ISO 27001: Amenazas y vulnerabilidades

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001: Amenazas y vulnerabilidades

ISO 27001: Amenazas y vulnerabilidades

ISO 27001

ISO 27001

Las amenazas son las situaciones que desencadenan en un incidente en la empresa, realizando un daño material o pérdidas inmateriales de sus activos de información. El Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 ayuda a controlar las amenazas que pueden desencadenar los incidentes.

La definición de amenaza es la diversidad de consecuencias, lo que hay que tener en cuenta es examinar el impacto.

Características de las amenazas

La definición anterior recoge la esencia de las amenazas, es decir, es un potencial evento. La consecuencia de las amenazas es un incidente que modifica el estado de seguridad de los activos amenazados, por lo que se hace pasar de un estado anterior al evento a otro posterior, de cualquier forma que se trate la amenaza o las agresiones materializadas.

La distancia que hay entre la amenaza potencial y su materialización como agresión real se mide por la frecuencia o la potencialidad de esta materialización, por lo que se cuenta una agresión materializada, las amenazas se verán si son agresiones potenciales o maternizadas.

Tipos de amenazas

Todas las causas de las amenazas permiten ser clasificadas por su naturaleza. Podemos emplear cuatro causas amenazadoras: no humanas, humanas involuntarias, humanas intencionales que necesitan presencia física y humana intencional que proceden de un origen remoto.

No humanas

  • A1: Accidente físico de origen industrial, incendios, explosiones, inundaciones, contaminación.
  • A2: Averías que pueden ser de origen físico o lógico, se debe al el efecto de origen.
  • A3: Accidente físico de origen natural, riada, fenómeno sísmico o volcánico.
  • A4: Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicaciones, fluidos y suministros.
  • A5: Accidentes mecánicos o electromagnéticos.

Humanas

  • E1: Errores de utilización ocurridos durante la recogida y transmisión de datos.
  • E2: Errores de diseño existentes desde los procesos de desarrollo del software.
  • E3: Errores de ruta, secuencia o entrega de la información durante el tránsito.
  • E4: Errores de monitorización, trazabilidad o registros del tráfico de información.

Humanas intencionales que necesitan presencia física

  • P1: Acceso físico con inutilización.
  • P2: Acceso lógico con intercepción pasiva simple de la información.
  • P3: Acceso lógico con alteración o sustentación de la información en tránsito, o reducir la confidencialidad para aprovechar los bienes o servicios.
  • P4: Acceso lógico con corrupción o destrucción de información de configuración, o con reducción de la integridad y la disponibilidad del sistema sin provecho directo.
  • P5: no se encuentran disponibles de recursos humanos.

Humana intencional que proceden de un origen remoto

  • T1: Acceso lógico con intercepción pasiva.
  • T2: Acceso lógico con corrupción de información en tránsito o de configuración.
  • T3: Acceso lógico con modificación de información en tránsito.
  • T4: Suplantación de origen o de identidad.
  • T5: Repudio del origen o de la recepción de información en tránsito.

Métrica de las amenazas

Las amenazas tienen un solo interés genérico si no se encuentra asociado al activo que ha sido agredido, aunque se pueda valorar la vulnerabilidad, según la métrica de ésta.

Vulnerabilidades

La vulnerabilidad de un activo de seguridad es la potencialidad o la posibilidad de que se materialice una amenaza sobre el activo de información.

Características de la vulnerabilidad

La vulnerabilidad es una propiedad de la relación entre un activo y una amenaza, aunque se suele vincular más al activo como una no calidad de éste. La vulnerabilidad es un concepto que tiene dos aspectos básicos:

  • Forma parte del estado de seguridad del activo en su función-propiedad de mediación entre el activo y la amenaza como acción.
  • En su aspecto dinámico, es el mecanismo obligado de conversión de la amenaza en una agresión que se ha materializado sobre el activo de información.

Por ejemplo si tenemos la amenaza “inundación por crecida de torrente” combinada con el activo situado en la zona inundable, se plasma en una vulnerabilidad de dicho activo respecto a esa amenaza, vulnerabilidad que depende del “ciclo de recurrencia” por las avenidas de agua en la zona y de la ubicación del centro de cálculo.

No se puede asimilar la vulnerabilidad con la probabilidad que ha sido utilizada durante un método científico-técnico, en la que se establece una teoría-cálculo de probabilidades. No se puede ser consciente de un tipo frente al número total de casos que sucede, por lo que el denominador no tendría sentido.

Tipos de vulnerabilidad

Se pueden considerar dos acepciones principales:

  • La vulnerabilidad intrínseca del activo respecto del tipo de amenaza sólo depende de ambas cantidades.
  • La vulnerabilidad efectiva del activo tiene en cuenta las salvaguardas aplicadas en cada momento a dicho activo, como un factor en el que se estima la eficacia global de dichas salvaguardas.

Atributos de las vulnerabilidades

La vulnerabilidad intrínseca puede descomponerse en análisis detallados, que se encuentran en varios bloques de atributos:

  • Potencialidad autónoma respecto al activo de seguridad que se encuentre amenazado.
  • Potencialidad derivada de la relación entre activo y amenaza.
  • Factores subjetivos generadores de más o menos fuerza.
  • Oportunidad de acceso al dominio si se tiene la suficiente capacidad y los recursos necesarios, que son cuatro: Accesibilidad física presencial, accesibilidad física cualificada, accesibilidad lógica competencial y accesibilidad lógica instrumental.

Software para Sistema de Gestión de Seguridad de la Información

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISO-27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.  Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando…