Clase XVI - 14092018 - Unidad III - Determinación de amenazas
Amenazas
El siguiente paso en l metodología Magerit, consiste en determinar las amenazas que pueden afectar a cada activo.
Una amenaza es una causa potencial de un incidente que puede causar daños a un sistema de información o a una organización.
Identificación
# De origen natural
Hay accidentes naturales (terremotos, inundaciones, ...). Ante esos avatares el siste-ma de información es víctima pasiva, pero de todas formas tendremos en cuenta lo que puede suceder.
# Del entorno (de origen industrial)
Hay desastres industriales (contaminación, fallos eléctricos, ...) ante los cuales el sis-tema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
# Defectos de las aplicaciones
Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades’13.
# Causadas por las personas de forma accidental
Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.
# Causadas por las personas de forma deliberada
Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios.
No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.
Por ejemplo: Las instalaciones pueden incendiarse; pero las aplicaciones, no. Las personas pueden ser objeto de un ataque bacteriológico; pero los servicios, no. Sin embargo, los virus informáticos afectan a las aplicaciones, no a las personas.
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
degradación: cuán perjudicado resultaría el [valor del] activo
probabilidad: cuán probable o improbable es que se materialice la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.
La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva.
La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal:
A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra. Son valores típicos:
El siguiente paso en l metodología Magerit, consiste en determinar las amenazas que pueden afectar a cada activo.
Una amenaza es una causa potencial de un incidente que puede causar daños a un sistema de información o a una organización.
Identificación
# De origen natural
Hay accidentes naturales (terremotos, inundaciones, ...). Ante esos avatares el siste-ma de información es víctima pasiva, pero de todas formas tendremos en cuenta lo que puede suceder.
# Del entorno (de origen industrial)
Hay desastres industriales (contaminación, fallos eléctricos, ...) ante los cuales el sis-tema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos.
# Defectos de las aplicaciones
Hay problemas que nacen directamente en el equipamiento propio por defectos en su diseño o en su implementación, con consecuencias potencialmente negativas sobre el sistema. Frecuentemente se denominan vulnerabilidades técnicas o, simplemente, ‘vulnerabilidades’13.
# Causadas por las personas de forma accidental
Las personas con acceso al sistema de información pueden ser causa de problemas no intencionados, típicamente por error o por omisión.
# Causadas por las personas de forma deliberada
Las personas con acceso al sistema de información pueden ser causa de problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse indebidamente, bien con ánimo de causar daños y perjuicios a los legítimos propietarios.
No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.
Por ejemplo: Las instalaciones pueden incendiarse; pero las aplicaciones, no. Las personas pueden ser objeto de un ataque bacteriológico; pero los servicios, no. Sin embargo, los virus informáticos afectan a las aplicaciones, no a las personas.
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
degradación: cuán perjudicado resultaría el [valor del] activo
probabilidad: cuán probable o improbable es que se materialice la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.
La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva.
La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal: