Definición del panorama de seguridad de Windows 2000
En esta página
Descripción del módulo
En este módulo se presentan las cuestiones clave inherentes a la seguridad en la organización. Al caracterizar y analizar los diferentes riesgos potenciales de las infracciones de seguridad en la organización, se puede reducir el riesgo mediante la aplicación de contramedidas adecuadas. Después de leer este módulo, conocerá la terminología que se utiliza para describir y analizar riesgos de seguridad y podrá llevar a cabo un análisis de riesgos preliminar.
Objetivos
Utilice este módulo para:
| • | Identificar la relación que existe entre amenazas, vulnerabilidades, exposiciones y contramedidas. |
| • | Conocer la terminología que se utiliza en el análisis de riesgos de seguridad. |
| • | Identificar las cuestiones clave al analizar riesgos y directivas de seguridad. |
| • | Realizar un análisis de riesgos preliminar. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Infraestructura de la tecnología de información (TI) |
Uso del módulo
Este módulo proporciona la información necesaria para comprender un asesoramiento más concreto a fin de garantizar la seguridad de componentes específicos de la infraestructura. Utilice este módulo como manual básico y guía de referencia para lecturas futuras.
Componentes de la administración de los riesgos de seguridad
Necesidad de un programa de seguridad estratégico
La seguridad constituye el equilibrio entre la capacidad para mantener la facilidad de uso de los recursos en la organización y, a su vez, controlar el acceso a dichos recursos. La elaboración de un programa de seguridad que restrinja tanto a los usuarios como los ataques puede ser un proceso lento y costoso. Un programa de seguridad que se incline demasiado hacia el control podría generar descontento entre los usuarios con directivas que les impidan trabajar de manera eficaz.
Por el contrario, un programa de seguridad demasiado flexible podría crear una actitud complaciente entre los usuarios con respecto a la seguridad en el lugar de trabajo además de ofrecer más oportunidades para los atacantes. Para evitar entrar en otras cuestiones problemáticas, es fundamental informar sobre la importancia de la seguridad en la organización. Si los estatutos, directivas y planes de seguridad no se implementan "por completo", habrá más problemas en el futuro. Cuando la calidad es una parte esencial de los proyectos de tecnología de la información (TI) en los que la perfección constituye un principio fundamental, se debe aplicar ese mismo principio para asegurar un alto nivel de seguridad en la organización.
Un factor importante para el éxito de una infraestructura segura se relaciona con el desarrollo de un proceso eficaz de administración de riesgos de seguridad. A través de la eficacia en los procesos de identificación, evaluación, administración, mitigación y ejecución de los riesgos, al igual que mediante planes de contingencia, es posible reducir las probabilidades de que aparezca un riesgo y, en el caso de que éste se materialice, se podrá minimizar el impacto o las consecuencias.
Una actividad como el análisis de riesgos de seguridad específicos sacará a la luz problemas de seguridad importantes que requieren una especial dedicación y una línea de acción. Se produce un riesgo de seguridad cuando una amenaza se vale de una vulnerabilidad que, a su vez, daña de alguna forma a un activo de la organización. Los planes de contingencia y mitigación permiten crear directivas y procedimientos de seguridad que ofrecen un enfoque activo y reactivo con respecto a la administración de riesgos de seguridad.
La implementación, ejecución y optimización continua de los planes de seguridad de la organización se vuelven cada vez más importantes a medida que la tecnología evoluciona y surgen nuevos métodos para sacar provecho de ésta. Los programas de seguridad deben cambiar con el tiempo ya que necesitan de una atención constante para poder supervisar su eficacia y determinar cuándo es necesario desarrollar nuevas directivas y procedimientos. También deben tener en cuenta posibles derivaciones legales a través de los Planes de respuesta a incidencias diseñados para el entorno corporativo, ya que la posibilidad de recibir una demanda por errores en la seguridad puede suponer un problema grave.
Los costes se calculan fácilmente mediante una valoración de activos adecuada y bien definida. El coste de inversión en mitigación también debe compararse con el impacto posible de lo que podría sufrir el activo si resultara dañado o estuviera en peligro. Los pasos a seguir para lograr este objetivo se describen en el módulo "Comprensión de la disciplina de administración de riesgos de seguridad" en el cual se utiliza esta disciplina para que la organización pueda lograr un equilibrio adecuado entre coste y riesgo.
Cuando la pérdida de información confidencial de la organización implique un impacto negativo en la productividad o en las ganancias, entonces la inversión requerida para asegurar su protección podría ser significativa. Cuando la pérdida de esa información no sea perjudicial para la organización, esa información requerirá una protección mínima, y la inversión para protegerla será menor.
En el proceso de evaluación del riesgo de seguridad existen ocho consideraciones básicas que deben abordarse:
| • | Requisitos de seguridad para los activos. Definir todos los componentes de la infraestructura de la organización que requieran cualquier grado de protección, inclusive sistemas, redes, aplicaciones e información comercial. La valoración del activo debe llevarse a cabo en forma tanto cuantitativa como cualitativa para poder planear adecuadamente las contramedidas y protecciones. | ||||||||
| • | Análisis de amenazas. Crear una lista de los programas para sacar provecho de los puntos débiles conocidos y determinar la posibilidad de una posible amenaza proveniente de cada uno de ellos. Un punto débil es un recurso que puede utilizar una amenaza para tener acceso a través de una vulnerabilidad en el entorno. Para poder realizar un análisis de amenazas adecuado, es necesario compilar una lista con los agentes de amenaza más comunes en el entorno. Una amenaza es cualquier peligro potencial para la información o los sistemas en el entorno. Un agente amenazante es la persona o el proceso que ataca a la red a través de un puerto vulnerable en el servidor de seguridad, o un proceso que se utiliza para obtener acceso a información de una forma que infringe las directivas de seguridad. | ||||||||
| • | Identificación de exposiciones. Analizar el porcentaje de pérdida de activo a causa de cada amenaza identificada. La identificación y definición del valor de pérdida potencial de cada exposición es un componente fundamental en el análisis de riesgos de seguridad. | ||||||||
| • | Evaluación de vulnerabilidad. Elaborar una lista completa de todas las vulnerabilidades existentes que se pueden usar contra aquellos activos que necesitan algún grado de protección. Una vulnerabilidad es cualquier debilidad en un sistema de información o en alguno de sus componentes (por ejemplo: procedimientos de seguridad del sistema, diseño de hardware, diseño de software y controles internos) que se puede aprovechar. | ||||||||
| • | Desarrollo de contramedidas. Desarrollar una contramedida de riesgo de seguridad adecuada que sea lógica desde el punto de vista comercial, es decir, que sea rentable para proteger los activos de la organización. | ||||||||
| • | Pruebas de penetración. Utilizar las pruebas de penetración para identificar las diferentes maneras en que un individuo no autorizado puede tener acceso a la organización. Entre los métodos comunes de pruebas de penetración se incluyen:
|
Estas pruebas son útiles para incrementar la atención que una organización le presta a las directivas de seguridad. Una de las consideraciones más importantes al realizar una prueba de penetración es solicitar los servicios de un agente externo de conocida reputación.
| • | Respuesta a incidencias. Un buen plan de respuesta a incidencias detalla los procedimientos específicos que se deben seguir a medida que obtiene más información sobre ataques a la organización. Por lo general, el orden a seguir en los procedimientos delineados en el programa de seguridad estará determinado por la naturaleza de los síntomas del ataque. Debido a que el tiempo es un factor fundamental, se deben implementar aquellos procedimientos que lleven menos tiempo antes de los que entrañen un período de tiempo más extenso. |
| • | Alcance de las tareas para asegurar los activos. Definir la cantidad total de trabajo, incluso el tiempo, el esfuerzo y el dinero necesarios para ofrecer la seguridad suficiente y para mantener la infraestructura general indicada desde el punto de vista del soporte y usuario final de la organización. El análisis coste-beneficio para una protección determinada debe derivar de un análisis de riesgo de seguridad adecuado junto al activo del coste total de propiedad (CTP) o del retorno de la inversión (RDI) de la organización. |
Activos
Un activo es cualquier elemento en el entorno de la organización que podría necesitar algún grado de protección. Esto podría incluir componentes del balance general como aplicaciones de software o hardware y otros elementos menos tangibles como datos o personas. El fin de la seguridad es evitar que los activos queden expuestos a algún tipo de peligro y proteger la confidencialidad, integridad y disponibilidad de los datos. La preocupación de todas las corporaciones tiene que ver con el riesgo que implica la modificación de sus datos, lo cual degrada la integridad de la información comercial.
Un aspecto clave de la administración de riesgos de seguridad de TI es determinar el valor de cada activo primario en la organización, el valor de la información que contiene cada uno de esos activos y de qué forma se relaciona con otros activos en su entorno. Por ejemplo, si el servidor Web de la compañía pone en peligro los datos comerciales más importantes, el valor de la compañía podría descender; o un enrutador que esté comprometido podría conectar a todas las ramas de la compañía con el centro de datos principal.
El valor asociado global de cada activo determinará el tiempo, el esfuerzo y el coste de seguro sobre la base del nivel de seguridad necesario para que cada activo goce de la protección adecuada. Es importante tener en cuenta que los activos podrían tener un nivel de dependencia asociado. Considerar cómo se autentican estos recursos, o de qué manera se autoriza a los usuarios para obtener acceso a cada activo y a los datos que éstos presentan. Por ejemplo, una contraseña poco segura del equipo portátil de un CIO podría entrañar un riesgo financiero importante si se consiguiera desvelarla.
Los activos en sí también deben clasificarse de acuerdo a las medidas de protección que requiera cada uno. Entre las medidas se incluyen:
| • | Prevención: medidas para evitar el daño, la alteración y el robo de los activos. Las medidas preventivas incluyen desde el bloqueo de la puerta de la habitación donde se encuentra el servidor hasta la implementación de directivas con un alto nivel de seguridad |
| • | Detección: medidas para detectar cuándo se han dañado, alterado, robado o puesto en riesgo los activos. Las medidas de detección incluyen mecanismos para determinar de qué manera se ha puesto en peligro un activo y, específicamente, quién fue el causante del daño. Existen distintas herramientas para la detección de intrusiones, daños o alteraciones y virus. |
| • | Reacción: medidas que permiten la recuperación de los activos, aún cuando un activo se ha perdido o dañado. |
Estas medidas de protección se deben integrar con diferentes tipos de contramedidas. Las contramedidas, o protecciones, disminuyen el riesgo potencial que corre un activo de estar en peligro. Se han diseñado para eliminar vulnerabilidades o reducir el riesgo de que una amenaza se aproveche de una vulnerabilidad en un entorno de equipos.
Lo primero que se debe saber para poder desarrollar contramedidas es en qué forma podrían ponerse en peligro los activos de la organización mediante la enumeración de amenazas y riesgos relevantes a ellos. La lista siguiente contiene cinco principios a tener en cuenta al desarrollar un programa de seguridad para proteger los activos de la compañía. Cada uno de estos principios debe evaluarse de acuerdo con las necesidades de la compañía.
| • | Confidencialidad. La confidencialidad es una condición que se mantiene al asegurar que sólo los usuarios autorizados puedan tener acceso a la información. Garantiza el cumplimiento del nivel necesario de reserva en cada intersección del procesamiento de datos para evitar una revelación sin autorización. Un ejemplo de medidas ineficientes en cuanto a seguridad sería permitir el acceso de usuarios anónimos a información confidencial, como por ejemplo, un archivo compartido del departamento de recursos humanos. |
| • | Integridad. La integridad implica proteger la precisión y la totalidad de los métodos de información y procesamiento. Se mantiene cuando existe veracidad y confiabilidad de la información dentro del entorno del sistema, y cuando se evita la modificación no autorizada de datos. El almacenamiento de datos incorrectos dentro del sistema puede ser tan perjudicial como la misma pérdida de datos. |
| • | Autenticación. La autenticación es el proceso que comprueba que los usuarios son quienes dicen ser cuando inician sesión en un sistema. Por lo general, los nombres de usuario y las contraseñas cumplen con esta autenticación. Los métodos de autenticación más sofisticados incluyen el uso de tarjetas inteligentes, o biometría, incluido el escaneado de huella digital o retina. |
| • | Autorización. La autorización es el derecho que se le otorga a un individuo o proceso para usar el sistema y los datos almacenados en éste. Por lo general, un administrador del sistema configura la autorización y, posteriormente, la comprueba un equipo del entorno siguiendo alguna forma de identificación de usuario, como un número de identificación personal (PIN), un código o una contraseña. |
Amenazas, exposiciones, vulnerabilidades y contramedidas
Si un agente amenazante da lugar a una amenaza y aprovecha una vulnerabilidad, el ataque genera un peligro potencial para la seguridad. El ataque puede dañar el activo, lo que afectaría su confidencialidad, integridad o disponibilidad. De este modo, el ataque expone a la compañía a posibles pérdidas. Sin embargo, estas exposiciones se pueden reducir mediante el uso de contramedidas.
Por ejemplo, si una compañía posee un software de antivirus sólo en sus servidores, y las firmas de virus no se actualizan, esto crea una vulnerabilidad. La compañía se vuelve vulnerable a los ataques de virus y a la amenaza de aparición de un virus en el entorno que afecte la productividad.
El riesgo es la probabilidad de que un virus aparezca en el entorno y cause daños. Como existe la posibilidad de que con un ataque de virus se pierdan o se dañen datos, la compañía se encuentra expuesta. Las contramedidas para esta situación son asegurarse de que el software de antivirus esté instalado en todos los equipos del entorno y que las firmas en cada uno de ellos estén actualizadas.
Los términos de la administración de la seguridad a veces pueden ser difíciles de entender. En la tabla siguiente se proporciona una perspectiva unificada de los componentes clave en la administración de la seguridad.
Tabla 1: Componentes clave de seguridad
| Componente | Definición |
Amenaza | Una amenaza es cualquier peligro potencial para la información o los sistemas. |
Agente amenazante | Un agente amenazante es la persona o el proceso que ataca a la red a través de un puerto vulnerable en el servidor de seguridad, o un proceso que se utiliza para tener acceso a información de una forma que infrinja las directivas de seguridad. |
Vulnerabilidad | Una vulnerabilidad es un software, hardware o deficiencia de procedimiento que podría darle a un atacante o agente amenazante la oportunidad de introducirse en un equipo o red, y tener acceso a recursos dentro del entorno sin autorización. |
Riesgo | Un riesgo es la posibilidad de que un agente amenazante se aproveche de una vulnerabilidad. Es el potencial de pérdida o la probabilidad de que una amenaza se aproveche de una vulnerabilidad. |
Exposición | Una exposición se produce cuando un agente amenazante expone un activo de la compañía a una pérdida potencial. Una vulnerabilidad puede exponer una organización a posibles daños. |
Contramedida | Una contramedida, o protección, puede reducir un riesgo. Las contramedidas incluyen configuraciones de software, hardware o procedimientos que eliminan una vulnerabilidad, o reducen las posibilidades de que un agente amenazante se aproveche de una vulnerabilidad. |
La relación entre amenazas, vulnerabilidades y riesgos puede ser un concepto difícil de entender al principio. Cada amenaza y vulnerabilidad que se identifique dentro de la organización debe ser calificada y clasificada de acuerdo a un estándar, como baja, media o alta. La clasificación varía entre las distintas organizaciones y a veces también dentro de la misma organización. Por ejemplo, la amenaza de un terremoto es significativamente mayor para las oficinas que se encuentran cerca de una línea de error importante que para cualquier otro lugar. De forma similar, la vulnerabilidad del daño físico a equipos será muy alta para una organización que se dedique a la producción de equipos de electrónica extremadamente sensibles y frágiles, pero la misma vulnerabilidad será más baja para una compañía constructora.
La matriz de administración de riesgo ayuda a evaluar las amenazas y su impacto en la organización. El nivel de riesgo en su organización se incrementa con el nivel de amenaza y vulnerabilidad, como se indica en la ilustración siguiente.
Figura 1
Matriz de administración de riesgo
La matriz de administración de riesgo podría ser utilizada como una herramienta de la siguiente forma. Por ejemplo, la compañía podría tener dos tipos de sitios Web diferentes, uno sin fines lucrativos que brinde información comercial, o un sitio transaccional de servicios financieros que ofrece transacciones de venta integrales para los clientes.
Cada sitio Web tendrá niveles de riesgo diferentes. Por ejemplo, el sitio Web informativo podría tener un nivel de amenaza bajo ya que contiene información que no es crucial para el funcionamiento de las operaciones comerciales en el caso de que sea robada o dañada. Estos sitios Web informativos también podrían tener un nivel de vulnerabilidad bajo en el caso de que los paquetes de servicios llamados Services Packs y las revisiones sean desplegadas en esos servidores. Esto implica que el sitio Web informativo estará en el cuadrante de Riesgo bajo.
Por otro lado, el sitio Web de servicios financieros podría estar en el cuadrante de Riesgo medio o Riesgo alto. Los atacantes pueden beneficiarse en el caso de que la seguridad de los datos financieros esté en peligro o estos hayan sido robados, lo que implica un nivel de riesgo alto. Sin embargo, si los servidores Web cuentan con los Service Packs y las revisiones adecuadas, entonces el sitio Web sería menos vulnerable y podría estar en el cuadrante de Riesgo medio. Si los servidores Web no están actualizados con los Service Packs y las revisiones, el sitio Web será muy vulnerable y podría ubicarse en el cuadrante de Riesgo alto.
En la ilustración siguiente se proporciona un modelo teórico que se utiliza para determinar las distintas amenazas, motivos y objetivos, métodos, puntos débiles y vulnerabilidades que podrían emplearse en contra de la organización en un ataque.
Figura 2
Esquema de las amenazas en los activos
En la ilustración anterior se describe un esquema simple y lógico que demuestra de qué forma los agentes amenazantes podrían poner en peligro a los activos. Los tres tipos de clasificación de amenazas se describen en el extremo izquierdo de la figura. La clasificación de amenazas identifica quién es el atacante o qué agentes están iniciando un ataque. Éstas incluyen amenazas benignas, amenazas malintencionadas e incidentes catastróficos.
Por lo general, los agentes amenazantes tienen motivos y objetivos que cumplir cuando intentan poner en riesgo la seguridad de los activos, como la ganancia financiera. Los agentes amenazantes utilizan herramientas, técnicas y métodos específicos para sacar provecho de ciertas vulnerabilidades de la seguridad de los activos. Las flechas que se muestran en la ilustración indican la ruta que podría tomar un atacante durante su intento de poner en peligro un activo y las vulnerabilidades de las que podría beneficiarse para llevarlo a cabo.
Clasificación de amenazas
Una amenaza es una persona, un lugar o una entidad que tiene la capacidad de tener acceso a los recursos y causar daño. Las amenazas pueden tener dos orígenes principales: humanas y eventos catastróficos. Las amenazas humanas se pueden subdividir en dos categorías: malintencionadas y benignas. Los "ataques" benignos provienen generalmente de usuarios y empleados que no cuentan con el entrenamiento necesario para operar equipos y no son conscientes de las distintas amenazas a la seguridad de los equipos. Los ataques malintencionados generalmente provienen de personas ajenas, o empleados descontentos o ex empleados que tienen un objetivo o fin específico por cumplir.
Tabla 2: Tipos de amenazas
| Amenaza | Ejemplos |
Incidentes catastróficos | Incendio, inundación, vientos fuertes, terremoto, corte de electricidad, ataques terroristas |
Persona benigna | Empleados desinformados, usuarios desinformados |
Persona malintencionada | Atacantes, espías industriales, gobiernos, soborno e ingeniería social |
Incidentes catastróficos
Cualquier evento que esté relacionado con climas extremos, fenómenos naturales o incidentes catastróficos que puedan causar un daño severo a la infraestructura de la organización. Se puede sufrir la pérdida de información, el daño del hardware y la pérdida de productividad junto con la destrucción de otros servicios esenciales.
Desafortunadamente, existen pocas medidas preventivas que se pueden implementar para reducir las posibilidades de incidentes catastróficos. La mejor forma de enfrentar estos tipos de amenazas es tener planes de recuperación y de contingencia que ayuden a minimizar los efectos de una pérdida. Para que la organización vuelva a su "estado previo" y pueda retomar sus operaciones comerciales normales con la mayor rapidez posible, es necesario tener los planes listos para poder aplicarlos en el momento en que ocurra el incidente. Además de los desastres naturales, se incluyen los disturbios callejeros, ya que es muy difícil poder desarrollar planes de contingencia para protegerse contra una pérdida del activo de información en el caso de eventos de ese tipo.
Errores mecánicos
Las amenazas mecánicas generalmente se pasan por alto. Éstas pueden incluir cortes de luz, errores de hardware e interrupciones de la red. La prevención de vulnerabilidades que pueden surgir de estos tipos de amenazas se logra a través de una planificación adecuada.
El agrupamiento de hardware, las cajas de electricidad redundantes para los centros de datos y un diseño sólido de redes ayudan a eliminar puntos de errores individuales en la organización que podrían causar errores mecánicos. Sin embargo, la implementación de estas medidas podría ser extremadamente costosa y se debe evaluar cuidadosamente para garantizar que el valor del activo justifique el uso de tales métodos.
La reducción de las amenazas mecánicas podría dejar al descubierto otros riesgos de seguridad, ya que las medidas tomadas podrían aumentar la superficie de ataque. La superficie de ataque es cómo se contempla al activo con relación al número de puntos de acceso potenciales al sistema. A menudo, al agregar prestaciones y funcionalidad a un activo informático, podrían exponerse otras vulnerabilidades de seguridad. Sin embargo, las amenazas mecánicas por lo general no son de gran interés cuando se trata de un proyecto de seguridad y es por eso que deberían tratarse fuera del ámbito de esta guía.
Amenazas humanas
La amenazas humanas pueden aparecer de dos maneras diferentes: malintencionadas y benignas. Las amenazas benignas pueden causar graves problemas a la integridad de los datos a través de un error de usuario normal. Dentro de esta categoría se encuentran los errores de software, errores en el ingreso de datos y errores administrativos.
Ataques malintencionados
Las amenazas malintencionadas consisten en ataques llevados a cabo por empleados descontentos o malintencionados, ex—empleados o personas ajenas a la organización. Es probable que las personas que pertenecen a la organización tengan fines y objetivos específicos y, por lo general, dispondrán de algún tipo de acceso legítimo a los sistemas del entorno. Los empleados son el grupo que está más familiarizado con los equipos y las aplicaciones de la compañía, incluyendo el conocimiento de cuáles son los puntos débiles y las vulnerabilidades que podrían causarle el mayor daño a la organización. En el caso de estos tipos de ataque es casi imposible protegerse ya que son extremadamente difíciles de detectar.
Es probable que las personas malintencionadas que pertenecen a la organización tengan fines y objetivos específicos y, por lo general, dispondrán de acceso legítimo al sistema. Un ataque malintencionado llevado a cabo por una persona de la organización puede afectar a todos los componentes de seguridad y aplicaciones informáticas. Otros tipos de delitos de seguridad instigados por estas personas incluyen soborno o ingeniería social.
La ingeniería social es el proceso por el cual se engaña a las personas para que revelen sus contraseñas o algún tipo de información de seguridad. Por lo general, estas acciones no se detectan ya que las pistas de auditoría son inadecuadas, o no se revisan.
Un atacante malintencionado también puede hacer uso de la ingeniería social para engañar a los empleados y así tener acceso al entorno. Por ejemplo, un atacante se puede hacer pasar por administrador y preguntar por contraseñas y nombres de usuario. Aquellos empleados que no estén bien entrenados y no sean conscientes de los problemas de seguridad podrían caer en la trampa.
Los empleados descontentos pueden, en el mejor de los casos, causar algún inconveniente o, en el peor de los casos, generar un sabotaje dentro de la organización. Los empleados pueden causar más daño que los ex empleados.
Amenazas benignas
Los atacantes no son los únicos que pueden dañar una organización. La amenaza principal a la integridad de los datos proviene de usuarios no autorizados que no tienen conciencia de las acciones que están realizando. Los errores y las omisiones pueden ocasionar la pérdida, el daño o la alteración de datos importantes de la organización.
Los errores y las omisiones son amenazas importantes a la integridad de los datos. Los errores no se producen sólo a causa de los datos que ingresan los empleados al procesar cientos de transacciones por día, sino también a causa de todos los usuarios que crean y editan datos. Muchos programas, especialmente aquellos que diseñan los usuarios para PC, no cuentan con las medidas de control de calidad adecuadas. Sin embargo, ni siquiera los programas más sofisticados ofrecen protección contra todos los tipos de errores de entrada u omisiones.
Los errores de programación y desarrollo varían de acuerdo a la gravedad y oscilan desde irritantes a catastróficos. Las mejoras en la calidad de software han reducido pero no eliminado esta amenaza. Los errores de instalación y mantenimiento también pueden causar problemas de seguridad.
Por lo general, las organizaciones dan por sentado que los programas de información que reciben sus sistemas informáticos son más precisos de lo que realmente son. Muchas organizaciones tratan los errores y omisiones que tienen que ver con la seguridad informática, la calidad de software y los programas de calidad de datos mediante la implementación de directivas de seguridad.
Categorización de amenazas
Existen literalmente cientos de formas diferentes de categorizar amenazas. Microsoft desarrolló el método STRIDE (por la sigla en inglés que describe al método) para categorizar los siguientes tipos de amenazas malintencionadas: Imitación de identidad, Manipulación de datos, Rechazo, Revelación de información, Denegación del servicio, y Elevación de privilegios. A continuación se define cada uno de los componentes del método.
Imitación de identidad
Las amenazas de imitación de identidad incluyen cualquier actividad orientada a obtener acceso y utilizar, ilegalmente, la información de autenticación de otra persona, como pueden ser el nombre de usuario o la contraseña.
Manipulación de datos
Las amenazas de manipulación de datos están relacionadas con la modificación malintencionada de los datos. Los ejemplos incluyen la realización de cambios de datos persistentes sin autorización, como la desfiguración de sitios Web, información contenida en una base de datos o la alteración de datos mientras circulan de un equipo a otro en una red abierta.
Rechazo
Las amenazas de rechazo están asociadas con usuarios que se rehusan a ejecutar una acción, pero no existe ninguna forma de probarlo. Un ejemplo sería cuando un usuario realiza una operación ilegal en un sistema sin la capacidad de rastrear la operación prohibida. No rechazo se refiere a la capacidad que tiene un sistema de contrarrestar las amenazas de rechazo. Por ejemplo, un usuario que compra un elemento tendría que firmar por éste en el momento en que lo recibe. En el futuro, el vendedor podrá usar ese recibo firmado como evidencia de que el usuario ha recibido el paquete.
Revelación de información
Las amenazas de revelación de información están relacionadas con la divulgación de información entre individuos que no deberían tener acceso a la misma. Los ejemplos incluyen aquellos usuarios que pueden leer archivos a los cuales ellos no tenían permitido el acceso o los intrusos que leen datos en tránsito entre dos equipos.
Denegación del servicio
Los ataques de denegación del servicio (DoS) interrumpen el servicio para usuarios válidos. Los objetivos del ataque DoS son hacer que un servidor Web permanezca fuera de servicio o inutilizable por un tiempo. La protección contra ciertos tipos de amenazas DoS podría mejorar la disponibilidad y confiabilidad del sistema.
Elevación de privilegios
En este tipo de amenazas, un usuario sin privilegios gana un acceso de privilegio que le permite poner en peligro o posiblemente destruir todo el entorno del sistema. Estas amenazas incluyen situaciones en las cuales el atacante ha penetrado de manera eficaz todas las defensas del sistema para poner en peligro y dañar el sistema.
Puntos débiles
Es posible ingresar a un activo a través de una amenaza que utiliza una vulnerabilidad en el entorno de la organización. La siguiente tabla proporciona ejemplos de tres tipos clave de puntos débiles.
Tabla 3: Tipos de puntos débiles
| Punto débil | Ejemplo |
Punto de vulnerabilidad técnica | Ataque de fuerza bruta |
Recolección de información | Identificación de dirección |
Denegación del servicio (DoS) | Daño físico |
Ejemplo: Puntos débiles de atacantes malintencionados
Eliminación y alteración de información
Los atacantes malintencionados que eliminan o alteran información por lo general lo hacen porque quieren probar una operación determinada o como venganza por algo que ha pasado. Las personas malintencionadas que pertenecen a la organización normalmente actúan por resentimiento contra la organización y están disgustadas por algún motivo. Quienes no pertenecen a la organización, sin embargo, podrían atacar sólo para probar que el ataque es posible, o tal vez por la satisfacción de decir lo que han hecho.
Fraude y robo de información
La tecnología de la información es cada vez más la herramienta y, al mismo tiempo, el blanco del fraude y el robo. Los sistemas financieros que están diseñados y controlados adecuadamente pueden apoyar a la legislación necesaria o la solicitud de informes para prevenir el fraude. Los entornos de sistemas financieros no son los únicos sujetos a estos abusos. Otros blancos incluyen aquellos entornos que controlan el acceso a información personal, como agencias de crédito o de identidad, sistemas de acceso y seguimiento de personal, sistemas de inventario, sistemas de calificación escolar o sistemas de facturación del servicio telefónico de larga distancia.
Como muchos equipos son relativamente pequeños y costosos, el robo físico es muy fácil. Si bien el activo de hardware podría ser reemplazado, los datos que contiene podrían ser mucho más valiosos en el caso de que contenga números de tarjetas de crédito o historias clínicas de pacientes. No se puede lograr que algo sea imposible de robar, pero para una mejor protección de la inversión hecha en equipos, se pueden implementar medidas como las cerraduras para escritorios para asegurar los equipos en la organización. Si se roba un equipo, la información que éste contiene estará a disposición del ladrón, quien podría eliminarla o leerla. Pero es posible que la información robada sea prácticamente inservible si se cifran los datos; aunque es importante asegurarse de que el ladrón no pueda tener acceso a la clave para descifrarlos.
Trastornos en las operaciones comerciales normales
Los atacantes podrían tener interés en generar un trastorno en las operaciones comerciales normales. Esto podría ocurrir a causa del resentimiento del atacante, por ejemplo, un empleado que está disgustado y no quiere trabajar porque le han denegado un ascenso.
Por otro lado, un atacante que no pertenece a la organización tal vez quiera generar problemas en los servicios para sobresalir comercialmente en un mundo regido por la competencia. También es posible que los autores del delito ataquen sólo por diversión. Independientemente del motivo, el atacante tiene un objetivo específico, y alcanzarlo lo llenará de satisfacción y gratificación. Los atacantes pueden usar varios métodos para realizar ataques DoS. La sección sobre "Análisis de amenazas" en el módulo "La disciplina de administración de riesgos de seguridad", describe los métodos, las herramientas y las técnicas para llevar a cabo un ataque DoS.
Métodos de ataque
Motivo de la amenaza + Método de Explotación de punto débil + Vulnerabilidad del activo = Ataque
El método de esta fórmula aprovecha la vulnerabilidad de la organización para defenderse de un ataque según se describe en la figura 2. Los atacantes malintencionados pueden tener acceso o denegar servicios de diferentes formas, a saber:
| • | Virus, troyanos, y gusanos |
| • | Averiguación de contraseñas |
| • | Ataques DoS |
| • | Piratería de correo electrónico |
| • | Código malintencionado |
| • | Reproducción de paquetes de información |
| • | Modificación de paquetes de información |
| • | Interceptación |
| • | Ingeniería social |
| • | Ataques de intrusos |
| • | Imitación de IP y secuestro de sesiones |
Vulnerabilidades
Una vulnerabilidad es el punto donde un activo se vuelve susceptible a una amenaza. También puede considerarse como una debilidad. Las vulnerabilidades pueden radicarse en tecnologías, personas o procesos. Muy a menudo se las considera como defectos tecnológicos en la implementación de software o hardware o en el diseño o arquitectura de un sistema. Toda directiva o procedimiento organizativo mal definido y comunicado también es una vulnerabilidad.
Además, las vulnerabilidades son puntos no seguros o vacíos aprovechados por un atacante malintencionado para obtener acceso a la red o a sus recursos. El punto clave que hay que entender bien es que la vulnerabilidad no representa el ataque en sí, sólo el punto débil aprovechado.
En la lista siguiente se detallan posibles vulnerabilidades, que representan sólo unas pocas de las tantas existentes e incluyen ejemplos de las áreas de seguridad física, de información y de red.
Tabla 4: Tipos de vulnerabilidades
| Vulnerabilidades | Ejemplos |
Físicas | Puertas sin cerrojo |
Naturales | Edificio corporativo construido sobre una línea de error |
Hardware y software | Software antivirus y revisiones de sistema operativo desactualizados |
Medios | Interferencia eléctrica |
Comunicaciones | Protocolos no cifrados |
Humanas | Procedimientos mal definidos y aplicaciones escritas de manera inadecuada |
Riesgos
Un riesgo es la probabilidad de que un agente amenazante se aproveche de una vulnerabilidad, más el potencial de pérdida o la probabilidad de que una amenaza se beneficie de dicha vulnerabilidad. Si un servidor de seguridad presenta varios puertos abiertos, aumentará el riesgo de que un intruso pueda utilizar uno de ellos para tener acceso a la red mediante un método no autorizado.
Si los usuarios de su entorno no conocen adecuadamente los procesos y procedimientos de seguridad, aumenta el riesgo de que un empleado cometa un error y destruya información involuntariamente. Si una red no cuenta con un sistema de detección de intrusos, aumenta el riesgo de que no se descubra un ataque a tiempo. Reducir vulnerabilidades o agentes de amenaza disminuye el riesgo.
Contramedidas
Las contramedidas, o protecciones del sistema, mitigan el riesgo potencial. Una contramedida es todo elemento tal como una configuración de software, hardware o procedimiento que, al ser implementado, contrarresta una amenaza y vulnerabilidad para reducir el riesgo en un entorno informático.
Entre los ejemplos de contramedidas se incluyen: administración de contraseñas seguras, un guardia de seguridad, mecanismos para controlar el acceso dentro de un sistema operativo, implementación de contraseñas para el servicio básico de entrada y salida (BIOS) y capacitación en conocimientos sobre seguridad.
Si su compañía cuenta con revisiones de seguridad sólo en los servidores y no las mantiene actualizadas, se genera una vulnerabilidad. La amenaza se materializa en un usuario malintencionado o benigno que aparece en el entorno y desestabiliza la productividad. Si carece de las revisiones actualizadas, el sistema no está protegido y existe la posibilidad de que se pierdan o se dañen datos por tal exposición. Las contramedidas pertinentes en esta situación son instalar todos los Service Pack requeridos con anticipación en todos los equipos de la organización y luego actualizarlos con las revisiones que no se incluyen en estos. La siguiente figura ilustra la relación entre amenazas, vulnerabilidades y contramedidas.
Figura 3
Relaciones entre componentes de seguridad
La inspección del Escuadrón de Intrusión Informática (Computer Intrusion Squad) publicada por Cuestiones de Seguridad Informática [Computer Security Issues (CSI)] y la sucursal de San Francisco de la Oficina Federal de Investigaciones [Federal Bureau of Investigation (FBI)] analiza con profundidad diversos tipos de delitos informáticos. Los resultados deben considerarse como datos de inteligencia sin procesar. Estas inspecciones proporcionan recursos de inteligencia para mantenerlo actualizado sobre las tendencias emergentes en delitos cibernéticos.
Resumen
En este módulo se proporciona una descripción general de los componentes más importantes del análisis de seguridad y los principales procedimientos necesarios para poner estos componentes en práctica en un entorno corporativo. Comprender la relación entre amenazas, exposiciones, vulnerabilidades y contramedidas es vital para obtener medidas eficaces de seguridad dentro de su organización.
Información adicional
Para obtener más información sobre delitos informáticos, consulte: http://www.gocsi.com/press/20020407.html.
Para obtener más información sobre evaluación de amenazas, consulte: "Threat Assessment of Malicious Code and Human Threats" por Lawrence E. Bassham & W. Timothy Polk: División de Seguridad Informática del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology Computer Security Division) en: http://csrc.nist.gov/publications/nistir/threats/index.html.
Para obtener información sobre las prácticas más recomendadas sobre seguridad de la información, consulte: http://www.iso-17799.com/.
Para obtener información sobre intrusiones, consulte: http://www.hackingexposed.com/.
Para obtener información sobre amenazas de seguridad para Microsoft TechNet, consulte: http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx.
Para obtener información sobre la valoración de activos del Instituto Nacional de Estándares y Tecnología, consulte: http://csrc.nist.gov/asset/.