Certificado Seguridad informática práctica Francisco Javier Cervigon Ruckauer

Certificado Seguridad informática práctica pdf

Certificado 

Certificado 

Certificado 
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

Módulos del curso de seguridad informática Francisco Javier Cervigon Ruckauer

Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

Archivo del curso de seguridad informática Francisco Javier Cervigon Ruckauer

Archivo del curso de seguridad informática

Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

Índice del curso de seguridad informática Francisco Javier Cervigon Ruckauer

Índice


Módulo 1. Introducción a la seguridad informática
  • Lección 1: Concepto de seguridad informática
  •  Definición de seguridad informática
  •  Primeras ideas sobre la seguridad
  •  Requisitos de seguridad
  • Lección 2: Vulnerabilidades, amenazas y riesgo
  •  Vulnerabilidades
  •  Amenazas
  •  Tipos de ataques y atacantes
  •  Riesgo
  • Lección 3: La seguridad como un proceso
  •  El proceso de la seguridad
  •  Prevención
  •  Detección
  •  Respuesta
Módulo 2. Introducción a NETinVM.
  •  Lección 1: Introducción a NETinVM
  • Demostración: Primeros pasos con NETinVM
  •  Ejercicio: Puesta en marcha inicial
  • Ejercicio: Familiarizarse con el entorno gráfico (KDE)
  • Ejercicio: Puesta en marcha completa
  • Ejercicio: Parada de las máquinas UML
  • Ejercicio: Puesta en marcha selectiva
  • Ejercicio: Puesta en marcha de un cierto conjunto de UMLs
  • Ejercicio: Otros casos de puesta en marcha y parada de máquinas
  • Demostración: Copias de seguridad de las UMLs
  • Ejercicio: Realizar copias de seguridad de las UMLs
  • Ejercicio: Restaurar copias de seguridad de las UMLs
  • Demostración: Intercambio de ficheros
  • Ejercicio: Intercambiar ficheros con base y entre las UMLs
  • Lección 2: Trabajando con las redes de NETinVM
  • Demostración: Las redes de NETinVM
  • Ejercicio: Conectarse a las máquinas UML desde base
  • Ejercicio: Comprobar la conectividad entre UMLs
  • Ejercicio: Capturar tráfico e interpretarlo
  • Ejercicio: Comprobar los servicios ofrecidos por una UML
  • Ejercicio: Realizar barridos de puertos
Módulo 3. Seguridad preventiva
  • Lección 1: Presentación: Medidas preventivas
  •  Medidas preventivas
  •  Seguridad física
  •  Autenticación de usuarios
  •  Control de acceso a los recursos
  • Control de acceso a/desde otros sistemas
  • Lección 2: Asegurando clientes y servidores
  • Presentación: Endurecimiento de sistemas (system hardening)
  • Ejercicio: Restaurar la copia de seguridad para la unidad
  • Ejercicio: Preparar una configuración de UMLs personalizada
  •  Ejercicio: Aplicar parches
  • Ejercicio: Limitar los servicios en ejecución
  • Presentación: Filtrado de paquetes con IPTABLES
  • Ejercicio: Configurar el filtrado de paquetes en el servidor
  •  Presentación: Criptografía en SSH
  • Ejercicio: Robustecer el servidor SSH
  • Ejercicio: Autenticación mediante criptografía asimétrica en SSH
  • Ejercicio: Usar el agente de autenticación de SSH.
  • Ejercicio: Usar claves para tareas específicas
  •  Lección 3: Asegurando el perímetro
  • Presentación: Seguridad perimétrica
  • Descripción del cortafuegos de NETinVM
  • Ejercicio: Preparar el entorno para el resto de actividades
  •  Ejercicio: Configurar el acceso a fw
  •  Ejercicio: Activar el reenvío IP
  • Ejercicio: Permitir el acceso desde la red interna a la red externa
  •  Ejercicio: Configurar SNAT
  • Ejercicio: Permitir el acceso a la red perimétrica
Módulo 4. Detección de intrusiones.
  • Lección 1: Sistemas de detección de intrusiones
  •  Detección de intrusiones
  •  Sistemas de detección de intrusos
  •  HIDS: IDS de nodo
  •  NIDS: IDS de red
  •  Estructura de los NIDS
  •  Limitaciones de los NIDS
  • Lección 2: Montando un HIDS con OSSEC
  • Ejercicio: Preparar el entorno para el resto de actividades
  • Ejercicio: Instalación de OSSEC en modo servidor/agentes
  • Ejercicio: realizando una copia de seguridad
  • Ejercicio: Primeras alertas con OSSEC
  • Ejercicio: Probando la respuesta activa
  • Lección 3: Montando un NIDS con Snort
  • Ejercicio: Preparar el entorno para el resto de actividades
  • Ejercicio: Preparar el fichero de configuración
  • Ejercicio: Generar y analizar las primeras alertas
  • Ejercicio: Comprender el módulo sfportscan
  • Ejercicio: Entender las reglas de snort
  • Ejercicio: Crear una regla de snort para detectar ataques SHELLSHOCK
  • Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

Descripción del curso de seguridad informática Francisco Javier Cervigon Ruckauer

Descripción del curso de seguridad informática

El curso se centra en el aprendizaje práctico de la seguridad, con ejercicios a realizar en NETinVM (http://www.netinvm.org), un laboratorio realista que utiliza virtualización anidada y que permite a cada estudiante disponer de su propia red de ordenadores. De esta forma es posible practicar, probar y aprender legalmente y sin riesgo para otros sistemas.
El curso está diseñado para introducir al alumno en el autoaprendizaje práctico de la seguridad, de forma que, progresivamente, adquiera la experiencia necesaria para poder plantear y llevar a cabo sus propios ejercicios y pruebas. El curso incluye demostraciones y ejercicios que los estudiantes pueden reproducir y realizar en su propio ordenador, usando para ello el laboratorio NETinVM (http://netinvm.org).
Aunque durante el curso se introducirán desde cero los conceptos teóricos que luego se utilizan en las actividades prácticas, se asume que el estudiante está acostumbrado a utilizar sistemas Linux, al menos como usuario y, preferiblemente, con conocimientos básicos de administración de sistemas y redes de computadores.
No es necesario un conocimiento previo de seguridad informática, pero sí es necesario conocer cómo funcionan los sistemas informáticos y las redes de computadores: 
- Conocer los conceptos básicos de sistemas operativos (procesos e hilos, memoria, ficheros, entrada/salida). 
- Saber usar sistemas Linux y tener nociones de administración de sistemas. 
- Tener nociones del uso y administración de bases de datos. - Ser capaz de desarrollar y entender programas sencillos. 
- Conocer a grandes rasgos cómo funcionan las redes TCP/IP. 
No obstante, algunos de estos conocimientos pueden ser adquiridos o completados durante el curso, aunque en ese caso con algo más de dedicación de la prevista.

Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

MÓDULO 1. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Francisco Javier Cervigon Ruckauer

MÓDULO 1. INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

Este módulo es fundamentalmente teórico (el único del curso), con tres lecciones que introducen el concepto de seguridad, la relación entre vulnerabilidades y riesgo, y plantean la seguridad como un proceso continuo que requiere una valoración de los riesgos, medidas preventivas, detección de intrusiones y reacción frente a ellas.
Como puede observarse, el curso sigue esta misma estructura, incluyendo sendos módulos sobre seguridad preventiva y detección de intrusiones. La valoración de los riesgos y el tratamiento de intrusiones simplemente se contextualizan en la introducción, pero quedan fuera de los contenidos del curso para acotar su duración en el tiempo.
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

Lección 1: Concepto de seguridad informática. Definición de seguridad informática. Primeras ideas sobre la seguridad. Requisitos de seguridad. Francisco Javier Cervigon Ruckauer

Lección 1: Concepto de seguridad informática

Definición de seguridad informática

Una buena definición sería: "A computer is secure if you can depend on it and its software to behave as you expect.", definición tomada del libro "Practical UNIX and Internet Security", de Simson Garfinkel, Gene Spafford y Alan Schwartz. Traduciéndola más o menos literalmente, vendría a decir que podemos afirmar que un ordenador es seguro si podemos depender de que se comporte como esperamos.
Esta definición incluye dos aspectos básicos. Por una parte, introduce la necesidad de poder depender de los sistemas informáticos. Y, por otra, la noción del comportamiento esperado, que tiene dos aspectos complementarios:
  • Lo que esperamos que haga el sistema. Por ejemplo, servir  páginas web, permitir acceso remoto al administrador...
  • Lo que esperamos que no haga. Por ejemplo, incluir código malicioso en las páginas que sirve, permitir acceso remoto a usuarios no autorizados...

Primeras ideas sobre la seguridad

Antes de continuar, es necesario tener claro algunas ideas clave sobre la seguridad de los sistemas informáticos. De forma resumida, las más importantes son:
  • No existen sistemas completamente seguros. El objetivo es conseguir un sistema suficientemente seguro teniendo en cuenta las necesidades específicas de cada caso.
  • La seguridad es un proceso continuo que requiere participación universal.

A continuación se desarrollan estas ideas con más detalle.

No existen sistemas seguros al 100%

Efectivamente, no existen sistemas completamente seguros. Todos los sistemas informáticos pueden ser comprometidos o, dicho de otro modo, cualquier sistema informático puede acabar comportándose de forma diferente a como de él se espera.
Existen diferentes motivos por los que se puede producir este comportamiento anómalo. Por supuesto, puede haber fallos no intencionados del soporte físico, o hardware; del soporte lógico, o software; o de los propios usuarios). Los fallos pueden ser causados también por las condiciones del entorno: temperatura excesiva, polvo en el ambiente, vibraciones... Así mismo, pueden ocurrir accidentes naturales (incendios, inundaciones...). 
Pero lo que es necesario tener presente es que un atacante, si tiene suficientes conocimientos y dispone los recursos que necesita, con el tiempo adecuado siempre logrará tener éxito. Por lo tanto, hay que tener en cuenta que el objetivo del profesional de seguridad no puede ser garantizar una seguridad 100%, sino ayudar a alcanzar y mantener un nivel de seguridad adecuado.

Necesidad de un compromiso

Puesto que no existe la seguridad absoluta, el objetivo debe ser garantizar una seguridad adecuada, buscando un compromiso entre el coste de las medidas de seguridad y los beneficios derivados de aumentar la seguridad del sistema.

La seguridad es un proceso

La única manera de conseguir mantener un cierto nivel de seguridad es mantener una actividad constante que incluya tres facetas complementarias: la prevención, la detección y la reacción. Sin este proceso continuo, las medidas de prevención irán siendo menos efectivas a medida que se descubran nuevos errores y/o vías de ataque. Pero, además, sin un proceso continuo de detección y reacción, las medidas preventivas resultarán poco eficaces, ya que el atacante tendrá tiempo de irlas descubriendo y evitando una a una.

Es necesaria la participación universal

Todas las personas de la empresa u organización deben ser conscientes de la importancia que sus acciones tienen para la seguridad del sistema. Lógicamente, los administradores suelen estar especialmente concienciados de que una configuración incorrecta puede permitir que el sistema sea comprometido. Pero igualmente importante es que los usuarios sepan que al hacer clic sobre un adjunto pueden estar permitiendo la entrada de programas maliciosos (malware) en su sistema, o que al contestar a un desconocido por teléfono pueden estar dándoles la información que necesitan para progresar en su ataque.

Requisitos de seguridad

La palabra seguridad, incluso cuando se refiere a sistemas informáticos, puede tener implicaciones muy diferentes en función del contexto. Por eso, antes de avanzar en el curso resulta conveniente conocer los diferentes requisitos relacionados con la seguridad que se exigen a los sistemas informáticos.
Los requisitos tradicionales de la seguridad son: secreto o confidencialidad, integridad y disponibilidad. No obstante, también es necesario conocer otros requisitos como la autenticación, el no repudio, la auditabilidad o la privacidad.

Secreto o confidencialidad

Consiste en evitar el acceso a la información a personas no autorizadas. Supone, lógicamente, que las personas sin autorización no puedan leer un documento, un correo electrónico o cualquier otro tipo de datos: patentes industriales, secretos de estado, registros médicos... Pero también supone evitar que se pueda saber incluso que la información existe. Por ejemplo, el simple hecho de saber que existen registros médicos (o su número, o su frecuencia, o sus fechas) de una persona, permite inferir información que puede ser sensible.

Integridad

Supone garantizar que la información solamente se modifica de forma adecuada. Es decir, que solamente realizan modificaciones los usuarios autorizados y que las modificaciones mantienen la consistencia de la información. Por ejemplo, que solamente quien tenga la autorización pertinente puede modificar el saldo de una cuenta corriente; pero también que, si esta modificación es el resultado de una transferencia, el dinero se descuenta de la cuenta de origen y se añade en la de destino.

Disponibilidad

Requiere garantizar que los sistemas estarán disponibles (ofreciendo el servicio esperado) para los usuarios autorizados. Por eso, los ataques contra la disponibilidad de los sistemas se conocen como ataques de denegación de servicio, pues su objetivo es evitar que los usuarios autorizados puedan utilizarlo (por ejemplo, un ataque contra un buscador o cualquier otro servicio ofrecido a través de Internet).

Autenticación

Consiste en poder confirmar la identidad de un sujeto. El ejemplo más habitual es la introducción de usuario y contraseña para comenzar a utilizar sistema o servicio web.

No repudio o responsabilidad (accountability)

Supone poder confirmar que un sujeto ha realizado una acción. O, dicho de otra forma, que un sujeto no pueda refutar con éxito que la ha realizado.

Auditabilidad

Requiere que sea posible trazar las acciones realizadas sobre un objeto. Eso supone que queden registradas todas las operaciones que se realicen.

Privacidad

Aunque está relacionada con la confidencialidad, consiste en poder decidir qué información se comparte y con quién, algo especialmente relevante a la hora de usar servicios de Internet.
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:

Lección 2: Vulnerabilidades, amenazas y riesgo Francisco Javier Cervigon Ruckauer

Lección 2: Vulnerabilidades, amenazas y riesgo

Vulnerabilidades

Se puede definir una vulnerabilidad como una debilidad en el sistema. Es decir, algún punto débil que, si alguien lo encuentra, puede ser usado para conseguir que el sistema se comporte de forma diferente a la esperada. Las vulnerabiliades pueden existir tanto en los procedimientos, como en el diseño y la implementación.

Vulnerabilidades en los procedimientos

Son puntos débiles en los procedimientos (no necesariamente informáticos) que se utilizan en el trabajo (empresas, organizaciones) o en la vida personal.  Por ejemplo, que el procedimiento en una empresa para recuperar una contraseña olvidada sea llamar por teléfono.
Un atacante podría aprovechar este procedimiento para conseguir establecer una contraseña de su elección en una de las cuentas. El ataque será más o menos sencillo en función de detalles del procedimiento tales como si es necesario usar un teléfono corporativo o está permitido llamar desde cualquier número, si se conocen todos en la empresa, o si se solicita algún mecanismo de identificación adicional.

Vulnerabilidades en el diseño

Son puntos débiles del diseño del sistema. Por ejemplo, un sistema puede estar diseñado para usar contraseñas de un máximo de 8 caracteres.
En este caso el atacante puede aprovechar este hecho para tratar de adivinar la contraseña o para probar todas las contraseñas posibles (ataque por fuerza bruta).  El ataque será más o menos sencillo en función de cómo se eligen las contraseñas  (para tratar de adivinarla) o de la velocidad con la que sea posible probar contraseñas (fuerza bruta).

Vulnerabilidades en la implementación

Aparecen cuando los puntos débiles se deben a que la implementación no se ajusta al diseño. Por ejemplo, el diseño permite contraseñas de longitud arbitraria, pero la implementación solamente almacena los primeros 8 caracteres, bien por limitaciones de los componentes utilizados, bien por un fallo de implementación.

Amenazas

Se puede definir amenaza como el conjunto de circunstancias que puede causar un comportamiento no deseado del sistema. Las amenazas son peligrosas en tanto en cuanto existen punto débiles (vulnerabilidades) que permiten que se produzca el daño (comportamiento no esperado del sistema). Los dos principales tipos de amenaza son las naturales y las humanas.

Amenazas debidas a causas naturales

Lógicamente, los fenómenos naturales como fuegos, inundaciones o terremotos pueden causar comportamientos no deseados de los sistemas. Por este motivo, los sistemas críticos suelen estar replicados y distantes entre sí, para reducir al máximo las interrupciones del servicio.
Otras causas naturales son menos llamativas, pero pueden ser igual de efectivas a la hora de causar daño. Por ejemplo, ordenadores funcionando en salas con polvo, temperatura excesiva o vibraciones fallarán con mayor facilidad que los que trabajan en entornos más favorables.

Amenazas debidas a las personas

En esta categoría entran tanto las causas involuntarias como voluntarias, tanto de personal de la organización como externa a ella.
Las involuntarias se deben habitualmente a errores en el trabajo con los sistemas informáticos (por ejemplo, un administrador de sistemas que realiza un borrado recursivo por error) como errores al usar los servicios ofrecidos (por ejemplo, un usuario que da de baja su cuenta por error).
En cambio, las voluntarias hacen referencia a personas que tienen interés en provocar que los sistemas informáticos se comporten de forma diferente a la prevista. En este caso, se trata de actividades maliciosas que tienen el carácter de ataque al sistema.  En función de quién realice el ataque, se habla de amenazas internas o externas.
Las amenazas internas se deben a personal interno o a posibles ataques lazados desde dentro de la organización. A este grupo corresponden las amenazas debidas a personal resentido con la empresa (por ejemplo, a causa de un despido) o que haya podido ser sobornado o coaccionado a realizar actividades maliciosas. Estas personas disponen de conocimiento del funcionamiento interno de los sistemas y, muchas veces, de acceso autorizado al sistema. También pertenecen a este grupo las amenazas de posibles ataques que se lancen desde dentro de la empresa. Evidentemente, pueden ser debidos a usuarios autorizados con comportamiento malicioso (grupo anterior). No obstante, esta participación no es imprescindible.  En efecto, un ordenador corporativo puede haber sido comprometido sin participación ni conocimiento de su dueño (por ejemplo, por haber visitado un sitio web ya comprometido, por abrir un adjunto de correo electrónico...). A esta categoría pertenecería también el uso de dispositivos propios en el entorno corporativo (BYOD, bring your own device).
Las amenazas externas  se corresponden con posibles ataques lanzados desde fuera de la empresa u organización. Evidentemente, ataques que inicialmente son externos pueden convertirse en internos en cuanto consiguen control de cualquier sistema corporativo, especialmente de aquéllos menos protegidos (por que se considera que al no ofrecer servicios o no disponer de información sensible no serán objeto de ataque).
Independientemente de si son internas o externas, es interesante también distinguir entre amenazas aleatorias y dirigidas. Las amenazas dirigidas son las que tienen un objetivo específico. Por ejemplo, una persona o empresa en particular. Normalmente, los ataques asociados suelen tener una mayor preparación previa y contar con más recursos. En cambio, las aleatorias son aquéllas que se lanzan en busca de sistemas vulnerables, realizando barridos a través de redes enteras (incluso a toda Internet). Normalmente este tipo de ataques tiene como objetivo tomar control de sistemas poco protegidos como paso previo para la realización de otro tipo de actividades maliciosas. Estos sistemas intermedios pueden ser agregados en grandes redes (botnets) controladas remotamente para realizar ataques masivos (DDOS, ataque por fuerza bruta a contraseñas, captura de credenciales bancarias...). Además, estos sistemas intermedios sirven para dificultar la identificación del origen real de los ataques.

Tipos de ataques y atacantes

Dentro de las amenazas con origen malicioso, conviene continuar la tarea de clasificación para conocer mejor a qué se enfrentan los sistemas. En este sentido, se distinguen entre diferentes tipos de ataques y de atacantes.

Atacante humano frente a ataque automatizado

Uno de los aspectos importantes a tener en cuenta es que, cada vez más, los ataques son, en gran medida, automatizados. Es decir, no los realiza una persona de forma interactiva, paso a paso, a ritmo humano. Al contrario, los ataques son lanzados mediante programas que trabajan al ritmo que permiten los ordenadores. Esto significa que la reacción tiene que ser también automática, pues desde que se encuentra una vulnerabilidad hasta que el sistema ha sido completamente comprometido pueden pasar unas pocas décimas de segundo.
Incluso en los ataques iniciados por una persona que prueba inicialmente el sistema y, en función de lo que encuentra continúa avanzando, el atacante tendrá habitualmente preparados programas para lanzar en el momento adecuado para evitar ser detectado o ser expulsado del sistema antes de haberse garantizado acceso continuado al sistema (por ejemplo, mediante la instalación de puertas traseras y/o troyanos).

Frecuencia, severidad y APTs

Otro aspecto relevante es la frecuencia con la que se pueden esperar los ataques y la intensidad de los esfuerzos tras dichos ataques.  Los ataques más frecuentes son los no dirigidos, que continuamente exploran las redes en busca de sistemas poco protegidos (low hanging fruit, como se dice en inglés). No obstante, la intensidad de los ataques no hace sino aumentar, ya que los beneficios económicos detrás de ataques con éxito dependen de la importancia de los sistemas y, como ya se ha discutido, la información que los sistemas manejan es cada vez mayor y más sensible, la dependencia de los sitemas es también cada vez mayor y, cada vez más, incluyen instalaciones y servicios críticos (electricidad, agua, transportes, instalaciones industriales...).
Es precisamente este aumento del número de sistemas interconectados y de su importancia estratégica para personas, empresas, organizaciones, estados..., lo que ha causado la aparición de lo que se han denominado APTsAdvanced Persistent Threats, o, en castellano, Amenazas Avanzadas Persistentes. Las APTs se caracterizan por corresponderse con ataques avanzados. Es decir, con gran cantidad de recursos, con un elevado nivel de sofistificación y de conocimiento y claramente dirigidos a un cierto objetivo. Pero, al mismo tiempo, con un interés en permanecer ocultos, pasando inadvertidos, de forma que se pueda mantener la actividad en los sistemas comprometidos durante meses o años, sin ser descubiertos. Esto hace de ellos ataques persistentes, claramente relacionados con objetivos a largo plazo, muchas veces relacionados con el espionaje (industrial, económico, de personas o estados...).

Tipos de atacantes

Sin tratar de ser exahustivos, los atacantes pueden ser:
  • Individuos. Inicialmente, la mayor parte de ataques tenía su origen en individuos que simplemente tenían curiosidad y ganas de aprender, o que lo hacían por diversión o desafío. Hoy en día, la presión económica (hay gente dispuesta a pagar a las personas con estas habilidades) hace que la mayor parte de ataques tengan una motivación económica o de venganza, pues ya nadie considera como inocuas o loables este tipo de actvidades.
  • Grupos de personas. De forma similar a los atacantes individuales, pero más o menos organizados, muchas veces con financiación externa.
  • El crimen organizado. La rentabilidad económica de los ciberataques, junto con la dificultad que tienen las fuerzas del orden para perseguir internacionalmente estas actividades, hace que muchas organizaciones criminales opten por incluir la ciberdelincuencia entre sus fuentes de ingreso.
  • Terroristas. La dependencia cada vez mayor de sistemas informáticos y la posibilidad de, mediante ciberataques, causar daño o terror (apagones, accidentes de todo tipo...), hace que los terroristas comiencen a optar por esta vía de actuación.
  • Estados. También los estados están involucrados cada vez más abiertamente en actividades de ciberespionaje, ciberataque y ciberdefensa.

Riesgo

Para establecer el nivel de seguridad adecuado para un sistema, es necesario hacer una estimación del riesgo al que debe hacer frente. Aunque la estimación de riesgos queda fuera de los objetivos de este curso, de forma informal, resulta útil definir el riesgo como una función de cuatro elementos: vulnerabilidades, amenazas, probabilidad e impacto.
  • Vulnerabilidades. Un análisis de vulnerabilidades es la base para conocer los puntos débiles del sistema y, por tanto, un factor esencial a la hora de calcular el riesgo. Hay que tener en cuenta que continuamente se descubren vulnerabilidades en las aplicaciones, protocolos y sistemas que se utilizan, por lo que es necesaria una actualización periódica.
  • Amenazas.  Dependiendo de la función del sistema, de la información que gestiona y de la activiadad de la empresa u organización, será necesario estimar qué tipo de amenazas son de aplicación a cada caso concreto.
  • Probabilidad. Es la probabilidad de que las vulnerabilidades sean explotadas en la práctica. Esta probabilidad será mayor cuanto más fácilmente explotable sea una vulnerabilidad, pero también cuanto mayor sea el nivel de amenaza.
  • Impacto. En caso de que un ataque tenga éxito, ¿qué consecuencias tendría? Es conveniente destacar que es fácil subestimar el impacto, pues es necesario tener en cuenta todos los posibles efectos perniciosos que un ataque puede causar (interrupción total o parcial de la actividad de la empresa, clientes insatisfechos, pérdida de credibilidad, pérdida de oportunidades...).

Aunque están claramente relacionadas con los cuatro factores que se acaba de discutir, resulta útil tener en cuenta los siguientes aspectos adicionales:
  • Todos los sistemas están bajo amenaza. Como ya se ha discutido, aunque no sean un objetivo en sí mismo, cualquier sistema es útil para algún tipo de atacante. A modo de ejemplo, se pueden usar para incluirlo en botnets, para ocultar el origen real de un posterior ataque o como paso previo para un ataque mayor.
  • Pueden, y probablemente existirán, vulnerabilidades que solamente conoce el atacante (vulnerabilidades de día cero). Estas vulnerabilidades tienen su propio mercado negro y se mantienen ocultas hasta que son utilizadas.
  • La probabilidad de sufrir un ataque es, probablemente, mayor que la estimada. (Ver los dos ítems anteriores).
  • El impacto será, probablemente, mayor de lo estimado.
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)