“Clasificación de los principales riesgos de la seguridad informática”
Conceptos de riesgo:
En arquitectura de
computadores, un riesgo es un problema potencial que puede ocurrir en un
procesador segmentado. Típicamente los riesgos se clasifican en tres tipos:
riesgos de datos, riesgos de salto o de control y riesgos estructurales.
Las instrucciones de un procesador segmentado
son ejecutadas en varias etapas, de modo que en un momento dado se encuentran
en proceso varias instrucciones, y puede que éstas no sean completadas en el
orden deseado.
Un riesgo aparece cuando dos o más de estas
instrucciones simultáneas (posiblemente fuera de orden) entran en conflicto.
Matriz de riesgo: La matriz de riesgo de un proceso, es una descripción
organizada y calificada de sus actividades, de sus riesgos y de sus controles,
que permite registrar los mismos en apoyo al gerenciamiento diario de los
riesgos.
Cobra real importancia cuando los datos a incorporar tienen un grado aceptable de confiabilidad, para ello hay que realizar algunos trabajos previos sobre:
•La arquitectura de procesos y análisis de la criticidad de los mismos;
•La revisión de los objetivos y metas de cada proceso;
•La asignación de responsabilidades en el proceso;
•El entrenamiento de los participantes;
•Contar con un diccionario de riesgos para clasificarlos;
•Contar con un método que permita calificarlos;
•Evaluación de los controles mitigantes de cada riesgo
•Nivel de apetito de riesgos.
•Culturización en riesgos y controles internos.
Cobra real importancia cuando los datos a incorporar tienen un grado aceptable de confiabilidad, para ello hay que realizar algunos trabajos previos sobre:
•La arquitectura de procesos y análisis de la criticidad de los mismos;
•La revisión de los objetivos y metas de cada proceso;
•La asignación de responsabilidades en el proceso;
•El entrenamiento de los participantes;
•Contar con un diccionario de riesgos para clasificarlos;
•Contar con un método que permita calificarlos;
•Evaluación de los controles mitigantes de cada riesgo
•Nivel de apetito de riesgos.
•Culturización en riesgos y controles internos.
Concepto de vulnerabilidad: Definimos
Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del
sistema informático.
Las
vulnerabilidades de los sistemas informáticos las podemos agrupar en función
de:
Diseño
·
Debilidad en el diseño de protocolos utilizados en las redes.
·
Políticas de seguridad deficiente e inexistente.
Implementación
·
Errores de programación.
·
Existencia de “puertas traseras” en los sistemas informáticos.
·
Descuido de los fabricantes.
Uso
·
Mala configuración de los sistemas informáticos.
·
Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.
·
Disponibilidad de herramientas que facilitan los ataques.
·
Limitación gubernamental de tecnologías de seguridad.
Riesgos
físicos: Un riesgo estructural sucede
cuando parte del hardware del procesador es necesario para ejecutar dos o más
instrucciones a la vez. Puede ocurrir, por ejemplo, si un programa intenta
ejecutar una instrucción de salto seguida de una operación matemática. Puesto
que son ejecutadas de forma paralela y los saltos son típicamente lentos
(requieren realizar una comparación, operar matemáticamente sobre el contador
de programa y escribir en registros), es bastante posible (dependiendo de la
arquitectura) que la instrucción de computación y la de salto requieran la ALU
(unidad aritmético lógica) al mismo tiempo.
Riesgos
de salto o de control
Los riesgos de salto o de
control ocurren cuando el procesador se ve obligado a saltar a una instrucción
que no tiene por qué ser necesariamente la inmediatamente siguiente en el
código. En ese caso, el procesador no puede saber por adelantado si debería
ejecutar la siguiente instrucción u otra situada más lejos en el código.
Esto puede resultar en
acciones no deseadas por parte de la CPU.
Tipos de riesgos:
Tipo de Riesgo | Factor |
Robo de hardware | Alto |
Robo de información | Alto |
Vandalismo | Medio |
Fallasen los equipos | Medio |
Virus Informáticos | Medio |
Equivocaciones | Medio |
Accesos no autorizados | Medio |
Fraude | Bajo |
Fuego | Muy Bajo |
Terremotos | Muy Bajo |
Riesgos Lógicos:
Son aquellos daños que el equipo puede sufrir
en su estado lógico, perjudicando directamente a su software.
Códigos Maliciosos
En seguridad informática, código malicioso es
un término que hace referencia a cualquier conjunto de códigos, especialmente
sentencias de programación, que tiene un fin malicioso. Esta definición incluye
tanto programas malignos compilados, como macros códigos que se ejecutan
directamente, como los que suelen emplearse en las páginas web (scripts).Los
códigos maliciosos pueden tener múltiples objetivos como:• Extenderse por la
computadora, otras computadoras en una red o por internet
. • Robar información y claves.
• Eliminar archivos e incluso formatear el
disco duro.
• Mostrar publicidad invasiva.
Mínimos cambios en un código malicioso, pueden
hacer que ya no sea reconocido como malicioso por un programa antivirus.
No hay comentarios.:
Publicar un comentario