Para causar el daño, la amenaza debe encontrar un punto en que afecte al equipo; este punto es una vulnerabilidad del equipo ante la amenaza. Es decir, las vulnerabilidades son las debilidades de los equipos ante las amenazas.
La vulnerabilidad, por lo tanto, permite o facilita que una amenaza dañe el equipo; mientras que la amenaza es cualquier hecho que, intencionadamente o no, aprovecha una vulnerabilidad para dañar un equipo.
Por último, cuando una amenaza o un conjunto de ellas sucede, y aprovecha una vulnerabilidad, se dice que ha ocurrido un incidente de seguridad, cuyo efecto es un daño o impacto al equipo informático.
Normalmente, las amenazas serán genéricas, y no se podrán eliminar por completo, mientras que las vulnerabilidades serán particulares de cada equipo, y sí permiten intervenir en ellas. Frente a los incidentes de seguridad, se deben disponer contramedidas o salvaguardas que fortalezcan el sistema. Las contramedidas persiguen conocer, prevenir, impedir, reducir y controlar el daño que podría tener un equipo.
No obstante, el punto de partida debe ser siempre el del caso peor: que tarde o temprano el incidente de seguridad se producirá. El trabajo de seguridad consiste tanto en reducir la frecuencia con la que ocurran los incidentes, como en reducir el daño cuando estos se produzcan. Para ello, es en las contramedidas donde se focalizará la atención y el trabajo práctico, analizando las opciones más efectivas para reducir la probabilidad de ocurrencia y los daños de un incidente, y maximizando así la relación beneficio/coste.
Actividades
3. Intente clasificar las siguientes amenazas según sean “naturales o fabricadas”, “accidentales o intencionadas”, y “humanas o ambientales”, justificando las suposiciones que se precisen añadir: incendio del edificio, seísmo, inundación por precipitaciones, guerra, robo, virus informático, y fallo en disco duro.
4. Identifique las amenazas y vulnerabilidades que permitieron la ocurrencia de los siguientes incidentes de seguridad, así como los daños producidos:
1 Un virus ha borrado archivos del sistema operativo, y ahora no arranca.
2 El incendio de la Torre Windsor destruyó los servidores del centro de proceso de datos, perdiéndose muchos archivos digitales.
3 El café se cayó sobre el teclado, produciendo un cortocircuito que apagó el ordenador, y se perdieron los documentos que no se habían guardado.
2.2. Principios de seguridad
Se ha visto que las amenazas no pueden eliminarse, por lo que, aunque se aplique una cantidad inmensa –y en la práctica irreal– de contramedidas, siempre persiste alguna vulnerabilidad que se podrá explotar.
Es imposible alcanzar la completa ausencia de inseguridad, o lo que es lo mismo, no existe la seguridad total.
De manera muy resumida, la seguridad pretende que los sistemas y equipos de información sean fiables, es decir, que su comportamiento sea predecible, acorde con su diseño y construcción. La fiabilidad o seguridad, de acuerdo con la definición de la norma ISO 17799, mencionada en el epígrafe anterior, se apoya en tres aspectos o “principios de seguridad” esenciales:
1 La confidencialidad, es decir, que la información solo esté accesible para quien esté autorizado a ello.
2 La integridad, es decir, que la información sea exacta y completa, de manera que solo pueda modificarla quien esté autorizado a ello.
3 La disponibilidad, es decir, que la información esté accesible cuando sea necesario.
Los anteriores conceptos son fundamentales, y resumen los objetivos de la seguridad de la información. Es habitual referirse a ellos como la “Triada de la Seguridad” o “CIA” (empleando las iniciales de los términos en inglés confidentiality o confidencialidad, integrity o integridad, y availability o disponibilidad).
Por ejemplo, si la amenaza de un virus informático capaz de capturar el tráfico de red y reenviarlo, aprovecha la vulnerabilidad del sistema de correo electrónico de enviar las contraseñas sin cifrar, el atacante obtendría la contraseña del correo, y podría leerlo, viéndose comprometida la confidencialidad del correo electrónico.
Por ejemplo, si la amenaza del extravío de una tarjeta magnética de identificación, aprovecha la vulnerabilidad de que el sistema de autenticación de usuarios solo necesite de dicha tarjeta, quien la encuentre podría modificar la información de una base de datos, como si fuera el usuario autorizado, viéndose comprometida la integridad de la información.
Por ejemplo, si la amenaza de un corte de suministro eléctrico aprovecha la vulnerabilidad de que el equipo informático no dispone de un sistema de alimentación ininterrumpida, el equipo no se podría encender, viéndose comprometida la disponibilidad de la información cuando se necesite.
Recuerde
Las propiedades principales de la seguridad de la información son 3:
1 Confidencialidad.
2 Integridad.
3 Disponibilidad.
2.3. Riesgo de un incidente de seguridad
El riesgo es una medida del daño probable que causará una amenaza, que aprovecha una vulnerabilidad para causar un daño. Es mayor cuanto más frecuente sea la aparición de la amenaza, y cuanto mayor sea el daño del incidente que acarree. Una aproximación cuantitativa sencilla es emplear la siguiente fórmula:
Se puede reducir el riesgo, añadiendo las contramedidas que reduzcan las vulnerabilidades a las posibles amenazas. Cuantas más contramedidas se dispongan, es decir, cuantos más recursos se dediquen a la seguridad de los equipos informáticos, menor es el daño probable, o lo que es lo mismo, menor es el riesgo para el sistema de información.
Existirá un balance entre el riesgo de un incidente de seguridad y los recursos que se dediquen a reducir su daño probable. Este balance debe ser gestionado de una manera metódica por varias razones, pero principalmente por las siguientes:
1 Para poder analizar la viabilidad de la inversión en seguridad. Es necesario justificar la inversión de recursos en seguridad, y para ello, hay que poder determinar mediante un método los riesgos existentes, antes y después de la inversión.
2 Para poder analizar la mejora o no, en el cumplimiento de los objetivos de la seguridad de la información a lo largo del tiempo. Es necesario poder evaluar de una manera sistemática el estado de riesgo de los sistemas de información de una empresa, por ejemplo, en auditorías internas anuales, o quizá mediante auditorías externas, a las que esté obligada la empresa por alguna ley.
Este método sistemático, que se precisa para decidir cuánto riesgo asume la empresa, constituye lo que se denomina un “modelo de seguridad”. El modelo de seguridad persigue organizar los procesos de gestión de la seguridad de la información, en base a unas directrices (que pueden ser estrategias empresariales, normativas cuyo cumplimiento se quiera