02 Analisis de Riesgos

Análisis de Riesgos en los Sistemas
de Información: Identificación de
Vulnerabilidades y Amenazas
© ADR Infor SL
Indice
Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas 3
Introducción 3
Objetivos de la unidad 3
Introducción a los contenidos 3
Términos relacionados con la seguridad informática 4
Introducción al análisis de riesgos 8
Análisis de riesgos 8
Reducción del Riesgo: Mecanismos de Seguridad (Controles) 9
Vulnerabilidades del sistema 12
Tipos de Vulnerabilidades 12
Criterios de programación segura 14
Particularidades de los distintos tipos de código malicioso 16
Principales elementos del análisis de riesgos y sus modelos de relaciones 18
Metodologías cualitativas y cuantitativas de análisis de riesgos 21
Métodos Cualitativos 22
Métodos Cuantitativos 22
Identificación y valoración de los activos involucrados en el análisis de riesgos 23
El inventario de activos 25
Valoración de los activos 27
Identificación de las amenazas que pueden afectar a los activos 30
Naturaleza de las amenazas 32
Amenazas Físicas 34
Descripción de algunas amenazas físicas 36
Amenazas Lógicas 37
Algunas amenazas lógicas 38
Análisis e identificación de las vulnerabilidades existentes 40
Pensando como el enemigo 41
Pruebas de Penetración 42
Evaluación de vulnerabilidad 42
Establecimiento de una metodología 43
Herramientas de evaluación de vulnerabilidades 44
Resumen 46
Actividades prácticas 47
Recursos 48
Enlaces de Interés 48
Bibliografía 49
Glosario. 49
2/50
Análisis de Riesgos en los Sistemas de Información: Identificación de Vulnerabilidades y Amenazas
Análisis de Riesgos en los Sistemas de Información:

Identificación de Vulnerabilidades y Amenazas
Introducción
Objetivos de la unidad
Los alumnos y alumnas, al finalizar el curso habrán adquirido los conocimientos necesarios
para llevar a cabo un análisis de riesgos en la organización.
Más concretamente serán capaces de:
Identificar las fases del análisis de riesgos, describiendo el objetivo de cada una de
ellas.
Describir los términos asociados al análisis de riesgos (amenaza, vulnerabilidad,
impacto y contramedidas), estableciendo la relación existente entre ellos.
Explicar las diferencias entre vulnerabilidades y amenazas.
Enunciar las características de los principales tipos de vulnerabilidades y programas
maliciosos existentes, describiendo sus particularidades.
Describir el funcionamiento de una herramienta de análisis de vulnerabilidades,
indicando las principales técnicas empleadas y la fiabilidad de las mismas.
Vídeo: Descripción de la Unidad
Introducción a los contenidos

Esta es la primera unidad dedicada al Análisis de Riesgos en los sistemas de información. El Análisis de Riesgos
se enmarca dentro del área de la Seguridad Informática.
L a seguridad informática generalmente consiste en asegurar que los recursos del sistema de información
(material informático (seguridad física) o programas y datos (seguridad lógica)) de una organización sean utilizados
de la manera que se decidió y que la información que se considera importante no sea fácil de acceder por
cualquier persona que no se encuentre acreditada.
Podemos entender como seguridad un estado de cualquier sistema (informático o no) que nos indica que ese
sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de
seguridad en la informática es utópico porque no existe un sistema 100% seguro.
Para que un sistema se pueda definir como seguro debemos de dotar de cuatro características al mismo:
3/50
Integridad
La información no puede ser modificada por quien no está autorizado. Para ello se utilizan, entre otras, técnicas
de control de acceso.
Confidencialidad
La información solo debe ser legible para los autorizados. Para ello se utilizan, entre otras, técnicas de
encriptación.
Disponibilidad
Debe estar disponible cuando se necesita. Para ello se utilizan, entre otras, técnicas de alta disponibilidad.
Irrefutabilidad
También denominada No Rechazo o No Repudio. Que no se pueda negar la autoría de una acción realizada
sobre el sistema. Para ello se utilizan, entre otras, técnicas de generación de trazas.
Triada CIA (Confidentiality, Integrity, Availability)
En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet,
para no permitir que su información sea robada.
Términos relacionados con la seguridad informática
A continuación se definen algunos conceptos relacionados con la seguridad en los sistemas de información:
4/50
Activo
Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione
correctamente y alcance los objetivos propuestos. Son los elementos que la seguridad informática tiene como
objetivo proteger:
Información: Es el objeto de mayor valor para una organización. El objetivo de la seguridad informática
es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en
algún medio electrónico o físico.
Equipos que la soportan: Software, hardware y organización.
Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la
información.
El activo más crítico son los datos. El resto (hardware y programas) se puede reponer con
facilidad, pero recuperar los datos depende de que la organización tenga una buena política
de seguridad y sea capaz de reponerlos en el estado más próximo al momento en que se
produjo la pérdida.
Amenaza
Es un evento que puede desencadenar un incidente en la organización, produciendo, o pudiendo producir,

daños materiales o pérdidas inmateriales en sus activos.
Por ejemplo, un incendio en la sala de ordenadores.
Impacto
Consecuencia de la materialización de una amenaza. Las consecuencias son económicas, de reputación, de

responsabilidad civil o penal, etc.
Por ejemplo, como consecuencia de un error en un disco, se pierde información.
5/50
Riesgo
Posibilidad o probabilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la

Organización.
Las medidas de seguridad se aplicarán preferentemente sobre las amenazas con un alto
riesgo de ocurrencia, y/o con un alto impacto.
Vulnerabilidad
Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Por ejemplo, un sistema que no recibe actualizaciones de software.
Ataque
Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Por ejemplo, un ataque externo de un hacker.
6/50
Desastre o Contingencia
Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras

necesarias para la operación normal de un negocio.
Por ejemplo, un fallo de software que impide la conexión a una base de datos.
Control
Elemento de medida o de contención ante una amenaza.
Por ejemplo, un antivirus es un control frente a la amenaza de los virus.
Seguridad Lógica
Como ya hemos indicado, el activo más importante que se posee es la información y, por lo tanto, deben
existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los
cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y
procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas
autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe
estar prohibido" y esto es lo que debe hacer esta seguridad lógica.
7/50
Los objetivos para conseguirlo son:
Restringir el acceso (de personas de la organización y de las que no lo son) a los

programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al
cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión
entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de computo.
Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían
englobar en un mismo concepto. La diferencia estriba en que la Vulnerabilidad está ligada a
una Amenaza, y el Riesgo al Impacto.
Introducción al análisis de riesgos

Desde un punto de vista puramente funcional es mejor que un sistema realice su función de la manera más eficiente
posible. Pero para que dicho sistema sea viable, también debe ser seguro. De hecho, la seguridad debe ser
considerada como principal, como estratégico para la organización. Para poder crear una correcta estrategia de
seguridad debe haber dos pasos clave, que trabajan en conjunto, formando parte de una Política Global de
Seguridad o Estrategia de Seguridad.
Para poder crear una correcta estrategia de seguridad debe haber dos pasos clave, que trabajan en conjunto:
Análisis de riesgos
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus
vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el
impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.
8/50
El riesgo se puede calcular por la formula
riesgo = probabilidad * pérdida
Si la probabilidad es muy pequeña el riesgo es menor, pero si la probabilidad es casi uno, el

riesgo puede ser casi igual a la perdida total. Si por otro lado la pérdida es menor aunque la
probabilidad de que ocurra el evento sea muy grande tenemos un riesgo menor.
Por ejemplo,
1. El riesgo de perder un contrato por robo de información confidencial es igual a la
probabilidad de que ocurra el robo multiplicado por la perdida total en euros de no hacer el
contrato.
2. El riesgo de fraude en transacciones financieras es igual a la probabilidad de que ocurra el
fraude por la perdida en euros de que llegara a ocurrir ese fraude.
3. Si la probabilidad de que ocurra la de pérdida de una transacción de 300 euros es muy
grande, al usar criptografía débil, el riesgo se minimiza. Depende de la política de seguridad
que ese riesgo se asuma o no.
Reducción del Riesgo: Mecanismos de Seguridad (Controles)

Una vez planteada una política de seguridad, o sea decir cuanto vale la información (en un análisis de riesgo), decir
qué tanto pierdo si le ocurre algo a mi información o qué tanto se gano si está protegida, debemos de establecer
los mecanismos de seguridad (para que cumpliendo con la política de seguridad las perdidas sean las menores
posibles y que esto se transforme en ganancias, ya sean materiales o de imagen.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una
empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se
encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser
implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las
propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
9/50
Relación tríada CIA y controles
Como ya indicamos, los controles son un conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y
actitudes de la organización, lo que permite verificar si todo se realiza conforme a los programas adoptados,
ordenes impartidas y principios admitidos.
Los mecanismos de seguridad se dividen en tres grupos:
Prevención
Evitan desviaciones respecto a la política de seguridad. Son aquellos que reducen la frecuencia con que ocurren
las causas del riesgo, permitiendo cierto margen de violaciones
Ejemplo: Utilizar el cifrado en la transmisión de la información evita que un posible atacante

capture (y entienda) información en un sistema de red. Otro ejemplo serían los sistemas de
claves de acceso.
10/50
Detección
Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema. No
evitan que ocurran las causas del riesgo sino que sirven para detectar que han ocurrido. Son los mas
importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: la herramienta Snort para la detección de intrusiones de red. Otro ejemplo son los
procedimientos de validación.
Recuperación o Corrección
Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal
funcionamiento. Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede
resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles
correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.
Ejemplo: las copias de seguridad.
Dentro de este grupo de mecanismos hay un subgrupo llamado mecanismos de análisis forense cuyo
objetivo es, no solo devolver el sistema a su situación normal, sino averiguar también el alcance de la violación,
lo que ha hecho el intruso en el sistema y qué puerta ha utilizado para entrar en el sistema. De esta forma se
previenen posibles ataques posteriores.
De estos tres grupos de mecanismos es importante enfocarnos en los de prevención y

detección. Siempre será mucho menos lesivo y comprometedor para el sistema informático
evitar un ataque o detectar un intento de violación que no aplicar medidas de recuperación por
muy buenas y seguras que sean.
11/50
En resumen debemos de mencionar que no existe un sistema computerizado que

garantice al 100% la seguridad de la información, debido a la gran variedad de formas con
que se puede romper la seguridad.
Sin embargo una buena planificación de la estrategia para dar seguridad a la información
puede resultar desde la salvación de una organización hasta la obtención de grandes
ganancias directas en euros, o como ganancias indirectas mejorando la imagen y la seguridad
de la organización.
Uno de los objetivos principales de establecer una política de seguridad es el de reducir

al mínimo los riesgos, implementando adecuadamente las diferentes medidas de seguridad.
Vulnerabilidades del sistema
Tipos de Vulnerabilidades
Recordamos que hemos definido una vulnerabilidad como una debilidad de cualquier tipo que compromete la
seguridad del sistema informático. Muchas veces veréis que también en castellano se utiliza el término exploit, que
significa vulnerabilidad.
Las vulnerabilidades de los sistemas informáticos pueden estar causadas por:
Diseño ineficiente
Debilidad en el diseño de protocolos utilizados en las redes.

Políticas de seguridad deficientes o inexistentes.
Implementación errónea
Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso inadecuado
Mala configuración de los sistemas informáticos.

Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.
12/50
En base a si se conoce o no la causa que da lugar a la vulnerabilidad, se pueden clasificar como:
Vulnerabilidad de día 0
Un ataque de día-cero (en inglés zero-day attack o 0-day attack) es un ataque contra una aplicación o sistema
que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por
lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido
arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que
finalmente es publicado en foros públicos. Un ataque de día cero se considera uno de los más peligrosos
instrumentos de una guerra informática.
Se denomina Ventana de Vulnerabilidad al periodo de tiempo que transcurre entre que se publica una
amenaza y se aplican los parches que las solucionan. Normalmente estos parches son preparados por los
propios responsables del programa "defectuoso".
La ventana de vulnerabilidad que se emplea para virus y troyanos (entre otros) es la siguiente:
1. Publicación del ataque o exploit al mundo.

2. Detección y estudio del problema.
3. Desarrollo de una solución al mismo.
4. Publicación del parche (o firma del virus si procede), para evitar el exploit.
5. Distribución e instalación del parche en los sistemas de los usuarios y actualización de los antivirus.
La duración de los puntos 2 a 4 suele ser muy breve, especialmente en software comercial.
Sin embargo, el punto 5 suele ser el que más abre la ventana de vulnerabilidad. La no
actualización a tiempo del software o de los antivirus, causa que el tiempo en que el
sistema es vulnerable sea mayor.
El virus Viernes 13, detectado por primera vez el 13 de mayo de 1988, estaba programado
para actuar sólo los días Viernes 13. Casi inmediatamente se programó una vacuna que se
denominó Sábado 14. Sin embargo, el virus siguió operativo durante años.
Vulnerabilidades conocidas
Muchas veces los sistemas son atacados por contener bugs que les hacen vulnerables a ataques conocidos y
por tanto fácilmente evitables utilizando los controles adecuados. Nombramos algunos de ellos:
Ataque de desbordamiento de buffer Si un programa no controla la cantidad de datos que se copian

en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran
se almacenan en zonas de memoria adyacentes. En esta situación se puede aprovechar para ejecutar
código que nos dé privilegios de administrador.
13/50
Ataque de condición de carrera (race condition) Si varios procesos acceden al mismo tiempo a un
recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que
cambia su estado y puede obtener de esta forma un valor no esperado.
Ataque de Cross Site Scripting (XSS) Es una vulnerabilidad de las aplicaciones web, que permite
inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una
aplicación de esta vulnerabilidad.
Ataque de denegación del servicio La denegación de servicio hace que un servicio o recurso no esté
disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del
ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la
víctima.
En esta página de INCIBE (Instituto Nacional de CiberSeguridad) se tiene acceso a las bases d
e datos de vulnerabilidades conocidas, hechas públicas por los diferentes productores de
software y hardware.
Criterios de programación segura

Tratando de establecer elementos básicos que orienten criterios en la programación segura de aplicaciones, se
sugieren algunos principios del diseño seguro de aplicaciones que se enumeran y comentan a continuación:
Menor Privilegio
Este principio establece que un sujeto sólo debe dar a un objeto los privilegios que necesita para completar sus
tareas asignadas.
Economía y simplificación de mecanismos de seguridad
Este principio establece que los mecanismos de seguridad que se establezcan deben ser tan sencillos como
sea posible.
14/50
Configuraciones por defecto seguras
Este principio comenta que a menos que un sujeto haya otorgado acceso explícito a un objeto, éste no debería
tenerlo. Es decir, todo lo que no está estrictamente permitido es prohibido.
Mediación completa
Este principio afirma que todos los accesos a un objeto(s) deben ser verificados para asegurarse de que
cuentan con el permiso para hacerlo.
Diseño Abierto
Este principio establece que la seguridad de un mecanismo no debería depender del secreto o confidencialidad
de su diseño o implementación.
Privilegios Condicionados
Este principio dice que se deben mantener los privilegios necesarios en diferentes momentos, en diferentes
rutinas o programas. Es decir, los privilegios no deben ser estáticos para los programas o rutinas en el tiempo y
en ejecución.
Menor mecanismo común
Este principio comenta que deben existir el menor número de recursos compartidos entre sujetos u objetos.
Aceptación psicológica
Este principio comenta que el mecanismo de seguridad que se establezca para un objeto no debe sugerir
mayor dificultad a la que si el mecanismo no estuviese presente. En otras palabras, el mecanismo de seguridad
deber ser fácil de usar.
15/50
Fuente: GALVIN, P. 1998; BISHOP, M. 2003, cap.13
Estos principios básicos enunciados, más que sugerir elementos novedosos a la programación de aplicaciones,
nos recuerda que son prácticas generales que intuitivamente manejamos, pero que en el momento de la
construcción de aplicaciones generalmente se dejan marginados. Por tanto, los principios de un diseño seguro, son
directrices generales que deben materializarse en prácticas de programación que deberían ser parte de las
formalidades del desarrollo del software mismo, donde la industria y la academia hacen parte fundamental de la
misma disciplina.
Cuando estas mínimas sugerencias de diseño seguro no se consideran en la construcción de

aplicaciones, la probabilidad de que surjan problemas de seguridad en el futuro es alta, dado
que se compromete no solamente la funcionalidad misma de la aplicación sino las condiciones
de su elaboración y ambiente de ejecución que puede socavar la confianza de los clientes
frente a fallas donde se comprometa la integridad de la información de la organización.
Particularidades de los distintos tipos de código malicioso

Existe una cierta confusión en lo que a la clasificación de los distintos códigos maliciosos se refiere. No es raro ver
cómo se utilizan términos tales como “virus” o “gusano” indistintamente. Sin embargo, cada uno de estos nombres
responde a un tipo de código malicioso en concreto que posee características propias.
En realidad, todos los códigos maliciosos pueden englobarse dentro de un concepto mucho más amplio
denominado malware, y que puede definirse como cualquier programa, documento o mensaje susceptible de
causar perjuicios a los usuarios de sistemas informáticos. Además, los códigos maliciosos son cada vez más
sofisticados sobre todo en lo que a formas de propagación se refiere. Existen códigos maliciosos que se
distribuyen directamente a través de Internet.
16/50
Así, dentro del malware se encuentran los llamados genéricamente virus. Se trata del tipo de código malicioso
más abundante y que, por lo tanto, suele protagonizar los incidentes más graves. Sin embargo, en realidad, el
conjunto de los virus está compuesto por tres subgrupos: virus, gusanos y troyanos. Esta clasificación no es estanca
ya que existen tipos de códigos maliciosos que reúnen características de más de un grupo. Un claro ejemplo lo
constituyen los gusanos-troyanos que, como su nombre indica, incorporan características de ambos grupos.
Virus
L o s virus son programas informáticos capaces de multiplicarse mediante la infección de otros programas
mayores e intentan permanecer ocultos en el sistema hasta darse a conocer. Pueden introducirse en los
ordenadores de formas muy diversas, produciendo efectos molestos, nocivos e incluso destructivos e
irreparables.
Gusano
Un gusano es un programa similar a un virus que, a diferencia de éste, solamente realiza copias de sí mismo, o
de partes de él. Así, no necesita infectar otros archivos para poder multiplicarse.
Troyanos
Los troyanos son programas que llegan al ordenador por cualquier medio, se introducen en él, se instalan y
realizan determinadas acciones para tomar el control del sistema afectado. La historia mitológica “El caballo de
Troya” ha inspirado su nombre.
Los programas que conocemos como “antivirus” tienen como misión principal detectar y eliminar los tipos de
códigos maliciosos antes mencionados, ya que, en la práctica, son los que pueden causar daños más importantes
a los sistemas. También este término no está del todo bien utilizado, puesto que los sistemas de detección de
malware suelen hacer algo más que proteger de los virus, como indicaría el término antivirus.
Debido a ello, los programas antivirus deben evolucionar al mismo tiempo que lo hacen las técnicas para la
creación de códigos maliciosos. Es fundamental que el antivirus que se tenga instalado tenga actualizaciones
diarias del fichero de firmas de virus y del propio motor del antivirus cada vez que las circunstancias lo
requieran. Asimismo, deben tenerse en cuenta las nuevas formas de propagación de los virus, o la posibilidad de
ataques por parte de hackers destinados a introducir algún tipo de código malicioso en el ordenador. Para ello,
algunos antivirus incorporan un firewall personal de última generación que se actualiza de forma diaria y automática,
por lo que está siempre preparado contra cualquier amenaza procedente de Internet.
Existe una amplia terminología relacionada con el malware: virus, hoax, troyanos, adware,
spyware... Los términos, en todo caso, se utilizan con diferente significado en diferentes
contextos, e incluso la nomenclatura y clasificación varía. De ahí que nos hayamos decantado
por una clasificación muy básica.
En este enlace puedes tener acceso a un artículo que lleva a cabo una clasificación mucho más
detallada, para ampliar información.
17/50
Principales elementos del análisis de riesgos y sus

modelos de relaciones
De manera cuantitativa, el riesgo es una medición de las posibilidades de incumplimiento del objetivo planteado, y
en lo relacionado con tecnología, generalmente determina el grado de exposición a la ocurrencia de una pérdida
(por ejemplo el riesgo de perder datos debido a avería de disco, virus informáticos, etc.).
Como ya hemos definido, el análisis de riesgos informáticos es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenaz as a los que se encuentran expuestos así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para
aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una
empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se
encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser
implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades
de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
La Organización Internacional por la Normalización (ISO) define el riesgo tecnológico (Guías

para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:
“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de
un activo o un grupo de activos, generándole perdidas o daños”.
A continuación se incluye un esquema con la relación existente entre los diferentes elementos que intervienen
en el Análisis de Riesgos, así como sus relaciones, en base a la definición anterior.
Recordamos la definición de cada uno de los elementos involucrados en un análisis de riesgos:
18/50
Activo
Es un objeto o recurso de valor empleado en una empresa u organización. En nuestro caso son aquellos
recursos relacionados con el sistema de información o relacionado con éste, necesarios para el correcto
funcionamiento de la organización.
Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, la imagen
corporativa, el conocimiento, los edificios y recursos humanos.
Amenaza
Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo
pérdidas o daños potenciales en sus activos.
Comúnmente se indican como amenazas los fallos de programación, los virus, uso
inadecuado de software, los desastres ambientales como terremotos o inundaciones,
accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden
ser de carácter físico (una inundación) o lógico (un acceso no autorizado a un sistema).
Vulnerabilidad
Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. Las
vulnerabilidades son inherentes a los activos que facilitan que las amenazas se materialicen y llevan a esos
activos a ser vulnerables. Por supuesto, la existencia de vulnerabilidades es crucial para la materialización de
una amenaza; dicho de otra forma, las amenazas siempre están presentes, pero sin la identificación de una
vulnerabilidad no podrán ocasionar ningún impacto.
Entre otras, podríamos citar la falta de conocimiento del usuario, tecnologías

inadecuadamente probadas, transmisión de datos por redes públicas, etc. Una
vulnerabilidad común es contar con un antivirus no actualizado, lo cual permitirá al virus
actuar y ocasionar daños. Si el antivirus estuviese actualizado, la amenaza (virus), si bien
potencialmente seguiría existiendo, no podría materializarse, ni por lo tanto, crear daño
alguno.
19/50
Riesgo
Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o
sistemas de una organización.
Impacto
Finalmente, y como el segundo factor para el cálculo del riesgo, tenemos el impacto, que son las
consecuencias de la ocurrencia de una amenaza.
Simplificando, algunas de ellas son las pérdidas económicas, la pérdida de confianza

(imagen de marca), la reducción de la eficiencia (productividad), el daño a las personas o el
perjuicio para el medio ambiente.
Control
Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades.
Por ejemplo, las reglas de un firewall, una política de backup o la formación que se da a los
empleados y empleadas para hacer un uso seguro de los sistemas.
Por lo general, el análisis de riesgos se lleva a cabo basándose en una metodología. La metodología nos indica
las pautas a seguir para llevar a cabo este análisis de manera ordenada y eficiente, para incurrir en el mínimo error.
Más tarde describiremos alguna metodología estandarizada, pero por regla general, cualquier metodología para
llevar a cabo un análisis de riesgos en un sistema informático, contemplaría las siguientes fases o similares:
20/50
Elementos del Análisis de Riesgos
Crucigrama Conceptos Análisis de Riesgos
Metodologías cualitativas y cuantitativas de análisis de

riesgos
Analizando la fórmula anterior de cálculo del Riesgo Total, vemos que uno de los factores determinantes del nivel de
riesgo es la probabilidad. La vulnerabilidad y la probabilidad vienen a reflejar aspectos muy dependientes el uno
del otro: las vulnerabilidades de un activo determinan al fin y al cabo la probabilidad de la materialización de una
amenaza.
Es por ello que dependiendo de la metodología, podamos encontrar que se utiliza el término “probabilidad” o
“vulnerabilidad”. La probabilidad de una ocurrencia puede determinarse de manera cuantitativa o
cualitativa, pero siempre considerando que la valoración que realicemos no debe contemplar la existencia de
ninguna acción paliativa (control).
Dicho de otra forma, debe considerarse en cada caso qué posibilidades existen que la
amenaza se materialice, independientemente de los controles que existan para contrarrestarla.
Por ejemplo, el riesgo de incendio en un CPD debe considerarse sin tener en cuenta la
existencia de posibles sensores de temperatura.
21/50
Para la cuantificación, existen amenazas, como por ejemplo incendios, de las que se dispone de información
suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su
probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la
probabilidad, como por ejemplo el acceso no autorizado a datos, dónde se hacen estimaciones sobre la base de
conocimiento o experiencia previa. En este caso, para el personal interno del Centro de Proceso de Datos (CPD),
la probabilidad puede ser del 70%, mientras que para el personal de la organización externo al CPD del 45%, y
para personas externa el 20%.
Métodos Cualitativos
Es el método de análisis de riesgos utilizado cuando el nivel de riesgo sea bajo y no justifica el tiempo y los
recursos necesarios para hacer un análisis completo, o bien porque los datos numéricos son inadecuados para un
análisis detallado del riesgo global. Son métodos que se basan en la experiencia y en la puesta en común de ideas.
Se caracterizan por no recurrir a cálculos numéricos. Pueden ser métodos comparativos y métodos generalizados.
Los métodos cualitativos incluyen:
Cuestionario y entrevistas estructuradas, dirigidas a usuarios o administradores del sistema.

Juicio de especialistas y expertos (Por ejemplo, la Técnica Delphi).
Evaluación de la Frecuencia de Ocurrencia: Introducen una valoración cuantitativa respecto a las
frecuencias de ocurrencia de un determinado suceso.
Métodos comparativos: Utilizan técnicas obtenidas de la experiencia adquirida en equipos e
instalaciones similares existentes.
Listas de comprobación o “Safety check lists”.
Análisis histórico de incidentes.
El resultado será una clasificación en categorías como alto, medio o bajo, o descripciones más detalladas de la
probabilidad y la consecuencia. Estas clasificaciones se muestran en relación con una escala apropiada para
calcular el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas
interpretaciones de los resultados del cálculo.
La siguiente imagen muestra un ejemplo de una posible clasificación cualitativa del riesgo.
Tabla para el cálculo de la probabilidad
Métodos Cuantitativos
22/50
Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes
riesgos identificados, es decir, calcular el nivel de riesgo del proyecto.
Los métodos cuantitativos incluyen:
Análisis de probabilidad.
Análisis de consecuencias.
Simulación computacional.
Identificación y valoración de los activos involucrados en

el análisis de riesgos
Otro de los aspectos que debe abordarse en un Análisis de Riesgo es cómo llevar a cabo la elaboración de un
inventario de activos que recoja los principales activos de información de la organización, y cómo deben valorarse
esos activos en función de su relevancia para la misma y del impacto que ocasionaría un fallo de seguridad en
ellos.
Activos de información Son ficheros y bases de datos, contratos y acuerdos, documentación del sistema,
manuales de los usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipo
de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo
calefacción, iluminación, energía y aire acondicionado y las personas, que son al fin y al cabo las que en última
instancia generan, transmiten y destruyen información, es decir dentro de un organización se han de considerar
todos los tipos de activos de información.
La siguiente imagen muestra los elementos de la organización que forman parte de los activos
de información relevantes para un análisis de riesgos
Activos de Información
23/50
Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir diferentes categorías de los
mismos:
Datos
Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en la
organización.
Aplicaciones
El software que se utiliza para la gestión de la información.
Servicios
Aquí se consideran tanto los servicios internos, aquellos que una parte de la organización suministra a otra (por
ejemplo la gestión administrativa), como los externos, aquellos que la organización suministra a clientes y
usuarios (por ejemplo la comercialización de productos).
Tecnología
Los equipos utilizados para gestionar la información y las comunicaciones (servidores, PCs, teléfonos,
impresoras, routers, cableado, etc.)
Instalaciones
Lugares en los que se alojan los sistemas de información (oficinas, edificios, vehículos, etc.)
Equipamiento auxiliar
En este tipo entrarían a formar parte todos aquellos activos que dan soporte a los sistemas de información y que
no se hallan en ninguno de los tipos anteriormente definidos (equipos de destrucción de datos, equipos de
climatización, etc.)
24/50
Personal
En esta categoría se encuentra tanto la plantilla propia de la organización, como el personal subcontratado, los
clientes, usuarios y, en general, todos aquellos que tengan acceso de una manera u otra a los activos de
información de la organización.
Cada uno de los activos que se identifiquen debe contar con un responsable, que será su propietario. Esta persona
se hará cargo de mantener la seguridad del activo, aunque no necesariamente será la que gestione el día a día del
mismo.
Por ejemplo, puede existir un activo que sea la base de clientes, cuyo propietario sea el
Director Comercial, sin embargo serán los comerciales de la organización los usuarios del
mismo y el responsable de sistemas el encargado del mantenimiento de la base de datos. Pero
el propietario decide quién accede y quién no a la información, si es necesario aplicarle alguna
medida de seguridad o existe algún riesgo que deba ser tenido en cuenta, si le aplica la LOPD
y por tanto deben implantarse las medidas de seguridad exigidas por la Ley, etc.
El inventario de activos
El inventario de activos que se va a utilizar para la gestión de la seguridad no debería duplicar otros inventarios,
pero sí que debe recoger los activos más importantes e identificarlos de manera clara y sin ambigüedades.
La siguiente imagen muestra las posibles propiedades de los valores que se pueden
almacenar en el inventario.
Inventario de Activos
El inventario de activos es la base para la gestión de los mismos, ya que tiene que incluir toda la información
necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. Esta información como
mínimo es:
25/50
Identificación del activo
Un código para ordenar y localizar los activos.
Tipo de activo
A qué categoría de las anteriormente mencionadas pertenece el activo.
Descripción
Una breve descripción del activo para identificarlo sin ambigüedades.
Propietario
Quién es la persona a cargo del activo.
Localización
Dónde está físicamente el activo. En el caso de información en formato electrónico, en qué equipo se encuentra.
A la hora de recoger la información de los activos, podemos valernos de tablas como esta:
26/50
El inventario de activos no es recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el
nivel de registro o de elemento de un equipo informático no es probable que vaya a proporcionar información
relevante en cuanto a las amenazas y los riesgos a los que debe hacer frente la organización y además complicará
enormemente la realización del análisis de riesgos, ya que cuantos más activos haya más laborioso será el mismo.
El inventario deberá recoger los activos que sean realmente significativos para la organización, agrupando
aquellos que, por ser similares, tenga sentido hacerlo.
Por ejemplo, si hay treinta PCs de parecidas características técnicas y en la misma ubicación
física, pueden agruparse en un único activo, denominado por ejemplo “equipo informático”. En
el caso de que hubiera veinte PCs y diez portátiles, si los portátiles no salieran nunca y los
treinta equipos permanecen siempre en la misma ubicación, también se podría asumir que
constituyen un único activo, pero si los portátiles se utilizan fuera de las instalaciones de la
organización, ya no se podrían agrupar los treinta equipos, ya que las circunstancias en las que
se utilizarían los equipos son distintas, por lo que habría que distinguir dos activos, por ejemplo
“Equipo informático fijo” para los PCs y “Equipo informático móvil” para los portátiles.
En algunos casos, la complejidad de la organización, de sus procesos o de su contexto, puede hacer necesario el
desarrollar un árbol de dependencias entre activos. El concepto es que algunos activos dependen de otros, en
uno o más parámetros de seguridad. Identificar y documentar estas dependencias constituye un árbol de
dependencias, que dará una idea más exacta del valor de cada activo.
Por ejemplo, una aplicación alojada en un servidor, depende este servidor para ejecutarse,
para estar disponible. Si el servidor tiene una avería o un error de configuración, la aplicación
podría ver afectada su disponibilidad. Por lo tanto el valor del servidor puede considerarse que
sea no sólo el que tiene en sí mismo, sino también el que tiene por permitir el correcto
funcionamiento de la aplicación.
Valoración de los activos

Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay que estimar qué valor
tienen para la organización, cual es su importancia para la misma.
Para calcular este valor, se considera cual puede ser el daño que puede suponer para la organización que un activo
resulte dañado en cuanto a su disponibilidad, integridad y confidencialidad.
Esta valoración se hará de acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible
valorar económicamente los activos, se utiliza la escala cuantitativa. En la mayoría de los casos, no es posible o va
a suponer un esfuerzo excesivo, por lo que utilizan escalas cualitativas como por ejemplo: bajo, medio, alto o bien
un rango numérico, por ejemplo de 0 a 10.
Con independencia de la escala utilizada, los aspectos a considerar pueden ser los daños como resultado de:
Violación de legislación aplicable.

Reducción del rendimiento de la actividad.
Efecto negativo en la reputación.
Pérdidas económicas.
Trastornos en el negocio.
27/50
La valoración debe ser lo más objetiva posible, por lo que en el proceso deben estar involucradas todas las áreas
de la organización, aunque no participen en otras partes del proyecto y de esta manera obtener una imagen realista
de los activos de la organización.
Es útil definir con anterioridad unos parámetros para que todos los participantes valoren de acuerdo a unos
criterios comunes, y se obtengan valores coherentes. Un ejemplo de la definición de estos parámetros podría ser la
siguiente:
Disponibilidad
Para valorar este criterio debe responderse a la pregunta de cuál sería la importancia o el trastorno que tendría
el que el activo no estuviera disponible. Si consideramos como ejemplo una escala de 0 a 3 se podría valorar
como sigue:
VALOR CRITERIO
0 No aplica / No es relevante
1 Debe estar disponible al menos el 10% del tiempo
Por ejemplo, la disponibilidad de un servidor central, sería de 3 con estos criterios.
Integridad
Para valorar este criterio la pregunta a responder será qué importancia tendría que el activo fuera alterado sin
autorización ni control. Una posible escala es:
28/50
VALOR CRITERIO
1 No es relevante los errores que tenga o la información que falte
2 Tiene que estar correcto y completo al menos en un 50%
3 Tiene que estar correcto y completo al menos en un 95%
Por ejemplo, que en el servidor central fueran modificadas, por personal no autorizado, las
cuentas de usuario de los demás departamentos. En este caso el valor sería 3.
Confidencialidad
En este caso la pregunta a responder para ponderar adecuadamente este criterio será cual es la importancia
que tendría que al activo se accediera de manera no autorizada. La escala en este caso podría ser:
VALOR CRITERIO
1 Daños muy bajos, el incidente no trascendería del área afectada
2 Serían relevantes, el incidente implicaría a otras áreas
3 Los daños serían catastróficos, la reputación y la imagen de la organización se verían

comprometidas
Por ejemplo, dependiendo de la organización y su contexto, el valor del servidor podría ser
incluso 3 si la dependencia de esa máquina es muy grande y el simple acceso físico al
servidor sería un trastorno para la organización.
29/50
También debe decidirse cómo se va a calcular el valor total de los activos, bien como una suma de los
valores que se han asignado a cada uno de los parámetros valorados, bien el mayor de dichos valores, la
media de los mismos, etc.
Los criterios para medir el valor del activo deben ser claros, fáciles de comprender por
todos los participantes en la valoración y homogéneos, para que se puedan comparar los
valores al final del proceso. De esta manera se sabrá cuales son los principales activos de
la organización, y por lo tanto aquellos que necesitan de una particular atención.
La valoración de los activos deben realizarla un grupo de personas que sean lo suficientemente representativas
como para aportar entre todos una visión razonablemente objetiva de la organización. Por supuesto deben ser
personas que conozcan bien la organización. Si se van a hacer las valoraciones mediante reuniones de trabajo, el
grupo no debería ser excesivamente numeroso para que las reuniones no se alarguen demasiado. Si se van a
utilizar cuestionarios o entrevistas, se puede involucrar a más personas, siempre teniendo en cuenta el coste
asociado a ello.
Identificación de las amenazas que pueden afectar a los

activos
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la
información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que
pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección
posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de
redes- (en el caso de las comunicaciones).
Como ya indicamos con anterioridad, una amenaza es un evento que puede causar un incidente de seguridad en
una empresa u organización produciendo pérdidas o daños potenciales en sus activos. Estas amenazas, tanto
físicas como lógicas, son materializadas (llevadas a cabo) básicamente por: personas, programas específicos o
catástrofes naturales.
La mayor parte de los ataques a los sistemas informáticos son provocados, intencionadamente o no, por las
personas. En general lo que se busca es conseguir un nivel de privilegio en el sistema que les permita realizar
acciones sobre el sistema no autorizadas. Podemos clasificar las personas 'atacantes' en dos grupos:
Activos
Su objetivo es hacer daño de alguna forma. Eliminar información, modificar o sustraerla para su provecho.
Pasivos
Su objetivo es curiosear en el sistema.
Estos fenómenos pueden ser causados por:
30/50
Un operador
Causa del mayor problema ligado a la seguridad de un sistema informático (por que no le importa, no se da
cuenta o a propósito).
Programas maliciosos
Programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por
inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa
espía o Spyware.
Un intruso
Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker,
defacer, script kiddie o Script boy, viruxer, etc.)
Un siniestro (robo, incendio, por agua)
Una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos
El personal interno de Sistemas
Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad
informática.
Podemos tener varios criterios de agrupación de las amenazas, como son:
Origen de las amenazas
Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc.

Amenazas de agentes externos: virus informáticos, ataques de una organización criminal, sabotajes
terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc.
Amenazas de agentes internos: empleados descuidados con una formación inadecuada o
descontentos, errores en la utilización de las herramientas y recursos del sistema, etc.
31/50
Intencionalidad de las amenazas
Accidentes: averías del hardware y fallos del software, incendio, inundación, etc.
Errores: errores de utilización, de explotación, de ejecución de procedimientos, etc.
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc.
Naturaleza de las amenazas

En un sistema de información, los datos fluyen al ser procesados. Algunas veces se transmiten entre dos entidades
de tratamiento de la información, o también se mueven para ser almacenados. El flujo normal de la información es
el siguiente:
Flujo normal de la información, del emisor (E) al receptor (R)
Se garantiza la seguridad de la información si se cumple lo siguiente:
Confidencialidad
Nadie no autorizado accede a la información.
Integridad
Los datos enviados no se modifican en el camino.
Disponibilidad
La recepción y acceso es correcto.
El momento en que la información se transmite es cuando más amenazada se encuentra. Existen diferentes
amenazas que la información puede sufrir, atendiendo al factor de seguridad que comprometen:
Intercepción
Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos. Su detección
es difícil, ya que no siempre deja huellas.
32/50
Se garantiza:
Integridad.
Disponibilidad.
No se garantiza:
Confidencialidad: Es posible que alguien no autorizado

acceda a la información.
- Copias ilícitas de programas.

- Escucha en línea de datos.
Modificación
Acceso no autorizado que cambia el entorno para su beneficio. Su detección es difícil, según circunstancias.
Se garantiza:
Disponibilidad: la recepción es correcta.
No se garantiza:
Integridad: Los datos enviados pueden ser

modificados en el camino.
Confidencialidad: Alguien no autorizado accede a la
información.
- Modificación de bases de datos

- Modificación de elementos del HW
Interrupción
Puede provocar que un objeto del sistema se pierda, quede no utilizable o no disponible. La detección es
inmediata.
33/50
Se garantiza:
Confidencialidad: nadie no autorizado accede a la

información.
Integridad: los datos enviados no se modifican en el
camino.
No se garantiza:
Disponibilidad: puede que la recepción no sea

correcta.
- Destrucción del hardware.

- Borrado de programas, datos.
- Fallos en el sistema operativo
Fabricación
Puede considerarse como un caso concreto de modificación ya que se consigue un objeto similar al atacado de
forma que no resulte sencillo distinguir entre objeto original y el fabricado. Su detección es difícil (Delitos de
falsificación).
En este caso se garantiza:
Confidencialidad: Nadie no autorizado accede a la

información.
Integridad: Los datos enviados no se modifican en
el camino.
Disponibilidad: La recepción es correcta.
- Añadir transacciones en red

- Añadir registros en base de datos
Amenazas Físicas
Dentro de las amenazas físicas podemos englobar cualquier error o daño en el hardware que se puede
presentar en cualquier momento.
34/50
Por ejemplo, daños en discos duros, en los procesadores, errores de funcionamiento de la

memoria, etc. Todos ellos hacen que la información o no esté accesible o no sea fiable.
Otro tipo de amenazas físicas son las catástrofes naturales. En estos casos en los que es la propia Naturaleza la
que ha provocado el desastre de seguridad, no por ello hay que descuidarlo e intentar prever al máximo este tipo
de situaciones.
Por ejemplo hay zonas geográficas del planeta en las que las probabilidades de sufrir
terremotos, huracanes, inundaciones, etc, son mucho mas elevadas.
Hay otro tipo de catástrofes que se conocen como de riesgo poco probable. Dentro de este grupo tenemos los
ataques nucleares, impactos de meteoritos, etc. y que, aunque se sabe que están ahí, las probabilidades de que se
desencadenen son muy bajas y en principio no se toman medidas contra ellos.
Ya hemos explicado el concepto de amenaza física. Vamos a conocer ahora cuáles son las principales amenazas
físicas de un sistema informático.
Acceso Físico
Hay que tener en cuenta que cuando existe acceso físico a un recurso ya no existe seguridad sobre él. Supone
entonces un gran riesgo y probablemente con un impacto muy alto.
A menudo se descuida este tipo de seguridad.
El ejemplo típico de este tipo es el de una organización que dispone de tomas de red que no
están controladas, son libres.
Radiaciones
Sabemos que cualquier aparato eléctrico emite radiaciones electromagnéticas y que dichas radiaciones se
pueden capturar y reproducir, si se dispone del equipamiento adecuado.
Por ejemplo, un posible atacante podría 'escuchar' los datos que circulan por el cable
telefónico.
Es un problema que hoy día con las redes wifi desprotegidas, por ejemplo, vuelve a estar vigente.
35/50
Desastres Naturales
Respecto a terremotos el riesgo es reducido en nuestro entorno, ya que España no es una zona sísmica muy
activa. Pero son fenómenos naturales que si se produjeran tendrían un gran impacto y no solo en términos de
sistemas informáticos, sino en general para la sociedad.
Siempre hay que tener en cuenta las características de cada zona en particular. Las posibilidades de que ocurra
una inundación no son las mismas en todas las zonas de España. Hay que conocer bien el entorno en el que
están físicamente los sistemas informáticos.
Desastres del entorno
Dentro de este grupo estarían incluidos sucesos que, sin llegar a ser desastres naturales, pueden tener un
impacto igual de importante si no se disponen de las medidas de control listas y operativas.
Puede ocurrir un incendio o un apagón y no tener bien definidas las medidas a tomar en estas situaciones o
simplemente no tener operativo el SAI que debería responder de forma inmediata al corte de suministro
eléctrico.
Descripción de algunas amenazas físicas
Veamos algunas amenazas físicas a las que se puede ver sometido un CPD y alguna sugerencia para evitar este
tipo de riesgo.
Por acciones naturales
Incendio, inundación, condiciones climatológicas, señales de radar, instalaciones eléctricas, ergometría, …
Por acciones hostiles
Robo, fraude, sabotaje,...
Por control de accesos
Utilización de guardias, utilización de detectores de metales, utilización de sistemas biométricos, seguridad con
animales, protección electrónica,...
Como se puede comprobar, evaluar y controlar permanentemente la seguridad física del edificio que alberga el
CPD es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
Disminuir siniestros.
36/50
Trabajar mejor, manteniendo la sensación de seguridad.

Descartar falsas hipótesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
Las distintas alternativas enumeradas son suficientes para conocer en todo momento el estado del medio en el que
se trabaja y así tomar decisiones en base a la información ofrecida por los medios de control adecuados. Estas
decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de
evacuar el edificio en caso de accidentes.
Amenazas Lógicas
El punto más débil de un sistema informático son las personas relacionadas en mayor o menor medida con él.
Puede ser inexperiencia o falta de preparación, o sin llegar a ataques intencionados propiamente, simplemente
sucesos accidentales. Pero que, en cualquier caso, hay que prevenir.
Entre algunos de los ataques potenciales que pueden ser causados por estas personas, encontramos:
Ingeniería social
Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no
harían.
Shoulder Surfing
Consiste en "espiar" físicamente a los usuarios para obtener generalmente claves de acceso al sistema.
Masquerading
Consiste en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno.
Basureo
Consiste en obtener información dejada en o alrededor de un sistema informático tras la ejecución de un trabajo.
Actos delictivos
Son actos tipificados claramente como delitos por las leyes, como el chantaje, el soborno o la amenaza.
Atacante interno
La mayor amenaza procede de personas que han trabajado o trabajan con los sistemas. Estos posibles
atacantes internos deben disponer de los privilegios mínimos, conocimiento parcial, rotación de funciones y
separación de funciones, etc.
37/50
Atacante externo
Suplanta la identidad de un usuario legítimo. Si un atacante externo consigue penetrar en el sistema, ha

recorrido el 80% del camino hasta conseguir un control total de un recurso.
Algunas amenazas lógicas
Las amenazas lógicas comprenden una serie de programas que pueden dañar el sistema informático. Y estos
programas han sido creados:
De forma intencionada para hacer daño: software malicioso o malware (malicious software)
Por error: bugs o agujeros.
Enumeramos algunas de las amenazas con las que nos podemos encontrar:
Software incorrecto
Son errores de programación (bugs) y los programas utilizados para aprovechar uno de estos fallos y atacar al
sistema son los exploits. Es la amenaza más habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin
tener grandes conocimientos.
Exploits
Son los programas que aprovechan una vulnerabilidad del sistema. Son específicos de cada sistema operativo,
de la configuración del sistema y del tipo de red en la que se encuentren. Puede haber exploits diferentes en
función del tipo de vulnerabilidad.
Herramientas de seguridad
Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso puede utilizarlas para detectar
esos mismos fallos y aprovechar para atacar el sistema. Herramientas como Nessus o Satan pueden ser útiles
pero también peligrosas si son utilizadas por crackers buscando información sobre las vulnerabilidades de un
host o de una red completa.
Puertas traseras
Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos' en los sistemas de autenticación
de la aplicación. Estos atajos se llaman puertas traseras, y con ellos se consigue mayor velocidad a la hora de
detectar y depurar fallos. Si estas puertas traseras, una vez la aplicación ha sido finalizada, no se destruyen, se
está dejando abierta una puerta de entrada rápida.
38/50
Bombas lógicas
Son partes de código que no se ejecutan hasta que se cumple una condición. Al activarse, la función que
realizan no está relacionada con el programa, su objetivo es es completamente diferente.
Virus
Secuencia de código que se incluye en un archivo ejecutable (llamado huésped), y cuando el archivo se ejecuta,
el virus también se ejecuta, propagándose a otros programas.
Gusanos
Programa capaz de ejecutarse y propagarse por sí mismo a través de redes, y puede llevar virus o aprovechar
bugs de los sistemas a los que conecta para dañarlos.
Caballos de Troya
Los caballos de Troya son instrucciones incluidas en un programa que simulan realizar tareas que se esperan
de ellas, pero en realidad ejecutan funciones con el objetivo de ocultar la presencia de un atacante o para
asegurarse la entrada en caso de ser descubierto.
Spyware
Programas espía que recopilan información sobre una persona o una organización sin su conocimiento. Esta
información luego puede ser cedida o vendida a empresas publicitarias. Pueden recopilar información del
teclado de la víctima pudiendo así conocer contraseña o nº de cuentas bancarias o pines.
Adware
Programas que abren ventanas emergentes mostrando publicidad de productos y servicios. Se suele utilizar
para subvencionar la aplicación y que el usuario pueda bajarla gratis u obtener un descuento. Normalmente el
usuario es consciente de ello y da su permiso.
39/50
Spoofing
Técnicas de suplantación de identidad con fines dudosos.
Phishing
Intenta conseguir información confidencial de forma fraudulenta (conseguir contraseñas o pines bancarios)
haciendo una suplantación de identidad. Para ello el estafador se hace pasar por una persona o empresa de la
confianza del usuario mediante un correo electrónico oficial o mensajería instantánea, y de esta forma conseguir
la información.
Spam
Recepción de mensajes no solicitados. Se suele utilizar esta técnica en los correos electrónicos, mensajería
instantánea y mensajes a móviles.
Programas conejo o bacterias
Programas que no hacen nada, solo se reproducen rápidamente hasta que el número de copias acaba con los
recursos del sistema (memoria, procesador, disco, etc.).
Técnicas salami
Robo automatizado de pequeñas cantidades dinero de una gran cantidad origen. Es muy difícil su detección y
se suelen utilizar para atacar en sistemas bancarios.
Análisis e identificación de las vulnerabilidades existentes

Con el tiempo suficiente, los recursos y la motivación, un intruso puede violar casi cualquier sistema. Al final del día,
todos los procedimientos de seguridad y la tecnología disponible actualmente no pueden garantizar que sus
sistemas estén seguros de un ataque. Los enrutadores lo pueden ayudar a asegurar sus puertas de enlace
(gateways) a Internet. Los cortafuegos (firewalls) le permiten asegurar el borde de su red. Las redes privadas
virtuales pueden pasar con seguridad sus datos en un flujo encriptado. Los sistemas de detección de intrusos
pueden advertirlo de actividades maliciosas. Sin embargo, el éxito de cada una de estas tecnologías depende de
un número de variables, incluyendo:
La experiencia del personal responsable de la configuración, supervisión y mantenimiento de las

tecnologías.
40/50
La habilidad de actualizar servicios y sistemas operativos rápida y eficientemente.

La habilidad de los responsables de mantener vigilancia constante sobre la red.
Dado el estado dinámico de los sistemas de datos y tecnologías, asegurar sus recursos corporativos puede
ser complejo. Esto se debe principalmente a que cada área en particular de seguridad de la información requiere
constante atención y foco. La seguridad de información no se queda quieta.
Pensando como el enemigo

Imagine que usted administra una red corporativa. Tales redes usualmente están formadas de sistemas operativos,
aplicaciones, servidores, monitores de red, cortafuegos, sistemas de detección de intrusos y más Dada la
complejidad de los ambientes de software y de redes de hoy, los ataques y los bugs son una posibilidad constante.
El tratar de mantenerse actualizado con las mejoras y actualizaciones para la red completa puede ser una tarea
abrumadora cuando se trata de una organización grande y con sistemas heterogéneos.
Para incrementar su tecnología de seguridad y ayudar a proteger los sistemas, redes y datos, piense como un
cyberpirata (cracker) y estime la seguridad de los sistemas revisando sus debilidades. Las evaluaciones de
vulnerabilidad preventivas contra sus propios sistemas y recursos de red pueden revelar problemas potenciales
que se pueden solucionar antes de que un cyberpirata los descubra.
Una evaluación de vulnerabilidad es una auditoría interna de su red y sistemas de seguridad; cuyos resultados
indicarán la confidencialidad, integridad y disponibilidad de su red.
Una evaluación de vulnerabilidad típicamente consta de las siguientes fases:
Fase de reconocimiento
Se reúnen datos importantes relacionados con los recursos y sistemas objetivo.
Fase de preparación de los sistemas
El objetivo es básicamente revisado contra todas las debilidades conocidas.
Fase de informes
Se clasifican los resultados en categorías de alto, medio y bajo riesgo y se discuten los métodos para mejorar la
seguridad (o disminuir la vulnerabilidad) del objetivo.
41/50
Si usted tuviese que realizar una evaluación de la vulnerabilidad de su hogar, probablemente

verificará cada puerta de su casa para ver si se encuentran cerradas y aseguradas. Quizás
también verificará cada ventana, asegurándose de que estas se encuentren bien cerradas y
con seguro. Este mismo concepto aplica a los sistemas, redes y datos electrónicos. Los
usuarios maliciosos son los ladrones y vándalos de sus datos. Fíjese en sus herramientas,
mentalidad y motivaciones y podrá responder rápidamente a sus acciones.
Pruebas de Penetración
Las pruebas de penetración (también llamadas “pentest”, del inglés Penetration Test) son una práctica para
poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante
podría explotar.
Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar
manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de
la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea
virtualmente o de manera real) y el informe de los resultados.
El principal objetivo de las pruebas de penetración consiste en determinar las debilidades de

seguridad. Una prueba de penetración también puede ser utilizada para probar el
cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de
sus empleados y la capacidad de la organización para identificar y responder a los incidentes
de seguridad.
Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de este
tipo los tipos buenos están tratando de entrar a la fuerza.
Si quieres experimentar con una herramienta de Pentest par Windows, puedes descargarla aqu
í.
Evaluación de vulnerabilidad
Las evaluaciones de vulnerabilidad se pueden dividir en dos grandes categorías:
Desde afuera viendo hacia adentro o prueba de caja negra
Cuando se lleva a cabo una evaluación de vulnerabilidad desde afuera, usted está tratando de comprometer
sus sistemas desde afuera. Al posicionarse desde afuera de la compañía puede ver las cosas desde el punto
de vista del intruso. Usted ve lo que ve un intruso: direcciones IP públicas, sistemas en su DMZ, las interfaces
externas de su cortafuegos y más.
42/50
Desde adentro viendo alrededor o prueba de caja blanca
Cuando realiza una evaluación de vulnerabilidad desde adentro, de alguna forma usted tiene una ventaja
puesto que ya está adentro y su estatus es elevado y de confianza. Este es el punto de vista suyo y de sus
compañeros de trabajo una vez que se conectan a los sistemas. Puede ver los servidores de impresión,
servidores de archivos, bases de datos y otros recursos.
Hay diferencias importantes entre estos dos tipos de evaluaciones de vulnerabilidad. Siendo interno a su compañía
le otorga mayores privilegios — mucho más que cualquier persona de fuera. Hoy día, en la mayoría de las
organizaciones, la seguridad es configurada de forma tal que se mantengan a los intrusos afuera. Se hace muy
poco para asegurar la parte interna de la organización (tales como cortafuegos departamentales, controles de
acceso a nivel de usuario, procedimientos de autenticación para recursos internos y más). Típicamente, hay
muchos más recursos cuando se está adentro y mirando alrededor pues la mayoría de los recursos son internos a
la compañía. Una vez que se encuentra fuera de la compañía, inmediatamente se le da condición de no fiable. Los
sistemas y recursos que tiene disponibles son típicamente mucho más limitados.
Considere la diferencia entre las evaluaciones de vulnerabilidad y las pruebas de

penetración. Piense en una evaluación de vulnerabilidad como el primer paso de una prueba
de penetración. La información reunida a partir de la evaluación será usada en las pruebas.
Mientras que la evaluación de vulnerabilidad busca huecos y vulnerabilidades potenciales, las
pruebas de penetración tratan de explotar los resultados.
Los administradores y administradoras de seguridad son buenos en la medida que también lo sean las
herramientas que usen y el conocimiento que posean. La herramienta puede encontrar vulnerabilidades que en
realidad no existen (falsos positivos), o peor aún, la herramienta puede que no encuentre vulnerabilidades que
actualmente si existen (falsos negativos).
Intentar explotar las vulnerabilidades sobre recursos en producción puede tener resultados
adversos a la productividad y eficiencia de sus sistemas y redes.
A continuación se presenta una lista con algunas ventajas de llevar a cabo evaluaciones de vulnerabilidad.
Crea un enfoque proactivo en la seguridad de la información.

Se pueden encontrar los puntos de explotación potenciales antes de que un intruso los encuentre.
Genera sistemas actualizados y con las últimas revisiones de software.
Promociona el crecimiento y ayuda en el desarrollo de la experiencia del personal.
Reduce las pérdidas financieras y la publicidad negativa.
Establecimiento de una metodología
Para facilitar en la selección de herramientas para las evaluaciones de vulnerabilidad, es útil establecer una
metodología de evaluación de vulnerabilidad. Desafortunadamente, no existe actualmente una metodología
predefinida o aprobada por la industria; sin embargo, el sentido común y los buenos hábitos pueden actuar como
una guía completa.
43/50
En el área de localización de vulnerabilidades de software, sí existen algunas metodologías,

como las siguientes:
- The Open Source Security Testing Methodology Manual (OSSTMM): Metodología de

Desarrollo de Software Libre Seguro.
- Open Web Application Security Project (OWASP): Proyecto de Seguridad de Aplicaciones
Web Abiertas.
Herramientas de evaluación de vulnerabilidades

Una evaluación típica puede seguir los siguientes pasos
Comenzar usando alguna herramienta para reunir información.
Cuando se esté evaluando la red completa, haga un dibujo de la red primero para identificar las máquinas que
están en ejecución.
Una vez identificadas, examine cada máquina individualmente. Para enfocarse en esas máquinas se requiere
de otro conjunto de herramientas. Conocer cuál herramienta utilizar puede ser el paso más importante al
encontrar vulnerabilidades.
Ha y herramientas específicas al sistema operativo, aplicaciones y hasta redes (basadas en los protocolos
utilizados). Algunas herramientas son gratuitas, mientras que otras no. Algunas herramientas son intuitivas y fáciles
de utilizar, mientras que otras son enigmáticas y muy mal documentadas, pero tienen características que las otras
no... Encontrar la herramienta adecuada puede ser una tarea abrumadora. Si es posible:
Configure un laboratorio de pruebas y evalue tantas herramientas como pueda, anotando las fortalezas y
debilidades de cada una.
Revise el archivo README o la página man de la herramienta en sistemas Linux/Unix, y la ayuda en Sistemas
Window.
44/50
Además revise internet para más información, tales como artículos, guías paso a paso, o inclusive listas de
correo específicas a la herramienta.
Hay muchas herramientas disponibles, dependiendo de su objetivo y recursos. Existen herramientas para redes
inalámbricas, redes Novell, sistemas Windows, sistemas Linux y más. Otra parte esencial al realizar evaluaciones
de seguridad puede incluir revisar la seguridad física, selección de personal, o evaluaciones de red de voz/PBX.
Hay algunos nuevos conceptos tales como war walking — explorar el perímetro de la estructura física de su
corporación por vulnerabilidades de red inalámbrica — que también puede investigar y, si lo requiere, incorporar en
sus evaluaciones. La imaginación y exposición son los únicos límites al planear y conducir una evaluación de
vulnerabilidades.
Linux
En el caso de servidores Linux para hacer el análisis de vulnerabilidades se suele utilizar el programa
'Nessus'. Nessus es de arquitectura cliente-servidor OpenSource, dispone de una base de datos de patrones
de ataques para lanzar contra una máquina o conjunto de máquinas con el objetivo de localizar sus
vulnerabilidades. Dispone de versiones para la inspección de vulnerabilidades en el cloud, en una red o en un
equipo.
Se puede descargar Nessus desde aquí, tanto la versión gratuita, como otras versiones
comerciales.
Windows
Para los sistemas Windows Server contamos con MBSA “Microsoft Baseline Security Analyzer” que
permite verificar la configuración de seguridad, detectando los posibles problemas de seguridad en el sistema
operativo y los diversos componentes instalados. Se trata de un asistente que se instala en el servidor y, en
base a los servicios que soporta, se analiza la configuración de aspectos como el control de accesos, políticas
de grupo, conexiones, etc. Como resultado obtenemos una serie de recomendaciones de mejora de la
seguridad de nuestro sistema, que en muchos casos son directamente aplicables para proporcionar solución.
Para Windows contamos con Windows security baselines, que facilitan encontrar la configuración apropiada de
los sistemas para mejorar la seguridad. Se incluyen dentro de lo que se denomina Security Compliance Toolk
it, (SCT) un conjunto de herramientas que facilita la configuración de diferentes elementos del sistema operativo
Windows en los que la seguridad es importante, como las Políticas de Grupo.
Desde aquí se puede descargar SCT, así como consultar sus características.
45/50
Resumen
Listamos a continuación las ideas principales que se han descrito en esta unidad:
- Para que un sistema se pueda definir como seguro debemos de dotar de cuatro
características al mismo: Integridad, Confidencialidad, Disponibilidad e Irrefutabilidad.
- A continuación se definen algunos conceptos relacionados con la seguridad en los

sistemas de información: Activo, Amenaza, Impacto, Riesgo, Vulnerabilidad, Ataque, Desastre
o Contingencia y Control.
- El análisis de riesgos informáticos es un proceso que comprende la identificación de

activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su riesgo de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
- Los controles son un conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y
actitudes de la organización, lo que permite verificar si todo se realiza conforme a los
programas adoptados, ordenes impartidas y principios admitidos. Estos mecanismos pueden
ser preventivos, detectivos o correctivos.
- Todos los códigos maliciosos pueden englobarse dentro de un concepto mucho más amplio
denominado malware, que puede definirse como cualquier programa, documento o mensaje
susceptible de causar perjuicios a los usuarios de sistemas informáticos.
- La probabilidad de una ocurrencia puede determinarse de manera cuantitativa o

cualitativa, pero siempre considerando que la valoración que realicemos no debe contemplar
la existencia de ninguna acción paliativa (control).
- Otro de los aspectos que debe abordarse en un Análisis de Riesgo es cómo llevar a cabo la
elaboración de un inventario de activos que recoja los principales activos de información de
la organización, y cómo deben valorarse esos activos en función de su relevancia para la
misma y del impacto que ocasionaría un fallo de seguridad en ellos.
- Existen diferentes amenazas que la información puede sufrir, atendiendo al factor de

seguridad que comprometen: Intercepción, Modificación, Interrupción y Fabricación.
- Una evaluación de vulnerabilidades es una auditoría interna de su red y sistemas de

seguridad. Consta de las siguientes fases: Fase de reconocimiento, Fase de preparación de
los sistemas y Fase de informes.
46/50
Actividades prácticas
WebQuest: Prevención de vulnerabilidades software conocidas
En la unidad hemos hablado de vulnerabilidades de software ya conocidas, y que por tanto, se pueden aplacar con
un adecuado diseño de software.
Queremos localizar en la red información sobre cuáles son los controles que se han de establecer en el código para
evitar que éste sea vulnerable ciertos ataques. Por ejemplo, aquí tiene información sobre cómo prevenir los ataques
de desbordamiento de buffer.
1. Localice al menos una página web en la que se explique cómo prevenir el resto de ataques
descritos en la unidad: Denegación de servicio, Cross Site Scripting, etc.
2. ¿Qué pregunta debería utilizar en el buscador si queremos saber cómo escribir código seguro?
¿Qué resultados obtiene?
47/50
Recursos
Enlaces de Interés
https://www.incibe.es/vulnSearch/CERT/Alerta_Temprana/Actualidad_Vulnerabilidades/?postAction=getVulnsHome
Acceso a las BBDD de vulnerabilidades conocidas. INCIBE
http://www.ehowenespanol.com/prevenir-ataques-desbordamiento-buffer-como_221683/
Artículo sobre la prevención del Buffer Overflow
http://soporte.eset-la.com/kb186/?locale=es_ES
Clasificación del Malware
https://es.wikipedia.org/wiki/M%C3%A9todo_Delphi
Método Delphi de estimación cualitativa
https://es.wikipedia.org/wiki/Lluvia_de_ideas
Método de lluvia de ideas en estimación cualitativa
http://www.cyberhades.com/2015/06/04/coleccion-de-herramientas-de-pentesting-para-entornos-windows/
Artículo sobre herramientas pentest para Windows.
http://www.isecom.org/research/osstmm.html
Metodología OSSTMM
https://www.owasp.org/index.php/Main_Page
Proyecto OWASP
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-seguridad-inf
ormatica?start=6
Configuración Básica de Nessus
http://www.tenable.com/products/nessus-vulnerability-scanner
Página principal de Nessus
https://www.filehorse.com/download-mbsa-64/
Página de descarga de MBSA
https://technet.microsoft.com/en-us/solutionaccelerators/default.aspx
Información sobre los MSAs de Microsoft
https://es.wikipedia.org/wiki/ISO_31000
ISO 31000 Gestión del Riesgo
https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/analisis_riesgos_pasos_sencillo
Blog INCIBE: Análisis de Riesgos
https://www.acunetix.com/websitesecurity/cross-site-scripting/
XSS attack
https://en.wikipedia.org/wiki/Time_of_check_to_time_of_use
Race Condition Attack
48/50
http://www.welivesecurity.com/la-es/2012/03/28/consejos-ataque-denegacion-servicio/
Denegación del servicio: Prevención
https://msdn.microsoft.com/es-es/library/ms182020(v=vs.90).aspx
Cómo escribir código seguro
Prevenir Ataques por Desbordamiento de Buffer

http://www.ehowenespanol.com/prevenir-ataques-desbordamiento-buffer-como_221683/
Descargar Nessus (Free trial)

https://es-la.tenable.com/try
Enlace para la descarga de una prueba de Nessus
Pentestbox para Windows

https://pentestbox.org/
Aplicación para hacer Penetration Tests en Windows
Windows security baseline

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines
SCT: Security Compliance Toolkit para Windows

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-compliance-toolkit-10
Bibliografía
MONOGRÁFICO: Introducción a la seguridad informática:
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040-introduccion-a-la-
seguridad-informatica?showall=1
Glosario.
Bugs: Un error de software, comúnmente conocido como bug («bicho» en inglés), es un error o fallo en un
programa de computador o sistema de software que desencadena un resultado indeseado.
CPD : Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se concentran los
recursos necesarios para el procesamiento de la información de una organización. Dichos recursos
consisten esencialmente en unas dependencias debidamente acondicionadas, computadoras y redes de
comunicaciones.
DMZ: DMZ viene de "zona desmilitarizada" lo que corresponde a un computador o a una pequeña subred
que se coloca entre la red confiable interna, tal como la LAN corporativa, y una red externa no confiable, tal
como la Internet. Típicamente, la DMZ contiene dispositivos accesibles al tráfico de la Internet, tal como
servidores Web (HTTP), FTP, SMTP (correo electrónico) y servidores DNS.
Estrategia de seguridad: Indica que la seguridad ha de ser considerada como principal, vital, y a tener en
cuenta en todos los aspectos organizativos.
Firmas de virus: Las firmas de virus son pequeñas muestras de partes de virus que el antivirus usa para
identificar uno o varios ejemplares de malware.
49/50
Metodología: La metodología hace referencia al conjunto de procedimientos racionales utilizados para

alcanzar el objetivo u objetivos que rige una investigación científica o en general cualesquiera tareas que
requieran habilidades, conocimientos o cuidados específicos. Con frecuencia puede definirse la
metodología como el estudio o elección de un método pertinente o adecuadamente aplicable a
determinado objeto.
Phishing: En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones),
pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio
se las está enviando al atacante.
Política Global de Seguridad: Debe de establecer el estatus de la información para la empresa o la

organización. Debe de contener un objetivo general, la importancia de la tecnología de la información para
la empresa, el período de tiempo de validez de la política, los recursos con que se cuenta para llevarla a
cabo, objetivos específicos de la empresa. Debe de establecerse la calidad de la información (datos) que
se maneja según su objetivo, esto quiere decir que se establezca cuando o para quien la información debe
ser confidencial, cuando debe verificarse su integridad y cuando debe de verificarse su autenticidad tanto
de la información como de los usuarios.
XML: XML, siglas en inglés de eXtensible Markup Language ('lenguaje de marcas extensible'), es un
lenguaje de marcas utilizado para almacenar datos en forma legible. Permite definir la gramática de
lenguajes específicos para estructurar documentos grandes. A diferencia de otros lenguajes, XML da
soporte a bases de datos, siendo útil cuando varias aplicaciones deben comunicarse entre sí o integrar
información.
50/50

02 Analisis de Riesgos

Cargado por

Copyright:

Formatos disponibles

02 Analisis de Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

02 Analisis de Riesgos

Cargado por

Copyright:

Formatos disponibles

Análisis de Riesgos en los Sistemas

Análisis de Riesgos en los Sistemas de Información:

Más concretamente serán capaces de:

Vídeo: Descripción de la Unidad

Introducción a los contenidos

Triada CIA (Confidentiality, Integrity, Availability)

Términos relacionados con la seguridad informática

Es un evento que puede desencadenar un incidente en la organización, produciendo, o pudiendo producir,

Por ejemplo, un incendio en la sala de ordenadores.

Consecuencia de la materialización de una amenaza. Las consecuencias son económicas, de reputación, de

Por ejemplo, como consecuencia de un error en un disco, se pierde información.

Posibilidad o probabilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la

Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

Por ejemplo, un sistema que no recibe actualizaciones de software.

Por ejemplo, un ataque externo de un hacker.

Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras

Elemento de medida o de contención ante una amenaza.

Por ejemplo, un antivirus es un control frente a la amenaza de los virus.

Los objetivos para conseguirlo son:

Restringir el acceso (de personas de la organización y de las que no lo son) a los

Introducción al análisis de riesgos

El riesgo se puede calcular por la formula

riesgo = probabilidad * pérdida

Si la probabilidad es muy pequeña el riesgo es menor, pero si la probabilidad es casi uno, el

Reducción del Riesgo: Mecanismos de Seguridad (Controles)

Relación tríada CIA y controles

Los mecanismos de seguridad se dividen en tres grupos:

Ejemplo: Utilizar el cifrado en la transmisión de la información evita que un posible atacante

Ejemplo: las copias de seguridad.

De estos tres grupos de mecanismos es importante enfocarnos en los de prevención y

En resumen debemos de mencionar que no existe un sistema computerizado que

Uno de los objetivos principales de establecer una política de seguridad es el de reducir

Vulnerabilidades del sistema

Las vulnerabilidades de los sistemas informáticos pueden estar causadas por:

Debilidad en el diseño de protocolos utilizados en las redes.

Mala configuración de los sistemas informáticos.

En base a si se conoce o no la causa que da lugar a la vulnerabilidad, se pueden clasificar como:

1. Publicación del ataque o exploit al mundo.

Ataque de desbordamiento de buffer Si un programa no controla la cantidad de datos que se copian

Criterios de programación segura

Economía y simplificación de mecanismos de seguridad

Configuraciones por defecto seguras

Menor mecanismo común

Fuente: GALVIN, P. 1998; BISHOP, M. 2003, cap.13

Cuando estas mínimas sugerencias de diseño seguro no se consideran en la construcción de

Particularidades de los distintos tipos de código malicioso

Principales elementos del análisis de riesgos y sus

La Organización Internacional por la Normalización (ISO) define el riesgo tecnológico (Guías

Recordamos la definición de cada uno de los elementos involucrados en un análisis de riesgos:

Entre otras, podríamos citar la falta de conocimiento del usuario, tecnologías

Simplificando, algunas de ellas son las pérdidas económicas, la pérdida de confianza

Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades.

Elementos del Análisis de Riesgos

Crucigrama Conceptos Análisis de Riesgos

Metodologías cualitativas y cuantitativas de análisis de

Los métodos cualitativos incluyen:

Cuestionario y entrevistas estructuradas, dirigidas a usuarios o administradores del sistema.

Listas de comprobación o “Safety check lists”.

Análisis histórico de incidentes.