Entradas

Origen de las amenazas

La seguridad de la información es más que un problema de seguridad de datos en los computadores; debe estar básicamente orientada a proteger la propiedad intelectual y la información importante de las organizaciones y de las personas. Los riesgos de la información están presentes cuando confl uyen dos elementos: amenazas y vulnerabilidades. Las amenazas y vulnerabilidades están íntimamente ligadas, y no puede haber ninguna consecuencia sin la presencia conjunta de éstas. Las amenazas deben tomar ventaja de las vulnerabilidades y pueden venir de cualquier parte, interna o externa, relacionada con el entorno de las organizaciones. Básicamente, podemos agrupar las amenazas a la información en cuatro grandes categorías: Factores Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de información; Desastres naturales y; Actos maliciosos o malintencionados; algunas de estas amenazas son: • Virus informáticos o código malicioso • Uso no autorizado de Sistemas Informático...
Publicar un comentario
Leer más

Norma Nch-ISO 27001

SISTEMAS DE GESTIÓN LA SEGURIDAD DE LA INFORMACIÓN La NCH ISO 27001 es una norma chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización (INN, la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones. La norma NCH ISO27001 para los Sistemas de Gestión de Seguridad de la Información o SGSI hace posible que las organizaciones lleven a cabo una evaluación del riesgo y adopte los controles imprescindibles para lograr mitigarlos e incluso eliminarlos. Con la implementación de la NCH-ISO27001, las organizaciones consiguen mejorar la imagen dentro de un mercado cada vez más competitivo. Norma NCH-ISO 27001 Estructura de la norma NCH-ISO 27001 Objeto y campo de aplicación: En el primer apartado de la norma NCH-ISO 27001, encontramos unas directrices sobre cómo hacer uso del estándar además de dar indicaciones sobre la finalidad y el modo en el que hay que aplicar dicha norma. Referencias Normativas En este apar...
Publicar un comentario
Leer más

Análisis de riesgos

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidaedes y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo. Proceso de análisis de riesgos informáticos El proceso de análisis de riesgo genera habitualmente un documento al cual ...
Publicar un comentario
Leer más

Vulnerabilidades del software

Las vulnerabilidades son las brechas de seguridad presentes en cualquier software. Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas que ponen en riesgo a toda la organización. Los investigadores de seguridad externos y los proveedores interesados analizan constantemente el software disponible públicamente para identificar sus vulnerabilidades. Las vulnerabilidades descubiertas se registran con una ID de CVE y se le asigna un puntaje del CVSS en función del daño que podría costar su explotación. Tipos de análisis de vulnerabilidades Los 2 principales tipos de análisis de vulnerabilidades son el análisis autenticado y el análisis no autenticado Análisis no autenticado : Como su nombre lo indica, este tipo de análisis no requiere credenciales para ejecutar el análisis y, por lo general, no proporciona resultados concluyentes, ya que no existe un acceso confiable a los sistemas analizados. ...
Publicar un comentario
Leer más

Árboles de ataque

Imagen
 Existen distintas representaciones de los Arboles de Ataque. En este Post vamos a ver la representación básica de estas estructuras tan útiles para detectar nuestras vulnerabilidades. Un Árbol de Ataque se representa mediante una estructura en forma de árbol compuesto por: Nodo Raíz: se encuentra en la parte superior del árbol representado por un circulo. Representa el objetivo del ataque. Algunos ejemplos de objetivos del ataque pueden ser desde realizar un  Defacement , obtener credenciales bancarias hasta obtener información sensible. Nodos: representan las acciones que se llevan a cabo para perpetrar el ataque y tienen forma cuadrada. Estas acciones pueden ser desde realizar una llamada telefónica haciéndose pasar por un falso técnico, un envío de un correo electrónico o, incluso, infectar un equipo con un troyano. Estos nodos pueden complementarse con diversos datos, como pueden ser una breve descripción de la acción, cálculo de la probabilidad de que ocurra dicha acción...
Publicar un comentario
Leer más

Metodología OCTAVE

  Metodología OCTAVE La metodología OCTAVE se corresponde con las siglas Operational Critical, Threat, Asset and Vulnerability Evaluation (evaluación operativa crítica, de amenazas, de activos y de vulnerabilidad). Se trata, por ello, de una metodología de análisis y gestión de riesgos. En el centro se encuentra el objetivo de garantizar los sistemas informáticos en el interior de una empresa u organización. Mediante la aplicación de la metodología OCTAVE, varias personas que pertenezcan a sectores de negocios, de los departamentos de tecnologías de la información y del sector operativo trabajaran de manera conjunta. Esto se hará con el foco puesto en las necesidades que establezca la seguridad. En este sentido deberán estar equilibrados tres aspectos como son los riesgos operativos, la tecnología y las prácticas de seguridad. Fase 1 La primera fase engloba los activos, las amenazas, las vulnerabilidades de la empresa u organización, las exigencias de seguridad y las normas existen...
Publicar un comentario
Leer más

Metodologías para análisis de riesgos

análisis de los riesgos informáticos. En éste trabajo se presenta el análisis de las tres metodologías mas usadas, con el fin de determinar en forma detallada sobre como es su funcionamiento y cuáles son sus fortalezas y debilidades. Las metodologías estudiadas son Magerit, Octave y Mehari. Como resultado de este análisis se identificaron e incorporaron esas fortalezas en el diseño de la nueva metodología de análisis de riesgos informáticos en cuestión. Los límites en el alcance de este trabajo fueron no haber incorporado elementos de otras metodologías existentes, fuera de las que no se mencionaron anteriormente. Esto nos permitió obtener los mejores elementos de cada una de estas metodologías a fin de diseñar y obtener una nueva a partir de ellos.  Objetivos de las metodologías Tanto las tres metodologías estudiadas como la que se desarrollará tienen por objetivo los siguientes puntos: Planificación de la reducción de riesgos Planificación de la prevención de accidentes Visualiza...
Publicar un comentario
Leer más