Escolar Documentos
Profissional Documentos
Cultura Documentos
Amenazas:
A continuacin se presenta un catlogo de amenazas posibles sobre los activos de un
sistema de informacin. Para cada amenaza se presenta un cuadro como el siguiente:
1.- Desastres naturales
Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa o
indirecta.
Amenaza: Fuego
Tipos de activos:
Dimensiones:
Equipos informticos (hardware)
1. disponibilidad
Redes de comunicaciones
2. trazabilidad de los servicios
Soportes de informacin
3. trazabilidad de los datos
Equipamiento auxiliar
Instalaciones
Descripcin:
incendios: posibilidad de que el fuego acabe con recursos del sistema.
Seguridad informpatica |
Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos
Descripcin:
vibraciones, polvo, suciedad, ...
Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos
Descripcin:
interferencias de radio, campos magnticos, luz ultravioleta, ...
Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos
Descripcin:
fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de
origen o sobrecargo de la lnea elctrica durante el funcionamiento del sistema.
Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos
Descripcin:
cese de la fuente de alimentacin de potencia
2
Seguridad informpatica |
Dimensiones:
1. disponibilidad
2. trazabilidad de los servicios
3. trazabilidad de los datos
Descripcin:
deficiencias en la aclimatacin de los locales, excediendo los mrgenes de trabajo de los
equipos: excesivo calor, excesivo fro, exceso de humedad, ...
Dimensiones:
1. disponibilidad
Descripcin:
cese de la capacidad de transmitir datos de un sitio a otro. Tpicamente se debe a la
destruccin fsica de los medios fsicos de transporte o a la detencin de los centros de
conmutacin, sea por destruccin, detencin o simple incapacidad para atender al trfico
presente.
Dimensiones:
1. disponibilidad
Descripcin:
otros servicios o recursos de los que depende la operacin de los equipos; por ejemplo,
papel para las impresoras, toner,...
Dimensiones:
1. disponibilidad
Descripcin:
otros servicios o recursos de los que depende la operacin de los equipos; por ejemplo,
papel para las impresoras, toner,...
Seguridad informpatica |
Dimensiones:
integridad
confidencialidad
autenticidad del servicio
autenticidad de los datos
trazabilidad del servicio
trazabilidad de los datos
Descripcin:
equivocaciones de personas con responsabilidades de instalacin y operacin
Dimensiones:
integridad
confidencialidad
autenticidad del servicio
autenticidad de los datos
trazabilidad del servicio
trazabilidad de los datos
Descripcin:
Introduccin de datos de configuracin errneos. Prcticamente todos los activos
dependen de su configuracin y sta de la diligencia del administrador: privilegios de
acceso, flujos de actividades, registro de actividad, encaminamiento, etc.
4
Seguridad informpatica |
Dimensiones:
Disponibilidad
integridad
confidencialidad
autenticidad del servicio
autenticidad de los datos
trazabilidad del servicio
trazabilidad de los datos
Descripcin:
propagacin inocente de virus, espas (spyware), gusanos, troyanos, bombas lgicas,
etc.
Dimensiones:
integridad
confidencialidad
autenticidad del servicio
trazabilidad del servicio
Descripcin:
Envo de informacin a travs de un sistema o una red usando, accidentalmente, una
ruta Incorrecta que lleve la informacin a donde o por donde no es debido; puede tratarse
de mensajes entre personas, entre procesos o entre unos y otros.
Es particularmente destacable el caso de que el error suponga un error de entrega,
acabando la informacin en manos de quien no se espera.
Seguridad informpatica |
Dimensiones:
integridad
confidencialidad
autenticidad del servicio
trazabilidad del servicio
Descripcin:
Envo de informacin a travs de un sistema o una red usando, accidentalmente, una
ruta Incorrecta que lleve la informacin a donde o por donde no es debido; puede tratarse
de mensajes entre personas, entre procesos o entre unos y otros.
Es particularmente destacable el caso de que el error suponga un error de entrega,
acabando la informacin en manos de quien no se espera.
Ataques intencionados
Fallos deliberados causados por las personas
Seguridad informpatica |
Dimensiones:
Integridad
Descripcin:
degradacin intencional de la informacin, con nimo de obtener un beneficio o causar
un perjuicio.
Esta amenaza slo se identifica sobre datos en general, pues cuando la informacin est
en algn soporte informtico, hay amenazas especficas.
Seguridad informpatica |
Amenaza: Robo
Tipos de activos:
Dimensiones:
equipos informticos (hardware)
Disponibilidad
redes de comunicaciones
Confidencialidad
soportes de informacin
equipamiento auxiliar
Descripcin:
la sustraccin de equipamiento provoca directamente la carencia de un medio para
prestar los servicios, es decir una indisponibilidad.
El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo de
soportes de informacin los ms habituales.
El robo puede realizarlo personal interno, personas ajenas a la Organizacin o personas
contratadas de forma temporal, lo que establece diferentes grados de facilidad para
acceder al objeto sustrado y diferentes consecuencias.
En el caso de equipos que hospedan datos, adems se puede sufrir una fuga de
informacin
Seguridad informpatica |
Criterio
10
Muy alto
7-9
alto
Dao grave
4-6
medio
Dao importante
1-3
bajo
Dao menor
despreciable
irrelevante
Ahora bien, los criterios deben ser evaluados por el equipo de desarrollo en funcin de la
informacin recabada durante el proceso de desarrollo del sistema e incluso durante el
anlisis de riesgos. Sin embargo, y para ayudar a su definicin se anexa una tabla de gua
sobre los criterios ms importantes a evaluar en dicho anlisis.
Valor
10
Criterio
Seguridad informpatica |
10
Valor
9
Criterio
Valor
8
Criterio
10
Seguridad informpatica |
11
Valor
7
Criterio
Valor
6
Criterio
Valor
5
Criterio
Valor
4
Criterio
11
Seguridad informpatica |
12
Valor
3
Criterio
Probablemente cause la interrupcin de actividades propias de la
Valor
2
Criterio
Valor
1
Organizacin
Administracin y gestin: probablemente impedira la operacin
efectiva de una parte de la organizacin
Probablemente afecte negativamente a las relaciones internas de la
Organizacin
Probablemente merme la eficacia o seguridad de la misin operativa
o logstica (alcance local)
Probablemente cause algn dao menor a misiones importantes de
inteligencia o informacin
Obligaciones legales: probablemente sea causa de incumplimiento
leve o tcnico de una ley o regulacin
Seguridad: probablemente sea causa de una merma en la seguridad
o dificulte la investigacin de un incidente
Seguridad de las personas: probablemente cause daos menores a
un individuo
Orden pblico: causa de protestas puntuales
Datos clasificados como de difusin limitada
Criterio
Pudiera causar la interrupcin de actividades propias de la Organizacin
Administracin y gestin: pudiera impedir la operacin efectiva de una parte
de la organizacin
Pudiera causar una prdida menor de la confianza dentro de la Organizacin
Pudiera causar algn dao menor a misiones importantes de inteligencia o
informacin
Informacin personal: pudiera causar molestias a un individuo
Obligaciones legales: pudiera causar el incumplimiento leve o tcnico de una
ley o regulacin
Seguridad de las personas: pudiera causar daos menores a un individuo
Orden pblico: pudiera causar protestas puntuales
Datos clasificados como sin clasificar
12
Seguridad informpatica |
13
Valor
0
Criterio
13
Seguridad informpatica |