margerit
TRANSCRIPT
CATALAGOS DE ELEMENTOS DE MARGERIT
Johan Roque castro
CATALOGO DE ELEMENTOS
Facilitar la labor de las
personas que acometen el proyecto Homogeneizar los resultados
TIPOS DE ACTIVOS
Activos Esenciales:
La información
Los servicios
INFORMACION
Datos VitalesDatos Vitales
Datos de Carácter PersonalDatos de Carácter Personal
Datos ClasificadosDatos Clasificados
(A)Nivel Alto(B)Nivel Bajo(M)Nivel Medio
(A)Nivel Alto(B)Nivel Bajo(M)Nivel Medio
[C] nivel confidencial[R] difusión limitada[UC] sin clasificar[PUB] de carácter pública
[C] nivel confidencial[R] difusión limitada[UC] sin clasificar[PUB] de carácter pública
Esenciales para supervivencia de la OrganizaciónEsenciales para supervivencia de la Organización
ARQUITECTURA DEL SISTEMA
Permiten estructurar el sistema, definiendo su Arquitectura interna
sus Relaciones con el exterior.
[SAP] punto de [acceso al] servicio
[IP] punto de interconexión
[EXT] proporcionado por terceros: cuando para la prestación de nuestros servicios recurrimos a un tercero.
DATOS/INFORMACION
[test] datos de prueba
[backup] copias de respaldo
[exe] código ejecutable
[source] código fuente
[test] datos de prueba
[password] credenciales
[files] ficheros registro de actividad: validación de credenciales
CLAVES CRIPTOGRAFICAS:
Se emplea para proteger el secreto o autenticar a las partes
• Claves de cifra y firma• secreto compartido (clave simétrica) • clave pública de cifra y firma • clave privada de descifrado• Clave publica de verificación de firma
• claves de cifrado del canal• claves de autenticación• claves de verificación de autenticación
• claves de cifra
Protección de la información
Protección de comunicaciones
[disk] cifrado de soportes de información
[x509] certificados de clave pública
SERVICIOS
Función que satisface una necesidad delos usuarios (del servicio).
anónimo (sin requerir identificación del usuario)
a usuarios externos (bajo una relación contractual)
Almacenamiento y transferencia de ficheros
correo electrónico
SOFTWARE- APLICACIONES INFORMATICAS
Tareas que han sido automatizadas para su desempeño por un equipo informático
desarrollo propio (in house)
desarrollo a medida (subcontratado)
estándar (off the shelf)
servidor de aplicaciones servidor de correo electrónico sistema operativo sistema de backup
EQUIPAMIENTO INFORMATICO (HARDWARE)
Medios materiales, físicos, destinados a soportar directa O indirectamente los servicios que presta la organización,
grandes equipos
informática personal
informática móvil
periféricos medios de impresión escáneres dispositivos
soporte de la red Modemconmutadores encaminadores cortafuegos
REDES DE COMUNICACIONES
Incluyendo tanto instalaciones Dedicadas como servicios De comunicaciones contratados a terceros; pero siempre centrándose en que son medios de transporte que llevan datos de un sitio a otro.
red telefónica RDSI (red digital) X25 (red de datos)ADSL punto a punto comunicaciones radio red inalámbrica telefonía móvil por satélite red local
SOPORTES DEINFORMACION:
Dispositivos físicos que permiten almacenar in formación de forma permanente o, al menos, durante largos periodos de tiempo
Electrónicos
Discosdiscos virtualesalmacenamiento en reddisquetes cederrón (CD-ROM) memorias USB DVD cinta magnética tarjetas de memoria
No Electrónicos
material impresocinta de papel tarjetas perforadas
EQUIPAMIENTO AUXILIAR
Consideran otros equipos que sirven de soporte a los sistemas de información, sin estar directamente Relacionados con datos
fuentes de alimentación
sistemas de alimentación ininterrumpida
generadores eléctricos
equipos de climatización
cableado cable eléctrico fibra óptica
mobiliario: armarios, etc
cajas fuerte
INSTALACIONES
Lugares donde se Hospedan los sistemas De información Y comunicaciones
recinto
edificio
cuarto
plataformas móviles
vehículo terrestre: coche, etc. vehículo aéreo: avión, etc. vehículo marítimo: lancha, etc.
contenedores
canalización
instalaciones de respaldo
PERSONAS
Relacionadas con los sistemas de información
usuarios externos
usuarios internos
operadores
administradores de sistemas
administradores de comunicaciones administradores de BBDD
administradores de seguridad
desarrolladores / programadores
Subcontratas
proveedores
Dimensiones de Valoración
Características o atributo que hacen valioso un activo.
Criterios de Valoraciónuna escala detallada de diez valores
AMENAZAS
Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]
Valoración de las Amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el [valor del] activo.
Mide el daño causado por un incidente en el supuesto de que ocurriera.
La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
MA Muy alta Casi seguro Fácil
A Alta Muy alto medio
M Media posible difícil
B baja Poco probable Muy difícil
MB Muy baja Muy caro Extremadamente difícil
Probabilidad: cuán probable o improbable es que se materialice laamenaza.La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal.A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra. Son valores típicos:
MA 100 Muy frecuente A diario
A 10 Frecuente mensualmente
M 1 Normal una vez al año
B 1/10 Poco frecuente cada varios años
MB 1/100 Muy poco frecuente siglos
Se presenta a continuación un catálogo de amenazas posibles sobre los activos de un sistema de información. Para cada amenaza se presenta un cuadro como el siguiente:
[código] descripción sucinta de l o que puede pasar
Ti pos de activos:
que se pueden ver afectados por este tipo de amenazas
Dimensiones:de seguridad que se pueden verafecta das por este tipo deamenaza, ordenadas de más amenos relevante
Descripción:complementaria o más detallada de la amenaza: lo que le puede ocurrir aactivos del tipo indicado con las consecuencias indicadas
1. Desastres naturales
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta.
Origen: Natural (accidental)
1.1. Fuego
1.2.Daños por agua
1.3. Desastres naturales
2. De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada.
2.1. Fuego2.2.Daños por agua2.3.Desastres industriales2.4.Contaminación mecánica2.5.Contaminación electromagnética2.6.Avería de origen físico o lógico2.7.Corte del suministro eléctrico2.8.Condiciones inadecuadas de temperatura o humedad2.9.Fallo de servicios de comunicaciones2.10.Interrupción de otros servicios y suministros esenciales2.11.Degradación de los soportes de almacenamiento de la información2.12.Emanaciones electromagnéticas
3. Errores y fallos no intencionados
Fallos no intencionales causados por las personas.La numeración no es consecutiva, sino que está alineada con los ataques deliberados, muchas veces de naturaleza similar a los errores no intencionados, difiriendo únicamente en el propósito del sujeto.
Origen:
Humano (accidental)
1.Errores de los usuarios2.Errores del administrador3.Errores de monitorización (log)4.Errores de configuración5.Difusión de software dañino6.Errores de [re-]encaminamiento7.Errores de secuencia8.Alteración accidental de la información9.Destrucción de información10.Fugas de información11.Vulnerabilidades de los programas (software)12.Errores de mantenimiento / actualización de programas (software)13.Errores de mantenimiento / actualización de equipos (hardware)14.Caída del sistema por agotamiento de recursos15.Pérdida de equipos16.Indisponibilidad del personal
4. Ataques intencionados
Fallos deliberados causados por las personas.La numeración no es consecutiva para coordinarla con los errores no intencionados, muchas ve ces de naturaleza similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto.
Origen:
Humano (deliberado)
1.Manipulación de los registros de actividad (log)2.Manipulación de la configuración3.Suplantación de la identidad del usuario4.Abuso de privilegios de acceso5.Uso no previsto6.Difusión de software dañino7.Encaminamiento de mensajes8.Alteración de secuencia
9.Acceso no autorizado10.Análisis de tráfico11.Repudio12.Interceptación de información (escucha)13.Modificación deliberada de la información14.Destrucción de información15.Divulgación de información16.Manipulación de programas17.Manipulación de los equipos18.Denegación de servicio19.Robo20.Ataque destructivo21.Ocupación enemiga22.Indisponibilidad del personal23.Extorsión24.Ingeniería social (picaresca)
SALVAGUARDAS
Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.
Ante el amplio abanico de posibles salvaguardas a considerar, se deben tener en cuenta los siguientes aspectos:
Tipo de activos a proteger, pues cada tipo se protege de una forma específica.Dimensión o dimensiones de seguridad querequieren protección.Amenazas de las que necesitamos protegernos.Si existen salvaguardas alternativas.
Existen diferentes tipos de salvaguardas que tienen un efecto de reducción de degradación y de la probabilidad.
Valoración de salvaguardas
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo.
Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto.
Se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda.
Identificación y valoración de salvaguardas de la tienda