En este paso veremos algunas definiciones y conceptos básicos. Veremos también cómo se generan, envían y reciben 0s y 1s, es decir, cómo funciona el lenguaje de los ordenadores, cómo están interconectados entre ellos para conseguir lo que se conoce como internet, cuál es la estructura o jerarquía que existe en internet y por último veremos la compartición de recurso dentro de los núcleos de la red de internet.
Tras esta breve introducción pasamos a las definiciones anteriormente comentadas.
¿Qué es una red de ordenadores?
No es más que un conjunto de equipos informáticos conectados entre sí de forma indirecta o directa (cable).
Siguiendo la definición anterior, para que un equipo que esté en una red A consiga conectarse a otro que está en otra red B, se necesita un encaminador (router), es decir, un dispositivo que se encarga de reenviar el paquete entre una red (sistema de interconexión que posibilita la comunicación entre aplicaciones) y otra.
Además, al conjunto de estas dos redes se le llama Inter-red (conjunto de redes). Si nos fijamos, Internet es una Inter-red, pero con extensión mundial.
Para que dos equipos se logren comunicar (ya sea en la misma red o en otra), tienen que transmitir (escribir), recibir e interpretar (leer) 0s y 1s. Para eso, cuentan con NICs o tarjetas de red, que son las encargadas de conectar los dispositivos a nivel de enlace. Esas NICs, leen y escriben 0s y 1s, y a la velocidad a la que lo hacen, es lo que se conoce como régimen binario.
¿Qué es un servicio?
Es una tarea que se realiza por un usuario, que puede ser un ente físico o un proceso (o procesos) entre dos entidades que colaboran para dar el servicio.
Para que el servicio se pueda llegar a dar, los procesos entre dos entidades pares se tienen que comunicar. Para lograr esa comunicación, dichos mensajes deben tener un formato, orden y se deben realizar una serie de acciones para que el mensaje sea recibido, y esto es lo que se conoce como protocolo. Es decir, el protocolo es el que define el formato y el orden de los mensajes enviados y recibidos, así como de las acciones que se tienen que llegar a hacer para que ese mensaje sea recibido.
Antes, se comentó el uso de encaminadores para que un mensaje viajase desde una red A hacia otra B. Los paquetes que viajan entre las redes pueden llegar a dar más de un salto (pasan por más de un encaminador) hasta llegar a la red destino. Los encaminadores usan el encaminamiento y el reenvío para lograr que el paquete origen llegue al destino deseado. ¿Pero a qué hacen referencia estos dos términos?
El encaminamiento es la determinación global del mejor camino entre un origen y un destino siguiendo un criterio.
El reenvío es la determinación del siguiente salto de un paquete en cada nodo.
Los sistemas binarios (digitales) se usan porque presentan una serie de características como son la inmunidad frente al ruido, bajo consumo, diseño simple, tamaño mínimo, precisión, respuesta dinámica y Fan In/ Fan Out.
Se ha hablado del uso de 0s y 1s, pero ¿cómo conseguimos esos 0s y 1s a nivel físico? La tecnología que hay detrás, son los denominados transistores.
En los circuitos se suelen implementar lo que se conocen como puertas lógicas, los cuales están compuestos de transistores. La placa de un PC está compuesta de millones de estos transistores.
En la siguiente imagen, se puede apreciar un circuito simple con un transistor BJT (existen otros que se llaman Mosfet), el cual tiene una resistencia en base y otra en el colector. Si aumentamos la tensión de entrada (Vi) que está conectada a la base del transistor, la tensión de salida (Vo) se va a ir a un mínimo rozando el 0, considerándose un 0 lógico. Por otro lado, si disminuyéramos Vi, aumentaría la tensión de salida (Vo) consiguiendo un 1 lógico. Por tanto, los 0s y 1s no son más que representaciones de valores de tensión. Esos valores de tensión que se consideran 0s o 1s dependerán de la implementación de cada puerta y del tipo de transistor usado:
Para entender mejor lo mencionado, veamos la siguiente imagen:
Se puede apreciar una puerta lógica donde en la entrada se considera un 1 lógico si recibe valores de tensión entre 3.5 y 5 V (Voltios), y un 0 lógico si recibe valores de tensión entre 0 y 1.5 V. Además, la misma sacará un 0 o un 1 dependiendo de si los valores de tensión que tiene en la salida están comprendidos entre 4.4 y 5 V (siendo en ese caso un 1 lógico) o comprendidos entre 0 y 0.33 V (siendo en ese caso un 0 lógico). Es otras palabras, será un 0 o 1 dependiendo de las características técnicas de los componentes utilizados.
Los marcos legales y normativos en ciberseguridad establecen las bases para proteger la información y los sistemas frente a amenazas y ataques.
Estos marcos varían según el país, pero comparten objetivos comunes como la protección de datos personales, la seguridad en infraestructuras críticas y la prevención del cibercrimen.
Es importante distinguir entre varios conceptos:
Ley: Norma jurídica dictada por una autoridad competente que debe cumplirse obligatoriamente.
Regulación: Conjunto de reglas específicas que desarrolla y complementa una ley, detallando cómo debe aplicarse en situaciones concretas.
Directiva: Mandato emitido por una entidad supranacional, como la Unión Europea, que debe ser transpuesto a las legislaciones nacionales de los Estados miembros.
Normativa: Término general que engloba leyes, regulaciones y directivas que rigen un área específica, como la ciberseguridad.
Ejemplos:
GDPR (Reglamento General de Protección de Datos) (Regulación): Protege los datos personales de los ciudadanos de la UE.
Ley de Infraestructuras Críticas en Estados Unidos (Ley): Obliga a sectores clave a implementar medidas de seguridad.
NIS2 (Directiva): Directiva de la Unión Europea que establece requisitos más estrictos para la seguridad de redes y sistemas en sectores críticos, aplicable a todos los Estados miembros.
Reglamentos internacionales y regionales
Las regulaciones internacionales y regionales buscan armonizar las medidas de seguridad entre países y regiones. Estos marcos establecen una base común para las organizaciones, garantizando la coherencia en cómo se aborda e implementa la ciberseguridad.
Proporcionan metodologías estructuradas para gestionar riesgos, implementar controles efectivos y garantizar el cumplimiento de los estándares de seguridad.
Al promover la uniformidad en las prácticas de seguridad, estas regulaciones mejoran la confianza y la cooperación entre organizaciones que operan en distintas partes del mundo. También ayudan a abordar amenazas emergentes fomentando un enfoque proactivo y estandarizado en ciberseguridad, lo que permite a las organizaciones mantener su resiliencia y proteger datos sensibles de manera efectiva.
Estas regulaciones son fundamentales para garantizar que todas las entidades, independientemente de su ubicación geográfica, cumplan con un nivel de seguridad consistente, reduciendo así la exposición a vulnerabilidades y mejorando la estabilidad general del entorno digital.
Por ejemplo, el ISO/IEC 27001 permite que empresas de diferentes países implementen controles de seguridad estándar, facilitando la colaboración en proyectos internacionales y aumentando la confianza en la protección de datos compartidos.
Ejemplos:
ISO/IEC 27001: Estándar internacional para sistemas de gestión de seguridad de la información.
PCI DSS: Normativa para la protección de datos en transacciones con tarjetas de crédito.
Normas específicas para sectores críticos
En sectores como la salud, banca y energía, existen normas específicas debido a la sensibilidad de sus datos. Estas normas no sólo buscan proteger información crítica, sino también garantizar la continuidad operativa y la confianza de los usuarios.
En el sector salud, por ejemplo, la privacidad de los pacientes es prioritaria, por lo que normativas como HIPAA exigen estrictos controles sobre la información médica.
En el sector financiero, regulaciones como la SOX aseguran la precisión y transparencia en los informes financieros, reduciendo el riesgo de fraude.
Por último, en el sector energético, las guías de ENISA promueven la ciberresiliencia, asegurando la estabilidad de infraestructuras esenciales frente a ciberataques.
HIPAA (Health Insurance Portability and Accountability Act): Regula la privacidad de la información médica en EE. UU.
SOX (Sarbanes-Oxley Act): Obliga a empresas públicas a garantizar la precisión de su información financiera.
Regulaciones de la Agencia Europea de Ciberseguridad (ENISA): Guía para sectores energéticos y telecomunicaciones.
Estas normativas suelen ser revisadas y actualizadas con el fin de responder a amenazas emergentes y avances tecnológicos. Por ejemplo, la Agencia Europea de Ciberseguridad (ENISA) ofrece recomendaciones adaptadas a nuevas vulnerabilidades y metodologías de ataque, garantizando que las medidas de seguridad evolucionen junto con el panorama de riesgos.
Este enfoque proactivo asegura que las empresas puedan mantener la continuidad operativa y proteger tanto sus activos digitales como la confianza del público.
Evaluación de cumplimiento y auditorías
Para garantizar el cumplimiento, las empresas deben realizar evaluaciones y auditorías periódicas.
Se recomienda que las evaluaciones de riesgo se lleven a cabo al menos una vez al año, mientras que las auditorías internas pueden realizarse semestralmente y las externas de manera anual o según la complejidad/modificaciones de los sistemas.
Estas revisiones identifican vulnerabilidades y aseguran que las políticas de seguridad se aplican correctamente. Es recomendable cambiar periódiamente de proveedor de auditorías externas para obtener diferentes perspectivas sobre la seguridad de la organización y mejorar los controles existentes.
Dato interesante: Diferencia entre auditoría y test de intrusión
Auditoría: Evaluación metódica y procedimentada de los controles y procesos de seguridad con el fin de verificar su eficacia y cumplimiento con normativas.
Test de intrusión: Simulación controlada de un ataque con el fin de identificar vulnerabilidades específicas en sistemas o redes.
Escenarios de gestión del riesgo.
Escenario 1:
Este es Ismael, jefe de proyecto de un equipo de desarrollo compuesto por un consultor, dos analistas senior, 2 analistas junior , 6 desarrolladores y un DBA. El proyecto consiste en el desarrollo de una aplicación web para la gestión de recursos humanos de una empresa.Por diversos motivos, uno de los principales riesgos que Ismael ha identificado es la alta rotación del personal senior.¿Qué medidas (o pasos de gestión) pondrá en marcha para mitigar la incidencia de dicho riesgo en el proyecto antes y durante la ejecución del mismo?
Piensa cuál podría ser la solución.
Antes del comienzo :
Formar al equipo de desarrollo antes de que comience el proyecto en los procedimientos de trabajo de la empresa, técnicas, métodos y herramientas que se utilizarán.
Utilizar técnicas, metodologías y herramientas conocidas para la mayoría de los miembros del equipo de desarrollo.
Negociar la firma de cláusulas de permanencia del personal senior durante el tiempo de ejecución del proyecto.
Durante la ejecución :
Mantener reuniones periódicas con el equipo completo para propiciar que todos los miembros tengan una visión actualizada del proyecto y de su marcha.
Asignar en cada tarea crítica un responsable. Agrupar las tareas críticas y asignar un responsable diferente.
Conclusiones
Antes mencionamos la herramienta Pilar, pero no queríamos hacer mención a esta herramienta hasta que se entendieran todos los conceptos.
Si bien un análisis de riesgo puede hacerse con un Excel, y en Internet hay varios modelos para descargar, la herramienta Pilar, tiene un modelo de amenazas muy completo y se adapta perfectamente al Esquema Nacional de Seguridad.
Lo que es importante entender, es que si nos enfrentamos a la herramienta sin los conceptos claros, no entenderemos cómo reflejarlo y qué se esta haciendo.
La descarga es gratuita aunque se necesitará una licencia para poder imprimir informes.
La herramienta viene con un ejemplo basado en sanidad, que se puede utilizar para ver la forma en que se han dado de alta los activos. Y cómo se realiza el análisis de riesgo.
Por ejemplo, en el siguiente ejemplo se puede ver todas las opciones que tenemos para un activo sobre todo identificar el activo como esencial.
Aquí se pueden observar la lista de salvaguardas y los niveles de madures en L0 A L5.
Para finalizar:
El análisis de riesgo es fundamental para cualquier sistema de gestión, como departamentos o empresas enteras. Si bien es un modelo que no cubre al 100% todas las posibilidades de riesgos, nos pone en la ruta correcta para una buena gestión de los sistemas de seguridad de la información.
Son muchos los marcos (frameworks) que se basan en el modelo de riesgo. Identifica activos de tu organización bajo un contexto (alcance) y luego se establecen un cuadro de amenazas en función de probabilidad de que alguna de esas amenazas se pueda llegar a consolidar.
Recomendamos instalar entonces la herramienta Pilar y empezar a conocer su funcionamiento con el sistema que viene de ejemplo.
Y ya para finalizar, proponemos una actividad.
Actividad
Actividad para realizar: “Análisis de riesgo de mi departamento”
Ahora realiza en lápiz y papel un listado de activos de tu departamento. Esto incluye, personas, dependencias de otros departamentos, programas con los que se trabaja, base de datos, ficheros, servidores, servicios.
Prepara ese listado de activos identificados en una hoja de cálculo.
Ahora debes poner un nivel de criticidad por dimensión, para hacerlo sencillo pondremos 3 filas en función de criticidad. Mira este ejemplo:Como se puede ver, en esta hoja de cálculo se le dio un valor a cada dimensión de 1 a 5, pero podemos utilizar de 1 a 10. Luego nos quedamos con el valor del riesgo más alto para la resultante.Los activos pueden agruparse, por ejemplo, los equipos de trabajo pueden tener todos las mismas características por lo que al poner uno se puede extender a todos. En tal caso se habla del grupo de equipos de trabajo de la oficina.
Con esta lista, ya podemos ir a Pilar y rellenar los activos, nos quedaremos con aquellos activos más significativos para analizar el riesgo sobre el servicio o sistema que queremos calcular. Por ejemplo si la oficina da un servicio de atención al cliente mediante línea telefónica, dicha línea y todo lo que esté relacionada con su funcionamiento es crítico. Por lo que en ese caso, la existencia o no de una papelera o un armario para archivar no es crítico, ya que el servicio se podrá seguir dando sin o con papelera.
Ahora que tienes todos los activos, debes establecer su nivel de criticidad según las dimensiones que quieras poner (esto en Pilar se puede seleccionar, en 3 dimensiones CID, o las 5 del ENS). Ya que Pilar también permite hacer Gestión del riesgo para la norma ISO 27001.
Ahora procede a calcular el riesgo.
Una vez tengas el análisis, debes de definir donde pondrá tu umbral de riesgo. El umbral implica que después de un valor de riesgo, debes de tratarlo, ya que se puede considerar crítico. Por ejemplo en un umbral de riesgo 5, todo lo que sale por debajo de 5, no se suele tratar, automáticamente la organización lo asume, y tendrá que tratar todo lo que sea igual o superior a 5.
Buen trabajo si has hecho estos pasos, ya tienes tu análisis de riesgo finalizado. Esperemos que no tengas que hacer tratamiento del riesgo.
Si tenemos que hablar de riesgo, entonces tendremos que hablar de metodologías. Por lo que, se debe definir inicialmente qué es el riesgo, el cual se define como una probabilidad que ocurra un evento, puede ser previsto y evitado, las amenazas y las vulnerabilidades por separadas no llegan a presentar un daño de grandes magnitudes, en cambio, si se mezclan la probabilidad de daño es mucho más grande. De tal manera, el llamado riesgo informático se desarrolla a la par de la tecnología y cada día son mucho más las vulnerabilidades y amenazas que acechan la información.
Una buena gestión de riesgo en la seguridad de la información de una organización requiere una buena inversión de tiempo, esfuerzo y dedicación. Por lo general, una organización que entienda el valor sustancial de sus activos y desea realizar una inversión para gestionar sus vulnerabilidades, se debe inclinar hacia un sistema de gestión basado en políticas, procesos, recursos, documentación y estructura organizacional; todos estos elementos mezclados, permiten de alguna u otra manera, planificar, desarrollar, controlar y tomar acción.
Además, suele acogerse a las normas de la familia ISO 27005. Se debe tener en cuenta que el hecho de plantear una gestión para el riesgo no es solo para proteger sus activos de información, sino procurar que la empresa u organización logre cumplir su misión, por lo que al hablar de gestión se define como un ciclo reiterativo, que identifica, evalúa y ejecuta. El proceso para la gestión de riesgo, se encuentra conformado por 5 procesos, los cuáles se describen a continuación:
Establecimiento del Contexto: Este proceso contextualiza el entorno, en este caso de la empresa, recibiendo toda la información relevante de la misma.
Evaluación de Riesgos: Este proceso trae consigo 3 subprocesos; la identificación, la revisión y el control de riesgos. Identifica de forma cuantitativa y cualitativa los riegos y le da una cierta prioridad a los criterios de evaluación que dependen o están muy alineados a los objetivos de la organización. De esta manera, se puede controlar y determinar lo que podría generar una pérdida de gran magnitud y el lugar donde puede presentarse. Y por último el proceso de evaluación se encarga de comparar los niveles de criterios de riesgos y los de aceptación, su resultado genera un listado de vulnerabilidades y/o amenazadas pero priorizadas. Para esta evaluación de riesgo se finaliza con un interpretación del mismo, dando uso a la llamada Matriz de análisis, en ella, se puede determinar la probabilidad de riesgo versus la magnitud de daño, tomando valores respectivamente desde el 1 hasta el 4, o en otros casos la clasificación del riesgo sería en bajo, moderado, importante y crítico versus las consecuencias. Se debe tener en cuenta que para este proceso se plantean las llamadas metodologías de evaluación.
Tratamiento de los Riesgos: Este proceso está encaminado a plantear las posibles medidas de seguridad para reducir o evitar los riesgos y generar contingencias.
Consulta de Riesgos: Este proceso informa de los riesgos existentes a todas las partes interesadas de la organización.
Monitorización de Riesgos: Este proceso supervisa todas aquellas medidas de seguridad planteadas para contrarrestar los riesgos, con el objetivo de determinar si están funcionando correctamente o están ejecutando la acción para la cual fueron planteadas. Luego de esta implementación se ejecutan las llamadas auditorías internas, documentando todo el proceso y señalando su eficacia.
De esta manera, y con el trascurrir de los años la tecnología ha ido evolucionando, así como los métodos para vulnerar todos los sistemas de información, es así como las normas y los modelos para la gestión de riesgo han ido evolucionando, implementando las conocidas metodologías, se tienen muchas pero las que se analizarán son: OCTAVE y MAGERIT.
Metodología Octave
Es una técnica de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) en Estados Unidos. Es reconocida a nivel mundial y ha tenido excelente adaptación. Las fases que la componen la catalogan un poco más complicada que las demás metodologías.
La misma está enfocada en el riesgo y no en la tecnología como las demás, cuando se usa este tipo de metodología personal de varios departamentos como el operativo, el de tecnología, entre otros; trabajan en conjunto proyectados a la necesidad de seguridad, apoyados por un especialista. Es necesario considerar, que esta metodología fue desarrollada para ser implementada en organizaciones de más de 300 empleados y se encuentra dividido en tres etapas como se puede observar en la siguiente figura.
Fase 1: Build Asset-Based Threat Profiles: desarrolla perfiles de amenazas basados en los activos, en la cual se identifican los bienes, las amenazas, prácticas actuales, vulnerabilidades y los recursos de seguridad de la compañía.
Fase 2: Identify Infrastructure Vulnerabilities: identificar las vulnerabilidades de la infraestructura, se basa en los componentes clave y sus correspondientes vulnerabilidades técnicas.
Fase 3: Develop Security Strategy and Plans: desarrollar estrategias y planes de seguridad, con base a los riesgos, la estrategia de protección y los planes de mitigación.
Buid asset-based threat profiles – Generar perfiles de activos basados en la amenaza
En esta fase se realiza un análisis para identificar los activos más importantes para la organización y que se está realizando para su protección en la actualidad. Comprende los siguientes cuatro procesos:
1. Identify enterprise knowledge – Identificar el conocimiento de la empresa
El objetivo de este proceso es identificar la perspectiva que tienen los directivos. Identificar el conocimiento de la empresa ilustra las entradas que se necesitan para obtener las salidas. Como entradas se puede observar el cuestionario de activos, perfil genérico de las amenazas, catálogo de amenazas (cuestionario de la estrategia de protección de la organización), catálogo de prácticas de la organización, técnicas y de entrenamiento, datos organizacionales (organigrama, políticas, procedimientos), por último, las leyes y las regulaciones que la compañía se encuentre obligada a cumplir. Para conseguir la lista priorizada de activos con sus valores relativos, perfil de la amenaza empresarial, la estrategia de protección actual, los indicadores de riesgo, y las áreas operacionales a evaluar. Todo con respecto al conocimiento del área gerencial de la compañía.
Este proceso está compuesto por cinco actividades que se describen a continuación y en las cuáles se explica con mayor detalle las entradas y salidas que le corresponden.
Characterize key enterprise assets – Identificar los activos clave de la empresa: Responde a la pregunta: “¿Qué está intentando proteger?”.Dependiendo del conocimiento que la alta gerencia tenga de la empresa y del cuestionario que se les realice. Se obtendrá la lista de los activos que identifican como importantes, con sus respectivos valores relativos para la dirección de la compañía.
Describe threats to assets – Describir las amenazas de los activos: “¿De qué está intentando proteger sus activos?”, es la cuestión en esta actividad. Aquí también es importante el conocimiento que la directiva tiene sobre las amenazas que afectan los activos. Se adquiere el perfil de la amenaza empresarial desde el enfoque directivo.
Describe current and planned strategy to protect assets – Describir la estrategia actual y planificada para proteger los activos: La dirección que conocimiento tiene al respecto de prácticas y políticas que se encuentran actualmente o en planificación para la protección de los bienes. La pregunta aquí es: “¿Qué está haciendo actualmente para proteger sus activos?”. Como resultado se encuentra la estrategia de protección empresarial actual, desde la perspectiva de la alta gerencia.
Identify risk indicators – Identificar los indicadores de riesgo: La salida de esta actividad son los indicadores de riego empresarial, es decir, las preocupaciones de la alta gerencia, dependiendo del cuestionario basado en buenas prácticas técnicas y de capacitaciones en las organizaciones, documentación de políticas y procedimientos, también las leyes y regulaciones que la empresa debe cumplir. El interrogante a esta actividad es: “¿Qué brechas en su estrategia de protección actual están poniendo sus activos en riesgo?”.
Select operational areas to evaluate – Seleccionar áreas operativas para evaluar: Esta actividad responde a dos interpelaciones: “¿Qué áreas operativas o funciones de soporte están involucradas con los activos clave que usted identifico?” y “¿Quiénes son los gerentes clave de esas áreas operativas o funciones de apoyo?”. De esta forma se obtiene las áreas que son prioridad para evaluar.
2. Identify operational area knowledge – Identificar el conocimiento del área operativa
De acuerdo al conocimiento actual de los gerentes del área operacional, un cuestionario de activos, perfil genérico de amenazas, cuestionario de la estrategia de protección (catálogo de la organización, técnicas y de entrenamiento), datos organizacionales (organigrama, políticas y procedimientos), leyes y regulaciones que se deban cumplir y la lista despreciando las prioridades de los activos de la empresa con sus respectivos valores relativos, que los jefes de área operativa proporcionen, corresponden a las entradas de esta parte de la metodología.
Para tener como salidas una lista priorizada de activos del área operativa, un mapa en el cual se cruce los activos empresariales identificados por el área gerencial y los activos identificados por el área operativa, un perfil de amenazas, la estrategia actual de protección, los indicadores de riesgo, todo esto correspondiente al área operativa y el personal que se considera debe ser evaluado. Las actividades que corresponden a esta parte de la metodología se describen a continuación.
Characterize key operational área assets – Caracterizar los activos clave del área operativa: Los gerentes de área responden: “¿Qué está intentando proteger?”. Depende del conocimiento que se tenga sobre los activos concernientes para obtener la lista de estos.
Characterize assets in relation to enterprise assets – Caracterizar los activos en relación con los activos de la empresa: Es la relación con la lista de los activos identificados en el proceso 1, cuestionando: “¿Cuál es la relación o relaciones entre los activos que ha identificado con los activos que ha identificado la alta gerencia?”. Como resultado la o las relaciones documentadas.
Describe threats to assets – Describir las amenazas a los activos: “¿De qué está tratando proteger sus activos?”, es el interrogante de esta actividad. En base al conocimiento de los gerentes de área operacional sobre las amenazas a sus activos y con un perfil genérico de estas, la respuesta será el perfil de las amenazas de los activos del área operacional desde su respectivo punto de vista.
Describe current and planned strategy to protect assets – Describir la estrategía actual y planificada para proteger los activos: De acuerdo al conocimiento que los gerentes de área, se da a conocer las buenas prácticas técnicas y de formación, políticas, procedimientos de la empresa y las leyes que esta debe cumplir, responden al interrogante: “¿Qué está haciendo para proteger sus activos?”. De esta forma se obtiene la estrategia de protección del área operativa.
Identify risk indicators – Identificar indicadores de riesgo: Teniendo en cuenta un entrenamiento adecuado en seguridad, programa de concientización para el personal y la documentación de políticas y procedimientos para la protección de los activos, se responde la siguiente pregunta: “¿Qué brechas en su estrategia de protección actual están poniendo sus activos en riesgo?”. Arroja los indicadores de riesgo correspondiente al área operacional, dando resultado la expresión de las inquietudes de los riesgos a los que están expuestos sus activos.
Select staff to evaluate – Seleccionar personal para evaluar: En esta actividad se necesita la información recolectada en las anteriores, para escoger líderes o miembros clave de equipo que deban ser evaluados. La indagación es: “¿Quiénes son los miembros clave?”.
3. Identify staff knowledge – Identificar el conocimiento del personal
Detalla las entradas y las salidas que pertenecen a esta parte.
En las entradas se tiene el conocimiento actual del personal, cuestionario de activos, perfil genérico de amenazas, cuestionario de la estrategia de protección actual, catálogo de las prácticas de la organización, técnicas y de capacitación, datos organizacionales (organigrama, políticas y procedimientos), leyes y regulaciones que la compañía está obligada a cumplir, lista priorizada de activos, lista de activos del área operacional y el mapa de cruce de activos. Y se obtiene la lista de activos que el personal identifica, mapa de los activos de la empresa comparado con los activos del área operacional y los del personal, perfil de amenazas, la estrategia actual de protección y los indicadores de riesgo correspondientes a esta área.
A continuación, se describen las actividades que aquí se contemplan:
Characterize key staff assets – Caracterizar los activos clave del personal: “¿Qué está tratando de proteger?” es lo que debe responder el personal en esta actividad, la respuesta dependerá de su conocimiento con respecto a los activos, por medio de un cuestionario. Y de esta forma se consigue la lista priorizada de los activos importantes para el personal.
Characterize assets in relation to operational area and enterprise assets – Caracterizar los activos en relación con el área operacional y los activos de la empresa: Se plantean y relacionan los activos que anteriormente se identificaron como importantes con los que el personal establece con prioridad. La pregunta que hace referencia en esta actividad es: “¿Cuáles son las relaciones entre los activos que ha identificado el personal, con los del área operacional y los pertenecientes a la alta gerencia?”. Para obtener la documentación de estas conexiones.
Describe threats to assets – Describir las amenazas de los activos: La cuestión es: “¿De qué está tratando de proteger sus activos?”. Que responderán de acuerdo al perfil genérico de amenazas y del conocimiento que posean. Así se obtiene el perfil de amenaza.
Describe current and planned strategy to protect assets – Describe la estrategia y planificación para proteger los activos: La pregunta es “¿Toca aquella estrategia planteada, ser implementada y monitoreada para su efectividad?”.
Create Threat Profile – Creación de Perfiles de Amenazas: Este proceso integra toda la información contenida en los procesos anteriores, y procede a crear un conjunto de perfiles de amenazas para los activos en estado crítico, por lo general, este tipo de procedimiento suele gestionarse por el equipo de análisis.
Para esta fase se contemplan los siguientes procesos:
Identificación de los componentes clave: Este proceso se encarga de elegir que partes u componentes específicos serán analizados en busca de vulnerabilidades tecnológicas, identifica los principales sistemas de tecnología y asimismo los activos críticos.
Evaluación de componentes: En esta parte y con los componentes seleccionados se evalúan las vulnerabilidades y con el equipo de los análisis se procede a ejecutar las herramientas de evaluación para posteriormente analizar el resultado. La correcta ejecución de este proceso puede mitigar el impacto de la amenaza en la organización.
5. Develop Security Strategy and Plans
Fase caracterizada por el manejo de los procesos de análisis de riesgo y el desarrollo de una estrategia de contingencia.
Análisis de Riesgo: Proceso encargado de estudiar el impacto de las amenazas a los activos críticos, luego evalúa y crea los criterios para la evaluación de los riesgos.
Desarrollo de una estrategia de protección: Finalmente, el equipo de análisis crea una estrategia para la protección de los activos, esto con el objetivo de contrarrestar o evitar el impacto de la amenaza, este proceso se basa en el análisis de la información recolectada anteriormente.
Se debe tener en consideración, que en vista de las necesidades de cada organización y dependiendo del tamaño de la misma, se diseñaron 3 métodos OCTAVE para suplir esas solicitudes.
Está compuesto por una serie de talleres y/o programas que son llevados a cabo por la propia organización, aprovechando de esta manera los conocimientos propios de los niveles de la misma. Este grupo se centra únicamente en establecer los puntos críticos y las posibles amenazas, asimismo las vulnerabilidades tantos físicas como lógicas que atente a la organización y plantear la estrategia a utilizar.
Las fases en las que trabaja esta metodología son:
Fase de análisis de Riesgo
Esta fase permite determinar 3 variables: [9]
¿Cuál es?
¿Cuánto vale?
¿Cómo se protege?
MÉTODO OCTAVE-S:
Operationally Critical Threat, Asset and Vulnerability Evaluation for Small Organization, fue desarrollado para ser implementado en organizaciones pequeñas de 100 personas o menos utilizando un proceso un poco más reducido que el OCTAVE, pero con los mismos resultados. Las dos principales diferencias de este método con el original son:
Requiere un grupo de 3 a 5 personas que conozcan a plenitud el desarrollo de la empresa.
Solo realiza un barrido de manera superficial a la infraestructura informática.
MÉTODO OCTAVE-ALLEGRO
Es una simplificación del método original y está enfocado solo en los activos de la organización, es perfecta cuando se desea gestionar una evaluación de riesgo, pero sin mucha participación del personal de la empresa, está conformado por 8 pasos organizados en 4 fases. [5][6] Estas son las siguientes:
Fase 1: Evaluación de los participantes desarrollando criterios de medición de riesgo.
Fase 2: Creación de los participantes un perfil de activos críticos.
Fase 3: Los participantes identifican las amenazas a cada uno de los activos.
Fase 4: Los participantes identifican y analizan las amenazas y desarrollan planes de contingencia.
Conclusión
El principal objetivo de la metodología OCTAVE se orienta hacia los aspectos de riesgos operativos y prácticas de seguridad. Esto significa que para que las empresas y las organizaciones puedan tomar las decisiones pertinentes en lo relativo a la protección de la información con base en riesgos tales como la confidencialidad, la integridad o la disponibilidad de los bienes afines a la información crítica, la tecnología será sometida a examen en proporción a las diferentes prácticas de seguridad.La metodología OCTAVE se desarrolló en la Universidad Carnegie Mellon de Pensilvania, en los Estados Unidos. Esto se hizo en el Centro de Coordinación del Instituto de Ingeniería de Software. OCTAVE está compuesta por tres fases diferenciadas de desarrollo.
A la vista de los impactos y riesgos a que está expuesto el sistema, hay que tomar una serie de decisiones condicionadas por la gravedad de los mismos y por las obligaciones a las que esté sometida la Organización por ley, reglamento sectorial o por contrato
Pueden aparecer consideraciones adicionales sobre la capacidad de la Organización para aceptar ciertos impactos de naturaleza intangible tales como:
Imagen pública de cara a la Sociedad (aspectos reputacionales).
Política interna: relaciones con los propios empleados, tales como capacidad de contratar al personal idóneo, capacidad de retener a los mejores, capacidad de soportar rotaciones de personas, capacidad de ofrecer una carrera profesional atractiva, etc.
Relaciones con los proveedores, tales como capacidad de llegar a acuerdos ventajosos a corto, medio o largo plazo, capacidad de obtener trato prioritario, etc.
Relaciones con los clientes o usuarios, tales como capacidad de retención, capacidad de incrementar la oferta, capacidad de diferenciarse frente a la competencia, …
Relaciones con otras organizaciones, tales como capacidad de alcanzar acuerdos estratégicos, alianzas, etc. • nuevas oportunidades de negocio, tales como formas de recuperar la inversión en seguridad.
Acceso a sellos o calificaciones reconocidas de seguridad.
Todas las consideraciones anteriores desembocan en una calificación de cada riesgo significativo, determinándose si…
Es crítico y requiere atención urgente.
Es grave y requiere atención.
Es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento.
Es asumible, en el sentido de que no se van a tomar acciones para atajarlo Las opciones 1,2 y 3 requieren tratamiento técnico del riesgo.
La opción 4, aceptación del riesgo, siempre es arriesgada y hay que tomarla con prudencia y justificación cuando el impacto y el riesgo residual es asumible o cuando el coste de las salvaguardas oportunas es desproporcionado en comparación al impacto y riesgo residuales.
El Proceso de Evaluación
Impacto y riesgo residual son una medida del estado presente, desde la inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores aceptables.
Los párrafos siguientes se refieren conjuntamente a impacto y riesgo.
Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada, típicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin hacer.
Es importante entender que un valor residual es sólo un número. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho; es decir, de las vulnerabilidades que presenta el sistema. Los responsables de la toma de decisiones deberán prestar cuidadosa atención a esta relación de tareas pendientes, que se denomina Informe de Insuficiencias o de vulnerabilidades.
Aceptación de los Riesgos
La Dirección de la Organización sometida al análisis de riesgos debe determinar el nivel de impacto y riesgo aceptable. Más propiamente dicho, debe aceptar la responsabilidad de las insuficiencias. Esta decisión no es técnica. Puede ser una decisión política o gerencial o puede venir determinada por ley o por compromisos contractuales con proveedores o usuarios. Estos niveles de aceptación se pueden establecer por activo o por agregación de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensión, …)
Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente la Dirección
Para tomar una u otra decisión hay que enmarcar los riesgos soportados por el sistema de información dentro de un contexto más amplio que evalúe los aspectos intangibles del negocio
Tratamiento de los riesgos
La Dirección puede decidir aplicar algún tratamiento al sistema de seguridad desplegado para proteger el sistema de información. Hay dos grandes opciones:
Reducir el riesgo residual (aceptar un menor riesgo).
Ampliar el riesgo residual (aceptar un mayor riesgo).
En condiciones de riesgo residual extremo, casi la única opción es reducir el riesgo.
En condiciones de riesgo residual aceptable, podemos optar entre aceptar el nivel actual o ampliar el riesgo asumido. En cualquier caso hay que mantener una monitorización continua de las circunstancias para que el riesgo formal cuadre con la experiencia real y reaccionemos ante cualquier desviación significativa.
En condiciones de riesgo residual medio, podemos observar otras características como las pérdidas y ganancias que pueden verse afectadas por el escenario presente, o incluso analizar el estado del sector en el que operamos para compararnos con la norma.
Eliminación del Riesgo
La eliminación de la fuente de riesgo es una opción frente a un riesgo que no es aceptable. En un sistema podemos eliminar varias cosas, siempre que no afecten a la esencia de la Organización. Es extremadamente raro que podamos prescindir de la información o los servicios esenciales por cuanto constituyen la misión de la Organización. Más viable es prescindir de otros componentes no esenciales, que están presentes simple y llanamente para implementar la misión, pero no son parte constituyente de la misma. Esta opción puede tomar diferentes formas:
Eliminar cierto tipo de activos, emplean otros en su lugar. Por ejemplo: cambiar de sistema operativo, de fabricante de equipos, …
Reordenar la arquitectura del sistema (el esquema de dependencias en nuestra terminología) de forma que alteremos el valor acumulado en ciertos activos expuestos a grandes amenazas. Por ejemplo: segregar redes, desdoblar equipos para atender a necesidades concretas, alejando lo más valioso de lo más expuesto, …
Las decisiones de eliminación de las fuentes de riesgo suponen realizar un nuevo análisis de riesgos sobre el sistema modificado.
Mitigación del Riesgo
La mitigación del riesgo se refiere a una de dos opciones:
Reducir la degradación causada por una amenaza (a veces se usa la expresión “acotar el impacto”).
Reducir la probabilidad de que una amenaza de materializa.
En ambos casos lo que hay que hacer es ampliar o mejorar el conjunto de salvaguardas. En términos de madurez de las salvaguardas: subir de nivel.
Algunas salvaguardas se traducen en el despliegue de más equipamiento. Estos nuevos activos estarán a su vez sujetos a amenazas que pueden perjudicar a los activos esenciales.
Hay que repetir el análisis de riesgos, ampliándolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original.
Compartición del Riesgo
Hay dos formas básicas de compartir riesgo:
Riesgo cualitativo: se comparte por medio de la externalización de componentes del sistema, de forma que se reparten responsabilidades: unas técnicas para el que opera el componente técnico; y otras legales según el acuerdo que se establezca en la prestación del servicio.
Riesgo cuantitativo: se comparte por medio de la contratación de seguros, de forma que a cambio de una prima, el tomador reduce el impacto de las posibles amenazas y el asegurador corre con las consecuencias.
Hay multitud de tipos y cláusulas de seguros para concretar el grado de responsabilidad de cada una de las partes.
Cuando se comparten riesgos cambia, bien el conjunto de componentes del sistema, bien su valoración, requiriéndose un nuevo análisis del sistema resultante.
Financiación del Riesgo
Cuando se acepta un riesgo, la Organización hará bien en reservar fondos para el caso de que el riesgo se concrete y haya que responder de sus consecuencias. A veces de habla de “fondos de contingencia” y también puede ser parte de los contratos de aseguramiento. Normalmente esta opción no modifica nada del sistema y nos vale el análisis de riesgos disponible.
Conclusión
Hemos visto todo el proceso del tratamiento de riesgo, normalmente el análisis del riesgo se enfoca en las dimensiones que queremos definir para nuestro sistema de seguridad de la información. Si nos movemos en IS 27001 entonces hablaremos de confidencialidad, disponibilidad y integridad. Pero si hablamos del ENS, entonces además deberemos introducir trazabilidad y autenticidad. Por lo que nuestros salvaguardas deberán de ir orientados a las 5 dimensiones que contempla el ENS.
Se definen las salvaguardas, o contra medidas, como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Ante el amplio abanico de posibles salvaguardas a considerar, es necesario hacer una criba inicial para quedarnos con aquellas que son relevantes para lo que hay que proteger. En esta criba se deben tener en cuenta los siguientes aspectos:
Tipo de activos a proteger, pues cada tipo se protege de una forma específica.
Dimensión o dimensiones de seguridad que requieren protección.
Amenazas de las que necesitamos protegernos.
Si existen salvaguardas alternativas.
Además, es prudente establecer un principio de proporcionalidad y tener en cuenta:
El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso y obviando lo irrelevante.
La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos más importantes (ver zonas de riesgo).
La cobertura del riesgo que proporcionan salvaguardas alternativas Esto lleva a dos tipos de declaraciones para excluir una cierta salvaguarda del conjunto de las que conviene analizar:
no aplica – se dice cuando una salvaguarda no es de aplicación porque técnicamente no es adecuada al tipo de activos a proteger, no protege la dimensión necesaria o no protege frente a la amenaza en consideración.
no se justifica – se dice cuando la salvaguarda aplica, pero es desproporcionada al riesgo que tenemos que proteger Como resultado de estas consideraciones dispondremos de una “declaración de aplicabilidad” o relación de salvaguardas que deben ser analizadas como componentes nuestro sistema de protección.
¿Cómo afectan las Salvaguardas en el Análisis del Riesgo?
Las salvaguardas entran en el cálculo del riesgo de dos formas:
Reduciendo la probabilidad de las amenazas: Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice.
Limitando el daño causado: Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
¿Cómo se miden las Salvaguardas: Eficacia y Madurez?
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz combinando 2 factores: desde el punto de vista técnico:
es técnicamente idónea para enfrentarse al riesgo que protege.
se emplea siempre desde el punto de vista de operación de la salvaguarda.
está perfectamente desplegada, configurada y mantenida.
existen procedimientos claros de uso normal y en caso de incidencias.
los usuarios están formados y concienciados.
existen controles que avisan de posibles fallos.
Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto. Para medir los aspectos organizativos, se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda:
Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización.
En un sistema de información hay 2 cosas esenciales: la información que maneja y los servicios que presta. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema.
Subordinados a dichos elementos se pueden identificar otros activos relevantes:
Servicios auxiliares que se necesitan para poder organizar el sistema.
Las aplicaciones informáticas (software) que permiten manejar los datos.
Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.
Los soportes de información que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informático.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informáticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.
No todos los activos son de la misma especie. Dependiendo del tipo de activo, las amenazas y las salvaguardas son diferentes.
¿Cuál es el valor de los activos?
La valoración se debe realizar desde la perspectiva de la necesidad de proteger. Cuanto más valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de seguridad que sean pertinentes.
El valor puede ser propio, o puede ser acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. El valor nuclear suele estar en la información que el sistema maneja y los servicios que se prestan (activos denominados esenciales), quedando los demás activos subordinados a las necesidades de explotación y protección de lo esencial. La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo.
Hay muchos factores a considerar:
Coste de reposición: adquisición e instalación.
Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
Lucro cesante: pérdida de ingresos.
Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas.
Sanciones por incumplimiento de la ley u obligaciones contractuales.
Daño a otros activos, propios o ajenos.
Daño a personas.
Daños medioambientales: la valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles).
Los criterios más importantes a respetar son:
La homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra.
La relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos.
Ambos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para curar el activo) y es frecuente la tentación de ponerle precio a todo. Si se consigue, excelente.
Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento, horas de trabajo, etc.). Pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la Organización) la valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre los analistas.
Valoración y activos
¿Qué aporta una Valoración Cualitativa?
Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un orden relativo respecto de los demás. Es frecuente plantear estas escalas como órdenes de magnitud y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo.
La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo. No se pueden sumar valores.
¿Podemos realizar una Valoración Cuantitativa?
Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero permiten sumar valores numéricos de forma absolutamente natural. La interpretación de las sumas no es nunca motivo de controversia. Si la valoración es dineraria, además se pueden hacer estudios económicos comparando lo que se arriesga con lo que cuesta la solución respondiendo a las preguntas:
¿Vale la pena invertir tanto dinero en esta salvaguarda?
¿Qué conjunto de salvaguardas optimizan la inversión?
¿En qué plazo de tiempo se recupera la inversión?
¿Cuánto es razonable que cueste la prima de un seguro?
Dependencia entre activos y amenazas
Dependencias entre Activos
Los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o superiores depende de los activos que se encuentran más abajo o inferiores. Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas. Se dice que un “activo superior” depende de otro “activo inferior” cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. Típicamente, la estructura de dependencia sigue el siguiente grafo:
¿Qué son las Amenazas?
Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
Típicamente:
De origen natural: Hay accidentes naturales (terremotos, inundaciones, …). Ante esos avatares el sistema de información es víctima pasiva, pero debemos tener en cuenta lo que puede suceder.
Del entorno (de origen industrial): Hay desastres industriales (contaminación, fallos eléctricos, …) ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
Defectos de las aplicaciones: Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, vulnerabilidades.
Causadas por las personas de forma accidental: Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.
Causadas por las personas de forma deliberada: Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios. No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.
¿Afectan las amenazas al valor de los activos?
Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el [valor del] activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
Probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra.
Impacto y Riesgo Potencial
¿Qué es el Impacto?
Conociendo el valor de los activos y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Se miden dos variables de impacto:
Impacto acumulado: Es el calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) y las amenazas a que está expuesto.
Impacto repercutido: Es el calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos de los que depende.
¿Qué es el Riesgo Potencial?
Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, para derivar el riesgo no hay más que tener en cuenta la probabilidad de ocurrencia.
El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a tener en cuenta en el tratamiento del riesgo:
zona 1 – riesgos muy probables y de muy alto impacto.
zona 2 – cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo.
zona 3 – riesgos improbables y de bajo impacto.
zona 4 – riesgos improbables pero de muy alto impacto.
Riesgo acumulado: Es el calculado sobre un activo teniendo en cuenta el impacto acumulado sobre un activo debido a una amenaza y la probabilidad de la amenaza.
Riesgo repercutido: Es el calculado sobre un activo teniendo en cuenta el impacto repercutido sobre un activo debido a una amenaza y la probabilidad de la amenaza.
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, que permite estudiar los riesgos que soporta un sistema de información y el entorno asociado a él.
MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización; señala los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determina la vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados.
Los resultados del análisis de riesgos permiten a la Gestión de Riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios. MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo.
Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información.
En esta línea presentamos este documento, en el que resaltamos los aspectos fundamentales del método Magerit, el cual confiamos que sea de utilidad para todos los que nos vemos involucrados en hacer frente a los retos planteados en este proceso de cambio.
El análisis del riesgo
Un análisis de riesgos TIC es recomendable en cualquier Organización que dependa de los sistemas de información para el cumplimiento de su misión.
En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado.
El análisis de riesgos permite tomar decisiones de gestión y asignar recursos con perspectiva de negocio, sean tecnológicos, humanos o financieros.
El análisis de riesgos es una herramienta de gestión que permite tomar decisiones. Las decisiones pueden tomarse antes de desplegar un servicio o con éste funcionando. Es muy deseable hacerlo antes, de forma que las medidas que haya que tomar se incorporen en el diseño del servicio, en la elección de componentes, en el desarrollo del sistema y en los manuales de usuario. Todo lo que sea corregir riesgos imprevistos es costoso en tiempo propio y ajeno, lo que puede ir en detrimento de la imagen prestada por la Organización y puede suponer, en último extremo, la pérdida de confianza en su capacidad. Siempre se ha dicho que es mejor prevenir que curar y aquí se aplica: no espere a que un servicio haga agua; hay que prever y estar prevenido.
Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la Organización, desde los niveles de gerencia hasta los técnicos. Y no solo es que haya que involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio entre todos pues, si importante es cuantificar los riesgos, más importante aún es relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen multitud de datos. La única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o incluso despreciable. Pero si los riesgos no están bien ordenados en términos relativos, su interpretación es imposible.
En resumen, un análisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres. Es una tarea mayor que requiere esfuerzo y coordinación. Por tanto debe ser planificada y justificada.
La gestión del riesgo
La Gestión de Riesgos implica dos grandes tareas a realizar:
Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría pasar.
Tratamiento de los riesgos, que permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume. Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión de Riesgos.
El análisis de riesgos considera los siguientes elementos:
Activos, que son los elementos del sistema de información (o estrechamente relacionados con este) que soportan la misión de la Organización.
Amenazas, que son cosas que les pueden pasar a los activos causando un perjuicio a la Organización.
Salvaguardas (o contra medidas), que son medidas de protección desplegadas para que aquellas amenazas no causen [tanto] daño.
Con estos elementos se puede estimar:
El impacto: lo que podría pasar.
El riesgo: lo que probablemente pase.
El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a conclusiones con fundamento y proceder a la fase de tratamiento. Informalmente, se puede decir que la gestión de la seguridad de un sistema de información es la gestión de sus riesgos y que el análisis permite racionalizar dicha gestión.
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados:
Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación.
Determinar a qué amenazas están expuestos aquellos activos.
Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza
Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza Estas valoraciones son teóricas en el caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario teórico, se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de impacto y riesgo
Conclusión
Todas las administraciones públicas están obligadas a tener implantado el ENS, por lo que la herramienta para el análisis de riesgo recomendada será Pilar, si bien Pilar no es todo lo amigable que pueden ser otras herramientas, es la que permite exportar el formato de datos al CCN-CERT para informar el estado de la ciberseguridad en cada entidad. Por tal motivo tiene compatibilidad con herramientas como Clara, Lucía.
Por lo que independientemente de que se use Pilar, Excel o una aplicación de un tercero para realizar la gestión del riesgo. La metodología está clara que tendrá que ser Magerit.
Aquí hay unas guías técnicas al respecto de Magerit:
Necesitamos comprender los objetivos centrales de la seguridad, que son proporcionar protección de disponibilidad, integridad y confidencialidad (tríada CID) para activos críticos. En otros framerworks como el ENS, hay que tener en cuenta con el ENS, añade la trazabilidad y la autenticidad (CITAD). Cada activo requerirá distintos niveles de este tipo de protección, como veremos en los siguientes apartados. Todos los controles, mecanismos y salvaguardas de seguridad se implementan para proporcionar uno o más de estos tipos de protección, y todos los riesgos, amenazas y vulnerabilidades se miden por su capacidad potencial de comprometer uno o todos los principios de CID o CITAD.
La protección de disponibilidad garantiza la confiabilidad y el acceso oportuno a los datos y recursos para individuos autorizados. Los dispositivos de red, las computadoras y las aplicaciones deben proporcionar la funcionalidad adecuada para funcionar de manera predecible con un nivel de rendimiento aceptable. Deberían poder recuperarse de las interrupciones de manera segura y rápida para que la productividad no se vea afectada negativamente. Deben existir los mecanismos de protección necesarios para proteger contra amenazas internas y externas que podrían afectar la disponibilidad y productividad de todos los componentes de un sistema.
Como muchas cosas en la vida, asegurar la disponibilidad de los recursos necesarios dentro de una organización parece más fácil de lograr de lo que realmente es. Las redes tienen tantas piezas que deben permanecer en funcionamiento (enrutadores, conmutadores, servidores DNS, servidores DHCP, proxies, firewalls). El software tiene muchos componentes que deben ejecutarse de manera saludable (sistema operativo, aplicaciones, software antimalware). Hay aspectos mentales ambientales que pueden afectar negativamente las operaciones de una organización (incendios, inundaciones, problemas eléctricos), posibles desastres naturales y robos o ataques físicos. Una organización debe comprender completamente su entorno operativo y sus debilidades de disponibilidad para que se puedan implementar las contramedidas adecuadas.
Integridad
La integridad se mantiene cuando se garantiza la exactitud y confiabilidad de la información y los sistemas y se evita cualquier modificación no autorizada. El hardware, el software y los mecanismos de comunicación deben funcionar en conjunto para mantener y procesar los datos correctamente y moverlos a los destinos previstos sin alteraciones inesperadas. Los sistemas y la red deben protegerse de interferencias y contaminación externas.
Los entornos que aplican y brindan este atributo de seguridad garantizan que los atacantes o los errores de los usuarios no comprometan la integridad de los sistemas o los datos. Cuando un atacante inserta un virus, una bomba lógica o una puerta trasera en un sistema, la integridad del sistema se ve comprometida. Esto, a su vez, puede dañar la integridad de la información contenida en el sistema mediante la corrupción, la modificación maliciosa o el reemplazo de datos con datos incorrectos. Controles de acceso estrictos, detección de intrusos y hashing pueden combatir estas amenazas.
Los usuarios suelen afectar un sistema o la integridad de sus datos por error (aunque los usuarios internos también pueden cometer actos maliciosos). Por ejemplo, los usuarios con un disco duro lleno pueden eliminar inadvertidamente los archivos de configuración bajo la suposición errónea de que eliminar un archivo por ejemplo de la carpeta Windows. O, por ejemplo, un usuario puede insertar valores incorrectos en una aplicación de procesamiento de datos que termina cobrando al cliente 2000€ en lugar de 200€. La modificación incorrecta de los datos guardados en las bases de datos es otra forma común en que los usuarios pueden corromper los datos accidentalmente, un error que puede tener efectos duraderos.
La seguridad debe optimizar las capacidades de los usuarios y brindarles solo ciertas opciones y funcionalidades, por lo que los errores se vuelven menos comunes y menos devastadores. Los archivos críticos para el sistema deben estar restringidos para que los usuarios no puedan verlos ni acceder a ellos. Las aplicaciones deben proporcionar mecanismos que verifiquen valores de entrada válidos y razonables. Las bases de datos deben permitir que solo las personas autorizadas modifiquen los datos, y los datos en tránsito deben protegerse mediante encriptación u otros mecanismos.
Confidencialidad
La confidencialidad garantiza que se aplique el nivel necesario de secreto en cada cruce de datos procesamiento y evita la divulgación no autorizada. Este nivel de confidencialidad debe prevalecer mientras los datos residen en sistemas y dispositivos dentro de la red, a medida que se transmiten y una vez que llegan a su destino.
Los atacantes pueden frustrar los mecanismos de confidencialidad mediante la supervisión de la red, la navegación por los hombros, el robo de archivos de contraseñas, la ruptura de esquemas de cifrado y la ingeniería social. La ingeniería social es cuando una persona engaña a otra para que comparta información confidencial, por ejemplo, haciéndose pasar por alguien autorizado para tener acceso a esa información. La ingeniería social puede tomar muchas formas. Se puede utilizar cualquier medio de comunicación uno a uno para realizar ataques de ingeniería social.
Los usuarios pueden divulgar información confidencial de manera intencional o accidental al no cifrarla antes enviándolo a otra persona, siendo víctima de un ataque de ingeniería social, compartiendo los secretos comerciales de una empresa o no teniendo especial cuidado para proteger la información confidencial al procesarla .
La confidencialidad se puede proporcionar cifrando los datos a medida que se almacenan y transmiten, haciendo cumplir control de acceso y clasificación de datos, y capacitando al personal en los procedimientos adecuados de protección de datos.
La disponibilidad, la integridad y la confidencialidad son principios fundamentales de la seguridad. Debe comprender su significado, cómo los proporcionan los diferentes mecanismos y cómo su ausencia puede afectar negativamente a una organización.
Seguridad Equilibrada
En realidad,cuando se trata de la seguridad de la información, por lo general solo se hace desde el punto de vista de mantener los secretos en secreto (confidencialidad). Las amenazas a la integridad y la disponibilidad pueden pasarse por alto y solo tratarse después de que se hayan comprometido adecuadamente. Algunos activos tienen un requisito de confidencialidad crítico (secretos comerciales de la empresa), algunos tienen requisitos de integridad críticos (valores de transacciones financieras) y algunos tienen requisitos de disponibilidad críticos (servidores web de comercio electrónico). Muchas personas entienden los conceptos de la tríada CID, pero es posible que no aprecien completamente la complejidad de implementar los controles necesarios para brindar toda la protección que cubren estos conceptos. A continuación se proporciona una breve lista de algunos de estos controles y cómo se asignan a los componentes de la tríada CID:
Disponibilidad
Conjunto redundante de discos económicos (RAID)
Agrupación en clústeres
Balanceo de carga
Datos y líneas eléctricas redundantes
Copias de seguridad de datos y software
Rotura de disco
Integridad
Hashing (datos integridad)
Gestión de la configuración (integridad del sistema)
Control de cambios (integridad del proceso)
Control de acceso (físico y técnico)
Firma digital de software
Confidencialidad
Cifrado de datos en reposo (disco completo, cifrado de base de datos)
Cifrado de datos en tránsito (IPSec, SSL, PPTP, SSH)
Control de acceso (físico y técnico)
Términos clave
Disponibilidad El acceso confiable y oportuno a los datos y recursos es proporcionado a las personas autorizadas.
Integridad Se proporciona precisión y confiabilidad de la información y los sistemas y se evita cualquier modificación no autorizada.
Confidencialidad El nivel necesario de secreto se hace cumplir y no está autorizado se impide la divulgación.
Definiciones de seguridad
Las palabras “vulnerabilidad”, “amenaza”, “riesgo” y “exposición” a menudo se intercambian, aunque tienen significados diferentes. Es importante comprender la definición de cada palabra y las relaciones entre los conceptos que representan, ya que es fundamental a la hora de definir un plan de riesgos.
Una vulnerabilidad es la falta de una contramedida o una debilidad en una contramedida que está en su lugar. Puede ser una debilidad humana, de software, de hardware o de procedimiento que se puede explotar. Una vulnerabilidad puede ser un servicio que se ejecuta en un servidor, aplicaciones o sistemas operativos sin parches, un punto de acceso inalámbrico sin restricciones, un puerto abierto en un firewall, seguridad física laxa que permite que cualquier persona ingrese a una sala de servidores o administración de contraseñas no aplicada en servidores y estaciones de trabajo. .
Una amenaza es cualquier peligro potencial asociado con la explotación de una capacidad de vulnerabilidad. La amenaza es que alguien, o algo, identifique una vulnerabilidad específica y la use contra la empresa o el individuo. La entidad que se aprovecha de una vulnerabilidad se denomina agente de amenaza. Un agente amenazante podría ser un intruso que acceda a la red a través de un puerto en el firewall, un proceso que acceda a los datos de una manera que viole la política de seguridad, un tornado que destruya una instalación o un empleado que cometa un error no intencional que podría exponer información confidencial. .
Un riesgo es la probabilidad de que un agente amenazante explote una vulnerabilidad y de que tenga un impacto en el negocio correspondiente. En las siguientes imágenes se puede entender como evaluar la probabilidad e impacto de una amenaza.
Si un firewall tiene varios puertos abiertos, existe una mayor probabilidad de que un intruso use uno para acceder a la red de forma no autorizada.
Si los usuarios no están informados sobre los procesos y procedimientos, existe una mayor probabilidad de que un empleado cometa un error involuntario que pueda destruir los datos. Si no se implementa un sistema de detección de intrusos (IDS) en una red, existe una mayor probabilidad de que un ataque pase desapercibido hasta que sea demasiado tarde.
El riesgo vincula la vulnerabilidad, la amenaza y la probabilidad de explotación con el impacto empresarial resultante.
Una exposición es una instancia de estar expuesto a pérdidas. Una vulnerabilidad expone una organización a posibles daños. Si la administración de contraseñas es laxa y las reglas de contraseñas no se aplican, la empresa está expuesta a la posibilidad de que las contraseñas de los usuarios se capturen y utilicen de manera no autorizada.
Si una empresa no hace inspeccionar su cableado y no implementa medidas proactivas de prevención de incendios, se expone a incendios potencialmente devastadores.
Se implementa un control o contramedida para mitigar (reducir) el riesgo potencial. A la contramedida puede ser una configuración de software, un dispositivo de hardware o un proceso que elimine una vulnerabilidad o que reduzca la probabilidad de que un agente de amenazas pueda explotar una vulnerabilidad.
Los ejemplos de contramedidas incluyen administración de contraseñas sólidas, firewalls, un guardia de seguridad, mecanismos de control de acceso, encriptación y capacitación en seguridad.
Si una empresa tiene un software antimalware pero no mantiene las firmas actualizadas, se trata de una vulnerabilidad. La empresa es vulnerable a los ataques de malware. La amenaza es que aparezca un virus en el entorno e interrumpa la productividad. La probabilidad de que un virus aparezca en el medio ambiente y cause daños y el daño potencial resultante es el riesgo. Si un virus se infiltra en el entorno de la empresa, se ha explotado una vulnerabilidad y la empresa está expuesta a pérdidas. Las contramedidas en esta situación son actualizar las firmas e instalar el software antimalware en todas los ordenadores. Las relaciones entre riesgos, vulnerabilidades, amenazas y contramedidas en la imagen anterior.
La aplicación de la contramedida correcta puede eliminar la vulnerabilidad y la exposición y, por lo tanto, reduce el riesgo. La empresa no puede eliminar el agente amenazante, pero puede protegerse y evitar que este agente amenazante aproveche las vulnerabilidades del entorno.
Mucha gente pasa por alto estos términos básicos con la idea de que no son tan importantes como las cosas más atractivas en la seguridad de la información. Pero encontrará que, a menos que un equipo de seguridad tenga un lenguaje acordado, la confusión se apoderará rápidamente. Estos términos abarcan los conceptos básicos de seguridad y, si se confunden de alguna manera, entonces las actividades que se implementan para hacer cumplir la seguridad se confunden comúnmente.
Tipos de control
Hasta aquí hemos cubierto los objetivos de seguridad (disponibilidad, integridad, confidencialidad) y la terminología utilizada en la industria de la seguridad (vulnerabilidad, amenaza, riesgo, control). Estos son componentes fundamentales que deben entenderse si la seguridad va a tener lugar de manera organizada. El siguiente problema fundamental que abordaremos son los tipos de control que se pueden implementar y su funcionalidad asociada.
Los controles se implementan para reducir el riesgo que enfrenta una organización, y vienen en tres sabores principales: administrativo, técnico y físico.
Los controles administrativos se conocen comúnmente como “controles blandos” porque están más orientados a la gestión. Ejemplos de controles administrativos son la documentación de seguridad, la gestión de riesgos, la seguridad del personal y la capacitación.
Los controles técnicos (también llamados controles lógicos) son componentes de software o hardware, como en firewalls, IDS, encriptación, identificación y mecanismos de autenticación.
Y los controles físicos son elementos que se implementan para proteger las instalaciones, el personal y los recursos. Ejemplos de controles físicos son los guardias de seguridad, las cerraduras, las cercas y la iluminación.
Estos tipos de control deben implementarse para brindar una defensa en profundidad, que es el uso coordinado de múltiples controles de seguridad en un enfoque en capas, como se muestra la siguiente imagen.
Un sistema de defensa de múltiples capas minimiza la probabilidad de penetración y compromiso exitosos porque un atacante tendría que atravesar varios tipos diferentes de mecanismos de protección antes de obtener acceso a los activos críticos. Por ejemplo, la empresa A puede tener los siguientes controles físicos que funcionan en un modelo en capas:
Muro
Barrera
Puertas exteriores
Videovigilancia
Guardia de seguridad
Molino de acceso
Puertas internas cerradas
Sala de servidores cerrada
Entonces, las diferentes categorías de controles que se pueden usar son administrativos, técnicos, y físico. Pero, ¿qué hacen realmente estos controles por nosotros? Necesitamos comprender las diferentes funcionalidades que cada tipo de control puede proporcionarnos en nuestra búsqueda para proteger nuestros entornos.
Las diferentes funcionalidades de los controles de seguridad son preventivas, detectivas, correctivas, disuasorias, recuperatorias y compensatorias. Al tener una mejor comprensión de las diferentes funcionalidades de control, podrá tomar decisiones más informadas sobre qué controles se utilizarán mejor en situaciones específicas. Las seis funcionalidades de control diferentes son las siguientes:
Disuasión Pretende disuadir a un atacante potencial
Preventivo Destinado a evitar que ocurra un incidente
Correctivo Repara componentes o sistemas después de que ha ocurrido un incidente
Recuperación Destinado a devolver el medio ambiente a las operaciones regulares
Detective Ayuda a identificar las actividades de un incidente y potencialmente un intruso
Controles de compensación que proporcionan una medida alternativa de control
Una vez que comprenda completamente lo que hacen los diferentes controles, puede usarlos en las ubicaciones correctas para riesgos específicos, o simplemente puede colocarlos donde se vean más bonitos.
Al mirar una estructura de seguridad de un entorno, es más productivo usar un modelo preventivo y luego utilizar mecanismos de detección, recuperación y corrección para ayudar a respaldar este modelo, de forma que se puede personalizar a las necesidades de cada organización.
Lo que se pretende con estas técnicas es básicamente, detener cualquier problema antes de que comience, pero debe poder reaccionar rápidamente y combatir el problema si lo encuentra. No es factible prevenirlo todo; por lo tanto, lo que no puede prevenir, debe poder detectarlo rápidamente. Es por eso que los controles preventivos y de detección siempre deben implementarse juntos y deben complementarse entre sí. Para llevar este concepto más allá: lo que no puede prevenir, debe poder detectarlo, y si detecta algo, significa que no pudo prevenirlo y, por lo tanto, debe tomar medidas correctivas para asegurarse de que realmente es prevenido la próxima vez. Por lo tanto, los tres tipos trabajan juntos: preventivo, detectivo y correctivo.
A modo de ejemplo, “Un cortafuegos es un control preventivo, pero si un atacante supiera que está instalado, podría ser un elemento disuasorio”. Detengámonos aquí. No hagas esto más difícil de lo que tiene que ser. Cuando intente asignar el requisito de funcionalidad a un control, piense en la razón principal por la que se implementaría el control. Un cortafuegos trata de evitar que suceda algo malo, por lo que es un control preventivo.
Los registros de auditoría se realizan después de que se produjo un evento, por lo que es detectable. Se desarrolla un sistema de respaldo de datos para que los datos puedan ser recuperados; por lo tanto, este es un control de recuperación. Las imágenes de computadora se crean para que, si el software se corrompe, se puedan cargar; por lo tanto, este es un control correctivo.
Un tipo de control con el que algunas personas luchan es un control de compensación. Miremos a algunos ejemplos de controles de compensación para explicar mejor su función. Si su empresa necesitaba implementar una fuerte seguridad física, podría sugerirle a la gerencia que se empleen guardias de seguridad. Pero después de calcular todos los costos de los guardias de seguridad, su empresa podría decidir usar un control de compensación (alternativo) que brinde una protección similar pero que sea más asequible, como en una cerca. En otro ejemplo, supongamos que es un administrador de seguridad y está a cargo del mantenimiento de los firewalls de la empresa de comunicaciones.
La gerencia le dice que cierto protocolo que sabe que es vulnerable a la explotación debe permitirse a través del firewall por razones comerciales. La red debe estar protegida por un control de compensación (alternativo) perteneciente a este protocolo, que puede configurar un servidor proxy para ese tipo de tráfico específico para garantizar que se inspeccione y controle correctamente.
Por lo tanto, un control de compensación es solo un control alternativo que brinda una protección similar a la del control original, pero debe usarse porque es más asequible o permite la funcionalidad comercial específicamente requerida.
Existen varios tipos de controles de seguridad y todos deben trabajar juntos. La complejidad de los controles y del entorno en el que se encuentran pueden hacer que los controles se contradigan o dejen brechas en la seguridad. Esto puede introducir agujeros inesperados en la protección de la empresa que los implementadores no entienden completamente. Una empresa puede tener controles de acceso técnico muy estrictos y todos los controles administrativos necesarios, pero si a cualquier persona se le permite acceder físicamente a cualquier sistema en la instalación, entonces existen claros peligros de seguridad en el entorno. Juntos, estos controles deben funcionar en armonía para proporcionar un entorno saludable, seguro y productivo.
Marcos de seguridad
Hasta el momento este punto sabemos lo que necesitamos lograr (disponibilidad, integridad, confidencialidad) y conocemos las herramientas que podemos utilizar (controles administrativos, técnicos, físicos) y sabemos cómo hablar sobre este tema (vulnerabilidad, amenaza, riesgo, control). Antes de pasar a cómo desarrollar un programa de seguridad para toda la organización, primero exploremos lo que no se debe hacer, lo que se conoce como seguridad a través de la oscuridad. El concepto de seguridad a través de la oscuridad supone que tus enemigos no son tan inteligentes como tú y que no pueden resolver algo que crees que es muy complicado. Un ejemplo no técnico de seguridad a través de la oscuridad es la vieja práctica de poner una llave de repuesto debajo de un felpudo en caso de que no pueda entrar a la casa. Asumes que nadie sabe acerca de la llave de repuesto y, mientras no lo hagan, se puede considerar segura. La vulnerabilidad aquí es que cualquiera podría acceder fácilmente a la casa si tiene acceso a esa llave de repuesto oculta, y el atacante experimentado (en este ejemplo, un ladrón) sabe que existen este tipo de vulnerabilidades y toma las medidas adecuadas para buscarlas. afuera.
En el ámbito técnico, algunos proveedores trabajan bajo la premisa de que dado que el código de su producto está compilado, esto proporciona más protección que los productos basados en código fuente abierto porque nadie puede ver sus instrucciones de programación originales. Pero los atacantes tienen a su disposición una amplia gama de herramientas de ingeniería inversa para reconstruir el código original del producto, y hay otras formas de descubrir cómo explotar el software sin realizar ingeniería inversa, como fuzzing, entradas de validación de datos, etc. El enfoque adecuado de la seguridad es asegurarse de que el software original no contenga fallas, no asumir que poner el código en un formato compilado proporciona el nivel necesario de protección.
Un programa de seguridad es un marco compuesto por muchas entidades: lógicas, administrativas y mecanismos de protección física, procedimientos, procesos comerciales y personas que trabajan juntas para proporcionar un nivel de protección para un entorno. Cada uno tiene un lugar importante en el marco, y si uno falta o está incompleto, todo el marco puede verse afectado. El programa debería funcionar en capas: una capa proporciona soporte para la capa superior y protección para la capa inferior. Debido a que un programa de seguridad es un marco, las organizaciones pueden conectar diferentes tipos de tecnologías, métodos y procedimientos para lograr el nivel de protección necesario para su entorno.
Uno de los procedimientos que estos marcos suelen incluir por hacer es un análisis de riesgos. En el mismo hay que definir alcance al que afecta dicho análisis (todas las sedes, una sola oficina, etc), identificar activos (personal, contratos, nóminas, bases de datos, proveedores, impresoras, dispositivos informáticos, dispositivos de almacenamientos, etc), identificar amenazas (fuegos, cortes de luz, baja de un empleado, red inoperativa, etc), identificar las vulnerabilidades y qué salvaguardas se aplican, evaluar el riesgo y tratarlo. Se puede resumir en la siguiente captura.
Conclusión
Tal como hemos visto, no podemos hablar de riesgos IT, sin mencionar la triada CID, y sin hacer mención a una serie de controles. Los controles a su vez fueron compilados en marcos normativos como el ENS, ISO 27001, Cobit, NIST, SOC, Contoles CIS. Cada uno tomó una serie de controles, los categorizó y creo su propia normativa, por ejemplo PCI-DSS para el sector financiero, HIPPA para el sector de salud en los Estados Unidos, o a nivel nacional Esquema Nacional de Seguridad para Administración Pública.
Un marco de gestión de riesgos de IT es un sistema de normas, directrices y prácticas recomendadas que ayudan a gestionar los riesgos de ciberseguridad y mantener las regulaciones del sector. Los marcos presentan un método estandarizado y bien documentado para:
Realizar evaluaciones de riesgos que comprueben las prioridades de tu empresa e identifiquen las lagunas en los controles de seguridad.
Realizar un análisis de riesgos sobre las lagunas en los control existentes.
Priorizar las acciones y las futuras inversiones en seguridad basándose en el análisis de riesgos.
Ejecutar esas estrategias mediante la aplicación de una serie de controles de seguridad y prácticas recomendadas.
Medir y puntuar la madurez del programa de seguridad a lo largo del proceso.
La persona responsable de la ejecución del marco de gestión de riesgos de seguridad informática varía de una empresa a otra. Las organizaciones más grandes suelen tener un Chief Information Officer o un Director de Riesgos para gestionar el proceso y trabajar con su equipo de TI para ejecutarlo. Las organizaciones más pequeñas pueden tener a un responsable de TI que supervise el proyecto.
Independientemente del tamaño de la empresa, es esencial que varias partes interesadas participen en la creación del marco. Por ejemplo, el consejo de administración y los directores de la empresa tendrán un papel crucial:
Identificar qué riesgos pueden exponer a la organización
Establecer la formación continua de los empleados
Gestionar el presupuesto necesario para mitigar los riesgos actuales y futuros
¿Por qué necesita mi empresa un marco de seguridad?
Los marcos de ciberseguridad se han convertido en un elemento básico para las empresas que quieren cumplir con la normativa de ciberseguridad estatal, industrial o internacional. Pero más allá de la ley, los marcos de seguridad ayudan a las organizaciones a priorizar las acciones de una manera flexible, repetible y rentable para proteger su negocio.
Un marco de gestión de riesgos de IT proporcionará cinco beneficios principales a tu organización:
-Ahorro de tiempo: Un marco de trabajo te permite mapear cuál es tu estatus de ciberseguridad. A partir de ahí, puedes identificar las lagunas que guiarán una conversación con las partes involucradas de la empresa, sabiendo dónde estás y dónde deberías estar.
Aplicable universalmente: La mayor parte del contenido incluido en un marco de gestión de riesgos de seguridad de TI se aplica universalmente. Por ejemplo, independientemente de tu sector o ubicación, tu empresa probablemente maneja datos sensibles. Dado que casi todas las empresas comparten este elemento, esto significa que puedes beneficiarte de un marco que comparte acciones específicas sobre la gestión de datos sensibles.
Aprobado por la comunidad: No tienes que empezar de cero cuando se trata de tu marco de gestión de riesgos informáticos. Los marcos más fiables y adoptados son desarrollados mediante relaciones de colaboración entre múltiples personas con experiencia en diversos sectores. Este conocimiento colectivo de diferentes áreas garantiza que, sea cual sea el marco que elijas, ya ha sido probado y su éxito demostrado.
Proporciona consistencia: Los marcos de gestión de riesgos de TI proporcionan coherencia a la hora de abordar las necesidades de seguridad en la empresa. Sin un marco, las partes interesadas en la ciberseguridad la empresa pueden actuar de formas diferentes. Esto no sólo causa ineficacia, sino que también te pone en riesgo de cometer errores y crear lagunas imprevistas en la ejecución.
Simplifica la seguridad: Un marco publicado facilita la explicación de cómo la seguridad gestiona las amenazas y los riesgos, incluso a las personas dentro de la empresa menos versadas en seguridad. La ciberseguridad afecta a todo el mundo dentro de tu organización, por lo que tener un lenguaje común es útil.
Introducción al control de riesgos.
Todas las organizaciones se enfrentan a una serie de riesgos a la hora de desarrollar su actividad y, por tanto, a la hora de utilizar sus servicios. El regulador y las agencias de valoración están empezando a tener en cuenta el análisis de los procesos de gestión del riesgo de las empresas a la hora de evaluar la salud de las mismas.
Hoy, es indudable que una correcta gestión del riesgo supone una ventaja competitiva respecto a la competencia, especialmente en la coyuntura económica actual donde la confianza es uno de los aspectos más valorados entre los clientes de una entidad. Contar con procesos para mitigar riesgos no hace sino aumentar esta confianza.
En el campo de la gestión de los servicios de TI, los riesgos han de ser gestionados para asegurar la disponibilidad de los sistemas y evitar la pérdida de datos confidenciales entre otros contratiempos.
Contar con una estrategia para la gestión de los riesgos se vuelve esencial en el desarrollo de la estrategia de gestión de servicios. De hecho, ITIL lo incluye como parte del diseño del servicio, ya que, desde el momento que se concibe éste, es necesario plantear los diferentes riesgos a los que se enfrentará el servicio y las alternativas para minimizar el efecto negativo de los mismos. Por tanto, es durante la definición de nuevo servicio donde han de considerarse los procesos necesarios para gestionar el riesgo.
En la actualidad, la gestión del riesgo se lleva a cabo bajo un enfoque más holístico y continuista, adoptando lo que se ha llamado Enterprise Risk Management (ERM), gestión del riesgo integral. El concepto de ERM aparece en 2003, cuando la Casualty Actuarial Society (CAS) lo define como una disciplina a través de la cual las organizaciones de cualquier industria monitorizan, controlan, explotan y financian los riesgos provenientes de cualquier fuente con el propósito de aumentar, en el corto y largo plazo, el valor ofrecido a los stakeholders. Este enfoque incluye metodologías y procesos utilizados por las organizaciones de todas las industrias para gestionar los riesgos y optimizar las oportunidades que les permita alcanzar sus objetivos.
La gestión del riesgo comprende las fases de identificación, seguimiento y priorización, según se define en la norma ISO 31000. Para contrarrestarlo, es necesario monitorizar y controlar la probabilidad y el impacto de que se dé la causa desencadenante del riesgo.
La norma ISO 31000.
Aunque los riesgos son de muy diversa índole, dependiendo del ámbito empresarial de la organización que los enfrenta, la norma ISO 31000 propone unas pautas estandarizadas para intentar gestionarlo. Fue publicada como estándar el 13 de noviembre de 2009, pretendiendo ser aplicable y adaptable para cualquier tipo de empresa pública o privada, asociación o incluso para la actividad laboral de empresas constituidas por autónomos. Además de esta norma, se publicó la llamada guía 73, que busca unificar el vocabulario utilizado en los procesos de gestión de riesgos.
Esta norma se divide en tres grandes bloques:
Principios para la gestión del riesgo:
Crear valor para contribuir a la consecución de los objetivos de la empresa.
Integración con los procesos de la organización.
Ayudar a la toma de decisiones al aportar información sobre los posibles escenarios.
Minimizar la incertidumbre.
Función sistemática, estructurada y adecuada para contribuir a la obtención de resultados fiables.
Basada en la mejor información disponible en cada momento.
Alineada con el contexto interno y externo de la propia empresa.
Debe contar con los factores humanos y culturales de la organización.
Transparente a la hora de mostrar la información y participación de todos los interesados en la gestión del mismo.
Dinámica, iterativa y sensible al cambio.
Contribuir a la mejora continua de la empresa.
Estructura de soporte:
La gestión del riesgo debe contar con el apoyo de la alta dirección. Se desarrolla iterativamente en ciclos que pretenden diseñar la mejor estructura de soporte, implantar esta estructura de la manera más eficiente para gestionar el riesgo y monitorizar las actividades de gestión para mejorar continuamente la estructura propuesta. Proceso de gestión de riesgos: la gestión de riesgos incluye las etapas de identificar, analizar, evaluar y tratar riesgos. Constantemente, debe existir una comunicación y consulta continua con las diferentes áreas de la organización, así como un seguimiento y revisión.
Sin embargo, esta norma sólo pretende marcar unas directrices, pero no pretende implementar un modelo de gestión del riesgo uniforme entre las diferentes empresas. El diseño e implementación de un plan para la gestión de riesgos y un marco de trabajo para su ejecución necesita considerar las variaciones específicas de cada industria, particularmente sus objetivos, contexto, estructura, operaciones, procesos, proyectos, productos, servicios o activos.
Gestión de riesgos en servicios de TI.
ITIL define el proceso de gestión de riesgos orientándolo a la gestión de los servicios de TI, formando parte del plan de continuidad del servicio (ITSCM). Su objetivo es determinar la probabilidad de un fallo con la configuración actual del servicio, así como la capacidad de soporte necesaria en la organización.
El análisis de los riesgos debe llevarse a cabo durante la fase de diseño del servicio, para identificar los riesgos en los que se puede incurrir debido a la indisponibilidad de los componentes de la infraestructura, y los riesgos, debidos a la pérdida de confidencialidad e integridad por errores en el servicio.
El objetivo de la gestión de los riesgos en un servicio de IT debe ser identificar los activos, las amenazas y las vulnerabilidades que conforman el riesgo, y establecer las contramedidas necesarias.
El riesgo también está definido por el nivel de aceptación de la organización, que puede ser más o menos propensa a mitigar o asumir un determinado nivel de riesgo.
El seguimiento del riesgo se basa generalmente en la probabilidad e impacto de un evento, y las contramedidas son implementadas, si su coste puede ser justificado, para reducir el impacto del evento o para disminuir las probabilidades de que suceda.
Previo a la identificación de los riesgos se debe estudiar el impacto que un mal funcionamiento del servicio puede producir en la organización.
El análisis del impacto (Business Impact Analysis, BIA) identifica:
Los servicios más importantes para la organización y el modo en que pueden afectar al negocio, como una pérdida de ingresos, un aumento de los costes o un daño reputacional.
Cómo el impacto puede elevarse tras la interrupción del servicio y los momentos del día o del año durante los cuales el impacto es mayor.
El personal y las habilidades necesarias para mantener el negocio de manera aceptable.
El tiempo asumible para la recuperación del servicio.
La prioridad a la hora de recuperar diferentes servicios afectados.
El análisis de los riesgos y el impacto de los mismos suele representarse gráficamente enfrentando el impacto y el tiempo de interrupción del servicio.
La gestión de los riesgos debe realizarse siguiendo metodologías estándar, como la metodología MoR (Management of Risk) explicada en los volúmenes de ITIL. Los procesos incluidos en esta gestión del riesgo incluyen:
Identificación: de las amenazas y oportunidades de una actividad que puede impactar en la consecución de sus objetivos.
Evaluación: entender los efectos de red de las amenazas y oportunidades identificadas para una actividad.
Planear: preparar una respuesta específica que reduzca las amenazas y maximice las oportunidades.
Implementar: acciones para la gestión de los riesgos, monitorizar su efectividad y tomar acciones correctivas cuando las respuestas no cumplen con las expectativas.
Uno de los entregables que debe aportar un plan para la gestión de riesgos debe ser un perfil de riesgos que permita entender fácilmente el impacto de cada una de las posibles situaciones a las que se enfrenta un servicio.
Para este perfil, se puede construir una matriz donde enfrentar la posibilidad de que se dé un evento con el impacto del mismo sobre el negocio. De este modo, es posible priorizar las medidas que puedan paliar aquellos riesgos con alta probabilidad de suceder y con un alto impacto sobre el negocio.
Ejemplos típicos de medidas que pueden ser adoptadas para reducir el riesgo son:
Aumento de la resiliencia del sistema.
Subcontratar la prestación de servicios a más de un proveedor.
Equipos en redes aisladas para ser utilizados en caso de fallo en las redes principales.
En la gestión de riesgos, es necesario establecer, de común acuerdo con el Service Owner, ya sea para un servicio, software, hardware, tanto RTO como el RPO (Recovery Time Objective y Recovery Point Objective).
El RTO es el tiempo que pasará una infraestructura antes de estar disponible nuevamente. Para reducir el RTO, se requiere que la infraestructura (tecnológica, logística, física) esté disponible en el menor tiempo posible pasado el evento de interrupción.
El RPO marca cuando la infraestructura, ya operativa nuevamente, comenzará a hacerse evidente. Básicamente, RPO indica lo que la organización está dispuesta a perder en cantidad de datos. Para reducir un RPO es necesario aumentar el sincronismo de réplica de datos.
Metodología Magerit.
Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica. Su objetivo es estudiar los riesgos propios de un sistema de información y su entorno, concienciando a los responsables de las organizaciones de la existencia de los mismos y la necesidad de gestionarlos, y ayudando a descubrir y planificar las respuestas necesarias para controlar estos riesgos.
Para ello, evalúa el impacto que una violación en la seguridad tiene para la organización, señala los riesgos existentes, las amenazas y la vulnerabilidad del sistema frente a las mismas. El resultado son recomendaciones sobre las medidas adecuadas para conocer, prevenir, impedir, reducir o controlar estos riesgos que han sido identificados.
Magerit identifica dos actividades principales:
Análisis de riesgos:
Permite determinar cuáles son los activos de la organización, cuáles son las amenazas y, finalmente, las contramedidas para mitigarlas. Con ello, se obtiene el impacto (lo que podría pasar) y el riesgo (lo que probablemente pase).
Dentro de este esquema, los activos son los recursos del sistema de información o asociados al mismo, como servicios, aplicaciones informáticas, equipos informáticos, soportes de información, equipamiento auxiliar, redes de comunicaciones, instalaciones y personas.
Los activos han de valorarse. No hay que confundir valor y coste. El activo tendrá valor si es utilizado para algo, si no puede prescindirse de él sin más. En general, se habla de un valor propio, intrínseco del activo, y de un valor acumulado que tiene en cuenta el valor de los activos que dependen de otro.
Para valorar un activo, cabe analizar diferentes dimensiones del mismo: autenticidad (daño ocasionado por no conocer quién accede al activo), confidencialidad (daño provocado si se desvela información gestionada por el activo), integridad (daño producido por contar con datos corruptos) y disponibilidad (daño causado por no poder utilizar un activo).
En este modelo, las amenazas representan todo aquello que puede ocurrir y afectar a un activo. Para valorarlas, es necesario determinar la degradación, la intensidad con la se perjudica el activo, y la frecuencia, cada cuánto cabe esperar que se dé la amenaza. La degradación suele expresarse como una fracción del valor del activo y la frecuencia se establece como una tasa anual.
La degradación se relaciona directamente con el impacto y la frecuencia con el riesgo. El impacto refleja el daño posible, mientras que el riesgo refleja el daño probable. Las medidas que se tomen para atenuar el riesgo deben ir encaminadas a disminuir la degradación o a disminuir la frecuencia.
Gestión de riesgos:
Permite organizar las medidas defensivas para reducir los riesgos a los que se enfrenta la organización. El riesgo se debe reducir hasta el nivel asumido por la dirección de la empresa. Se ha de llegar a unos niveles de impacto y riesgo residual o despreciable. El hecho de que exista un nivel residual indica que, ciertamente, existe un riesgo, pero el coste de las medidas necesarias para mitigarlo no compensa el valor del activo al que afecta ese riesgo. Las medidas que se toman como respuesta a los riesgos pueden ser:
Técnicas (aplicaciones, equipos y comunicaciones)
Físicas (entorno de trabajo)
Organizacionales (prevención de incidencias)
Políticas de personal (formación permanente)
Es lógico pensar que el coste de estas medidas no debe ser superior al coste de los activos que protegen. EL riesgo cae precipitadamente con pequeñas inversiones, para poco a poco reducirse esta relación entre disminución del riesgo y aumento de la inversión. A partir de un determinado punto, seguir reduciendo mínimamente el riesgo supone un gasto muy alto en medidas. Finalmente, es importante destacar que la decisión sobre los valores residuales no es una decisión técnica sino una decisión de la dirección de la empresa.
Pilar, software de gestión de riesgos.
La gestión de riesgos debe entenderse como una serie de procesos adicionales que forman parte de una organización. Las metodologías permiten estandarizar estos procesos y definir los flujos de información necesarios. Contar con las herramientas tecnológicas que soporten estos procesos de gestión de riesgos y sean capaces de gestionar toda la información necesaria es fundamental para poder implementar con éxito un plan de gestión de riesgos.
La metodología Magerit viene acompañada de la herramienta PILAR, acrónimo de “Procedimiento Informático-Lógico para el Análisis de Riesgos”. PILAR ha sido desarrollado por el Centro Nacional de Inteligencia siguiendo los pasos establecidos por la metodología Magerit.
Incluye los siguientes procesos:
Caracterización de los activos: identificación, clasificación, dependencias y valoración.
Caracterización de las amenazas.
Evaluación de las medidas de mitigación.
Asimismo, incluye catálogos de elementos que permiten homogeneidad en el análisis de los tipos de activo, las diferentes dimensiones de la valoración, los criterios utilizados para la valoración y un catálogo de amenazas.
Cuenta con un motor de cálculo de riesgos y una biblioteca de elementos. La herramienta se encarga de estimar el impacto y el riesgo de los activos presentándolo de manera muy visual para poder realizar análisis sobre el mismo. Los resultados se pueden mostrar como informes RTF, gráficos y tablas. Además, calcula calificaciones de seguridad según estándares de la industria, como la norma UNE-ISO/IEC 17799:2002, de sistemas de gestión de la seguridad. Con todo ello, PILAR es capaz de analizar los riesgos, calcular los riesgos residuales y establecer un plan de mejora para cumplir con la normativa existente.
Conclusiones
Concluyendo, un marco de gestión de riesgos de IT es esencial para proteger la empresa de los riesgos cibernéticos y mejorar su eficacia en la gestión de servicios de TI. Los marcos más fiables son desarrollados mediante colaboración entre expertos en diferentes sectores, garantizando que ya han sido probados y demostrado su éxito.
Sin un marco, las partes interesadas en la ciberseguridad pueden actuar de formas diferentes, causando ineficacia y riesgo de errores y lagunas en la ejecución. Además, contar con una estrategia para la gestión de riesgos es esencial en la estrategia de gestión de servicios. La norma ISO 31000 y la guía 73 proporcionan pautas estandarizadas para la gestión de los riesgos
En esta lección se explicará como funcionan tres de las herramientas más conocidas de OSINT, y se verán con ejemplos prácticos los usos que se les puede dar. Estas herramientas son Google Dorking, Shodan y FOCA.
Google Dorking
Google dorking es una técnica que nos permite hacer búsquedas avanzadas en con el motor de búsqueda de Google. Estas búsquedas se realizan mediante una sintaxis avanzada y pueden usarse en plataformas como Bing, Yahoo o DuckDuckGo.
El dorking es una forma de enumeración pasiva con la que puedes encontrar información sensible como documentos privados, credenciales de inicio de sesión, emails o incluso información de cuentas bancarias.
Operadores
Para realizar una búsqueda avanzada usando dorking es necesario conocer los operadores y sus funciones. A continuación se mostrará una tabla con los distintos operadores y veremos algunos ejemplos de uso.td>@gmail.com
Operador
Descripción
Ejemplo
” “
El texto entre comillas dobles debe aparecer tal cual en el resultado.
“hackrocks”
–
Excluye de la búsqueda el término que va después del signo “-”.
-windows
+
Incluye en la búsqueda el término que va después del signo “+”.
hackrocks +windows
Se usa como comodín para indicar que puede tener cualquier valor.
#
Busca un hashtag.
#hacking
@
Busca en redes sociales.
@hackrocks
OR
Devuelve uno de los términos de búsqueda que se usen.
“linux” OR “windows”
|
Realiza la misma función que el operador OR.
“linux” | “windows”
AND
Devuelve todos los términos de búsqueda que se usen.
“linux” AND “windows”
&
Realiza la misma función que el operador AND.
“linux” & “windows”
()
Se utiliza para agrupar operadores.
ordenador (“linux” OR “windows”)
cache:
Muestra la página en caché.
cache:hackrocks.com
inurl:
El término de búsqueda debe estar en la url del resultado.
inurl:login.php
site:
Muestra todos los resultados indexados sobre un sitio web
El término de búsqueda debe estar en el título del resultado.
intitle:login
intext:
El contenido del resultado debe tener el término de búsqueda.
intext:credentials
PoC: filetype:
Este operador es muy útil porque puedes usarlo junto a otros como site, para buscar archivos con la extensión que se indique en un sitio web específico. A continuación se muestra un ejemplo de uso en el que se busca un archivo .conf, que puede contener credenciales o información de un servidor, en repositorios de github.
Otro uso puede ser encontrar ficheros de backups de bases de datos o simplemente buscar un pdf con información sensible.
PoC: inurl:
Como se ha indicado en la tabla anterior, este operador sirve para encontrar un resultado que tenga el término de búsqueda indicado en la url y, al igual que en el ejemplo anterior, se puede combinar con otros operadores para obtener resultados mejores. Este operador, al igual que intitle: e intext:, se puede usar con all al principio (allinurl:) si se quiere buscar más de una palabra.
Uno de los muchos casos en los que es útil inurl: es para buscar formularios de login:
PoC: ” “
Es el operador más básico que hay, pero no por ello el menos útil. El término de búsqueda que se introduzca debe aparecer en el resultado sin ningún cambio. Puede ser útil para buscar información sobre un término muy específico como puede ser el nombre de una persona o de una empresa.
En la siguiente imagen se muestra un ejemplo de como buscar con ” ” y AND un usuario y contraseña de una base de datos.
Shodan
Shodan es un motor de búsqueda que, a diferencia de otros como Google, en vez de buscar sitios web, busca dispositivos conectados a Internet. Es posible crear una cuenta gratis en Shodan, pero tiene varias limitaciones como un número máximo de 50 búsquedas.
Con la ayuda de una amplia variedad de filtros, podemos encontrar una gran cantidad de dispositivos de interés, acompañado de información como direcciones IP, dominios o ubicaciones.
Filtros
La tabla a continuación muestra una lista con algunos de los filtros más útiles de Shodan. Si quieres ver la lista con todos los filtros disponibles puedes hacerlo accediendo al siguiente enlace.
Filtro
Utilidad
Ejemplo
after/before:
Filtra los resultados por fechas.
before:12/11/2022
country:
Filtra los resultados por un código de dos dígitos que identifica a un país.
country:spain
city:
Obtiene resultados de una ciudad.
city:sevilla
geo:
Busca por latitud/longitud.
geo:37.38283,-5.97317
hostname:
Busca el nombre de un host o dominio específico.
hostname:hackrocks.com
net:
Busca resultados en un rango de IP o en un segmento de red.
net:199.4.1.0/24
os:
Filtra por sistema operativo.
os:ubuntu
port:
Permite filtrar por un número de puerto.
port:80
Conociendo los filtros que nos ofrece Shodan, podemos utilizarlos para enumerar dispositivos que pueden entrar en nuestro objetivo y son potencialmente vulnerables. En el siguiente apartado veremos una prueba de concepto para conocer como usar Shodan.
PoC: Enumerando servidores http en Sevilla
En esta prueba, tenemos como objetivos enumerar servidores http que estén ubicados en Sevilla. Usando el filtro city: visto en la tabla anterior podemos hacer la siguiente búsqueda: “http city:sevilla“.
Como se puede observar en la imagen, se obtiene un total de 42704 resultados de los cuales encontramos información como la dirección IP, el dominio, el servidor que utiliza o el certificado SSL.
También podemos ver que uno de los resultados tiene un código 302, que significa que ha sido trasladado a otra ubicación. Para solucionar esto se puede usar el filtro http.status: y buscar únicamente los servidores con código 200.
Al aplicar este filtro, la búsqueda nos devuelve únicamente servidores que respondan correctamente y, como podemos observar, el número de resultados se ha reducido de forma notable.
Por último, si se quiere buscar un servidor que utilice una tecnología en específico, como podría ser jquery, se puede usar el filtro http.component
A partir de aquí y con la ayuda de más filtros podemos obtener una lista de servidores potencialmente vulnerables.
FOCA
FOCA es una herramienta utilizada para extraer metadatos de archivos. Los metadatos de un archivo es la información no visual de un archivo que proporciona un contexto adicional a este, como pueden serlo el autor del archivo, emails, el sistema operativo usado o, en el caso de las imágenes, incluso la ubicación en la que se ha tomado esa imagen.
Además FOCA es capaz de obtener todos los archivos disponibles en un sitio web que se le indique y obtener sus metadatos, lo que facilita mucho el trabajo de enumeración.
Para que todo esto se entienda mejor, se hará de nuevo una prueba de concepto en la que se extraeran los metadatos de los archivos del sitio web del ayuntamiento de Sevilla.
PoC: Extrayendo metadatos de los archivos de un sitio web
En esta prueba se extraerán los metadatos que se encuentran ocultos en los archivos de la página web del ayuntamiento de Sevilla. En FOCA hay que crear un nuevo proyecto, eligiendo un nombre para el proyecto y poniendo en el apartado domain website la url del objetivo.
Lo siguiente es elegir el motor de búsqueda que va a usar FOCA y los tipos de archivo que se quiere encontrar, en este caso se ha utilizado bing como motor de búsqueda y que se obtengan todos los tipos de archivo. Una vez elegido esto, se hace click en Search All para iniciar la búsqueda.
Para extraer los metadatos de estos archivos, hay que dar click derecho en uno de ellos y hacer click primero en Download All, y una vez descargados los archivos en Extract All Metadata.
Una vez completado este proceso, podemos observar en el panel de la izquierda todos los datos ocultos que ha conseguido encontrar FOCA. Encontramos mucha información interesante como usuarios de los sistemas, softwares utilizados, emails, o incluso sistemas operativos. Con estos datos recopilados es posible, por ejemplo, idear ataques de fuerza bruta o buscar vulnerabilidades conocidas de los softwares o sistemas operativos encontrados.
Conclusiones
En esta lección hemos visto el potencial de las herramientas más utilizadas en OSINT mediante algunos ejemplos prácticos, recomendamos investigar más acerca de ellas para aprovecharlas al máximo, ya que no se puede cubrir todo en una única lección.
También es recomendable aprender a usar otras herramientas con las que contrastar información, ya que se pueden obtener resultados distintos de ellas, por ejemplo, dos programas de extracción de metadatos pueden mostrar distintos datos de un mismo archivo.
Recordamos que el fin de aprender a usar estas herramientas, es para usarlas en entornos de pentesting.
