Unidad II.

Gestin de la
seguridad
UTCJ
Seguridad de la informacin
MA. Luis Alberto Gardea

Administracin de riesgos
continuidad de negocio

Qu es el riesgo?
La probabilidad de que una amenaza se
materialice,
utilizando
vulnerabilidades
existentes de un activo o un grupo de activos,
generndole prdidas o daos.
Conceptos Claves
Vulnerabilidad
es

Impacto

Probabilid
ad

Amenaza
s

Activos

Activos
Recursos realcionados con el
informacin
necesarios
para
funcionamiento de la organizacin

datos
hardware
software
servicios
documentos
imagen corporativa
conocimiento
edificios
recursos humanos

sistema de
el
correcto

Amenazas
Acciones o situaciones que pueden ocasionar
consecuencias negativas en la operatividad de la
organizacin

Errores de programacin
virus
uso inadecuado de software
desastres naturales
accesos no autorizados
facilidad de acceso a las instalaciones, etc

Vulnerabilidades
stas son ciertas condiciones inherentes a los
activos que facilitan que las amenazas se
materialicen y llevan a esos activos a ser
vulnerables.
Falta de conocimiento del usuario
tecnologas inadecuadamente probadas
transmisin de datos por redes pblicas, etc.
Probabilidad

La es la posibilidad de materializacin de una

amenaza

Impacto
Son las consecuencias de la ocurrencia de una
amenaza.

prdidas econmicas
la prdida de confianza (imagen de marca)
la reduccin de la eficiencia (productividad)
el dao a las personas
el perjuicio para el medio ambiente.

Qu es el Anlisis de Riesgos?
El Anlisis de Riesgos es una herramienta de
diagnstico utilizada para determinar la
exposicin de una organizacin a los riesgos.
Sus objetivos son:
Identificar
los
riesgos
mediante
identificacin de sus elementos

la

determinar el riesgo total o exposicin bruta

al riesgo, como combinacin de los elementos
que lo conforman
determinar el riesgo residual.

El Anlisis de riesgo contempla:

Identificacion de los activos dentro del alcance, y
dueos de esos activos
Identificacion de las amenazas a esos activos
Identificar las vulnerabilidades que podrian ser
aprovechadas por las amenazas
Identificar los impactos que las prdidas de
confidencialidad,
integridad
y
disponibilidad
puedan tener sobre los activos

Criterios para evaluar la

importancia del riesgo
Impacto econmico del riesgo
tiempo de recuperacin de la empresa
posibilidad real de ocurrencia del riesgo
posibilidad de interrumpir las actividades de la
empresa

Tratamiento del riesgo

Reduccin del riesgo (Plan de tratamiento del
riesgo)
Objetivamente aceptar el riesgo
Transferencia del riesgo
Evitar el riesgo.

Riesgo Residual

Despus de implementar las decisiones relacionadas con el

tratamiento del riesgo, siempre habr un remanente de ese
mismo riesgo. Justamente el riesgo que queda, despus de
implementar el plan de tratamiento de riesgo, se denomina
riesgo residual

Ejercicio de Anlisis y evaluacin de riesgos

Tasacion de los activos de

informacin
cmo una prdida o una falla en un determinado
activo afecta la confidencialidad, la integridad y la
disponibilidad?
Activos de
informacin

confidencialidad

integridad

disponibilidad

total

Bases de datos
clientes

Base de datos
de ahorros

Equipo de
cmputo

Activos de informacion y
propietarios
El propietario de los activos debe ser responsible por
definir apropiadamente la clasificacin de seguridad
y derechos de acceso a los activos, y establecer los
sistemas de control.
Activos de informacin

Propietarios

1. Base de datos ahorros

Sistemas

2. Servidores de bases de datos

Sistemas

Mtodo para el clculo del riesgo

Este mtodo trata de relacionar los factores del
impacto econmico para el clculo del riesgo,
trata de relacionar los factores del impacto
econmico de la amenazay la probabilidad de
ocurrencia de la amenaza.
Activo

Amenaza

Impacto de
la amenaza

Probabilida
de
ocurrencia

Medicin
del riesgo

priorizacin

MNO

15

DEF

JKL

EVALUACIN DEL RIESGO

La evaluacin del riesgo debe poder identificar los niveles de riesgo
generalmente aceptables, aquellos riesgos cuyo nivel y estimacin de dao es
pequeo para la organizacin y puede aceptarlo como parte de trabajo cotidiano
y, en consecuencia, no se requiere mayor accin. Todos los otros riesgos
requieren que la empresa tome accin y deben de estar sujetos al tratamiento
de riesgos.

Riesgo

Criterios para evaluar la importancia del riesgo

Probabilidad
Tiempo de Probabilidad
de
Impacto
recuperaci
de
interrumpir
econmico
Total
n de la
ocurrencia actividades
del riesgo
empresa
del riesgo
de la
empresa

Activos

Amenazas

ABC

DEF

24

GHI

24

Plan del tratamiento del riesgo

reas

Actividades

Control

Activo

Fecha de
Culminaci Responsible
n

Prevencin y recuperacin de
desastres

Gestin de la Continuidad del Servicio

Visin General
La Gestin de la Continuidad del Servicio se preocupa de
impedir que una imprevista y grave interrupcin de los
servicios de TI, debido a desastres naturales u otras
fuerzas
de
causa
mayor,
tenga
consecuencias
catastrficas para el negocio.

Gestin de la Continuidad del Servicio

La estrategia de la Gestin de la Continuidad del
Servicio
debe
combinar
equilibradamente
procedimientos:
Proactivos: que buscan impedir o minimizar
consecuencias de una grave interrupcin del servicio.

las

Reactivos: cuyo propsito es reanudar el servicio tan pronto

como sea posible (y recomendable) tras el desastre.

Gestion de la Continuidad del Servicio

Metas y Objetivos:
Los objetivos principales de la Gestin de la Continuidad
de los Servicios TI se resumen en:
Garantizar la pronta recuperacin de los servicios (crticos)
TI tras un desastre.
Establecer polticas y procedimientos que eviten, en la
medida de lo posible, las perniciosas consecuencias de un
desastre o causa de fuerza mayor.

Gestion de la Continuidad del Servicio

Metas y Objetivos:
Definir los objetivos del porcentaje de disponibilidad.
Objetivo de la Calidad definido en el proceso de aseguramineto de la
disponiblidad de los SI

Proponer una solucin para resolver estos objetivos.

Manual de Gestion de Fallas

Formalizar los acuerdos y el plan de contingencia.

Convenios de Disponibilidad

Gestin de la Continuidad del Servicio

Los principales beneficios de una correcta Gestin de la
Continuidad del Servicio se resumen en:
Se gestionan adecuadamente los riesgos.
Se reduce el periodo de interrupcin del servicio por
causas de fuerza mayor.
Se mejora la confianza en la calidad del servicio entre
clientes y usuarios.
Sirve de apoyo al proceso
Continuidad del Negocio.

de

Gestin

de

la

Gestion de la Continuidad del Servicio

Las principales dificultades a la hora de implementar la Gestin de
la Continuidad del Servicio se resumen en:
Puede haber resistencia a realizar inversiones cuya rentabilidad
no es inmediata.
No se presupuestan correctamente los costes asociados.
No se asignan los recursos suficientes.
No existe el compromiso suficiente con el proceso dentro de la
organizacin y las tareas y actividades correspondientes se
demoran perpetuamente para hacer frente a "actividades ms
urgentes".
No se realiza un correcto anlisis de riesgos y se obvian
amenazas y vulnerabilidades reales.
El personal no esta familiarizado con las acciones y
procedimientos a tomar en caso de interrupcin grave de los
servicios.

Gestion de la Continuidad del Servicio

Las principales actividades de la Gestin de la Continuidad del Servicio se
resumen en:
Establecer las polticas y alcance.
Evaluar el impacto en el negocio de una interrupcin de los servicios TI.
Analizar y prever los riesgos a los que esta expuesto la infraestructura TI.
Establecer las estrategias de continuidad del servicio TI.
Adoptar medidas proactivas de prevencin del riesgo.
Desarrollar los planes de contingencia.
Poner a prueba dichos planes.
Formar al personal sobre los procedimientos necesarios para la pronta
recuperacin del servicio.
Revisar peridicamente los planes para adaptarlos a las necesidades reales
del negocio.

Gestin de la Continuidad del Servicio

Plan de prevencin de riesgos
Cuyo objetivo principal es el de evitar o minimizar el impacto de un
desastre en la infraestructura TI.
Entre las medidas habituales se encuentran:
Almacenamiento de datos distribuidos.
Sistemas de alimentacin elctrica de soporte.
Polticas de back-ups.
Duplicacin de sistemas crticos.
Sistemas de seguridad pasivos

Gestin de la Continuidad del Servicio

Plan de gestin de emergencias
Las crisis suelen provocar "reacciones de pnico" que pueden
ser contraproducentes y a veces incluso ms dainas que las
provocadas por el incidente que las causo. Por ello es
imprescindible que en caso de situacin de emergencia estn
claramente determinadas las responsabilidades y funciones
del personal as como los protocolos de accin
correspondientes.

Gestin de la Continuidad del Servicio

En principio los planes de gestin de emergencias deben
tomar en cuenta aspectos tales como:
Evaluacin del impacto
infraestructura TI.

de

la

contingencia

en

la

Asignacin de funciones de emergencia al personal de

servicio TI.
Comunicacin a los usuarios y clientes de una grave
interrupcin o degradacin del servicio.
Procedimientos de contacto
proveedores involucrados.

Protocolos para la puesta en

recuperacin correspondiente

colaboracin

con

los

marcha

plan

de

del

Gestin de la Continuidad del Servicio

Plan de recuperacin
Cuando la interrupcin del servicio es inevitable llego el
momento de poner en marcha los procedimientos de
recuperacin.
El plan de recuperacin debe incluir todo lo necesario para:
Reorganizar al personal involucrado.
Reestablecer
necesarios.

los

sistemas

de

hardware

Recuperar los datos y reiniciar el servicio TI.

software

Proteccin de sistemas
operativos

Segn un estudio realizado por Inteco, 8 de cada 10 equipos se encuentran

infectados con algn tipo de cdigo malicioso. Ante estos datos tan
alarmantes, se ha elaborado una gua de seguridad para proteger su
sistema operativo, estos son:
- Instale (y actualice) software antivirus.
- Instale las actualizaciones de software:
o Los services packs, que son actualizaciones globales que contienen
varios
centenares de pequeas correcciones aportadas al sistema para resolver
fallos de
seguridad y tambin bugs que no representan necesariamente un riesgo.
o Parches de seguridad (Windows update).

- Configure un firewall.
- Evite instalar programas desconocidos o poco confiables.
- Evite el correo electrnico no deseado (spam).
- No abra archivos adjuntos por correo (de remitentes
desconocidos) ni por chat.
- Navegacin segura.
- Ponga contraseas a su computadora.
- Detenga los servicios intiles.
- Establezca permisos.
- Proteja sus servidores:
o Certificados de servidor.
o Mantenerlos en lugares seguros.
o Instalacin del directorio activo (Windows).
o Actualizaciones de seguridad al servidor de base de datos.

Protocolo ssl y ssl

handshake

Protocolo SSL y SSL Handshake

SSL son las siglas en ingls de Secure Socket
Layer (en espaol capa de conexin segura). Es
un protocolo criptogrfico (un conjunto de reglas
a seguir relacionadas a seguridad, aplicando
criptografa) empleado para realizar conexiones
seguras entre un cliente (como lo es un
navegador de Internet) y un servidor (como lo
son las computadoras con pginas web).
Este protocolo ha sido sucedido por TLS, que son
las siglas en ingls de Transport Layer Security
(en espaol seguridad de la capa de transporte).
Versiones de TLS tienen un equivalente en SSL,
por ejemplo TLS 1.2 corresponde a SSL 3.3; de
ah que an sea comn que se refiera a este
protocolo como SSL.

Cmo funciona una conexin con

SSL, en pocas palabras?
De forma bsica, una conexin usando el protocolo SSL
funciona de la siguiente forma:
El cliente y el servidor entran en un proceso de
negociacin, conocido como handshake (apretn de
manos). Este proceso sirve para que se establezca varios
parmetros para realizar la conexin de forma segura.
Una vez terminada la negociacin, la conexin segura
es establecida.
Usando llaves preestablecidas, se codifica y descodifica
todo lo que sea enviado hasta que la conexin se cierre.

SSL handshake

qu es un certificado digital?
Un certificado SSL es un certificado digital de seguridad
que se utiliza por el protocolo SSL. Este certificado es
otorgado por una agencia independiente debidamente
autorizada y es enviado por el servidor de la pgina web
segura. El navegador de internet recibe e interpreta el
contenido de dicho certificado y, al verificar su
autenticidad, indica que se est realizando una conexin
segura; cada navegador de internet tiene diferentes
formas de indicarlo, por ejemplo un candado cerrado.

Prctica. Instalacin de un
certificado digital

http://www.youtube.com/watch?v=bccjtE20thM

Referencias
Diseo De Un Sistema De Gestin De Seguridad
De Informacin
Alexander (Marcombo-Alfaomega)
ISBN: 9586827135. ISBN-13: 9789586827133
1 edicin (01/01/2007).
http://www.securityartwork.es/