Cómo elaborar una matriz de evidencias

 Observa el video a continuación y a partir de ello, realiza la matriz de evidencias del ejercicio analizado en la sesión de clase:

Descarga el archivo de Excel AQUÍ, el cual te servirá para realizar tu ejercicio

Entrega el archivo de Excel en el apartado de tareas del grupo de Teams del módulo.

Fuente:  PIRANI

 

B Clasificación de los principales riesgos de la seguridad informática.

·         Concepto de riesgo.

 Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones, como por ejemplo la perdida de datos debido a daño en los discos, virus informáticos, entre otros.

 

·         Tipos de riesgo.

No todas las amenazas de un sistema informático tienen las mismas exigencias de seguridad, algunas son mayores que otras, por tanto al identificar o clasificar los riegos es conveniente establecer el grado o nivel en función de la seguridad.

 

·         

   Alto. Se considera un riesgo alto cuando la amenaza representa gran impacto dentro de la institución u organización.

Medio. Se establece cuando la amenaza impacta de forma parcial a las actividades de la organización o institución.

 Bajo. Cuando una amenaza no representa un ataque importante en los procesos de una organización o institución.

Matriz de riesgo. 

Constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, así como el tipo y nivel de riesgos inherentes a estas, permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad.

Concepto de vulnerabilidad. Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización.

 Riesgos Lógicos.

Son aquellos daños que el equipo puede sufrir en su estado lógico, perjudicando directamente a su software

-     Códigos maliciosos.

En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).Los códigos maliciosos pueden tener múltiples objetivos como:

• Extenderse por la computadora, otras computadoras en una red o por Internet
• Robar información y claves.
• Eliminar archivos e incluso formatear el disco duro.
• Mostrar publicidad invasiva.

 Spam.

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.

Piratería.

La piratería es una práctica de saqueo organizado o bandolerismo marítimo, probablemente tan antigua como la navegación misma. Consiste en que una embarcación privada o una estatal amotinada ataca a otra en aguas internacionales o en lugares no sometidos a la jurisdicción de ningún Estado, con el propósito de robar su carga, exigir rescate por los pasajeros, convertirlos en esclavos y muchas veces apoderarse de la nave misma.

  Fuga de información.

Se denomina fuga de información al incidente que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma (tanto todos como un grupo reducido).

 Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no. Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un Spyware que envíe información a un delincuente.

 Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la organización termina en manos de un tercero, que no debería tener acceso a la misma.

 

La información expuesta puede ser de cualquier índole: un listado de empleados con datos personales, listado de salarios, base de datos de clientes o una fórmula o algoritmo secretos, por citar algunos ejemplos.

 

Es difícil medir el impacto de la fuga de información pero puede ser muy diverso, especialmente según la intencionalidad del incidente. En aquellos casos en que se trata de un accidente no intencional, el impacto en la empresa dependerá de qué ocurre con el nuevo poseedor de esa información. Si se supone que un gerente de la empresa pierde una computadora portátil, el impacto puede ser nulo si quién la encuentra ignora la información que allí se contiene y formatea el sistema; o puede ser alto si el nuevo poseedor identifica los datos y los utiliza para publicarlos, comercializarlos o cualquier otra acción dañina.

 

Por otro lado, en los incidentes intencionales (es decir, maliciosos) el impacto está más claro: esa información puede ser utilizada para realizar un ataque a la organización, para venderse, para hacerse pública o para afectar la reputación o imagen de la organización. En cualquiera de los casos la fuga de información se caracteriza por ser un incidente que difícilmente pueda ser reparado o realizar algún procedimiento que permite “volver atrás” la situación.

 

Algunos estudios afirman la importancia de este tipo de incidentes en un esquema de seguridad. Según el 2009 CSI Computer Crime and Security Survey, un 15% de las empresas encuestadas sufrieron accesos no autorizados a la información por integrantes de la organización, y un 14% sufrieron acceso de personas ajenas a la empresa. Además, un 42% sufrieron el robo o pérdida de equipos portátiles. Sumados al 6% que sufrió acceso no autorizado a información protegida por propiedad intelectual por pérdida de equipos móviles y al 8% que sufrieron el acceso no autorizado de otro tipo a material protegido por la propiedad intelectual, son todos incidentes que aplican a la fuga de información.

Por otro lado, un estudio reciente de Intel, que ya comentamos en el blog, analiza el costo promedio para una empresa al perder una laptop. El mismo afirma que la mayor pérdida monetaria está asociada a la pérdida por violación de datos. Esto certifica que la fuga de información posee un impacto importante a considerar por cualquier organización.

Ingeniería social.

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información1​ que les permitan realizar daños a la persona u organismo comprometidos. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».

n la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.

Se hace para obtener acceso a sistemas o información útil.

Los objetivos de la ingeniería social son fraude, intrusión de una red.

Intrusos informáticos.

Persona que intenta acceder a un sistema informático sin autorización

Un intruso es aquel que hace aplicaciones informáticas sin la calidad suficiente, ese es el tipo de intruso que hay que perseguir y erradicar de la profesión.

 

CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES

Hackers

Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico:

entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de internet, pero no pretenden provocar daños en estos sistemas.

Sin embargo, hay que tener en cuenta que pueden tener acceso a información confidencial, por lo que su actividad está siendo considerada como un delito en bastantes países de nuestro entorno.

En la actualidad muchos “hackers” defienden sus actuaciones alegando que no persiguen provocar daños en los sistemas y redes informáticas, ya que sólo pretenden mejorar y poner a prueba sus conocimientos. Sin embargo, el acceso no autorizado a un sistema informático se considera por sí mismo un delito en muchos países, puesto que aunque no se produzca ningún daño, se podría revelar información confidencial.

Por otra parte, la actividad de un “hacker” podría provocar otros daños en el sistema: dejar “puertas traseras” que podrían ser aprovechadas por otros usuarios maliciosos, ralentizar su normal

funcionamiento, etcétera. Además, la organización debe dedicar tiempo y recursos para detectar y recuperar los sistemas que han sido comprometidos por un “hacker”.

Crackers (“blackhats”)

Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivados por intereses económicos, políticos, religiosos, etcétera.

A principios de los años setenta comienzan a producirse los primeros casos de delitos informáticos,

provocados por empleados que conseguían acceder a los ordenadores de sus empresas para modificar sus datos: registros de ventas, nóminas…

 sniffers

Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet.

  Phreakers

Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas.

 Spammers

Los spammers son los responsables del envío masivo de miles de mensajes de correo

electrónico no solicitados a través de redes como Internet, provocando el colapso de los servidores y la sobrecarga de los buzones de correo de los usuarios.

Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de “phishing”).

 Piratas informáticos

Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual.

 Creadores de virus y programas dañinos

Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad.

En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una

clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas.

Lamers (“wannabes”): “Scriptkiddies”o “Click-kiddies”

Los “lamers”, también conocidos por “script kiddies” o “click kiddies” , son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan.

A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.

 Amenazas del personal interno

También debemos tener en cuenta el papel desempeñado por algunos empleados en muchos de los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria.

Así, podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales que pretenden causar algún daño a la organización.

Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (“insiders”) como con los usuarios externos del sistema informático (“outsiders”).

  Ex-empleados

Los ex-empleados pueden actuar contra su antigua empresa u organización por despecho o venganza, accediendo en algunos casos a través de cuentas de usuario que todavía no han sido canceladas en los equipos y servidores de la organización. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información confidencial a terceros…) como venganza tras un despido.

·         Riesgos físicos.

La seguridad física es la protección de los sistemas y equipos frente a amenazas tangibles. Para ello, se crean barreras y mecanismos de control y prevención como respuesta a las posibles amenazas de seguridad física, tales como:

Desastres naturales

Sabotajes ajenos o internos

Fallos en la condiciones de seguridad ambiental

De interrupción: son aquellas amenazas de seguridad física cuyo propósito es obstaculizar, deshabilitar, o intervenir en el acceso a la información. Ejemplos de este tipo de prácticas serían la destrucción de componentes físicos como el disco duro, o la saturación provocada de los canales de comunicación. De fabricación: aquellas amenazas de seguridad física cuyo objetivo es el de añadir información falseada en el SI (sistema de información) de la organización víctima

 Desastres naturales, robos, ruido eléctrico, temperaturas...

 Acceso físico

 El acceso presencial es una de las amenazas de seguridad física más relevantes actualmente. ¿De qué sirve tener el mejor cortafuegos del momento si el atacante puede abrir el equipo y llevarse el disco duro? Si un delincuente informático accede a una sala con equipos Linux sin vigilancia física puede utilizar un disco de arranque, montar los discos duros de la CPU, y sustraer lo que desee, o alterar la información disponible.

Catástrofes ambientales

Los desastres naturales, terremotos, inundaciones o filtraciones de humedad suponen otra gran amenaza física para los hardware desprotegidos. Una de las razones por la que dichas amenazas son consideradas como muy peligrosas es por la falta de prevención. Si nos localizamos en una zona de baja actividad sísmica seguramente no hayamos tomado medidas contra posibles temblores o vibraciones, por lo que la caída de soportes informáticos físicos, o la destrucción de las infraestructuras que permiten su correcto funcionamiento, es una amenaza significante.

 La electricidad

La electricidad por sí sola, mediante tormentas eléctricas, o a través del ruido eléctrico, supone otro de los grandes problemas o amenazas a la seguridad física. Los problemas derivados del entorno eléctrico que suministra nuestros equipos son muy frecuentes: cortocircuitos, picos de tensión, cortes de flujo electricidad como amenaza a la seguridad física. Las tormentas eléctricas propias del verano generan subidas súbitas de tensión que pueden suponer un daño irreversible al hardware de nuestra compañía (especialmente en periodos vacacionales donde muchos trabajadores no se encuentran en su puesto).El ruido eléctrico se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación, y lo producen los motores o la maquinaria pesada. Para prevenir los problemas que el ruido eléctrico puede causar en nuestros equipos debemos evitar la cercanía a estos generadores o bien instalar filtros en las líneas de alimentación que llegan hasta nuestros equipos. Derivado de los problemas suscitados por la electricidad surgen los incendios, y con ellos, el humo. La mayoría de incendios no son provocados por factores ambientales, sino por la sobrecarga de la red debido al gran número de aparatos conectados al tendido eléctrico.

La humedad

Finalmente, la humedad es necesaria para el correcto funcionamiento de algunas máquinas. En ambientes extremadamente secos el nivel de electricidad estática es elevado, lo cual puede llegar a transformar un pequeño contacto entre persona y circuito, o entre diferentes componentes, en un daño irreparable al hardware y, por ende, a la información que contiene. Sin embargo, altos niveles de humedad son perjudiciales para los equipos, pudiendo llegar a producir condensación en los circuitos integrados, originando cortocircuitos.

 C Recopilación de información de la organización.

La recopilación de datos es el proceso de recopilar y medir información sobre variables específicas en un sistema establecido, que luego permite responder preguntas relevantes y evaluar resultados. La recopilación de datos es un componente de la investigación en todos los campos de estudio, incluidas las ciencias físicas y sociales, las humanidades2​ y los negocios. Si bien los métodos varían según la disciplina, el énfasis en garantizar una recolección precisa y honesta sigue siendo el mismo. El objetivo de toda la recopilación de datos es capturar evidencia de calidad que permita que el análisis conduzca a la formulación de respuestas convincentes y creíbles a las preguntas que se han planteado.

·         Objetivos corporativos.

1. Permiten especificar los propósitos de la organización e identificar los aspectos quenecesariamente se deben controlar y tomar en cuenta para que se puedan lograr‚ lasmetas, con el fin de colaborar al cumplimiento de la misión de la institución.

2. Los objetivos corporativos son los resultados globales que una organización esperaalcanzar en el desarrollo y operacionalización concreta de su misión y visión.

3. Por ser globales, estos objetivos deben cubrir e involucrar a toda la organización, por ello,deben tenerse en cuenta todas las áreas que integran a la empresa.

4. Dado su carácter macro, deben ser definidos dentro de la planeación corporativa y servirasí de marco de referencia de los objetivos funcionales.

5. Los objetivos corporativos; ya sean a corto, mediano o largo plazo deben ser medibles ycon posibilidad de evaluación, es decir, que debe ser posible aplicarles una auditoriamediante indicadores globales de gestión.

6. Los objetivos, dan dirección y señalan el camino.

·         Organigramas.

Un organigrama es la representación gráfica de la estructura de una empresa o cualquier otra organización. Representan las estructuras departamentales y, en algunos casos, las personas que las dirigen, hacen un esquema sobre las relaciones jerárquicas y competenciales de vigor en la organización.

 

El organigrama es un modelo abstracto y sistemático que permite obtener una idea uniforme y sintética de la estructura formal de una organización:

 

Desempeña un papel informativo.

Presenta todos los elementos de autoridad, los niveles de jerarquía y la relación entre ellos.

 

En el organigrama no se tiene que encontrar toda la información para conocer cómo es la estructura total de la empresa.

·         Manuales de procesos.

Un manual de procedimientos es el documento que contiene la descripción de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, o de dos ò mas de ellas.

 

El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación. Suelen contener información y ejemplos de formularios, autorizaciones o documentos necesarios, màquinas o equipo de oficina a utilizar y cualquier otro dato que pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa. En el se encuentra registrada y transmitida sin distorsión la información básica referente al funcionamiento de todas las unidades administrativas, facilita las labores de auditoria, la evaluación y control interno y su vigilancia, la conciencia en los empleados y en sus jefes de que el trabajo se està realizando o no adecuadamente. También el manual de procedimientos contiene una descripción precisa de como deben desarrollarse las actividades de cada empresa. Ha de ser un documento interno, del que se debe registrar y controlar las copias que de los mismos se realizan. A la hora de implantar, por ejemplo una ISO, ésta exige 4 procedimientos obligatorios como son:

 

·         Tratamiento de No Conformidades

·         Auditoría Interna

·         Sistema de Mejora

·         Control de la documentación.