UNIDAD 1

RIESGOS TECNOLGICOS

Origen del riesgo tecnolgico Cmo nos afecta?

El riesgo tecnolgico tiene su origen en el

continuo incremento de herramientas y

aplicaciones tecnolgicas que no cuentan

con una gestin adecuada de seguridad.

Su incursin en las organizaciones se

debe a que la tecnologa est siendo fin y

medio de ataques debido a

vulnerabilidades existentes por medidas

de proteccin inapropiadas y por su

constante cambio, factores que hacen

Riesgos Tecnolgicos

Origen

Como afectan

Clasificacin de los riesgos

Medidas ante el riegos

tecnolgico

Riegos tecnolgicos como raz de otros riesgos

cada vez ms difcil mantener actualizadas esas medidas de seguridad.

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnologa,

que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a

los que se exponen las organizaciones.

El riesgo tecnolgico puede verse desde tres aspectos:

1.- A nivel de la infraestructura tecnolgica (hardware o nivel fsico),

2.- A nivel lgico (riesgos asociados a software, sistemas de informacin e

informacin) y por ltimo

3.- Factor humano, que son riesgos derivados del mal uso de los anteriores elementos

nombrados anteriormente.

Si se revisan las definiciones de las metas, objetivos, visin o misin de las

organizaciones, ests no se fundamentan en trminos tcnicos o con relacin a la

tecnologa. Sin embargo, al analizar de forma profunda y minuciosa este tipo de

planteamientos gerenciales, se encuentra que su aplicacin trae como base el

desempeo de una infraestructura tecnolgica que permita darle consecucin a dichas

cualidades. Por ello, el cumplimiento correspondiente con la prestacin de los servicios

y desarrollo de los productos ofrecidos por la empresa, el mantenimiento de la

actividad operativa e incluso la continuidad del negocio, dependen del cuidado y

conservacin que se tenga de la base tecnolgica y por supuesto, del personal que la

opera.

Clasificacin de los Riesgos Tecnolgicos

1.- A nivel de la infraestructura tecnolgica (hardware o nivel fsico),

Dentro de las amenazas fsicas podemos

englobar cualquier error o dao en el

hardware que se puede presentar en

cualquier momento. Por ejemplo, daos

en discos duros, en los procesadores,

errores de funcionamiento de la memoria,

etc. Todos ellos hacen que la informacin

o no est accesible o no sea fiable.

Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el

hardware que se puede presentar en cualquier momento. Por ejemplo, daos en

discos duros, en los procesadores, errores de funcionamiento de la memoria, etc.

Todos ellos hacen que la informacin o no est accesible o no sea fiable.

Otro tipo de amenazas fsicas son las catstrofes naturales. Por ejemplo hay zonas

geogrficas del planeta en las que las probabilidades de sufrir terremotos, huracanes,

inundaciones, entre otros, son mucho ms elevadas.

En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de

seguridad, no por ello hay que descuidarlo e intentar prever al mximo este tipo de

situaciones.

Hay otro tipo de catstrofes que se conocen como de riesgo poco probable. Dentro de

este grupo tenemos los ataques nucleares, impactos de meteoritos, etc. y que, aunque

se sabe que estn ah, las probabilidades de que se desencadenen son muy bajas y

en principio no se toman medidas contra ellos.

Tipos de amenazas fsicas

Las amenazas fsicas se las puede agrupar de la siguiente manera:

1.1 Acceso fsico

Hay que tener en cuenta que cuando existe acceso fsico a un recurso ya no

existe seguridad sobre l. Supone entonces un gran riesgo y probablemente

con un impacto muy alto.

El ejemplo tpico de este tipo es el de una organizacin que dispone de tomas

de red que no estn controladas, son libres. Se puede mencionar que a

menudo se descuida mucho este tipo de seguridad.

1.2 Radiaciones electromagnticas

Se tiene entendido que cualquier aparato elctrico emite radiaciones y que

dichas radiaciones se pueden capturar y reproducir, si se dispone del

equipamiento adecuado. Por ejemplo, un posible atacante podra 'escuchar' los

datos que circulan por el cable telefnico.

Es un problema que hoy en da que se puede tener con las redes wifi

desprotegidas.

1.3 Desastres naturales

Respecto a terremotos, son fenmenos naturales que si se produjeran tendran

un gran impacto y no solo en trminos de sistemas informticos, sino en

general para la sociedad.

Siempre hay que tener en cuenta las caractersticas de cada zona en particular,

visualizar las posibilidades de que ocurra una inundacin, terremotos y sobre

todo hay que conocer perfectamente el entorno en el que estn instalados

fsicamente los sistemas informticos.

1.4 Desastres del entorno

Dentro de este grupo estaran incluidos sucesos que, sin llegar a ser desastres

naturales, pueden tener un impacto igual de importante si no se disponen de

las medidas de salvaguarda listas y operativas.

Puede ocurrir un incendio o un apagn y no tener bien definidas las medidas a

tomar en estas situaciones que debera responder de forma inmediata al corte

de suministro elctrico.

Comprobar, evaluar y controlar permanentemente la seguridad fsica del edificio que

alberga los sistemas informticos es la base para comenzar a integrar la seguridad

como una funcin primordial dentro de cualquier empresa.

Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros

Trabajar con confianza manteniendo la sensacin de seguridad

Descartar falsas hiptesis si se produjeran incidentes

Tener los medios para luchar contra accidentes

Las distintas alternativas enumeradas son suficientes para conocer en todo momento

el estado del medio en el que se trabaja y as tomar decisiones en base a la

informacin ofrecida por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas

personas hasta la extremo de evacuar el edificio en caso de accidentes.

Medidas de aseguramiento ante el riesgo Fsico

Hablar de controles y medidas que permitan a las organizaciones contrarrestar este

tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su

mitigacin. En el nivel fsico, las medidas a tomar son de carcter tcnico o de

seguridad informtica, referidas a la aplicacin de procedimientos de control y barreras

fsicas ante amenazas para prevenir dao o acceso no autorizado a recursos e

informacin confidencial que sea guardada en la infraestructura fsica. Dentro de stas

se encuentran:

Controles de acceso fsico, que pueden incluir el uso de sistemas biomtricos y

vigilantes para acceso en reas especficas.

Manejo de tokens o tarjetas de identificacin.

Controles a nivel de equipos, tales como ubicacin y proteccin, seguridad en

cableado o mantenimiento peridico de equipos.

Servicios bsicos (energa, agua y alcantarillado, entre otros) de soporte para

continuidad.

Gestin de medios de almacenamiento removible.

Controles de vulnerabilidades tcnicas, entre otros.

2.- A nivel lgico (riesgos asociados a software, sistemas de informacin)

Las amenazas lgicas comprenden una

serie de programas que pueden daar el

sistema informtico. Y estos programas

han sido creados:

De forma intencionada para hacer

dao: software malicioso o

malware (malicious software)

Por error: bugs o agujeros.

A continuacin se nombran algunas amenazas con las que nos podemos encontrar:

2.1 Software incorrecto

Son errores de programacin (bugs) y los programas utilizados para

aprovechar uno de estos fallos y atacar al sistema son los exploits. Es la

amenaza ms habitual, ya que es muy sencillo conseguir un exploit y utilizarlo

sin tener grandes conocimientos.

2.2 Exploits

Son los programas que aprovechan una vulnerabilidad del sistema. Son

especficos de cada sistema operativo, de la configuracin del sistema y del

tipo de red en la que se encuentren. Puede haber exploits diferentes en funcin

del tipo de vulnerabilidad.

2.3 Herramientas de seguridad

Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso

puede utilizarlas para detectar esos mismos fallos y aprovechar para atacar el

sistema. Herramientas como Nessus o Satan pueden ser tiles pero tambin

peligrosas si son utilizadas por crackers buscando informacin sobre las

vulnerabilidades de un host o de una red completa.

2.4 Puertas traseras

Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos'

en los sistemas de autenticacin de la aplicacin. Estos atajos se llaman

puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar

y depurar fallos. Si estas puertas traseras, una vez la aplicacin ha sido

finalizada, no se destruyen, se est dejando abierta una puerta de entrada

rpida.

2.5 Bombas lgicas

Son partes de cdigo que no se ejecutan hasta que se cumple una condicin.

Al activarse, la funcin que realizan no est relacionada con el programa, su

objetivo es completamente diferente.

2.6 Virus

Secuencia de cdigo que se incluye en un archivo ejecutable (llamado

husped), y cuando el archivo se ejecuta, el virus tambin se ejecuta,

propagndose a otros programas.

2.7 Gusanos

Programa capaz de ejecutarse y propagarse por s mismo a travs de redes, y

puede llevar virus o aprovechar bugs de los sistemas a los que conecta para

daarlos.

2.8 Caballos de Troya

Los caballos de Troya son instrucciones incluidas en un programa que simulan

realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones

con el objetivo de ocultar la presencia de un atacante o para asegurarse la

entrada en caso de ser descubierto.

2.9 Spyware

Programas espas que recopilan informacin sobre una persona o una

organizacin sin su conocimiento. Esta informacin luego puede ser cedida o

vendida a empresas publicitarias. Pueden recopilar informacin del teclado de

la vctima pudiendo as conocer contrasea o nmero de cuentas bancarias o

pines.

2.10 Adware

Programas que abren ventanas emergentes mostrando publicidad de productos

y servicios. Se suele utilizar para subvencionar la aplicacin y que el usuario

pueda bajarla gratis u obtener un descuento. Normalmente el usuario es

consciente de ello y da su permiso.

2.11 Spoofing

Tcnicas de suplantacin de identidad con fines dudosos.

2.12 Phishing

Intenta conseguir informacin confidencial de forma fraudulenta (conseguir

contraseas o pines bancarios) haciendo una suplantacin de identidad. Para

ello el estafador se hace pasar por una persona o empresa de la confianza del

usuario mediante un correo electrnico oficial o mensajera instantnea, y de

esta forma conseguir la informacin.

2.13 Spam

Recepcin de mensajes no solicitados. Se suele utilizar esta tcnica en los

correos electrnicos, mensajera instantnea y mensajes a mviles.

2.14 Programas conejo o bacterias

Programas que no hacen nada, solo se reproducen rpidamente hasta que el

nmero de copias acaba con los recursos del sistema (memoria, procesador,

disco, etc.).

2.15 Tcnicas salami

Robo automatizado de pequeas cantidades dinero de una gran cantidad

origen. Es muy difcil su deteccin y se suelen utilizar para atacar en sistemas

bancarios.

Medidas de aseguramiento ante el riesgo Lgico

En el nivel lgico, las medidas a tomar se dan con respecto al uso de software y

sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la

informacin por parte de los usuarios a travs de los procedimientos correctos. Como

parte de estas medidas se pueden tomar:

Controles de acceso lgico con la gestin de usuarios, perfiles y privilegios

para acceso a aplicaciones y gestin de contraseas.

Controles de acceso a la red interna y externa, segregacin en redes y

controles para asegurar servicios de la red.

Controles a nivel de teletrabajo y equipos mviles.

Soluciones de proteccin contra malware.

Respaldos de bases de datos e informacin crtica.

Protocolos para intercambio de informacin y cifrado de informacin.

Monitoreo de los sistemas, sincronizacin de relojes y proteccin sobre

registros.

Limitacin en tiempos de conexin a aplicativos y cierres de sesin por

inactividad.

Gestin de control de cambios, entre otros.

3. Factor humano

El tercer nivel y el ms crtico dentro de

las organizaciones, dada su naturaleza

impredecible, es el personal o recurso

humano. Las medidas a este nivel

deberan ser ms procedimentales,

ligadas a la regulacin y concienciacin.

Amenazas provocadas por personas

La mayor parte de los ataques a los sistemas informticos son provocados,

intencionadamente o no, por las personas.

Qu se busca?

En general lo que se busca es conseguir un nivel de privilegio en el sistema que les

permita realizar acciones sobre el sistema no autorizadas.

Podemos clasificar las personas 'atacantes' en dos grupos:

1. Activos: su objetivo es hacer dao de alguna forma. Eliminar informacin,

modificar o sustraerla para su provecho.

2. Pasivos: su objetivo es curiosear en el sistema.

Las personas que pueden constituir una amenaza para el sistema informtico sin

entrar en detalles son:

1. Personal de la propia organizacin

2. Ex-empleados

3. Curiosos

4. Crackers

5. Terroristas

6. Intrusos remunerados

Medidas de aseguramiento ante el riesgo o factor Humano

Definicin de polticas de seguridad que presenten las correspondientes

violaciones con el fin de dar cumplimiento.

Controles relacionados a acuerdos con terceros, prestacin de servicios que se

puedan dar con stos y segregacin de funciones.

Controles a nivel contratacin de personal.

Gestin antes, durante y despus de la terminacin de los contratos.

Educacin y capacitacin continua en aspectos de seguridad.

Procedimientos e instructivos para manejo de informacin.

Polticas de escritorio y pantalla limpia.

Cumplimiento de legislacin aplicable, entre otros.

Riesgo tecnolgico como raz de otros riesgos

El riesgo tecnolgico puede ser causa y consecuencia de otro tipo de riesgos, una falla

sobre la infraestructura puede implicar riesgos en otros mbitos, como prdidas

financieras, multas, acciones legales, afectacin sobre la imagen de la organizacin,

causar problemas operativos o afectar las estrategias de la organizacin. Si se piensa

en el caso de un empleado descontento que puede representar un riesgo operativo,

podra implicar tambin un riesgo tecnolgico por manipulacin inapropiada de

sistemas e informacin.

A continuacin, se presentan algunos ejemplos que ilustran lo anterior:

El reciente descubrimiento en mayo de 2012 del malware Flame, el cual tena

como objetivo ataques de ciberespionaje en pases de oriente medio. Este

ataque represent prdida de informacin confidencial y crtica. [1]

Otro caso de ciberespionaje industrial es el malware encontrado en archivos de

AutoCad, cuya finalidad es el robo de informacin sensible como planos

arquitectnicos. [2]

Un ataque muy nombrado en marzo del ao pasado es el relacionado al robo

de informacin realizado a RSA, que implic riesgos para la banca en lnea. [3]

Por ltimo, el ataque que sufri Sony en 2011, donde robaron informacin de

cuentas de usuarios. [4]

Todo lo anterior, confirma la posibilidad de daos y perjuicios que puede

desencadenar un fallo en la seguridad a nivel tecnolgico.

Referencias

[1] Meet Flame, The Massive Spy Malware Infiltrating Iranian Computers, Revista Wired, Mayo de 2012. Disponible en: http://www.wired.com/threatlevel/2012/05/flame/

[2] Malware en archivos AutoCad podra ser inicio de ciberespionaje industrial, Subdireccin de Seguridad de la Informacin - Informacin y servicios de seguridad en cmputo. Disponible en: http://www.seguridad.unam.mx/noticia/?noti=420

[3] En riesgo ms de 40 millones de usuarios de banca electrnica, blog de tecnologa ALT1040, Marzo 2011. Disponible en: http://alt1040.com/2011/03/en-riesgo-mas-de-40-millones-de-usuarios-de-banca-electronica

[4] Sony admite un robo adicional de datos que afecta a casi dos centenares de usuarios en Espaa, Diario El mundo Espaa, Mayo 2011. Disponible en: http://www.elmundo.es/elmundo/2011/05/03/navegante/1304383366.html