Gestión de activos, vulnerabilidades y amenazas

VALORACIÓN DE ACTIVOS

En el ámbito de una organización, los riesgos de ciberseguridad pueden poner en peligro la información de la organización y comprometer el desarrollo de las operaciones del negocio. Esta misma idea puede llevarse al ámbito personal, es decir, que los riesgos de ciberseguridad pueden poner en peligro mi información personal (datos financieros, datos de identidad, datos de educación, datos médicos, etc.) y comprometer mi seguridad (seguridad física, pérdidas económicas, etc.).

El potencial impacto que produzcan los riesgos determinará cuales son los más importantes para tomar acciones de mitigación o tratamiento. En este proceso de identificación, comprobaremos que en cada riesgo existen activos involucrados y que por lo tanto deben protegerse con el nivel adecuado.

Los activos en el ciberespacio se pueden clasificar como:

a) Activos a nivel personal.

b) Activos a nivel organizacional.

c) Activos críticos nacionales.

En cada clase, los activos pueden ser:

- Activos físicos, que existen en el mundo real.

- Activos virtuales, que sólo existen en el ciberespacio y no se pueden ver o tocar en el mundo real.

Un aspecto clave del Ciberespacio es la infraestructura de tecnologías de la información y comunicación, ya que hace posible la existencia del Ciberespacio. Esta infraestructura incluye a las redes, servicios y aplicaciones que les pertenecen a muchos proveedores de servicios. Sin embargo, la confiabilidad y disponibilidad de esta infraestructura es crucial para asegurarse de que los servicios y aplicaciones del Ciberespacio estén disponibles para cualquier persona en el Ciberespacio.

A nivel personal, uno de los activos virtuales clave es la identidad en línea, puesto que es el identificador clave para cualquier consumidor individual en el Ciberespacio. Otros activos virtuales del consumidor individual incluyen sus referencias en los mundos virtuales. También se consideran activos a nivel personal al hardware y software de tecnologías de la información y comunicación (TIC), así como a los dispositivos digitales personales o endpoints que le permiten al consumidor conectarse y comunicarse en el Ciberespacio.

En el nivel organizativo, además de los activos físicos, los virtuales son cada vez más valiosos. Por ejemplo, la marca en línea y otras representaciones de la organización en el Ciberespacio identifican de manera única a la organización. La URL y la información del sitio Web, la propiedad intelectual (fórmulas, procesos propietarios, patentes, resultados de investigaciones), los planes y estrategias de negocio (lanzamiento de un producto y tácticas de marketing, información competitiva, información financiera e informe de datos) son ejemplos de activos en el nivel organizativo.

Una de las primeras actividades a realizar en la implementación de cualquier marco de seguridad en una organización es elaborar un inventario (lista) de activos, dónde se identifiquen cuáles son los más críticos y que podrían poner en riesgo a la organización.

Un activo en relación con la ciberseguridad, se refiere a cualquier información o sistema relacionado con el tratamiento de la información en el ciberespacio, y que tenga valor para la organización. Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.

Los activos podrían clasificarse de diverso modo, pudiendo ser muy simplificada o muy detallada. De acuerdo a la ISO/IEC 27032 se incluyen, pero no se limitan a los siguientes:

a) Información.

b) Software, como un programa informático.

c) Activos físicos o hardware, como una computadora.

d) Servicios.

e) Personas, por sus capacidades, competencias y experiencia.

f) Activos intangibles, como la reputación e imagen.

TIPO DE ACTIVOS

Información

Software

Persona

Servicio

Hardware Físicos

Otros

Corresponden a este tipo datos e información almacenada o procesada física o electrónicamente tales como: bases y archivos de datos, contratos y acuerdos, documentación del sistema, información sobre investigaciones, manuales de usuario, material de formación o capacitación, procedimientos operativos o de soporte, planes para la continuidad del negocio, acuerdos de recuperación, registros de auditoría e información archivada, entre otros.

Software de aplicación, interfaces, software del sistema, herramientas de desarrollo y otras utilidades relacionadas.

Aquellas personas que, por su conocimiento, habilidades, experiencia y criticidad para el proceso, son consideradas activos de información.

Servicios de computación y comunicaciones, tales como Internet, correo electrónico, páginas de consulta, directorios compartidos e Intranet, entre otros.

Son activos físicos como por ejemplo: equipos de cómputo y de comunicaciones, medios removibles, entre otros que por su criticidad son considerados activos de información, no sólo activos fijos.

Activos de información que no corresponden a ninguno de los tipos descritos anteriormente.

El inventario de activos debe recoger los activos más importantes e identificarlos de manera clara y sin ambigüedades. El inventario es una herramienta que debe estar actualizada, de modo que ante nuevos cambios en la infraestructura TI, o cambios organizacionales se debe plantear una revisión del inventario.

Identificados los activos se les debe valorar de acuerdo a su importancia para la organización. Esta apreciación será lo más objetiva posible, ya que con ella se determinará sobre qué activos se realizará el análisis de riesgos.

Para valorar los activos pueden tomarse los parámetros más adecuados para la organización. Los más habituales son la confidencialidad, disponibilidad e integridad de los activos, determinándose la importancia que tienen para la organización en una escala de valores.

GESTIÓN DE VULNERABILIDADES

Una vulnerabilidad es una debilidad de un activo o control que puede ser aprovechada por una amenaza. En el contexto de un sistema de información, una vulnerabilidad es un defecto, debilidad o propiedad del diseño o implementación de un sistema de información (incluyendo sus controles de seguridad) o su entorno que se podría aprovechar de manera intencional o no intencional para afectar desfavorablemente los activos u operaciones de una organización.

La gestión de vulnerabilidades se inicia mediante la comprensión de los activos de ciberseguridad y donde residen (física y lógicamente). Esto se puede hacer mediante el mantenimiento de un inventario de activos que contenga información detallada acerca de cada activo, tal como la ubicación (física o lógica), la criticidad del activo, el dueño organizacional del activo y el tipo de información que el activo almacena o procesa.

Se deben buscar e implementar soluciones a las vulnerabilidades y, cuando una solución no sea posible o factible, se deben aplicar controles. Este enfoque se debería aplicar de manera prioritaria para que se aborden primero las vulnerabilidades que puedan significar un riesgo mayor.

En la práctica, es necesario realizar un escaneo de vulnerabilidades utilizando herramientas propietarias o de código abierto para buscar vulnerabilidades conocidas. Estas herramientas podrían ser las mismas que son utilizadas por los atacantes para identificar las vulnerabilidades en los activos de nuestra organización.

Las herramientas de evaluación de la vulnerabilidad se dividen en dos categorías: basadas en host y basadas en red.

Los escaneos de vulnerabilidades deben llevarse a cabo con regularidad para identificar nuevas vulnerabilidades y garantizar que las vulnerabilidades previamente se hayan superado. El método utilizado para explotar una vulnerabilidad se llama “Exploit” o “Código para explotar debilidades”. TIPO

VULNERABILIDADES

- Mantenimiento insuficiente

- Mala instalación y configuración de discos duros

- Falta de planificación y reemplazo de componentes

- Susceptibilidad a la humedad, polvo, suciedad

- Sensibilidad a la radiación electromagnética

Hardware

Software

Red

Personal

- Falta de control del cambio de configuraciones

- Susceptibilidad a variaciones de voltaje

- Susceptibilidad a variaciones de temperatura

- Almacenamiento no protegido

- Falta de controles para desechar o descartar medios

- Copia no controlada

- Falta o insuficientes pruebas al software

- Errores conocidos en el software

- Falta de evidencias de auditoría

- Asignación de derechos de acceso errada

- Falta de documentación

- Interfaz de usuario complicada

- Configuración incorrecta de parámetros

- Falta de mecanismos de identificación y autenticación de usuarios

- Tabla de claves no protegidas

- Falta de copias de respaldo

- Tráfico confidencial no protegido

- Fallas en el cableado

- Punto de falla único

- Arquitectura de red insegura

- Transferencia de claves en claro

- Gestión inadecuada de la red

- Conexiones no protegidas

- Falta de conciencia en ciberseguridad

- Trabajo no supervisado de personal externo

- Falta de políticas para el uso adecuado de recursos

GESTIÓN DE AMENAZAS

Las amenazas que existen en el Ciberespacio se analizan en relación a los activos en el Ciberespacio. Las amenazas al Ciberespacio se pueden clasificar de acuerdo al tipo de activo:

Amenazas a activos personales

Las amenazas a los activos personales se centran principalmente en los problemas de identidad, provocados por la filtración o robo de información personal. Si la identidad online de una persona es robada o enmascarada, se le puede privar a esa persona de acceso a servicios y aplicaciones claves. En escenarios más serios, las consecuencias pueden variar desde incidentes financieros hasta incidentes de nivel nacional. El acceso no autorizado a la información

financiera de una persona también puede abrir la posibilidad de robo del dinero de esa persona y fraudes. Otra amenaza es la posibilidad de convertir el endpoint en un zombi o bot. Los dispositivos de computación personal se pueden ver comprometidos y así formar parte de una botnet mayor.

Amenazas a activos organizacionales

La presencia online de las organizaciones y los negocios online suelen ser blancos de malhechores cuyas intenciones van más allá de un simple pasatiempo.

En el caso de un ataque exitoso, la información personal de los empleados, clientes, socios o suministradores se puede divulgar y resultar en sanciones contra las organizaciones si se descubre que dicha información se gestionó o protegió de manera insuficiente, contribuyendo a su pérdida.

Las normas de clasificación financiera también se pueden violar si los resultados organizacionales se divulgan sin autorización.

Los gobiernos resguardan información sobre asuntos de seguridad nacional, militares y de inteligencia entre otros elementos relacionados al gobierno y Estado, además de una vasta matriz de información sobre individuos, organizaciones y de la sociedad en su totalidad.

Los gobiernos deben proteger su infraestructura e información del acceso inapropiado y de abusos. Con la tendencia en crecimiento y expansión de ofrecer servicios gubernamentales online a través del Ciberespacio, éste es un nuevo canal, entre otros, para lanzar ataques y acceder a la información descrita anteriormente. Si los ataques tienen éxito, pueden resultar en riesgos graves para la nación, su gobierno y su sociedad.

Los grupos terroristas pueden tanto comprar de manera legítima las aplicaciones, servicios y recursos que facilitan su causa o pueden recurrir a medios ilegales para asegurar estos recursos para evitar su detección y rastreo. Esto puede incluir adquirir recursos de computación masivos a través de botnets.

Amenazas a activos críticos nacionales

Estas amenazas tienen como objetivo a las infraestructuras críticas nacionales, generalmente con fines de terrorismo.

Ante esta situación, se requiere que las organizaciones de todo tipo de negocio y tamaño, públicas o privadas, con o sin fines de lucro, etc., tomen en cuenta e implementen controles apropiados de ciberseguridad. También es necesario educar a la población en general en temas de ciberseguridad, a través de un programa de concientización e incorporando el tema en las currículas escolares y formación. Estas acciones ayudarán a identificar vulnerabilidades, y mejorar la protección para hacer frente a las amenazas, y como consecuencia mejorará el nivel de la ciberseguridad, propiciando un estado de confianza en el entorno digital base de la economía digital.

TIPO

Daño físico provocado por las siguientes amenazas:

Tabla

AMENAZAS

- Incendio

- Contaminación

- Accidente mayor

- Destrucción del equipamiento o medios

- Daño por agua, polvo, corrosión, congelación

Eventos naturales, como las siguientes amenazas:

Pérdida de servicios esenciales, generadas por las siguientes amenazas:

Perturbación debido a radiación, como las siguientes amenazas:

- Fenómeno climático, sísmico, volcánico, meteorológico

- Inundación

- Fallas del sistema de aire acondicionado o del suministro de agua

- Pérdida del suministro de electricidad

- Fallas en el servicio de telecomunicaciones

Compromiso de la información provocado por las siguientes amenazas:

- Radiación electromagnética, Radiación térmica

- Pulsos electromagnéticos

- Interceptación de señales de comunicaciones

- Espionaje remoto

- Robo de equipos y/o medios de almacenamiento

- Recuperación de información en medios reciclados o descartados

- Divulgación

- Datos de fuentes no confiables

- Adulteración de hardware y/o software

- Detección de posición

- Falla del equipo

Fallas técnicas originadas por las siguientes amenazas

Acciones no autorizadas

Compromiso de funciones

Humanas, como los siguientes agentes de amenzas:

- Mal funcionamiento del equipo

- Saturación del sistema de información

- Mal funcionamiento del software

- Ruptura de la mantenibilidad del sistema de información

- Uso no autorizado del equipo

- Copia fraudulenta del software

- Uso de software falsificado o copiado

- Corrupción de datos

- Procesamiento ilegal de datos

- Error en el uso

- Abuso de derechos

- Falsificación de derechos

- Negación de acciones

- Ruptura en la disponibilidad del personal

- Hacker, cracker

- Criminal informático

- Terrorista

- Espionaje industrial

- Empleados internos