto de la seguridad de la información, el
riesgo se refiere a la posibilidad de que se produzca una brecha de
seguridad o una pérdida de información confidencial.
 Componentes del riesgo

Amenaza Vulnerabilidad Impacto

• Una amenaza es cualquier evento • Una vulnerabilidad es una • El impacto es la consecuencia

o acción que pueda explotar una debilidad o fallo en el sistema de resultante de una amenaza que se
vulnerabilidad y causar daño a los seguridad que podría permitir que materializa debido a una
activos de información. Ejemplos una amenaza tenga éxito. Las vulnerabilidad. El impacto puede
de amenazas incluyen hackers, vulnerabilidades pueden surgir de incluir pérdida financiera, daño a
malware, desastres naturales, deficiencias en la infraestructura la reputación de una organización,
errores humanos, entre otros. tecnológica, políticas y pérdida de confidencialidad,
procedimientos de seguridad interrupción de operaciones,
inadecuados, falta de capacitación entre otros impactos negativos.
del personal, entre otros factores.
 Tipos de atacantes
NOMBRE DE LOS ATACANTES DEFINICIÓN

Expertos informáticos con una gran curiosidad por

Hackers descubrir las vulnerabilidades de los sistemas pero sin
motivación económica o dañina.
Un hacker que, cuando rompe la seguridad de un
Crackers sistema, lo hace con intención maliciosa, bien para
dañarlo o para obtener un beneficio económico.
Crackers telefónicos, que sabotean las redes de
Phreakers
telefonía para conseguir llamadas gratuitas.
Expertos en redes que analizan el tráfico para obtener
Sniffers información extrayéndola de los paquetes que se
transmiten por la red.
Chicos jóvenes sin grandes conocimientos de
Lammers informática pero que se consideran a sí mismos hackers
y se vanaglorian de ello.
Newbie Hacker novato.
Expertos en informática e intrusiones en la red que
Ciberterrorista trabajan para países y organizaciones como espías y
saboteadores informáticos.
Expertos en programación, redes y sistemas que crean
Programadores de virus programas dañinos que producen efectos no deseados
en los sistemas o aplicaciones.
Personas que se dedican al ataque de los sistemas de
Carders
tarjetas, como los cajeros automáticos.
 ¿Qué son las vulnerabilidades?

• Las vulnerabilidades de un sistema son una puerta abierta

para posibles ataques, de ahí que sea tan importante
tenerlas en cuenta; en cualquier momento podrían ser
aprovechadas.
 Clasificación de las
vulnerabilidades
Calificación Definición
Vulnerabilidad que puede permitir la
Crítica propagación de un gusano de Internet sin la
acción del usuario.
Vulnerabilidad que puede poner en peligro la
confidencialidad, integridad o disponibilidad
Importante de los datos de los usuarios, o bien, la
integridad o disponibilidad de los recursos de
procesamiento.
El impacto se puede reducir en gran medida
a partir de factores como configuraciones
Moderada predeterminadas, auditorías o la dificultad
intrínseca en sacar partido a la
vulnerabilidad.
Vulnerabilidad muy difícil de aprovechar o
Baja
cuyo impacto es mínimo.
 Principales ataques
D
Nombre del ataque
efinición
Un recurso del sistema o la red deja de
Interrupción
estar disponible debido a un ataque.
Un intruso accede a la información de
Intercepción nuestro equipo o a la que enviamos por la
red.
La información ha sido modificada sin
Modificación
autorización, por lo que ya no es válida.
Se crea un producto (por ejemplo una
página Web) difícil de distinguir del
Fabricación auténtico y que puede utilizarse para
hacerse, por ejemplo, con información
confidencial del usuario.
 Clasificación de amenazas
Ataque ¿Cómo actúa?

Spoofing Suplanta la identidad de un PC o algún dato del mismo (coma su dirección MAC).

Sniffing Monitoriza y analiza el tráfico de la red para hacerse con información.

Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se descubren, se realiza una conexión
Conexión no autorizada
no autorizada a los mismos.

Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo, dañando el sistema
Malware
de múltiples formas.

Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través del teclado, e incluso
Keyloggers
pueden realizar capturas de pantallas.

Interrumpe el servicio que se está ofreciendo en servidores o redes de ordenadores. También denominado DoS
Denegación de Servicio
(denial of Service).

Se obtiene información confidencial de una persona u organismo para utilizarla con fines maliciosos. Los
Ingeniería social
ejemplos más llamativos son el phishing y el spam.

Se engaña al usuario para obtener su información confidencial suplantando la identidad de un organismo o

Phishing
página web de Internet.
 La relación entre riesgo y seguridad
de la información

• La seguridad de la información es una disciplina que busca, entre otras cosas,

mitigar los riesgos relacionados con la pérdida, robo o acceso no autorizado a la
información sensible. Al comprender los diferentes componentes del riesgo,
como las amenazas y las vulnerabilidades, es posible desarrollar e implementar
medidas de seguridad efectivas para proteger la información.
• Es esencial realizar evaluaciones periódicas de riesgos para identificar los
posibles riesgos a los que se enfrenta una organización y determinar las
medidas de seguridad apropiadas para mitigarlos. La gestión del riesgo en el
ámbito de la seguridad de la información implica la identificación, análisis,
evaluación y tratamiento de los riesgos.
 Tipos de riesgos y amenazas en la
seguridad de la información

• Riesgos internos
• Riesgos externos
• Riesgos tecnológicos
• Riesgos legales y normativos
 Riesgos internos

• Los riesgos internos son aquellos que provienen de personas dentro de la organización,
ya sean empleados, contratistas o socios comerciales. Estos riesgos pueden ser
intencionales o no intencionales y pueden surgir debido a factores como el descuido, la
falta de capacitación, el mal uso de privilegios o la insatisfacción laboral. Algunos
ejemplos de riesgos internos incluyen:
• Acceso no autorizado a información confidencial.
• Divulgación no intencional de información sensible.
• Uso indebido de privilegios de usuario.
• Robo de información sensible.
• Mal manejo de dispositivos de almacenamiento de datos.
• Sabotaje interno.
 Riesgos externos

• Los riesgos externos son aquellos que provienen de fuentes externas a la organización,
como hackers, ciberdelincuentes, competidores o desastres naturales. Estos riesgos
pueden ser intencionales y están en constante evolución, lo que hace que sea un
desafío para las organizaciones mantenerse al día con las últimas amenazas. Algunos
ejemplos de riesgos externos incluyen:
• Ataques de piratas informáticos (hackers) para acceder a información confidencial o dañar sistemas.
• Malware y virus que pueden causar daños a los sistemas de información.
• Ataques de phishing y correo electrónico no deseado para obtener información confidencial.
• Ataques de denegación de servicio (DoS) que pueden dejar los sistemas inactivos.
• Desastres naturales o daños físicos que pueden resultar en la pérdida de información.
 Riesgos tecnológicos

• Los riesgos tecnológicos están relacionados con el uso de la tecnología en la

organización y pueden surgir debido a fallas en los sistemas, mal
funcionamiento de software, errores de configuración o uso inapropiado de
dispositivos. Algunos ejemplos de riesgos tecnológicos incluyen:
• Fallos del sistema que pueden resultar en la pérdida de datos.
• Errores en el desarrollo o implementación de software que pueden dar lugar a
vulnerabilidades de seguridad.
• Configuraciones incorrectas de firewalls o sistemas de seguridad.
• Pérdida o daño de dispositivos de almacenamiento de datos.
• Uso de software no autorizado o desactualizado que pueden contener vulnerabilidades.
 Riesgos legales y normativos

• Los riesgos legales y normativos están relacionados con el incumplimiento de leyes y

regulaciones en relación con la seguridad de la información. Estos riesgos pueden
resultar en sanciones financieras, demandas legales y daños a la reputación de la
organización. Algunos ejemplos de riesgos legales y normativos incluyen:

• Incumplimiento de normativas de protección de datos personales, como el Reglamento General de

Protección de Datos (GDPR).
• Incumplimiento de leyes relacionadas con la protección de propiedad intelectual.
• Falta de cumplimiento de regulaciones específicas de la industria, como los estándares de
seguridad de la información ISO 27001.
• Pérdida o robo de información confidencial que puede resultar en responsabilidad legal.
 Mitigación de riesgos

• La mitigación de riesgos se refiere a la reducción o eliminación de las

amenazas que pueden causar daño a la información. La implementación
de medidas de mitigación es fundamental para proteger los activos de
información y minimizar el impacto de los incidentes de seguridad. A
continuación, se presentan las principales estrategias utilizadas en la
mitigación de riesgos:
 Identificación y evaluación de
riesgos

• El primer paso para mitigar los riesgos es identificar y evaluar las

amenazas potenciales. Esto implica realizar un análisis exhaustivo de los
sistemas, procesos y activos de información para determinar cuáles son
los riesgos más relevantes y su impacto potencial. Mediante este proceso,
es posible clasificar los riesgos según su gravedad y priorizar las acciones
de mitigación.
 Implementación de controles de
seguridad

• Una vez identificados los riesgos, es esencial implementar controles de

seguridad adecuados. Los controles de seguridad pueden ser técnicos,
físicos o administrativos, y su objetivo es prevenir o minimizar los
impactos de los riesgos identificados. Algunos ejemplos de controles de
seguridad incluyen el uso de firewalls, cifrado de datos, políticas de acceso
y autenticación, entre otros.
 Plan de continuidad del negocio

• La mitigación de riesgos también implica la preparación para posibles

incidentes de seguridad. Un plan de continuidad del negocio es una
estrategia que permite recuperarse rápidamente de un incidente y
minimizar el impacto en las operaciones de la organización. Este plan
incluye medidas como la realización de copias de seguridad regulares, la
creación de procedimientos de respuesta a incidentes y la formación de
personal en seguridad de la información.
 Monitoreo y actualización constante

• La mitigación de riesgos no es un proceso estático, sino que requiere un

monitoreo y actualización constante. Las amenazas cibernéticas
evolucionan rápidamente, por lo que es necesario estar al tanto de las
últimas vulnerabilidades y tendencias en seguridad de la información.
Además, los controles de seguridad deben ser revisados periódicamente
para asegurarse de que sigan siendo efectivos y estén alineados con los
cambios en el entorno de riesgo.
 Estrategias de seguridad

• Además de la mitigación de riesgos, existen diversas estrategias de

seguridad que permiten proteger la información y prevenir posibles
amenazas. A continuación, se describen algunas de las estrategias más
comunes:
 Seguridad en capas

• La seguridad en capas implica la implementación de múltiples niveles de

seguridad para proteger los activos de información. Esta estrategia se basa
en la premisa de que ningún control de seguridad es infalible, por lo que
es necesario contar con varias barreras de protección. Al utilizar diferentes
controles de seguridad en diferentes niveles (por ejemplo, firewall,
antivirus, detección de intrusiones, cifrado, etc.), se crea un sistema más
robusto y resistente a posibles ataques.
 Educación y concientización

• La educación y concientización sobre seguridad de la información juegan

un papel fundamental en la prevención de riesgos. Capacitar a los
empleados sobre las mejores prácticas de seguridad, como el uso de
contraseñas seguras, la detección de correos electrónicos de phishing y la
protección de dispositivos móviles, puede ayudar a evitar incidentes de
seguridad causados por errores humanos. Además, fomentar una cultura
de seguridad en la organización aumenta la responsabilidad individual y
colectiva en la protección de la información.
 Pruebas de penetración y auditorías
de seguridad

• Las pruebas de penetración y las auditorías de seguridad son estrategias

proactivas para evaluar la efectividad de los controles de seguridad
existentes. Las pruebas de penetración implican simular un ataque real
para identificar las vulnerabilidades y puntos débiles en el sistema. Por su
parte, las auditorías de seguridad revisan de manera exhaustiva los
controles de seguridad implementados, así como los procedimientos y
políticas establecidas, para garantizar su cumplimiento y efectividad.
 Gestión de incidentes

• La gestión de incidentes es una estrategia que permite responder de

manera adecuada y eficiente ante un incidente de seguridad. Esto implica
tener establecidos procedimientos claros para reportar y abordar
cualquier incidente, así como contar con un equipo capacitado para
gestionar y solucionar los problemas de seguridad de manera oportuna.
Una gestión efectiva de incidentes ayuda a minimizar el impacto en caso
de que ocurra un evento no deseado.
 Practica

• Investigue y elabore un breve ensayo que explique qué es el riesgo y cómo

se relaciona con la seguridad de la información.
• Elabore un plan de continuidad de negocio desde el punto de la seguridad
para proteger la información confidencial de una empresa.