MÉTODOS DE ANÁLISIS Y EVALUACION DE RIESGOS INFORMÁTICOS
1. MÉTODO DOFA.
2. MÉTODO DE ANÁLISIS DE ESCENARIOS DE RIESGO
3. MÉTODO DELPHI
4. MÉTODO DE ANÁLISIS DE VULNERABILIDADES
MÉTODO DE ANÁLISIS DE VULNERABILIDADES
Se toman bases fundamentales de la seguridad informática los pilares de la integridad, confidencialidad, disponibilidad, auditabilidad y no repudio, dirigido a un sin número de empresas que necesitan de la seguridad en sus sistemas informáticos.
Se desarrolla en varios pasos donde comprenden ítem como la planeación, políticas de seguridad, aseguramiento de los recurso de las empresas entre varios más, todo esto encaminados a la mejora de de la seguridad de la información, efectuando que un sistema informático permanezca estable y este también preparada ante cualquier eventualidad que afecte de alguna manera las actividades normales dentro de una empresa u organización.
Esta metodología ha sido desarrollada y estructurada en 6 fases; planeación, políticas de seguridad, aseguramiento físico, arquitecturas de seguridad, aseguramiento de Servicios y Auditoría de Sistemas, las cuales son claramente las fases básicas para la implementación y monitoreo de un ambiente de seguridad apropiado dirigido a cualquier tipo de empresa que lo requiera.
Después de que finalizado el proceso de implantación de la metodología, la empresa u organización debería cumplir con lo requerimientos y condiciones básicas de seguridad ante los recursos informáticos, de tal manera que se puede encontrar preparada ante cualquier eventualidad o irregularidad.
FASE 1: PLANEACIÓN.
se debe generar un compromiso con el prioridad de generar un objetivo principal en el proceso de "La seguridad de la orgranzación"; por esta misma razón se debe estudiar el contenido de la empresa para reconocer la misión y visión y así generar una solución de seguridad de acuerdo a sus necesidades y requerimiento.
Posteriormente se realiza un análisis de los datos y la información de la empresa, donde se establecerán los recursos que se deberán proteger, dando prioridad de tal manera que se cuantifique el impacto en el caso de suspensión del servicio de las aplicaciones, definiendo medidas y procedimientos de seguridad; también en esta etapa de realiza un análisis de los posibles riesgos que puede tener la empresa, donde se reconozcan las amenazas y las vulnerabilidades tanto de tipo físicos como lógicos, dándoles un valor de impacto y la posible probabilidad que se hagan realidad.
FASE 2: POLÍTICAS DE SEGURIDAD.
En esta fase se pretende implantar un número de métodos, controles y directrices para el correcto uso de los recursos informáticos en forma general, con el único fin que se pueda respaldar de alguna manera el plan de seguridad.
En la elaboración de esta pol´ticas se deben desarrollar de tal manera que estas sean breves y de fácil entendimiento; así como también de una implementación sencilla. Es también relevante que estas políticas deben apoyarse en estándares internacionales de seguridad como el BS-779 y la ISO 17799. Ya un vez creadas estas políticas la implementación de las mismas se hacen a través de procedimientos detallados, los cuales describen los pasos a seguir, con el fin de cumplir el objetivo de la política de seguridad.
La implantación de estas políticas, hará que el valor de la organización crezca, así como su credibilidad y su buen nombre, así como también conseguir entre su planes la respectiva certifación o aval de la entidad certificadora, para conseguir una mayor disposición en la competitividad, consiguiendo el mejoramiento de los diferentes procesos.
Después de esta fase, donde se realiza la molificación o creación de las políticas y procedimiento de seguridad se inicia las fases de carácter practico del ciclo de vida de la metodología.
FASE 3: ASEGURAMIENTO FÍSICO.
La seguridad física en uno de los caminos bases para minimizar los diferentes riesgos al interior de la empresa. Para esta metodología dentro de esta fase se enfoca en cuatro temas principales:
Ubicación física y disposición del centro de computo:
en esta fase interna se tiene muy en cuenta ya que encontramos la infraestructura central de la información y de comunicaciones de las cuales la empresa depende para sus actividades laborales diarias.
- Control de acceso físico:
Esta refuerza a la anterior, ya que en esta se destacan parámetros para controlar el acceso a terceras personas ajenos o no autorizadas a la empresa.
- Seguridad administrativa:
En este tema se busca la capacitación del personal de la empresa en cuanto al manejo y aseguramiento de los recursos en general.
- Realización de planes de contingencia:
Se trata de tener en claro los procedimientos de recuperación de las actividades laborales dentro de la organización, en caso de algún incidente de seguridad.
Una vez terminada con esta fase, se comienza con el aseguramiento lógico de la empresa a partir de las arquitecturas de red.
Una vez terminada con esta fase, se comienza con el aseguramiento lógico de la empresa a partir de las arquitecturas de red.
FASE 4: ARQUITECTURA DE RED
Las arquitecturas de red fueron creadas para dividir las redes de carácter empresarial de las redes de carácter público, con el fin de mantener la información precisa o confidencial por fuera del alcance de terceros.
Dentro de los diferentes tipo de arquitecturas propuestas, existen las denominadas zonas desmilitarizadas(demilitarized zone), las cuales aislan y protegen las redes privadas de la redes públicas, separando el tráfico de red interna en dos grupos, con el fin de asegurar el control de acceso a los servidores públicos desde la red pública y privada.
Las arquitectura propuestas son:
-Arquitectura sin DMZ_
a.) Red básica con un solo Firewall
b.) Red básica con un solo Firewall y un host bastión
-Arquitectura con DMZ
c.) Firewall bcon básico con una DMZ
d.) Firewall dual con una DMZ
- Arquitectura de Red con IDS
- Arquitectura de Red Inalambrica (WLAN)
una vez establecida la arquitectura donde se tienen en cuenta sus ventajas y desventajas, se continua con la implementación física de la misma, configurando y actualizando cada uno de los dispositivos que hacen parte de la arquitectura elegida, de manera tal que en su mayoría desaparezca las vulnerabilidades presentes en estas, ya que solo con el montaje de la arquitectura no se obtiene un nivel suficiente de la seguridad.
FASE 5: ASEGURAMIENTO Y CONFIGURACIÓN DE SISTEMAS OPERATIVOS, SERVICIOS, HERRAMIENTAS Y DISPOSITIVOS.
Gran parte de que el éxito se confirme dentro de la metodología radica en el aseguramiento y buena configuración de los servicios que presta al organización, de la herramientas o aplicaciones que tiene la empresa para su protección, así como los dispositivos que hacen parte de la arquitectura de red.
Hay que tener en cuenta que dentro de las herramientas que se utilizan a diario en la empresa se encuentra el sistema operativo, el cual permite controlar el acceso y uso de los diferentes recursos de la maquina, por lo tanto un sistema operativo se debe tener en muy en cuenta:
- Arquitectura de Red con IDS
- Arquitectura de Red Inalambrica (WLAN)
una vez establecida la arquitectura donde se tienen en cuenta sus ventajas y desventajas, se continua con la implementación física de la misma, configurando y actualizando cada uno de los dispositivos que hacen parte de la arquitectura elegida, de manera tal que en su mayoría desaparezca las vulnerabilidades presentes en estas, ya que solo con el montaje de la arquitectura no se obtiene un nivel suficiente de la seguridad.
FASE 5: ASEGURAMIENTO Y CONFIGURACIÓN DE SISTEMAS OPERATIVOS, SERVICIOS, HERRAMIENTAS Y DISPOSITIVOS.
Gran parte de que el éxito se confirme dentro de la metodología radica en el aseguramiento y buena configuración de los servicios que presta al organización, de la herramientas o aplicaciones que tiene la empresa para su protección, así como los dispositivos que hacen parte de la arquitectura de red.
Hay que tener en cuenta que dentro de las herramientas que se utilizan a diario en la empresa se encuentra el sistema operativo, el cual permite controlar el acceso y uso de los diferentes recursos de la maquina, por lo tanto un sistema operativo se debe tener en muy en cuenta:
- Identificación y autentificación de los recursos.
- Control de acceso a los recursos del sistema.
- Monitorear la acciones realizadas por los usuarios.
- Auditoría de los eventos con posibilidad a riesgo.
- Garantizar la total integridad de los datos almacenados.
- Garantizar la disponibilidad de los recursos.
También al momento de asegurar los recursos, como controlar a sujetos bajo conexión remota, como lo son los archivos compartido; esta política de seguridad se debe implementar a través de políticas de seguridad en el sistema por parte de los administradores para dar protección a los diferentes elementos que forman el sistema.
también se recomienda configurar de manera correcta los servicios que presta la empresa, para esto se debe realizar un seguimiento periódico a los archivo de registro que son creados en cada uno de estos.
Estos servicios por lo general están mal configurados de manera tal que están por defecto, lo que facilita al atacante llevar su objetivo, el tener al control de estos. Se propone dentro de la metodología desarrollar una serie de recomendaciones y lista de chequeo, con las cuales la empresa se pueden apoyar para la eliminación de la vulnerabiliades que se encuentran presentes en los dispositivos como lo son los Firewalls e IDS principalmente, los cuales ayudan a la protección de la redes organizacionales, pero que por si solos no forman una solución final y contundente a los problemas de seguridad, sistemas operativos, servidores y demás factores que conforman una arquitectura de redes dentro de la empresa.
FASE 6: AUDITORÍA DE SISTEMAS.
Dentro de esta fase se determina si los sistemas de información salvaguardan y protegen los activos, mantienen la integridad de los datos y utilizan de manera eficiente todos los recursos.
Dentro de las principales áreas que hacen parte de la auditoría de sistemas, se encuentra:
evidencia la integridad de la seguridad física en el ámbito en que se va a desarrollar la labor profesional, por lo tanto se debe asumir que ésta no se limita a comprobar la existencia de los medio físicos, sino también su funcionalidad, racionabilidad y seguridad, así como también el correcto uso de las políticas y procedimientos de seguridad.
-Auditoría de Base de Datos:
La importancia de esta auditoría radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utilizan esta tecnología.
-Auditoría de Redes:
En este punto a auditarse hasta qué las instalaciones físicas ofrezcan garantías suficientes para la seguridad de los datos. De la misma manera es necesario monitoriar la Red, revisar los errores o situaciones por fuera de la normalidad que se producen, además tener establecidos los procedimientos para detectar y aislar equipos posiblemente infectados o comprometidos.
-Auditoría de Aplicaciones:
El objetivo de este auditoría consiste en ayudar a planificar, preparar y llevar a cabo auditorías de planificaciones en funcionamiento, en cuanto al grado de cumplimiento de los objetivos para los que éstas fueron creadas.
-Auditoría de Seguridad:
En este tipo de auditoría se debe evaluar si los modelos de seguridad están en concordancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones.
COMPUTACIÓN FORENSE:
Finalmente la esta rama correspondiente a la computación forense apoya la metodología de análisis de vulnerabilidades, con el fin de preparar los equipos y dispositivos con lo que cuente la empresa para llegar a realizar el estudio correspondiente de los sistema de información o a maquinas de trabajo ante la posibilidad o sospecha de una violación de seguridad, llegando a ser ésta evidencia valida en el caso de incurrir un acto de carácter ilegal.
-Auditoría de Redes:
En este punto a auditarse hasta qué las instalaciones físicas ofrezcan garantías suficientes para la seguridad de los datos. De la misma manera es necesario monitoriar la Red, revisar los errores o situaciones por fuera de la normalidad que se producen, además tener establecidos los procedimientos para detectar y aislar equipos posiblemente infectados o comprometidos.
-Auditoría de Aplicaciones:
El objetivo de este auditoría consiste en ayudar a planificar, preparar y llevar a cabo auditorías de planificaciones en funcionamiento, en cuanto al grado de cumplimiento de los objetivos para los que éstas fueron creadas.
-Auditoría de Seguridad:
En este tipo de auditoría se debe evaluar si los modelos de seguridad están en concordancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones.
COMPUTACIÓN FORENSE:
Finalmente la esta rama correspondiente a la computación forense apoya la metodología de análisis de vulnerabilidades, con el fin de preparar los equipos y dispositivos con lo que cuente la empresa para llegar a realizar el estudio correspondiente de los sistema de información o a maquinas de trabajo ante la posibilidad o sospecha de una violación de seguridad, llegando a ser ésta evidencia valida en el caso de incurrir un acto de carácter ilegal.
