Universidad Nacional Autónoma de Honduras

Facultad de Ingeniería

IS -811 Seguridad Informática

Tercer Periodo 2022
RAC #1

Elaborado por:

Nolberto Jose Montufar Chinchilla

20191005565

Catedrático: Rafael E. Díaz del Valle

Fecha: 26 de Septiembre de 2022

 La seguridad es un proceso no un producto

Ataques informáticos

Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el

software, en el hardware, e incluso, en las personas que forman parte de un ambiente

informático; a fin de obtener un beneficio, por lo general de índole económico, causando un

efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la

organización. Uno de los pasos más importantes en seguridad, es la educación.

Etapas por las que pasa un ataque al momento de ser ejecutado.

Fase 1: Reconnaissance (Reconocimiento), Fase 2: Scanning (Exploración), Fase 3: Gaining

Access (Obtener acceso), Fase 4: Maintaining Access (Mantener el acceso), Fase 5: Covering

Tracks (Borrar huellas).

La seguridad consta de tres elementos fundamentales que forman parte de los objetivos que

intentan comprometer los atacantes. Estos elementos son la confidencialidad, un atacante podría

robar información sensible como contraseñas u otro tipo de datos, la integridad, mientras la

información se transmite a través del protocolo de comunicación, un atacante podría interceptar

el mensaje y la disponibilidad de los recursos, un atacante podría utilizar los recursos de la

organización, como el ancho de banda de la conexión DSL para inundar de mensaje el sistema

víctima y forzar la caída del mismo.

Debilidades en la seguridad informática: Ingeniería social, Factor insides, Códigos maliciosos,

Contraseñas, Configuraciones predeterminadas, Open source intelligence.

Amenazas informáticas y seguridad de la informática

La seguridad de la información es más que un problema de seguridad de datos en los

computadores; debe estar básicamente orientada a proteger la propiedad intelectual y la

información importante de las organizaciones y de las personas. Las vulnerabilidades son una

debilidad en la tecnología o en los procesos relacionados con la información, y como tal, se

consideran características propias de los sistemas de información o de la infraestructura que la

contiene. Una amenaza, en términos simples, es cualquier situación o evento que puede afectar la

posibilidad de que las organizaciones o las personas puedan desarrollar sus actividades afectando

directamente la información o los sistemas que la procesan.

Tipos de amenazas

Podemos agrupar las amenazas a la información en cuatro grandes categorías: Factores

Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de información;

Desastres naturales y; Actos maliciosos o malintencionados; algunas de estas amenazas son:

Virus informáticos o código malicioso, Uso no autorizado de Sistemas Informáticos, Robo de

Información, Fraudes basados en el uso de computadores, Suplantación de identidad,

Denegación de Servicios (DoS), Ataques de Fuerza Bruta, Alteración de la Información,

Divulgación de Información, Desastres Naturales, Sabotaje, vandalismo y Espionaje.

Identificador de red

Todos los sistemas informáticos conectados en red poseen identificadores para poder enviar

y recibir la información desde otros sistemas. Esta identificación se conoce como la dirección

IP (Internet Protocol). Para que un sistema pueda acceder a Internet, necesita tener una

dirección IP única, que no se repita o que no posea otro sistema en la red. Los sistemas

informáticos utilizan niveles pobres de autenticación tanto de sistemas como de usuarios, lo

cual disminuye la posibilidad de actuar contra los atacantes.

Gracias a la seguridad de la información las organizaciones y personas se pueden proteger de:

• Divulgación indebida de información sensible o confidencial, de forma accidental o bien,

sin autorización.

• Modificación sin autorización o bien, de forma accidental, de información crítica, sin

conocimiento de los propietarios.

• Pérdida de información importante sin posibilidad de recuperarla.

• No tener acceso o disponibilidad de la información cuando sea necesaria

 Los estándares ISO 17799 e ISO 27001 le dan a una organización las bases para desarrollar un

marco de gestión de la seguridad de la información efectivo, que le permita proteger sus activos

de información importantes, minimizando sus riesgos y optimizando las inversiones y esfuerzos

necesarios para su protección. cuando el flujo de información involucra instituciones situadas en

países con regulaciones o normas diferentes, pues lo que en un sitio es ser normal, puede ser

indebido o ilegal en otro.

Es tema de concientización es quizá el punto más neurálgico para obtener buenos resultados

en cualquier plan de seguridad de la información, debido a que la persona es casi siempre el

punto más débil, por la naturaleza misma del ser humano.

Ciberataques

Todos los ataques informáticos causan daño y alteran, en uno o más sentidos, el curso normal

de las actividades y ocupaciones de los afectados. Para analizarlos, los dividiremos en cuatro

grandes categorías: Infecciones por malware, Denegaciones de servicio, Ejecución de expolits e

Ingeniería social. Cuando hablamos de Infecciones por malware nos referimos a lo que

comúnmente se conoce como “infecciones por virus”. Estos pueden ser: virus, gusanos, troyanos,

keyloggers, spyware, adware, ransomware.

En lo que respecta a los ataques de Denegación de Servicio (DDoS), consisten en generar una

enorme cantidad de tráfico desde numerosos dispositivos a un sitio web determinado. Un buen

ejemplo de un ataque de DDoS, fue el que se llevó adelante el 21 de octubre de 2016 contra la

empresa Dyn DNS. Dicho ataque generó la caída, durante varias horas, de servicios

internacionalmente conocidos como: Airbnb, Amazon Web Services, Boston.com, Box, entre

otros. La Ejecución de exploits no es ni más ni menos que el aprovechamiento de

vulnerabilidades de programación para dañar sistemas y/o archivos o acceder a ellos. No

obstante, lo que acabamos de decir, es importante aclarar que “en algunos casos los exploits

pueden resultar útiles. Por ejemplo, las pruebas de intrusión autorizadas que se realizan con

herramientas como Metasploit pueden incrementar la seguridad de una organización.” A esa

clase de prácticas se las denomina Hacking Ético.

La Ingeniería Social es un conjunto de técnicas que se basan en el aprovechamiento de los

errores y/o faltas de atención y precaución de los usuarios para acceder a información

confidencial, privada de los mismos y luego, poder utilizarla a conveniencia.

Los ciberataques más comunes son el malware y el phishing. El estudio, llevado a cabo en 14

países latinoamericanos, revela que al menos un 20% del total de ciberataques son tipo malware.

Se estima que el costo promedio por cada data breach [violación de datos] es de 4 millones de

dólares. El informe también revela que más del 80% de los breaches [filtraciones de datos] son

por contraseñas débiles o robadas. Además, cada día se crean y distribuyen más de 300 mil

nuevos malware.

Como evitar los ciberataques:

• Navegar desde una red segura a la hora de introducir datos de pago

• Evitar hace clic en links que lleguen por email, SMS o redes sociales, ya que pueden

conducir a sitios fraudulentos.

• A la hora de realizar un pago, chequear que la dirección web en el navegador comience

con “https://”.

• De ser posible, realizar compras a través de dispositivos móviles como celulares o tablets.
 Seguridad en los Sistemas de Información

La seguridad se refiere a las políticas, procedimientos y medidas técnicas que se utilizan para

evitar el acceso sin autorización, la alteración, el robo o el daño físico, a los sistemas de

información.

¿Por qué son vulnerables los sistemas de información?

Los sistemas de información se interconectan en distintas ubicaciones a través de las redes de

comunicaciones. El potencial de acceso sin autorización, abuso o fraude no se limita a una sola

ubicación, sino que puede ocurrir en cualquier punto de acceso en la red.

Vulnerabilidad de seguridad contemporáneos

• Clientes: acceso sin autorización, errores

• Lianas de comunicación: intervención, alteración de mensajes, robos y fraudes

• Servidores corporativos: piratería informática, virus, gusanos, robo, fraude y vandalismos

• Sistemas corporativos: robo de datos, copia de datos, alteración de datos, entre otras
En el entorno de computación cliente/servidor multinivel, hay vulnerabilidades en cada capa

y en las comunicaciones entre ellas. Como ser:

• Acceso de usuarios no autorizados al sistema.

• Robo o alteración de datos valiosos durante la transmisión.

• Ataques DDoS para interrumpir la operación de los sitios Web.

• Destrucción de datos corporativos almacenados en bases de datos o archivos

Pero también existen factores ajenos a la red y las comunicaciones, como ser: Fallas de

hardware, Errores de programación y Fallas de energía.

¿Cuál es el valor de negocios de la seguridad y el control?

Muchas empresas se rehúsan a invertir mucho en seguridad debido a que no se relaciona de

manera directa con los ingresos de ventas. Las compañías tienen activos de información muy

valiosos por proteger. A menudo los sistemas alojan información confidencial sobre: los activos

financieros, los registros médicos, planes de desarrollo de nuevos productos, estrategias de

marketing, los negocios deben proteger no sólo sus propios activos de información, sino también

los de sus clientes, empleados y socios de negocios.

¿Cuáles son los componentes de un marco de trabajo organizacional para la seguridad y el

control?

Una evaluación del riesgo determina el nivel de riesgo para la empresa si no se controla

adecuadamente una actividad o proceso específico. Una vez que la empresa identifique los

principales riesgos para sus sistemas, tendrá que desarrollar una política de seguridad para

proteger sus activos.

¿Cuáles son las herramientas y tecnologías más importantes para salvaguardar los recursos

de información?

Las empresas cuentan con un cúmulo de tecnologías para proteger sus recursos de

información, como ser:

• Los firewalls evitan que los usuarios no autorizados accedan a una red privada cuando

está enlazada a Internet.

• Los sistemas de detección de intrusos monitorean las redes privadas en busca de tráfico

de red sospechoso o de intentos de acceder sin autorización a los sistemas corporativos.

• Se utilizan contraseñas, tokens, tarjetas inteligentes y autenticación biométrica para

autenticar a los usuarios de los sistemas.

 • El software antivirus verifica que los sistemas computacionales no estén infectados por

virus y gusanos, y a menudo elimina el software malicioso, mientras que el software

antispyware combate los programas intrusivos y dañinos.

• El cifrado, la codificación y encriptación de mensajes, es una tecnología muy utilizada

para proteger las transmisiones electrónicas a través de redes desprotegidas.

• Los certificados digitales en combinación con el cifrado de clave pública proveen una

protección más efectiva a las transacciones electrónicas al autenticar la identidad de un

usuario.

• Las compañías pueden usar sistemas computacionales tolerantes a fallas para asegurar

que sus sistemas de información siempre estén disponibles.

• El uso de la métrica de software y las pruebas rigurosas de software ayudan a mejorar la

calidad y confiabilidad del software.

Tipos de Ataques

Tendencias Cibercrimen Colombia

El Cibercrimen actúa de una manera coordinada y dispone de recursos económicos ilimitados

provenientes de las ganancias derivadas de actividades criminales previas.

Cibercrimen en cifras

A través de los canales de atención a empresas y ciudadanos dispuestos por la Policía

Nacional de Colombia fueron registrados 28.827 casos durante el 2019. Los incidentes más

reportados en Colombia siguen siendo los casos de Phishing con un 42%, la Suplantación de

Identidad 28%, el envío de malware 14% y los fraudes en medios de pago en línea con 16%.
 El principal interés de los Cibercriminales en Colombia se basa en la motivación económica y

la posterior monetización de las ganancias generadas en cada Ciberataque. Las Money Mules o

mulas monetarias Son personas que pres tan sus datos y cuentas bancarias para recibir dinero

producto de actividades ilícitas, se convierten en el eslabón primario de la cadena criminal del

Cibercrimen, perciben generalmente un 10% a 15% del total de ganancias. Si bien la cifra

obedece a los centros urbanos con mayor densidad poblacional y penetración de internet en el

país, el factor de desarrollo económico influye en los objetivos de los cibercriminales, que

enfocan su actuar hacia PYMES, entidades financieras y grandes compañías con asiento en estas

ciudades.

Ataques BEC

Cerca del 90% de los ciberataques que sufren las empresas en Colombia se deben a ingeniería

social. Los Ataques BEC son una de las principales amenazas a la cadena de suministros,

componente fundamental en la actividad diaria de una empresa. Según el FBI, los ataques BEC

durante el 2018 generaron pérdidas en organizaciones globales por valor de 12.000 millones de

dólares.

Los principales vectores de engaño en 2019 fueron: correos fraudulentos personalizados,

suplantación de identidad, enmascaramiento de correos e infección de sitios frecuentemente

visitados por empleados.

Ransomware

Colombia recibió el 30% de los ataques de Ransomware en Latinoamérica en el último año,

seguido de Perú (16%), México (14%), Brasil (11%) y Argentina (9%). Las PYMES fueron el

blanco preferido por los ciberataques. Vectores más comunes en un ataque de ransonware:
embargos judiciales, reportes centrales de riesgo, alarmas de transferencias no consentidas, foto

compartiendo, citaciones a diligencias judiciales

El proceso que utilizan los cibercriminales para hacer uso de un ransomware: crea o copia el

código fuente ransomware, luego el archivo infectado: suplantación de identidad, sube archivo

servidor web donde se almacena el archivo infectado en un link de descarga y ahí secuestra de

información al momento que el usuario abre el correo, descarga y ejecuta el archivo infectado.

Ataque DDOS

Los Ataques de Denegación de Servicio son utilizados para inhabilitar un servicio ofrecido

por un servidor, haciendo colapsar el sistema aprovechando sus vulnerabilidades. Según cifras

del Centro Cibernético Policial, 170 empresas reportaron ataques DDoS que consiguieron

interrumpir sus servicios de cara a sus clientes.

Malware

Los cibercriminales utilizan el malware con múltiples finalidades, tales como extraer

información personal o contraseñas, robar dinero o evitar que los propietarios accedan a su

dispositivo. Puede protegerse contra el malware mediante el uso de software antimalware. El

malware puede afectar equipos de cómputo, tablets, teléfonos celulares e incluso dispositivos

IoT. Métodos de dispersión de malware: correos con notificaciones suplantando entidades

públicas. (63%), redireccionamiento hacia sitios web infectados por el atacante. (32%), descarga

de aplicaciones maliciosas (5%)

Las tendencias criminales en 2020 son: inteligencia artificial y malware, uso de perfiles falsos

en redes sociales para difusión de malware, BEC basado en deepfake, uso de botnet para difusión

de correos extorsivos, uso de mercados ilegales en darknet.

Tipos de ataques e intrusos en las redes informáticas

Podríamos diferenciar en primer lugar entre los ataques activos, que producen cambios en la

información y en la situación de los recursos del sistema, y los ataques pasivos, que se limitan a

registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el

sistema. principales tipos de ataques contra redes y sistemas informáticos: Actividades de

reconocimiento de sistemas, Detección de vulnerabilidades de sistemas, Robo de información

por medio de la intercepción de mensajes, Modificación del contenido y secuencia de los

mensajes transmitidos, Análisis del tráfico, Ataques de suplantación de identidad, estos pueden

ser: IP Spoofing, DNS Spoofing, SMTP Spoofing y Capturas de cuenta de usuarios y

contraseñas, Modificaciones del tráfico y de las tablas de enrutamiento, Conexión no autorizada

a equipos y servidores, Consecuencias de las conexiones no autorizadas a los sistemas

informáticos, Introducción en el sistema de “malware” (código malicioso), Ataques de

“CrossSite Scripting” (XSS), Ataques de Inyección de Código SQL, Ataques contra los sistemas

criptográficos, Fraudes, engaños y extorsiones, Denegación del Servicio (Ataques DoS – Denial

of Service, ofrecer sus servicios a sus clientes y usuarios y Ataques de Denegación de Servicio

Distribuidos (DDoS).

En las redes existen los siguientes atacantes: Hackers, Crackers, Sniffers, Phreakers,

Spammers, Piratas informáticos, Creadores de virus y programas dañinos, Lamers, Amenazas del

personal interno, Ex-empleados, intrusos remunerados. Y se mueven por las siguientes

motivaciones: Consideraciones económicas, Diversión, Ideología, Autorrealización, Estatus

Para poder llevar a cabo un ataque informático los intrusos deben disponer de los medios

técnicos, los conocimientos y las herramientas adecuadas, deben contar con una determinada
motivación o finalidad, y se tiene que dar además una determinada oportunidad que facilite el

desarrollo del ataque.

El arte de la Ingeniería Social

Retrocediendo en el tiempo tenemos un primer ejemplo de ingeniería social que ocurrió en la

ciudad de Troya ubicada hoy en día en el país de Turquía cuando fue conquistada alrededor del

año 1300 a.C.

La ingeniería social en las redes sociales

El aumento de múltiples opciones en internet para tener una red social, es directamente

proporcional a la necesidad del ser humano de consumir servicios como estos, compartir

información personal y hacerla pública es la que aprovechan los ciberdelincuentes para vulnerar

las personas y conseguir sus objetivos y es tan eficiente por los siguientes motivos:

Primero recolectan toda la información posible extrayéndola de las redes sociales, Consolidan un

plan de ataque para transmitir fiabilidad, Recolectan información particular y ganan su

confianza, El atacante hace su primer acercamiento, Cuando la víctima lo considera “su amigo,”

el delincuente se muestra cercano, Una vez siendo “amigos,” el ciberdelincuente pedirá datos

más personales, En este punto, la identidad podría suplantar de una manera más rápida y

eficiente, Después de obtener lo que buscaba el atacante borra todo rastro, abandona perfiles y no

vuelve a hablar con la víctima.

Entendiendo la ingeniería social

La I.S se puede definir como la práctica de obtener información confidencial, en la mayoría

de los casos información de gran valor a través de la manipulación de la mente en las personas,
donde los atacantes por medio del engaño intentan obtener información sensible o privilegios en

algún sistema, en definitiva se trata de engañar y confundir al usuario de un sistema informático

para que acabe haciendo algo que realmente no quiere hacer, cómo ejecutar un software, facilitar

sus claves de acceso, o acceder a determinados servicios. Es importante entonces decir que la

ingeniería social podría presentarse de dos maneras: una es interactuando con máquinas y

software y la otra basada en el ser humano. Existen muchas formas de llevar a cabo un ataque de

ingeniería social, algunas de ellos inician con una llamada telefónica, dando a conocer a la

victima que se ha ganado algo esto con el fin de ganarse su confianza, estos cibercriminales

tienen información personal de la victima antes de hacer contacto con ella. Existen muchos casos

de ingeniería social, sin embargo, es muy importante que de cada caso se obtenga una reflexión

que nos ayude a reconocer cuándo estamos siendo víctimas de estos ciberdelincuentes y cómo

prevenir este tipo de ataque social.

Prácticas comunes y especialistas en el tema

• Phishing: Consiste en enviar correos electrónicos que parecen confiables con el objetivo

de robar información personal y confidencial.

• Vishing: Suele realizarse en prácticas como suplantar la identidad de otra persona.

• Smishing: Sacar informacion a cambio de una acción

Según los expertos, somos vulnerables a la ingeniería social por las ganas de ayudar a los

demás, el primer movimiento es de confianza hacia el otro, a todos nos gustan que nos alaben y

no nos gusta decir que no.

Defensa contra la ingeniería social

• Nunca divulgar información sensible con desconocidos o en lugares públicos.

 • Si identificamos al sospechoso, debemos de no alertarlo y obtener información de él.

• Implementar políticas de seguridad en la organización

• Efectuar controles de seguridad física para reducir el peligro inherente a las personas

• Realizar rutinariamente auditorías y pen test usando I.S para detectar huecos de seguridad

de esta naturaleza.

• Llevar a cabo programas de concientización sobre la seguridad de la información

Metodología de Análisis y Gestión de Riesgos de los Sistemas de información

Libro I – Método

Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un

determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que

comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos

almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen

accesibles. El objetivo a proteger es la misión de la Organización, teniendo en cuenta las

diferentes dimensiones de la seguridad: Disponibilidad o disposición de los servicios a ser

usados cuando sea necesario. Integridad o mantenimiento de las características de completitud y

corrección de los datos. Confidencialidad o que la información llegue solamente a las personas

autorizadas.

Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está

expuesta una Organización.

Hay múltiples formas de tratar un riesgo: evitar las circunstancias que lo provocan, reducir las

posibilidades de que ocurra, acotar sus consecuencias, compartirlo con otra organización

(típicamente contratando un servicio o un seguro de cobertura), o, en última instancia, aceptando

que pudiera ocurrir y previendo recursos para actuar cuando sea necesario. Las tareas de análisis

y tratamiento de los riesgos no son un fin en sí mismas, sino que se encajan en la actividad

continua de gestión de la seguridad. Los sistemas de gestión de la seguridad de la información

formalizan cuatro etapas cíclicas: planificación, implementación y operación, monitorización y

evaluación, mantenimiento y mejora.

El análisis de riesgos es una piedra angular de los procesos de evaluación, certificación,

auditoría y acreditación que formalizan la confianza que merece un sistema de información. Un

análisis de riesgos TIC es recomendable en cualquier Organización que dependa de los sistemas

de información y comunicaciones para el cumplimiento de su misión. El análisis de riesgos es

una herramienta de gestión que permite tomar decisiones, un análisis de riesgos no es una tarea

menor que realiza cualquiera en sus ratos libres. Es una tarea mayor que requiere esfuerzo y

coordinación. Por tanto, debe ser planificada y justificada.

Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión de

Riesgos.

El análisis de riesgos considera los siguientes elementos:

1. activos, que son los elementos del sistema de información que soportan la misión de la

Organización

2. amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la

Organización

3. salvaguardas que son medidas de protección desplegadas para que aquellas amenazas no

causen [tanto] daño.

En un sistema de información hay 2 cosas esenciales:

— la información que maneja

— y los servicios que presta.

Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes

del sistema. Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a

un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:

degradación: cuán perjudicado resultaría el [valor del] activo y probabilidad: cuán probable o

improbable es que se materialice la amenaza.

Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos

tecnológicos que reducen el riesgo.

Las salvaguardas entran en el cálculo del riesgo de dos formas: Reduciendo la probabilidad de

las amenazas y Limitando el daño causado

Se denomina vulnerabilidad a toda debilidad que puede ser aprovechada por una amenaza, o

más detalladamente a las debilidades de los activos o de sus medidas de protección que facilitan

el éxito de una amenaza potencial.

El análisis de los riesgos se lleva a cabo por medio de las siguientes tareas:
Proceso de gestión de riesgos

A la vista de los impactos y riesgos a que está expuesto el sistema, hay que tomar una serie de

decisiones condicionadas por diversos factores: la gravedad del impacto y/o del riesgo, las

obligaciones a las que por ley esté sometida la Organización, las obligaciones a las que por

reglamentos sectoriales esté sometida la Organización y las obligaciones a las que por contrato

esté sometida la Organización.

El análisis de riesgos determina impactos y riesgos. Los impactos recogen daños absolutos,

independientemente de que sea más o menos probable que se dé la circunstancia. En cambio, el

riesgo pondera la probabilidad de que ocurra. Las decisiones son de los órganos de gobierno de

la Organización que actuarán en 2 pasos: paso 1: evaluación y paso 2: tratamiento

La Dirección puede decidir aplicar algún tratamiento al sistema de seguridad desplegado para

proteger el sistema de información. Hay dos grandes opciones: reducir el riesgo residual (aceptar

un menor riesgo) y ampliar el riesgo residual (aceptar un mayor riesgo)

 En el estudio cualitativo de costes/beneficios tenemos cuatro opciones de tratamiento de

riesgos: eliminación, mitigación, compartición y financiación. La organización va a decidir cual

de estos tratamientos aplican según la situación de la empresa, aspectos de imagen, reputación y

capacidad para operar son importantes. En el proceso de gestión de riesgos, se tienen roles y

funciones en la organización, estos pueden ser: órganos de gobierno (responsable de la

información y el servicio), dirección ejecutiva (responsable de la seguridad) y dirección

operacional (responsables del sistema).

Proyectos de análisis de riesgos

En la realización de proyectos se definen roles para el correcto funcionamiento del mismo:

comité de seguimiento, equipo de proyecto, grupos de interlocutores, promotor, director de

proyecto y enlace operacional cada uno con sus respectivas funciones.

Consideraciones que se deben tener en cuenta para que este proyecto llegue a buen término.

PAR.1 – Actividades preliminares: estudio de oportunidad, determinación del alcance del

proyecto, planificación del proyecto, lanzamiento del proyecto.

PAR.2 – Elaboración del análisis de riesgos:

PAR.3 – Comunicación de resultados

Plan de seguridad
PS.1 – Identificación de proyectos de seguridad: programas de seguridad

PS.2 – Plan de ejecución: plan de seguridad

PS.3 – Ejecución
Desarrollo de sistemas de información

La presencia de aplicaciones en un sistema de información es siempre una fuente de riesgo en

el sentido de que constituyen un punto donde se pueden materializar amenazas. El análisis de los

riesgos constituye una pieza fundamental en el diseño y desarrollo de sistemas de información

seguros. Durante el desarrollo de un sistema de información, se pueden identificar dos tipos de

actividades diferenciadas:

• SSI: actividades relacionadas con la propia seguridad del sistema de información que se

está desarrollando.

• SPD: actividades que velan por la seguridad del proceso de desarrollo del sistema de

información.

Libro II – Catálogo de elementos

Tipos de activos

• Activos esenciales: marcan los requisitos de seguridad para todos los demás componentes

del sistema.

• Arquitectura del sistema: elementos que permiten estructurar el sistema

• Datos / información: son el corazón que permite a una organización prestar sus servicios.

• Claves criptográficas: proteger el secreto o autenticar a las partes.

• Servicios: satisface una necesidad de los usuarios

• Software: tareas que han sido automatizadas para su desempeño por un equipo

informático.

• Hardware: medios materiales, físicos.

• Redes de comunicaciones: medios de transporte que llevan datos de un sitio a otro.

 • Soportes de información: dispositivos físicos que permiten almacenar información

• Equipamiento auxiliar: equipos que sirven de soporte a los sistemas de información

• Instalaciones: lugares donde se hospedan los sistemas de información

• Personal: personas relacionadas con los sistemas de información

• XML: publica periódicamente actualizaciones de los tipos antes descritos

Dimensiones de valoración

Son las características o atributos que hacen valioso un activo. Las dimensiones se utilizan

para valorar las consecuencias de la materialización de una amenaza.

• Disponibilidad

• Integridad de los datos

• Confidencialidad de la información

• Autenticidad

• Trazabilidad

Criterios de valoración

valor criterio

10 extremo daño extremadamente grave

9 muy alto daño muy grave

6-8 alto daño grave

3-5 medio daño importante

1-2 bajo daño menor

0 despreciable irrelevante a efectos prácticos

Amenazas

• Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos

como causa directa o indirecta. Estos pueden ser: fuego, daños por agua, desastres

naturales

• Origen industrial: Sucesos que pueden ocurrir de forma accidental, derivados de la

actividad humana de tipo industrial. Ejemplo: contaminación mecánica, contaminación

electromagnética, corte del suministro eléctrico, entre otros.

• Errores y fallos no intencionados. Ejemplos: errores de los usuarios, de los

administradores, de monitorización, de configuración, entre otros.

• Ataques intencionados. Ejemplos: logs, manipulación de la configuración, abuso de

privilegios de usuario, difusión de software dañino, entre otros.

Errores y amenazas constituyen frecuentemente las dos caras de la misma moneda. Las amenazas

caben esperar que evolucionen en el tiempo para adaptarse a la evolución tecnológica.

Salvaguardas

Las salvaguardas permiten hacer frente a las amenazas. Por ejemplo: protecciones generales u

horizontales, de datos e información, de claves criptográficas, de servicios, de software, entre

otras. Las salvaguardas varían al aparecer nuevas tecnologías, desaparición de tecnologías

antiguas, entre otros muchos factores.

Libro III- Guía de técnicas

Técnicas muy específicas de los proyectos de análisis y gestión de riesgos:

 1. Uso de tablas para la obtención sencilla de resultados. La experiencia ha demostrado

la utilidad de métodos simples de análisis llevados a cabo por medio de tablas que, sin ser

muy precisas, sí aciertan en la identificación de la importancia relativa de los diferentes

activos sometidos a amenazas. Para medir el impacto y magnitud del riego usamos: MB

muy bajo, B bajo, M medio, A alto y MA muy alto.

2. Técnicas algorítmicas para la obtención de resultados elaborados. Modelo

cualitativo: En un análisis de riesgos cualitativo se busca saber qué es lo que hay, sin

cuantificarlo con precisión más allá de relativizar los elementos del modelo. Mientras el

impacto mide el valor de la desgracia potencial, el riesgo pondera ese impacto con la

frecuencia estimada de ocurrencia de la amenaza. El impacto es la medida del coste si

ocurriera mientras que el riesgo mide la exposición en un determinado periodo de tiempo.

Modelo cuantitativo: no trabaja sobre una escala discreta de valores, sino con números

reales. Se mide tanto el valor del activo, propio o acumulado, como el impacto de una

amenaza cuando ocurra y el riesgo que supone. Modelo escalonado.

3. árboles de ataque para complementar los razonamientos de qué amenazas se

ciernen sobre un sistema de información Los árboles de ataque son una técnica para

modelar las diferentes formas de alcanzar un objetivo. Un árbol de ataque pasa revista a

cómo se puede atacar un sistema y por tanto permite identificar qué salvaguardas se

necesita desplegar para impedirlo.

Técnicas generales

Se han considerado de especial interés:

1. técnicas gráficas: Graficas para representar resultados: puntos, barra y radar, Diagramas de

Pareto, para priorización de acciones y Diagramas de tarta

2. sesiones de trabajo. Los objetivos pueden ser: obtener información, comunicar resultados,

reducir el tiempo de desarrollo, activar la participación de usuarios y directivos o aumentar la

calidad de los resultados. Ejemplos: entrevistas, reuniones y presentaciones.

3. valoraciones Delphi:

La técnica Delphi es un instrumento de uso múltiple que se utiliza con muy variados objetivos:

• Identificar problemas.

• Desarrollar estrategias para la solución de problemas, fijando un rango de alternativas

posibles.

• Identificar factores de resistencia en el proceso de cambio.

• Establecer previsiones de futuro sobre la evolución de las tendencias que se observan en

un determinado campo o sector.

• Contrastar opiniones en un tema abarcando un amplio campo de disciplinas o sectores.

Análisis

Podemos asegurar que a medida avanza la tecnología, los beneficios que trae consigo nos ha

ayudado a avanzar como sociedad y nos ha hecho la vida un poco más fácil, sin embargo la

cantidad de cosas negativas es casi equiparable a las cosas buenas que tiene, muchas veces no

nos damos ni cuenta de cuando caemos en un ataque informático cuando usamos un dispositivo
tecnológico cuando entramos a internet, porque lastimosamente la mayoría de personas no ha

estudiado sobre seguridad informática en ningún momento de su vida. Con la realización de esta

actividad pude darme cuenta de muchas cosas que antes ignoraba, y es que debemos de cuidar de

nosotros mismos y para esto debemos de usar el sentido común y desconfiar de cualquier cosa

que nos encontramos en la red. La cantidad de nuevos troyanos, malware y otro virus que salen a

diario es alarmante y es que muchas personas se están dedicando a utilizar los ciberataques como

algo más frecuente, porque los permite permanecer en anonimato y es más fácil engañar a

personas por internet sino se está alerta. Incluso los expertos en seguridad informática han tenido

dificultades para poder combatir varios de los ataques informáticos que nos asechan, un ejemplo

de ello es la ingeniería social, que, si bien hay muchos estudios sobre este ciberataque, aun se

esta muy lejos de tener una guía clara de como poder protegerse contra el, porque va más allá

que del buen uso de la tecnología ya que en este caso esta en juego la mente humana.

Las organizaciones tienen una responsabilidad aun mayor al momento de cuidar su información

y es que en este caso, está en juego no solo la información de la organización misma, sino

también información de empleados y clientes que hasta puede resultar en problemas legales. La

información es poder y las organizaciones deben de implementar políticas de seguridad

orientadas a proteger la privacidad de la información, para esto existen muchas metodologías de

implementación que se pueden utilizar, como por ejemplo la estudiada en este trabajo,

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información que puede ayudar

a pequeñas y medianas empresas para que puedan estar preparadas a cualquier amenaza o

vulnerabilidad. El saber actuar ante situaciones difíciles, midiendo el riesgo y haciendo

sacrificios es la mejor manera de estar seguros.

Hay que ser positivos ante las amenazas que acechan en la red, es algo que no podemos eliminar

aunque le dediquemos toda nuestra vida, pero hay algo que podemos hacer para que cada vez

menos personas caían ante engaños y la mejor manera de hacerlo es comprender la metodología

de seguridad informática y cómo podemos aplicarla según sea nuestra necesidad, estar alerta

cuando navegamos en la red y sobre todo usar el sentido común que es una de nuestras mejores

armas.
 Conclusiones

• Con base a lo aprendido, podemos decir con certeza que la seguridad es un proceso no un

producto, ya que depende de varios factores que debe de proteger sin descuidar ninguno

de ellos. En la actualidad con el avance de la tecnología, debemos de tener presente que

la seguridad es propia de cada individuo y que no se lo debemos de dejar a otras

personas, nadie puede velar por su seguridad que uno mismo. Se deben de buscar las

soluciones a los problemas con la misma dedicación que los atacantes para poder

combatirlos y estar preparados para no caer en desinformación o ignorancia, ya que estos

factores solo favorecen a los atacantes.

• Los sistemas de información presentan vulnerabilidades que dependen de la

organización, pero también amenazas de las cuales no depende, en cualquier caso, toda

organización debe tener políticas de seguridad que ayuden a poder disminuir el riesgo de

las vulnerabilidades y saber responder ante las amenazas. Muchas organizaciones no

invierten los suficiente en seguridad y esto termina siendo un problema a largo plazo que

va más allá de la pérdida de dinero, ya que en muchos ataques informáticos se puede

poner en riesgo la información que es el activo más importante de cualquier

organización.

• Los ataques informáticos representan una de las principales amenazas por las cuales una

organización quiebra, alrededor del 60% de las pequeñas y medianas empresas no pueden

levantarse después de un ciberataque. No importa la organización que sea, todas y cada

una de ellas deben de protegerse ante los ciberataques y contar con privacidad de

información, existen organizaciones que se encargan de comprobar la seguridad que

 manejan las empresas, esto con el fin de evitar lo más que se pueda los ataques

informáticos.

• La seguridad informática que debe manejar una organización no solo esta relacionada con

las últimas tecnologías del mercado, es importante tener buenos software y hardware,

pero lo que es más importantes es tener personal capacitado que pueda aplicar esta

tecnología a las vulnerabilidades y amenazas que atentan contra la organización. Ya que

uno de los principales ataques informáticos tiene que ver con la ingeniería social, que

bien aplicada puede sobrepasar cualquier seguridad sino se está del todo preparado, por

que cualquier persona puede llegar a ser engañada y esto supondría un riesgo demasiado

grande para la organización. Actualmente no existe una guía clara que podamos seguir

para poder combatir del todo la ingeniería social, sin embargo, es importante advertir a

las personas y sobre todo ayudarlas a comprender lo peligroso que puede llegar a ser la

ingeniería social aplicada a los ataques informáticos que cada vez son más frecuentes.

• Magerit es una metodología las empresas lo utilizan para averiguar qué deben existir

salvaguardas para proteger la información que procesan. La mayoría de las empresas

cuando se ven en la necesidad de implementar un sistema de seguridad informática no

saben cómo hacerlo, porque no tiene el personal lo suficientemente capacitado para ello y

es por eso que invierten innecesariamente en modelos que no van de acorde a su

organización y terminan fracasando. Es por eso que Magerit proporciona una guía

completa de como analizar y gestionar los riesgos de una forma que cualquiera pueda

acceder a ella para poder comprender un poco mejor el tema de seguridad informático,

tan importante en la actualidad.