RIESGOS PARA LOS SISTEMAS DE INFORMACIÓN
Conceptos básicos
Para conocer los riesgos a los que son susceptibles los sistemas de información, debemos conocer primero cuáles son sus activos. Un activo es todo aquello que tenga valor para la empresa, siendo la información uno de los más valiosos y, aunque hoy en día una gran cantidad de la misma está en formato digital, haciéndola más accesible y manejable, también la hace más vulnerable.
Los activos de información también son todos aquellos recursos que se utilizan para generar, procesar, almacenar o transmitir la información, como las aplicaciones, ordenadores o dispositivos móviles, a parte del gran volumen de datos que generamos. Así, los ejemplos más destacados son las bases de datos de nuestros clientes o proveedores, en el ámbito organizativo, o la agenda de contactos de nuestros dispositivos móviles o correo electrónico.
También es importante comprender el significado de los términos vulnerabilidad y amenaza y la diferencia que existe entre ellos:
Vulnerabilidad: este concepto hace referencia a una debilidad o fallo en un activo. Por ejemplo, un fallo en el diseño o un error de configuración en un sistema o dispositivo.
Amenaza: circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Las amenazas pueden proceder de ataques (como un virus), de sucesos físicos (como un incendio) o por negligencia (como un mal uso de las contraseñas).
La vulnerabilidad existe independientemente de que se explote o no, es decir, forma parte del activo, mientras que la amenaza es algo externo al activo.
Cuando una amenaza, aprovecha una debilidad o vulnerabilidad de un sistema de información, estamos ante un incidente de seguridad. Los incidentes de seguridad de la información implican la explotación de una o varias vulnerabilidades que afecten a alguno de los principios de ciberseguridad: confidencialidad, integridad y disponibilidad de los recursos de dicho sistema.
Confidencialidad: si la explotación de la vulnerabilidad permite el acceso a información que no sea pública.
Integridad: si la explotación de la vulnerabilidad permite alterar información que no esté configurada para ser modificada de dicha forma.
Disponibilidad: si la explotación de la vulnerabilidad impide o dificulta el acceso a los recursos del sistema por parte de usuarios legítimos. Por ejemplo, el borrado de información o una denegación de servicio.
Un incidente puede afectar a varios principios de ciberseguridad simultáneamente, por ejemplo, un programa malicioso de tipo ransomware que cifra los archivos del ordenador afecta, tanto a la integridad como a la disponibilidad de la información.
Ahora vamos a conocer el concepto de riesgo. Un riesgos e define como la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Este término suele considerarse como la combinación de la probabilidad de que se produzca un suceso y sus consecuencias.
El impacto hace referencia a las consecuencias de la materialización de una amenaza sobre un activo aprovechando una vulnerabilidad. Se suele estimar en un porcentaje, donde el 100 % sería la pérdida total.
La probabilidades la posibilidad de que ocurra un hecho, suceso o acontecimiento.
El riesgo se suele representar en forma de tabla como la que podemos ver en la siguiente diapositiva:
¿Qué riesgos existen?
Vamosaanalizarlosriesgosalosqueestánexpuestoslosactivosylossistemasdeinformación:
Los ataques: los ciberdelincuentes tienen como objetivo robar información, inutilizar los sistemas o usar los recursos existentes. Pueden ser externos o internos (como en el caso de un sabotaje).
Los errores humanos: la intervención humana está en constante exposición a cometer errores, pudiendo provocar acciones que comprometan los datos o un mal funcionamiento de los sistemas. Por ejemplo, conectar un USB sin conocer su procedencia o si esconde contenido malicioso.
Los desastres naturales: algunas situaciones pueden comprometer los equipos o sistemas, como es el caso de sufrir una inundación o un incendio. Por ejemplo, la erupción del volcán de la Palma dejó sepultados varios polígonos industriales bajo la lava, con la consecuente pérdida de infraestructuras, sistemas e información.
Las situaciones extraordinarias: ataques terroristas como el provocado en el 11-S en EE.UU. a las torres gemelas o los atentados del 11M de Madrid, las caídas o picos de tensión extremos, etc., que pueden suponer una amenaza a los sistemas de información.
¿Qué amenazas y fuentes de amenazas existen?
Los activos y los sistemas de información son vulnerables a las amenazas. Así, las amenazas y fuentes de las mismas más comunes son:
El malware: este código malicioso permite a los atacantes realizar diferentes acciones como un ataque dirigido, es decir, hacia un objetivo específico, diseñado para atacar un componente específico de la Red, una configuración, etc.; o un ataque genérico, que no hace ese tipo de distinciones.
La ingeniería social: a través de técnicas de persuasión, los atacantes se aprovechan de la víctima y de su falta de concienciación en seguridad para obtener información y datos confidenciales. Suelen hacerse pasar por algún responsable o empresa conocida y legítima para ganarse la confianza de las víctimas y obtener así datos personales. Un ataque de phishing es un ejemplo de ingeniería social.
Las Amenazas Persistentes Avanzadas o APT (Advanced Persistent Threats): estas amenazas hacen referencia a los ataques coordinados y dirigidos contra una empresa, con el objetivo de robar o filtrar información o datos sensibles.
Las botnets: estas amenazas son redes de equipos infectados que ejecutan programas de forma automática y autónoma, es decir, sin el conocimiento ni el consentimiento del propietario del ordenador, donde el creador de la botnet puede controlarlos en remoto para realizar otro tipo de ataques más sofisticados.
Las redes sociales y páginas web: la falta de control de las redes sociales, las publicaciones en Internet o incluso un ataque a la página web propia de la organización puede poner en riesgo la reputación de una empresa.
Los servicios en la nube: otra de las fuentes de amenazas desde la que se puede producir un ataque son los servicios en la nube; por lo que se deben exigir a los proveedores los mismos criterios de seguridad que se tiene en los sistemas de una organización. Por ejemplo, si la compañía tiene unos criterios específicos de acceso a ciertos servicios o información, este mismo acceso en la nube tiene que ser igual o más restrictivo.
¿Qué medidas podemos implementar?
Los incidentes de seguridad que pueden surgir en una organización pueden implicar diversos problemas, ya sean pérdida de información, sanciones económicas o daños a la imagen y reputación de la empresa, entre otros; por lo que resulta esencial conocer qué riesgos existen y evaluarlos para poder tomar las medidas de seguridad adecuadas. El primer paso será conocer el nivel de riesgo de nuestra organización. Este proceso de detección se puede realizar a través de un análisis de riesgos, que se compone de seis fases:
El análisis de riesgos nos ayudará a conocer la importancia y la gravedad que supondría la materialización de una amenaza y, así, poder gestionar los riesgos de forma adecuada. El primer paso será definir un umbral de riesgo, lo que se conoce como apetito de riesgo, para determinar qué riesgos son asumibles y cuáles no. Una vez que tengamos esto definido, las posibles acciones a seguir para cada riesgo identificado son:
Evitar el riesgo, eliminando la causa que lo provoca.
Mitigar el impacto o la probabilidad del riesgo, adoptando las medidas necesarias. Por ejemplo, la instalación de un sistema antincendios en la sala de los servidores puede reducir el impacto.
Transferir el riesgo a un tercero, por ejemplo, a través de contratos de seguros.
Aceptar la existencia del riesgo y monitorizarlo.
No hay comentarios:
Publicar un comentario