Seguridad en equipos informáticos. IFCT0109. José Francisco Giménez Albacete

Чтение книги онлайн.

Читать онлайн книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete страница 6

Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete

Скачать книгу

      Las amenazas a las que está expuesto un sistema de información son muy diversas, por lo que, al menos en la fase inicial de la gestión de riesgos, conviene centrarse en las principales. Posteriormente, se podrá mejorar el modelo, aumentando el catálogo de amenazas. Para esa selección inicial, ayudará un amplio y polifacético conocimiento de la empresa: su organigrama, sus procesos productivos, su localización geográfica, su competencia, etc. Por ejemplo, si una empresa tiene dos sucursales, una en una zona de interior, y otra muy próxima al mar, para esta segunda sucursal, puede ser importante analizar el riesgo de exposición a un alto nivel de humedad relativa del aire.

      Para determinar las amenazas, o encontrar nuevas, ayudará saber que pueden clasificarse como:

      1 Amenazas naturales o artificiales.

      2 Amenazas debidas al entorno (ambiente), o debidas al hombre.

      3 Amenazas accidentales o intencionadas.

      A continuación, se expone un conjunto de amenazas frecuentes, extraído del catálogo de amenazas de MAGERIT, que no pretende ser exhaustivo, aunque probablemente cubrirá la mayoría de situaciones generales, así como algunos de los riesgos principales, y salvaguardas usuales.

       Desastres naturales

AmenazaRiesgos usualesSalvaguardas usuales
IncendiosQue el fuego acabe con recursos del sistemaProtección de las instalaciones frente a incendios
InundacionesQue el agua acabe con recursos del sistemaProtección de las instalaciones frente a inundaciones
Rayo, tormenta eléctricaDestrucción de sistemas electrónicosProtección de las instalaciones frente a descargas eléctricas

       De origen industrial

AmenazaRiesgos usualesSalvaguardas usuales
IncendiosQue el fuego acabe con recursos del sistemaProtección de las instalaciones frente a incendios
Inundaciones, escapesQue el agua acabe con recursos del sistemaProtección de las instalaciones frente a inundaciones
Otros desastres industriales: sobrecarga eléctrica, fluctuaciones eléctricasDestrucción de sistemas electrónicosProtección de las instalaciones frente a descargas eléctricas
Contaminación mecánica: vibraciones, polvo, suciedadDestrucción de sistemas electromecánicosMantenimiento preventivo de limpieza, y reposición de componentes electromecánicos
Avería de origen físico o lógico: fallos en los equipos, fallos en los programasParadas de sistemas y/o pérdida de trazabilidadDisponer de sistemas de funcionamiento redundante
Corte del suministro eléctricoParadas de sistemasSistemas de alimentación ininterrumpida
Condiciones inadecuadas de temperatura y humedadDestrucción de componentesSistemas de aire acondicionado, y alarma por exceso de temperatura y humedad
Fallo de servicios de comunicacionesParada de sistemaDisponer rutas de comunicación redundantes
Degradación de los soportes de almacenamientoParadas de sistemas y/o pérdida de trazabilidadEmpleo de soportes redundantes, y realización de copias de seguridad

       Errores y fallos no intencionados

AmenazaRiesgos usualesSalvaguardas usuales
Errores de los usuariosPérdida de informaciónCopias de seguridad, incluidos registros de transacciones para deshacer operaciones
Errores del administradorParada de sistema, ausencia de seguridad y trazabilidadDisociación de responsabilidades, para reducir daño de los errores
Errores de configuraciónParada de sistema, ausencia de seguridad y trazabilidadProcedimientos de reinstalación y configuración del sistema. Copias de seguridad
Deficiencias en la organización: cuando no está claro quién es responsable de hacer qué y cuándoParadas de sistemas, causadas por acciones descoordinadas u omisionesPolíticas de seguridad con establecimiento de responsables
Difusión de software dañino (virus, spyware, gusanos, troyanos, bombas lógicas, etc.)Parada de sistema, ausencia de seguridad y trazabilidadSoftware de eliminación de virus, y de eliminación de software malicioso. Procedimientos de reinstalación y configuración del sistema. Copias de seguridad.
Escapes de información: la información llega a quien no debePerdida completa de confidencialidadUso de técnicas de encriptación
Alteración de la información: alteración accidental de la informaciónPérdida completa de integridadSistemas de revisión y validación de transacciones (mediante totales, revisión por otra persona u otras vías).
Vulnerabilidades de los programas (defectos en el código que producen errores)Paradas del sistema y/o perdida de integridadEntornos de prueba y sistemas de revisión
Errores de mantenimiento o actualización de programas (software)Paradas del sistemaPlan de mantenimiento preventivo, para revisar fecha de actualización aplicada a las aplicaciones
Caída del sistema por agotamiento de recursosParadas del sistemaAplicaciones de monitorización de recursos disponibles con alarmas
Indisponibilidad del personal: ausencia accidental del puesto de trabajo por enfermedad, alteraciones de orden público, guerra, etc.Paradas del sistemaPolítica de seguridad con establecimiento de responsables, y designación de suplentes de responsables

       Ataques intencionados

AmenazaRiesgoSalvaguarda
Manipulación de la configuraciónParada de sistema, ausencia de seguridad y trazabilidadCopias impresas de procedimientos de reinstalación, y configuración del sistema
Suplantación de la identidad del usuarioPérdida completa de confidencialidad e integridadSistemas de autenticación fuertes, que incluyan medidas biométricas
Uso no previsto: típicamente en interés personal, juegos, etc.Paradas del sistemaImpedir ejecución de procesos no autorizados
Difusión de software dañino: virus, spyware, gusanos, troyanos, bombas lógicas, etc.Parada de sistema, ausencia de seguridad y trazabilidadSoftware de eliminación de virus y de eliminación de software malicioso. Procedimientos de reinstalación y configuración del sistema. Copias de seguridad.
Análisis de tráficoConocimiento de las pautas de actividad de la empresaAleatorización de las rutas de comunicaciones, y encapsulamiento de protocolos
RepudioPérdida de trazabilidad de las operacionesEmpleo de firmas digitales
Interceptación de información (escucha)Pérdida de confidencialidadEmpleo de técnicas de criptografía
Destrucción de la informaciónParadas de sistemaCopias de seguridad
Divulgación de la informaciónPérdida de confidencialidadEmpleo de técnicas de criptografía
Denegación de servicioParadas de sistemaPenalización a solicitudes recurrentes. Monitorización de recursos disponibles y alarma
Robo de equipos o soportesParadas de sistema y perdida de confidencialidadAlarmas antirrobo, sistemas de anclaje de equipos, técnicas de criptografía
Ataque destructivo (vandalismo, terrorismo, etc.)Paradas de sistemaCopias de seguridad fuera de las instalaciones, acuerdos de alquiler de equipos para casos de emergencia, copias impresas de procedimientos de reinstalación y configuración del sistema
Ingeniería socialParada de sistema, ausencia de seguridad y trazabilidadFormación,

Скачать книгу