Sit u1

Page 1

Origen de la Seguridad y su Problemรกtica M.C. Juan Carlos Olivares Rojas Septiembre 2009

Agenda

• ¿Qué es la seguridad?

• Evolución de la seguridad • Los grandes problemas • Organismos internacionales • Normatividad en seguridad

¿Qué es la seguridad?

• El término seguridad proviene del latín securitas. Se refiere a la seguridad como la ausencia de riesgo o también a la confianza en algo o alguien. • Otras definiciones de seguridad:

– Mecanismos de control que evitan el uso no autorizado de recursos. – Protección de información (datos) de daño intencionado o accidental

Conceptos Básicos de Seguridad

• Para Peter Drucker, gurú de la administración: “El primer deber del negocio es sobrevivir y el principio guía de la economía comercial no es la maximización de las utilidades, sino el evitar las pérdidas”. • Esto refleja la importancia que tiene la seguridad en el ámbito empresarial en cuestión a la pérdida de activos.

Conceptos Básicos de Seguridad

• Los requisitos básicos de seguridad en TICs son: • • • • • • •

Autenticación Control de Acceso Confidencialidad Integridad No repudio Disponibilidad Privacidad

Evolución de la seguridad

• Al inicio de la computación, al sólo existir pocas máquinas y pocos usuario la seguridad era prácticamente nula ya que se tenía confianza plena en las personas. • Al popularizarse la computación personal trajo consigo que muchas personas pudiesen manejar computadoras. Esto originó que se dejará de confiar en las personas (diferencia entre vivir en un pueblo chico y uno grande).

Evolución de la Seguridad

• Hasta este momento la seguridad era aun controlable. Con la llegada de redes de computadoras (LAN) y el acceso a redes externas (WAN) como Internet el problema se agravó exponencialmente. • Actualmente es cada vez mayor la cultura con respecto a la seguridad de las tecnologías de la información.

Evolución de la Seguridad

• En un principio cuando las empresas empezaron a considerar a las TICs como factores claves de éxito fue necesario que hubiese una persona encargada de la seguridad de dichos activos (1970s). • En la década de 1980 fue necesaria la creación de grupos de trabajos de seguridad dentro de las empresas. Para la década de los 2000 la seguridad es cosa de todos los miembros.

Los grandes problemas

• ¿Cuál es el elemento más importante en una oganización? Los activos, principalmente activos de información. • ¿cuál es el principal activo en una firma como AT&T, Telmex, etc.? • Cobre en 1976 60% • Cobre, Fibra e Infraestructura 30% aprox. en 2008.

Los grandes problemas

• ¿Dónde está el demás dinero? • Sistemas de Información

• ¿Cúal es el activo más importante en CocaCola? • La fórmula secreta. Es la misma desde 1886, sólo 3 personas la conocen en el mundo. • Esta fórmula está protegida como secreto comercial.

Los grandes problemas • El principal problema con la seguridad en TICs es que vivimos en una sociedad de información (conocimiento) donde está representa poder y el poder se ve reflejado en muchos factores, principalmente dinero. • En México el 30% de los encargados de seguridad informática nunca se reúne con los altos directivos para hablar del aseguramiento de los activos de información.

Problemas de Seguridad

• Prncipales mitos de la seguridad en TICs: • Ya compramos un Firewall, ya tenemos seguridad ¿no?. • Manejar el oscurantismo de lo inesperado. • Nunca ha pasado nada, o al menos no nos hemos dado cuenta.

Problemas de Seguridad

• No estoy en Internet, no necesito seguridad. • Mis empleados son gente de confianza!!! • Ver el problema de la seguridad como un problema tecnológico. • La seguridad es relativa. Lo único seguro es la muerte y los impuestos.

Problemas de Seguridad

• El 1 de Mayo de 2004, el gusano Sasser en una semana infectó a 18 millones de computadoras en el mundo, trajo a miles de negocios de rodillas y costó un estimado de 3,500 millones de Dólares. • Algunas estadísticas en cuestión de problemas de seguridad son: • 32% de la pérdida de datos es causada por errores humanos.

Problemas de Seguridad

• 25% de la pérdida de datos se deben a fallas físicas • 15% de la pérdida de datos es por la pérdida o robo del activo de información. • La seguridad debe verse como una inversión no como un gasto. Es cierto que la seguridad es costosa pero es más costosa la inseguridad. “Ninguna medicina es útil si el paciente no la toma”

Problemas de Seguridad

• La seguridad en TICs no solo afecta a recursos computacionales, sino a cualquier activo de información de la empresa. Los activos pueden ser: • Información propiamente tal : bases de datos, archivos, conocimiento de las personas. • Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos.

Problemas de Seguridad

• Software: aplicaciones, sistemas operativos, utilitarios. • Físicos: equipos, edificios, redes • Recursos externos

humanos:

empleados

internos

• Servicios: electricidad, soporte, mantención.

y

Organismos internacionales

• Existen muchas organizaciones internacionales encargadas de la seguridad informática entre las principales destacan: ISO, IEEE, ACM, ISACA (Information System Audit and Control Association), ALSI (Academia Latinoamericana de Seguridad Informática). • Dichos organismos se encargan de regular “mejores prácticas” (estándares, metodologías, guías base, etc.) en cuestión de seguridad informática.

Normatividad en seguridad

• Una de las responsabilidades de la administración de la función informática (administración de TICs) es garantizar la seguridad de los activos de información. • El proceso de aseguramiento de los activos de información sigue una serie de pasos comunes: • Identificación de activos de información y priorización de los mismos.

Normatividad de Seguridad

• Se debe evaluar el activo para ver si merece la pena implementar controles de seguridad. • Se debe de guiar el trabajo a través de una normatividad o estándares los cuales nos indicarán: Qué trabajo hay que hacer, Quién lo debe hacer, Cuándo se hará y con qué frecuencia. • Los estándares deben de ser claros (se deben adaptar a las necesidades internas)

Normatividad en Seguridad

• No se puede administrar lo que no se puede medir, es una de las máximas premisas de la administración. La seguridad debe de poderse cuantificar su desempeño en términos objetivos y tangibles. • Después de medir hay que evaluar el desempeño e indicar que acciones se deben de tomar.

Normatividad en Seguridad

• El componente crítico en todo sistema es el usuario y la seguridad no es la excepción. • ¿De qué sirve tener todo un sistema de seguridad avanzada en una casa si el usuario deja su llave pegada a la puerta (o su contraseña pegada al monitor de su computadora)? • Se debe capacitar a los usuarios.

Normatividad de Seguridad

• La gran mayoría de los incidentes de seguridad ocurren desde dentro, teniendo el mito que es más frecuente hacia el exterior. • La mejor forma de garantizar seguridad es a través de la planeación. • La planeación se compone de tres fases: estimación, itinerario y seguimiento.

Normatividad de Seguridad

• Existen dos enfoques de seguridad:

• En el discrecional, los usuarios tienen derechos de acceso diferentes (privilegios) por lo tanto son muy flexibles • El control obligatorio, cada objeto está etiquetado con un nivel de clasificación y a cada usuario se le da un nivel de acreditación. Son sistemas jerárquicos y rígidos.

Normatividad de Seguridad

• La autenticación es el proceso que consiste en verificar que el usuario es quién dice ser. • La autorización es el proceso para que un usuario pueda realizar una acción. • Registro de auditoría es un archivo o base de datos en el que el sistema lleva la cuenta de las operaciones realizadas por los usuarios.

Normatividad de Seguridad • Los controles de acceso obligatorio se rigen en base al principio de Bell-LaPadula: • El usuario i puede recuperar el objeto j sólo si el nivel de acreditación de i es mayor o igual al nivel de clasificación de j (“propiedad de seguridad simple”).

Normatividad de Seguridad

• El usuario i puede actualizar el objeto j sólo si el nivel de acreditación de i es igual al nivel de clasificación de j. • Los controles de acceso se dividen en 4: D, C, B y A. • Donde D es la protección mínima, C es discrecional, B es obligatoria y A es verificada.

Nomrmatividad de Seguridad • Dentro de C, se encuentran los niveles C1 (menos segura) y C2. • DOS está clasificado en D • ¿Qué es más seguro Windows o Linux? • Linux C1 • Windows C2

Seguridad Física • No sobrecargar los circuitos eléctricos y cordones de extensión. Asegurarse que el voltaje combinado no exceda la capacidad de los circuitos. • Tener un extintor de fuegos tipos C. • No utilizar ningún tipo de electrodoméstico dentro del site.

Seguridad Física • No tomar líquidos dentro del site. • No fumar. • Tener letreros de seguridad. • No situar equipos en sitios altos para evitar caídas. No colocar equipos cerca de ventanas.

Seguridad Lógica • La seguridad lógica está encargada de proveer una serie de controles que ayuden a asegurar los activos de información • Ejemplo: un acuerdo en papel por el cual un usuario que desea obtener un bien o servicio de la compañía está de acuerdo en su uso y respeta lo estipulado.

Seguridad del Personal • El recurso humano o capital intelectual es de suma importancia y garantizar su seguridad física en entornos donde la tecnología ayuda en los procesos de negocio es vital. • Todos los controles deben de tener indicado la forma en que deben de ser utilizados por los miembros de la organización.

Actividad

• Discusión: ¿las máquinas virtuales garantizan mayor seguridad que los sistemas operativos anfitriones? • Tarea: Instalar una máquina virtual tanto de Windows como de un sistema *X (Linux, Solaris, FreeBSD, etc.) • Discusión: ¿qué sucede si utilizando Word ocurre una falla y pierdo mi información: se puede demandar a Microsoft¿

Certificación CISA

• Está compuesta por 200 preguntas:

• Proceso de Auditoria de SI 10% • Gobernanza TI 15% • Gestión del Ciclo de Vida de Infraestructura y Systemas 16% • Soporte y Entrega de Servicios de TI 14% • Protección de Activos de Información 31% • Continuidad del Negocio y Recuperación de Desastres 14%

¿Por qué usar Mejores Prácticas?

• Nos orientan hacia mejores resultados

ISO 17799- ISO 27001

– Política de seguridad – Aspectos organizativos para la seguridad – Clasificación y control de activos – Seguridad ligada al personal – Seguridad física y del entorno – Gestión de comunicaciones y operaciones – Control de accesos – Desarrollo y mantenimiento de sistemas – Gestión de incidentes de seguridad – Gestión de continuidad de negocio – Conformidad

Seguridad • El ISO/IEC 17799, define CIA (Confidentialy, Integrity, Availability) como pilar fundamental de la Seguridad Informática. • Existen 4 planes de actuación: técnico, humano, legal y organizativo. • Para nuestro curso se tomaran los siguientes: técnico, físico y logístico.

Seguridad

• La seguridad es un proceso. Se necesita de un Sistema de Gestión de Seguridad de la Información (SGSI). • ISO 27000 es un estándar de SGSI como el ISO 9000 pero enfocado en seguridad. • Existen otras nrmativas como: SSE/CMM (Systems Security Engineering/ Capability Maturity Model).

Seguridad

• Esta metodología define niveles de madurez de los procesos entendiendose por madurez el grado de definición de un proceso. Los niveles son: • Nivel 0: Nada de seguridad • Nivel 1: Prácticas de seguridad realizadas de manera informal.

Seguridad

• Nivel 2: Planificación y seguimiento de las prácticas de seguridad • Nivel 3: Definición y coordinación de las políticas y procedimientos de seguridad. • Nivel 4: Seguridad controlada a través de distintos controles y objetivos de calidad. • Nivel 5: Implantación de un proceso de mejora continua.

Seguridad Informática • Se tiene una informática:

jerarquía

de

• CIA • Políticas • Planes • Procedimientos • Tareas y Operaciones • Registros y Evidencias.

seguridad

Seguridad Informática

• Ejemplo de seguridad CIA

• Política: protección del servidor Web de la organización contra accesos no autorizados. • Procedimiento 1: Actualización del software del servidor Web. • Tarea1: Revisión diaria de los parches publicados por el fabricante.

Seguridad Informática • Tarea2: Seguimiento de las noticias sobre posibles fallos de seguridad. • Procedimiento 2: Revisión de los registros de actividad en el servidor. • Tarea1: revisión semanal de los “logs” del servidor para detectar anomalías.

Seguridad Informática • Tarea2: Configuraciones de alertas de seguridad que permitan reaccionar de forma urgente ante determinados tipos de ataques e intentos de intrusión. • Otros: • Inventario de soportes físicos. • Destructor de Discos Duros

Seguridad Informática

• Política de uso de Correo Electrónico:“El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio, cualquier uso personal deberá limitarse al mínimo posible” • Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”.

Seguridad Informática

• Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso” • Procedimiento de Alta de Usuarios: • Cada vez que se contrate a una persona, su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios.

Seguridad Informática

• El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso, perfil del usuario, nombre, rut, sección o unidad a la que pertenece. • El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente.

Seguridad Informática

• El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso. • ¿Este tipo de control hacia que tipo de seguridad afecta? • Aunque es más del tipo lógico por ser un control de acceso, también tiene que ver con el control técnico del servicio.

SGSI

• Un SGSI se encuentra estandarizado en la norma ISO 27001:2005. • La ISO 17799:2005 define buenas prácticas de SI pero en si no es certificable como tal. Se utilizó hasta antes de definirse el ISO 27001:2005 • Está basado en la norma británica BS7799 utilizada en seguridad de SI.

SGSI • A continuación se muestran las principales versiones del estándar: • ISO 27000 Vocabulario y Glosario • ISO 27001 Estándar certificable • ISO 27002 Relevo del ISO/IEC 17799:2005

SGSI • ISO 27003 Guía de implantación • ISO 27004 Métricas e indicadores • ISO 27005 Gestión de Riesgos • ISO 27006 Requerimientos para las entidades de auditoría y certificación.

SGSI • Se basa en la metodología de Dewey (Plan, Do, Check, Act). La cual quedaría definida así: • Plan: Establecer el SGSI • Do: Implantar y Operar el SGSI • Check: Monitorear y Revisar el SGSI

Sistema de Gesti贸n de Seguridad de la Informaci贸n

SGSI • Act: Mantener y mejorar el SGSI • Otras actividades: • • • •

Control de Documentos Capacitación Acción Correctiva Acción preventiva

SGSI • Se clasifican cada uno de los activos, se determinan amenazas, vulnerabilidades, riesgos basándose en una escala de 1 (muy bajo) a 5 (muy alto). • Se debe realizar un Plan de Continuidad del Negocio, el cual puede contener: • DRP Disaster Recovery Planning

SGSI • BRP Business Resumption Planning • COOP Continuity Operations Planning • CP Contingence Planning • ERP Emergency Response Planning

SGSI • Pirámide Documental: • Manual de Seguridad • Procedimientos • Instrucciones de Trabajo • Documentos

COBIT

Control Objective for Information & related Technology.

COBIT

• Modelo de Gobernanza de TI • Sirve de base para saber cómo debe de organizarse de forma eficiente una organización que maneje TI. • Se basa en el supuesto de que si una organización está bien estructurada en sus procesos hay menos problemas de seguridad.

ITIL

• IT Infrastructure Library, incluye definiciones de las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes: • Soporte de Servicios • Distribución de Servicios • Sirve de base para estructurar la parte de infraestructura (física y lógica de una organización).

Proyecto Final

• Implementación de un SGSI realizando el diseño del SGSI en ISO27000 u otra metodología, la implementación y la validación de controles. • La empresa deberá ser de preferencia real aunque se trabaje o no actualmente en ella. • El número de activos y de controles dependerá del problema planteado. Se espera que esto funcione de manera adecuada.

Referencias

• Morales, R. (2008) Curso de Informática, SI040001, ITESM.

Seguridad

• González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia. • Gómez, A. (2007). Enciclopedia de la Seguridad Informática, Alfaomega, México, ISBN: 978-970-15-1266-1.

Referencias

• McNab, C. (2004). Seguridad de Redes. Anaya Multimedia O’Reilly, España, ISBN: 84-4151751-1 • Senft, S. And Gallegos, F. (2008) Information Technology Control and Audit, Third Edition, CRC Press, United States

多Preguntas?

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.