8.3- Amenazas y Vulnerabilidades
Conceptos Básicos
Amenazas
Son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser: causas naturales o no naturales, causas internas o externas
Uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas.
Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo , lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos:
- Amenazas naturales condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos.
- Intencionales son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.
- Involuntarias - son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.
Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta.
Riesgo
exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.
p ráctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura , con información disponible, íntegra y confidencia l, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.
Peligro
Medidas de seguridad
Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades , teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.
Existen medidas de seguridad espe cíficas para el tratamiento de cada variedad de clases de puntos débiles .
Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.
A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:
Incidentes o Accidentes
Ambos son acontecimientos inesperados con la diferencia que en los accidentes el impacto es negativo, pueden ser perdidas o daños, mientras que los incidentes no causan ese impacto negativo, pero son muy útiles para evitar los daños identificando las causas.
Vulnerabilidades
Son los puntos débiles que, al ser explotados por amenazas , afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información.
Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección.
Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información y con la presencia de elementos que perjudican el uso adecuado de la información y del medio en que la misma se está utilizando.
Tipos de amenazas
Físicas
Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está manejando o almacenando físicamente , como ejemplos de este tipo de vulnerabilidad se distinguen:
- Instalaciones inadecuadas del espacio de trabajo,
- Ausencia de recursos para el combate a incendios,
- disposición desorganizada de cables de energía y de red,
- Ausencia de identificación de personas y de locales, etc.
Naturales
Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.
La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el loca l, podemos citar:
- Ambientes sin protección contra incendios,
- Locales próximos a ríos propensos a inundaciones,
- Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.
De Hardware
Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos, podemos mencionar:
- La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan
- Conservación inadecuada de los equipos.
- La falta de configuración de respaldos o equipos de contingencia
Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus funciones. Si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados.
De software
Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas infor máticos incluso sin el conocimiento de un usuario o administrador de red, entre éstos destacamos:
La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.
Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.
- Programas lectores de e-mail que permiten la ejecución de códigos maliciosos,
- Editores de texto que permiten la ejecución de virus de macro etc.
- Programas para la automatización de procesos
- Los sistemas operativos conectados a una red.
De Almacenamiento
Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar: memorias USB, disquetes, CD-roms, cintas magnéticas, discos duros de los servidores y de las bases de datos, así como lo que está registrado en papel.
Si los soportes que almacenan información, no se utilizan de forma adecuada, el contenido en los mismos pod rá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información.
- Plazo de validez y caducidad, defecto de fabricación,
- Uso incorrecto,
- Lugar de almacenamiento en locales insalubres o con alto nivel de, humedad, magnetismo o estática, moho, etc.
De conexión
Donde sea que la información se transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.
Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.
Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para sus usuario s, o por el contrario, estar disponible para quien no posee derechos de acceso.
- La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada.
- La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.
Humanas
Esta categoría de vulnerabilidad está relacionada con los d años que las personas pueden causar a la información y al ambiente tecno lógico que la soporta.
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
Destacamos dos puntos débiles humanos por su grado de frecuencia: la falta de capacitación específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.
En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.
- Contraseñas débiles,
- Falta de uso de criptografía en la comunicación,
- Compartimiento de identificadores tales como nombre de usuario o credencial de acceso, etc.
Enlaces Relacionados
- Reinventan los Delítos Informáticos (Artículo en DiarioT.I.)
- Protect your Network from Rogue Employees (Artículo en inglés de CIO)
- Principales Amenzas son Internas (Artículo en PCworld.es)
- Infraestructuras de Servicios Públicos vunerables a ataques cibernéticos (PcWorld.es, 12/nov2008)
- Empleados miedosos a ser depedidos pueden amenazas (Natalia Mosquera, PcWorld.es, 03/dic/2008)
- Ingeniería Social técnica más usada por el malware (DiarioTI.com, 03/dic/2008)
- Predicciones sobre Amenazas 2009 (WebSense, DiarioTI, 08/ene/2009)
- Impacto de las amenazas que roban o pierde datos Paula Bardera, PcWorld.es, 02/feb2009)
- Los viejos Contrafuedos son Amenazas (Paula Bardera, PcWorld.es, 03/feb2009
- Protegerse de "Man-in-the-middle" (DiarioTI.com, 20/mar/2009)
- Hackear un SmartPhone es Fácil (Paula Bardera, PcWorld.es,30/abr/2009)
- Empleados Principales Responsables de Problemas de Seguridad (DiarioTI, 2008)
- Las empresas dispones de reglas claras sobre el uso y administración de los recursos informáticos, sin embargo los empleados no las cumplen.
- 1/5 de los encuestados dicen haber alterado la configuración de la computadora asignada, especialmente la instalación de programas
- 1/3 de los consultas admitió abandonar su PC con la sesión abierta
- 66% usa la computadora del trabajo para: descargar mñusica, entrar a la banca o compra en-línea
- 44% ha prestado la PC o Celular a terceros para fines no laborales
- La investigación fue realizada por Cisco a 1000 directopres de informática y 1000 empleados en Inglatera y EE UU.
2 comentarios
Carlos Barrates -
saludos
Resultados sobre Seguridad Novell -