SISTEMAS DE GESTÓN DE SEGURIDAD DE LA INFORMACIÓN Expositor: Mg. Ing. Miguel Robles-Recavarren Benites M_roblesrecavarren@hotmail.com
Contenido Estado del Arte. Introducción a la Seguridad en TI. Definiciones Básicas. Plan de Seguridad de la Información (PSI). Principios. Consideraciones. Tipos de Seguridad. Plan de Contingencias (PCN). Seguridad en Internet. Metodologías para la elaboración del PCN y PSI.
ESTADO DEL ARTE
Estado del Arte Innovaci贸n Competencia Global
Poder de Negociaci贸n
Negocios Organizaciones Instituciones
Manejo del Cambio
Negocios Internacionales Recursos y Utilidad
Ventaja Competitiva Personas Valor Generado
Velocidad en Los Servicios
Estado del Arte EMPRESA
ESTRATEGIAS DE NEGOCIOS
OBJETIVOS ESTRATÉGICOS DEL NEGOCIO
Reingeniería de procesos Reestructuración Organización horizontal Manejo de personas Procesamiento distribuido Dimensionamiento correcto Benchmarking Offshoring Outsourcing E-business SCM – BI - CRM
Introducci贸n a la Seguridad en TI
Introducción TECNOLOGÍA DE LA INFORMACIÓN
SEGURIDAD DE TI
PROCESOS DE NEGOCIOS
GESTIÓN DE SEGURIDAD
Identificaci贸n de Amenazas Tipos de Amenazas
Amenazas a Instalaciones
Amenazas Sociales
Tipos de Vulnerabilidades
Seguridad de los recursos humanos
Control de Acceso
Vulnerabilidades
Seguridad fĂsica y ambiental
Entorno Inteligencia de negocio
Plan de negocio estratégico
Ventaja competitiva.
Entorno DE Vicepresidente de finanzas
Vicepresidente de recursos humanos
Vicepresidente de manufactura
Vicepresidente de mercadotecnia
Plan específico para los recursos de información
El modelo de la administración de los recursos e información. Usuarios Finales
DI
Comité Directivo del SIA Política y estándares Recursos de información Centros de información
Instalación de computo central
Áreas del usuario Usua rios
Introducción “El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por el” Gene Spafford
Mitos de Seguridad El Sistema puede llegar al 100% de seguridad. Mi red no es lo suficientemente atractiva para ser tomada en cuenta. Nadie pensara que mi clave de acceso es sencilla. Linux es más seguro que Windows. Si mi servidor de correos tiene antivirus, mi estación no lo necesita.
Definiciones Bรกsicas
Tecnología de la Información Conjunto de ciencias relacionadas con los
Sistemas y la Informática que constituyen el elemento indispensable para el desarrollo de la humanidad y la generación sostenida de puestos de trabajo.
Términos y Definiciones ACTIVO: Algo que presenta valor para la
organización. DISPONIBILIDAD: usuarios
Garantizar
autorizados
tengan
que acceso
los a
la
información y activos asociados cuando sea necesario.
CONFIDENCIALIDAD:
Garantizar
que
la
información sea accesible únicamente para quienes tengan acceso autorizado.
Términos y Definiciones SEGURIDAD DE LA INFORMACIÓN: Preservar
la
confidencialidad,
integridad
y
disponibilidad de la información; además, también
pueden
características
ser como
involucradas la
otras
autenticación,
responsabilidad, no-repudio y fiabilidad.
Términos y Definiciones EVENTO
DE
LA
SEGURIDAD
DE
LA
INFORMACIÓN: Ocurrencia identificada en un sistema, servicio o red indicando una posible brecha de la política de seguridad de la información o falla de las salvaguardas o una situación desconocida previa que puede ser
relevante. .
Términos y Definiciones INCIDENTE
DE
LA
SEGURIDAD
INFORMACIÓN: Una serie deseados
que
tienen
DE
LA
de eventos no
una
probabilidad
significativa de comprometer operaciones del negocio
y
información.
amenazar
la
seguridad
de
la
Términos y Definiciones SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
-
ISMS:
Es
la
parte
del
Sistema Integral de Gestión, basado en un enfoque
del
riesgo
del
negocio
para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de
la información. El
sistema
de
gestión
incluye
la
estructura
organizacional, políticas, actividades de planificación, responsabilidades,
procesos y recursos.
prácticas,
procedimientos,
Términos y Definiciones INTEGRIDAD: Salvaguardar la exactitud e
integridad
de
la
información
y
activos
asociados. RIESGO
RESIDUAL:
Riesgo
remanente
después de un tratamiento del riesgo. ACEPTACIÓN
DEL
RIESGO:
Decisión
de
aceptar el riesgo. ANÁLISIS DEL RIESGO: Uso sistemático de información
para
estimular el riesgo.
identificar
amenazas
y
Términos y Definiciones ESTIMACIÓN DEL RIESGO: Proceso total de
análisis y evaluación del riesgo. EVALUACIÓN
DEL
RIESGO:
Proceso
de
comparación del riesgo estimado frente al
criterio
de
riesgo
para
determinar
el
significado del riesgo.
GESTIÓN
DEL
RIESGO:
Actividades
coordinadas para dirigir y controlar el riesgo en una organización.
Términos y Definiciones TRATAMIENTO
DEL
RIESGO:
Proceso
de
Selección e implementación de controles para minimizar el riesgo. DECLARACIÓN
DE
APLICABILIDAD:
Documento que describe los objetivos de control y los controles que son relevantes y
aplicables al ISMS de la organización.
Algunos artĂculos:
www.diarioti.com
Repercusión de las infracciones de seguridad Pérdida de beneficios
Perjuicio de la reputación
Pérdida o compromiso de la seguridad de los datos
Deterioro de la confianza del inversionista
Deterioro de la confianza del cliente
Consecuencias legales
Interrupción de los procesos empresariales
QUÉ BUSCA LA SEGURIDAD?
Proteger Derechos El derecho a la privacidad El derecho a estar informados Proteger activos Información Equipos ( Sistemas, Redes, computadoras) Reforzar las reglas Leyes, Políticas y Procedimientos
VIDEO: PRIVACIDAD EN INTERNET BRUSELAS - BÉLGICA
Sistema Nacional de Informática IMPLEMENTACIÓN
PERUANA
GESTIÓN
LA
“NTP-ISO/IEC
TECNOLOGÍA TÉCNICAS
DE DE
DE DE
NORMA
TÉCNICA
27001:2008
LA
EDI
INFORMACIÓN.
SEGURIDAD.
SISTEMAS
SEGURIDAD
INFORMACIÓN. REQUISITOS”.
DE
DE LA
Aspectos crĂticos de la seguridad Backup
Kerberos
Arquitectura Segura de IT
Personas Developer USER
El riesgo est谩 en funci贸n del valor del activo de la informaci贸n, la magnitud de la amenaza y las vulnerabilidades existentes MEDIDAS
The Italian Mpack Job
33
Entre mediados de Abril y Junio del 2007, un gran número de servidores Web fueron infectados. Se asumió que la causa fue un fallo común afectando servidores Apache e IIS o un error de configuración en el proveedor de servicios. En Junio del 2007, mas de 10,000 sitios fueron afectados, de los cuales, 80% estuvieron en Italia. Mas de 80,000 sistemas fueron infectados. Tan pronto como los usuarios visitaban el sitio, estos eran direccionado silenciosamente a un servidor que contenía la pagina PHP de una herramienta llamada MPack.
Estando en esta página, varios ataques diseñados para aprovechar las fallas de seguridad del navegador del usuario (Firefox, IE, Opera, etc.) se aplicaban. Esta forma de ataque se hizo común en el 2008 2/18/2014
Seguridad de SI Seguridad de la información elemento integral de la empresa. Fases del Proceso: * Identificación de riesgos. * Plan de Seguridad. * Infraestructura. * Mantenimiento y Coste
debe
ser
Valor de la Información El principal bien de las empresas es la información la cual hay que proteger en la medida que su pérdida afecte a la empresa u organización. En el valor de la información entra a tallar el flujo de la misma. Si el bien fluye de un lado a otro, el camino que recorre también debe ser protegido y el medio de transporte lógico debe ser seguro.
Tipo de Información según Empresa
Empresa Privada
Pública Sensible Privada Confidencial
Empresa Gubernamental No Clasificada Sensitiva pero no Clasificada Confidencial Secreta Top Secret
The National Strategy for Homeland Security of the United States
Video Microsoft
Taller
1:
Trabajo
en
Grupo
a. Proponer soluciones de manejo de la informaci贸n. b. Proponer soluciones de integraci贸n de procesos.
RIESGOS EN ORGANIZACIONES FINANCIERAS
NORMA BASILEA II Riesgos Crediticio Mercado Operativo
Huelgas Catテ。strofe Robo Terrorismo
$
Ciclo de Vida
Aテ前
Eje Y
Empresa
Riesgo
$ PERDIDA ESPERADA
PROVISIONADO
PERDIDA INESPERADA
TIEMPO (aテアos)
Perdidas Catastrテウficas
¿Cuánto dinero se ha perdido?, El mensaje entre líneas …
ESTÁNDARES POLÍTICAS
NORMAS
ORGANIZACIÓN
(PERSONAS)
FUNCIONES PROCEDIMIENTOS PLANES
METODOLOGÍAS
OBJETIVOS DE CONTROL
PROCEDIMIENTOS DE CONTROL
INFORMÁTICA USUARIOS
TECNOLOGÍA DE LA SEGURIDAD
HARDWARE SOFTWARE
HERRAMIENTAS
FACTORES DE LA CONTRAMEDIDA
POLÍTICAS DE SEGURIDAD
OBJETIVO: El objetivo de una política de seguridad es el de comunicar a toda una organización que la información que posee la empresa es muy valiosa y es responsabilidad y compromiso de todos los trabajadores resguardarla y en caso de compartirla deben tener en cuentan los riesgos que puedan ocurrir si esta información cae en manos no autorizadas.
POLÍTICAS DE SEGURIDAD
Buena Política : Una buena política de seguridad proporcionará a la empresa la base para que diseñe un eficaz sistema de seguridad.
Problemas de Seguridad Problemas Estructurales :
1. ORGANIGRAMA Y FUNCIONES. 2. CANALES DE COMUNICACIÓN. 3. RECURSOS ASIGNADOS.
Problemas de Seguridad
Problemas en el planeamiento :
1. 2. 3. 4.
FALTA DE COHERENCIA. DIRECTRICES HETEROGÉNEAS. FALTA DE DEFINICIÓN DE FUNCIONES. NO SE DEFINEN NORMAS PROCEDIMIENTOS DE SEGURIDAD. 5. DIFICULTAD EN JUSTIFICAR RECURSOS.
NI
Problemas de Seguridad
El problema 1. LA TECNOLOGÍA NO ES LA PANACEA. tecnológico : 2. LAS HERRAMIENTAS NO CUBREN TODAS LAS NECESIDADES. 3. EXCESIVA CONFIANZA.
Modelos de Políticas de Seguridad
• Política Individual. • Política General Plana. • Política de Tres Capas. • Modelo ISO 17799.
Esquema de Desarrollo de una Política de Seguridad Identificar requerimientos técnicos y Administrativos de la organización Definir políticas individuales Definir políticas generales Definir estándares, guidelines
Replanteamiento
Definir procedimientos
Evaluación
¿Necesitan Corrección?
Presentación final
Aprobación por la Alta dirección
¿Qué es un Plan de Seguridad de la Información (PSI)?
PSI Estrategia planificada de acciones y proyectos para la protecci贸n de: informaci贸n (D/B), sistemas de informaci贸n (SW-IS) e infraestructura f铆sica (HW-TIC).
Objetivo Demostrar c贸mo una estrategia integrada de Seguridad de la Informaci贸n puede contribuir de manera efectiva al logro de los objetivos de Negocio de su empresa.
Objetivo
Consolidación de: - Confidencialidad - Integridad y autenticidad - Disponibilidad - No repudio Si se cumplen estos puntos, diremos en general que los datos están protegidos y seguros.
Medidas y sus objetivos Una serie de niveles de control. - La falla de un nivel será “absorbida” por las otras. - Reducir el impacto global al mínimo. Objetivos - Disuadir - Detectar - Minimizar el impacto de pérdida o desastre - Investigar - Recuperar
Entender la defensa a profundidad Utilizar un enfoque dividido por etapas: Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor Datos Aplicación Host Red interna Perímetro Seguridad física Políticas, procedimientos y conciencia
Contraseñas fuertes, ACLs, estrategia de respaldo y restauración Fortalecimiento de la aplicación
Fortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría Segmentos de red, NIDS Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentena
Protecciones, seguros, dispositivos de seguimiento Políticas de seguridad, procedimientos y educación
Arquitectura General de Seguridad
ATAQUES DIRIGIDOS
VIDEO: CONTROL DE ACCESOS
Protección de la capa perimetral Socio de negocios
Oficina principal
Internet LAN
LAN
Servicios de Internet La protección del perímetro de la red incluye: Firewalls Bloquear puertos de comunicación Traducción de puerto y dirección IP Redes privadas virtuales (VPNs) Protocolos de túnel Cuarentena de la VPN
Servicios de Internet
Usuario remoto
Oficina sucursal Red inalámbrica LAN
Riesgo de la capa interna de la red Acceso no autorizado a sistemas
Puertos de comunicaci贸n inesperados
Acceso no autorizado a redes virtuales
Examinar paquetes de la red Acceso a todo el tr谩fico de la red
Ejemplo 1: Anรกlisis de Riesgo Academia PAMER
Tipos de Seguridad
Seguridad
Física Seguridad Lógica
Seguridad FĂsica
Ubicación física y disposición del centro de TI Consideraciones: - Características del equipo - Valor del equipo - Importancia del equipo Lugar mas conservador y clandestino - Lejos del tránsito terrestre y aéreo. - Lejos de elementos electrónicos Radares (5 volts / metro) Microondas
Riesgos por ubicaci贸n Actividad Acceso a M谩quinas Acceso de elementos de trabajo Carga del suelo Filtraciones de agua Inundaci贸n Sabotaje Al = Alto Me = Medio Ba = Bajo So = S贸tano
Al G
Nivel Me Ba M P
So P
G
M
I
P
G G I P
M P P G
P P M G
I P G P
G = Grave M = Mediano P = Poco I = Inexistente
FILTRACIONES EN LA PARED
Instalaciones Físicas del Centro de TI Factores inherentes a la localidad:
- Naturales Hundimiento del piso Temperatura Sismos - Servicios Líneas Telefónicas Instalaciones Eléctricas Antenas de Comunicación - Seguridad Lugares desolados o desprotegidos Fuentes de incendios Inundaciones
Instalaciones Físicas del Centro de TI Factores inherentes al centro de TI:
- Piso falso Sellado hermético Nivelado topográfico Tierra física (aterrizado) Cableado cubierto Aprox. 40 cm. - Cableado De alto y bajo voltaje Cables de Telecomunicaciones Cables de señales para monitores
Cableado Estructurado
FALTA DE CANALETAS
CABLEADO DE RED EN DESORDEN
Switch de 8 puertos
Instalaciones Físicas del Centro de TI - Paredes y techos Pintura plástica lavable Falso (amarres del plafón) La altura neta: 2.70 a 3.30 mts. - Puertas de acceso Puertas de doble hoja de 1.50 cm. Salida de emergencia Dimensiones máximas del equipo - Iluminación Generadores fuera de la sala. La alimentación de la iluminación diferente al del equipo. El 25% debe ser de emergencia conectado al UPS.
Instalaciones Físicas del Centro de TI - Filtros * 99% de eficiencia sobre partículas de 3 micrones * Si existen otros contaminantes seleccionar filtros adecuados * Aire de renovación y ventilación tratado previamente: Temperatura Humedad - Vibración Equipos antivibraciones - Ductos Lisos y sin desprendimiento de partículas
Control de acceso físico Estructura y disposición del área de recepción. - Identificación del personal y visitantes. - Recursos magnéticos. - Vidrio reforzado.
Acceso de terceras personas - De mantenimiento del aire acondicionado y cómputo. - De limpieza. - Identificación plenamente.
Instalaciones Físicas del Centro de TI Acondicionamiento del local - Necesidades de espacio Especificaciones técnicas del equipo Áreas de cintas, discos, archivos Evitar áreas con formas extrañas Preferentemente rectangulares Consideraciones a futuro - Distribución en planta Planos civiles y arquitectónicos Hidráulicos Sanitario Planta Teléfono Memoria de Cálculo Seguridad Energía Eléctrica
Control de acceso físico Identificación del personal - Algo que sea portátil. - Algo que se sabe. - Alguna característica física especial. Guardias y escoltas especiales Registro de firmas de entrada y salida Puertas con chapas de control electrónico Tarjetas de acceso y gafetes de identificación Biometría Entrada de dos puertas Alarmas contra robos Trituradores de papel
Aire acondicionado Riesgos - Mal funcionamiento del AC ocasiona que el equipo de cómputo sea apagado. - La instalación del AC es una fuente de incendios. Prevenciones - Instalar AC de respaldo. - Extintores y detectores de humo. - Alarmas de temperatura y humedad.
Aire acondicionado Capacidad del equipo de AC - Disipación térmica de las máquinas y del personal - Pérdidas por puertas y ventanas - El AC debe ser independiente del aire general - Conectarse directamente al generador de electricidad Distribución del aire en la sala - Distribución por techo - Distribución por piso falso - Distribución por dos canales
Instalación eléctrica Corriente regulada Sistemas de corriente interrumpida - Regular la corriente eléctrica - Proporcionar energía eléctrica continua - Tipos de sistemas Básico Completo Redundante
Instalación eléctrica Plantas generadoras de energía - Clasificación Gas Diesel Gasolina Sistemas de conexión de tierra
Impacto de la Energía Eléctrica en la TI
DISTURBIOS DE LA ENERGÍA ELÉCTRICA Picos de Voltaje y Efectos Transitorios Sobretensión o Sobrevoltaje
EQUIPO QUE BRINDA LA PROTECCIÓN SUPRES. PICOS
ESTAB. VOLTAJE
X
ACONDIC LINEA
EQUIPO APS
X X
X
X
EQUIPO SPS
EQUIPO UPS
X
X
X
X
Micro Cortes de Energía
X
Armónicos de Corriente
X
Ruido Eléctrico en Modo Común
X
X
Ruido Eléctrico en Modo Normal
X
X
Interferencias EM y de RF
X
Descargas Eléctricas Atmosféricas
X
Cortes de Energía ó Apagones
X X
X
X
X X
X
X
X
Protección, detección y extinción de incendios Consideraciones sobresalientes - Paredes de material incombustible - Techo resistente al fuego - Canales y aislantes resistentes al fuego - Sala y áreas de almacenamiento impermeables - Sistema de drenaje en el piso firme - Detectores de fuego alejados del AC - Alarmas de incendios conectado al general
Protección, detección y extinción de incendios Tipo de Material Seco Líquidos Eléctrico NU = No usar E = Excelente
Tipo de Extintor H2O CO2 Espuma Polvo seco E Luego E Luego agua agua Si E E E NU E NO SI
GABINETE CERCA DE MATERIAL INFLAMABLE
Mantenimiento Propio o externo Equipo informático - Electricidad, agua, AC, etc. Refleja las actividades disciplinarias Falta provoca una fractura en la seguridad
Taller 2: Trabajo Grupal a. Establezca una lista de 10 activos en su empresa. b. Determine para cada activo sus debilidades y amenazas a los que estรกn expuestos.
c. Establezca el nivel de impacto de la amenaza sobre el activo.
Seguridad L贸gica
Causas de inseguridad La deficiencia en los equipos respectivos de soporte La “inteligencia” social
El espionaje industrial La deficiente administración de una red Los virus Fallos en la seguridad de programas
Los vándalos informáticos
Amenazas Password cracking Fraudes informáticos
Escalamiento de privilegios
Puertos vulnerables abiertos
Man in the middle
Exploits
Violación de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados
Denegación de servicio
Backups inexistentes Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default Desactualización
Keylogging
Port scanning
Hacking de Centrales Telefónicas
Más Amenazas!! Spamming
Intercepción y modificación y violación de e-mails
Violación de contraseñas
Captura de PC desde el exterior
Virus
Incumplimiento de leyes y regulaciones
Mails anónimos con agresiones
Ingeniería social
empleados deshonestos
Programas “bomba, troyanos” Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes
Robo o extravío de notebooks, palms
Propiedad de la información Robo de información Intercepción de comunicaciones voz y wireless
Acceso indebido a documentos impresos Indisponibilidad de información clave
Falsificación de información para terceros
Agujeros de seguridad de redes conectadas
Base de Datos • Acceso autorizado. • Copia. • Robo.
no
Hardware • Falla de los mecanismos de protección. • Fuga de la información.
Software de sistemas • Falla de los mecanismos de protección. • Fuga de información.
Derivación
Base de datos
PROCESADOR
Diafonía
Reglas de Acceso
Programador de aplicaciones. * Programación de aplicaciones que se comportan de modo contrario a la especificación.
Terminales * Localizadas en un entorno inseguro Radiación Operador • Duplicación de informes confidenciales. • Inicio de un sistema inseguro. • Robo de un material confidencial.
Autorización • Especificación incorrecta de la política de seguridad.
Programador de Sistemas • Desviación de los mecanismos de seguridad. • Inhabilitación de los mecanismos de seguridad. • Instalación de un sistema inseguro.
Entorno externo • Desastres naturales. • Ataques mal intencionados. • Acceso no autorizado al centro de computo.
Terminales de usuarios * Identificación fraudulenta. * Fuga ilegal de información autorizada.
113
El Mercado negro mantiene el robo de identidad Crimeware/Author
Description
Listed Price
FTP Checker
Tool for automating FTP account validation (username/password) from a predefined list.
$15
IcePack (by IDT Group)
Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. Advanced administrator interface.
$40 to $400
Limbo V1.7 (December 2006)
Grabber: tool for collecting banking information
1,000 wmz (see note)
MPack (by DreamCoders Team) V0.99 (August 2007)
Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites.
$700
Nuclear Grabber (by Corpse) V5 (February 2007)
Improved version of Haxdoor without a backdoor. Universal kit for creating tools to capture targeted banking data. Able to intercept and retransmit authentic transactions on the fly between the bank and its client. Addition of new fields to fill out, management of checkboxes and option lists, virtual keyboards, etc. Data transmitted to the bank is also sent to a collection site.
$3,000 (October 2005) $100 (July 2007)
Pinch (originally by Coban2k) V2.99 (March 2007)
Trojan designed to steal information sent by various office tools, such as RDP (Remote Desktop Protocol) clients and messaging tools (The Bat!, Outlook, etc.). Guaranteed non-detection.
$30 Update: $5 Management help tool: $100
Power Grabber (by privat.inattack.ru) v1.8 (March 2007)
Grabber: tool for collecting banking information. Works with many banking organizations, as well as PayPal, eBay, e-gold, etc.
$700 Add $30 for anti-virus protection.
Web-Attacker (from inet-lux.com)
Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. Technical support available.
$25 to $300 (July 2006) Approx. $17
Note: wmz is the symbol for one of the electronic money units used by WebMoney (1$US = 1wmz).
C贸digo malicioso estilo parasito regresa. La vieja escuela!!!
114
2/18/2014
La producci贸n de Malware alcanza proporciones epid茅micas 600000
500000
400000
300000
200000
100000
19 90 19 91 19 92 19 93 19 94 19 95 19 96 19 97 19 98 19 99 20 00 20 01 20 02 20 03 20 04 20 05 20 06 20 07 20 08
0
Count
Estimation
115
TEMAS DE PROGRAMACIÓN DE FRAUDE Técnica de programación Virus
Gusanos
Caballo de Troya
Rebanada de salami
Definición Instrucciones secretas dentro de programas (o datos) que se ejecutan inocentemente durante tareas ordinarias. Las instrucciones secretas talvez obstruyan o alteren los datos, además de diseminarse dentro o entre sistemas computarizados.
Un programa que se duplica por sí solo y penetra a un sistema computarizado válido. Tal vez dentro de una red, penetrando en todas las computadoras conectadas. Un programa ilegal, contenido dentro de otro programa que “está latente” hasta que ocurra algún evento específico, desatando luego la activación del programa ilegal y la producción de daños. Un programa diseñado para extraer pequeñas cantidades de dinero de varias transacciones grandes, de manera que la cantidad extraída no se manifieste con facilidad.
Super zapping
Un método consistente en utilizar un programa “zap” de utilería que puede desviar controles para modificar programas o datos.
Puerta trasera
Una técnica que permite entrar el código de un programa, posibilitando insertar instrucciones adicionales.
VIDEO DELITOS INFORMÁTICOS EN PERÚ
Tendencias del Delito Informático Móvil
Social
Rootkits
Parásitos
118
Estrategias de Defensa
Detección Limitación Recuperación Corrección
Tipos de evaluaciones de seguridad Exploraciones de vulnerabilidades: Se enfoca en las debilidades conocidas Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:
Se enfoca en las debilidades conocidas y desconocidas Requiere probadores altamente capacitados Lleva una carga legal tremenda en ciertos países/organizaciones
Auditoría en la seguridad de informática:
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la industria
Situaci贸n Actual
RED PC’s
Situación Sugerida Internet Red Admin.
Red 01
Red Capacittaciones
Consola Antivirus
Firewall Checkpoint
ISS Proventia 3200
DMZ BVL LAN COSAPI
Websense Enterprise
Red 02
Red 03
Usuarios Cosapi
SMS 8340
ISS Proventia 4200 Prevenciòn de intrusos
Servidores BVL
RED
CRIPTOLOGÍA
Interés en el delito informático El delito informático parece ser un “buen negocio “: - Objeto pequeño: la información esta almacenada en “contenedores pequeños”: no es necesario un camion para robar el banco, joyas, dinero,… - Contacto físico : no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del delincuente - Alto valor : el objeto codiciado tiene un alto valor. El contenido (los datos) vale mucho más que el soporte que los almacena (disquete, disco compacto,…). Única solución: el uso de Políticas de seguridad
Prueba rápida: ¿Cuál es el principio criminal?
125
Bajo riesgo + Gran recompensa + Oportunidad = Más seguro que el crimen tradicional
Triángulo de Debilidades Interrupción ( perdida)
Interceptación ( acceso)
Los datos serán la parte más vulnerable del sistema
Modificación ( cambio)
Generación ( perdida)
DATOS
HD
Ejemplos de ataques
SW
Interrupción (denegar servicio)
Modificación (falsificación)
Interceptación (robo)
Interrupción (borrado)
Interceptación (copia)
SKIMMING
Video: Visa
MODELOS DE CYBER CRIMEN: BOTNETS
Comprender los tiempos de las vulnerabilidades
La mayor铆a de los ataques ocurren aqu铆
Producto enviado
Vulnerabilidad Vulnerabilidad Actualizaci贸n descubierta presentada disponible
Actualizaci贸n implementada por el cliente
En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a una pĂĄgina falsa. Si el usuario introduce sus datos y envĂa el formulario, estos son finalmente recogidos en un servidor ubicado en TaiwĂĄn.
¿Cómo estamos en Latinoamérica?
Certificaciones de Seguridad Certified Information Systems Security Professionals (CISSP). Certified Information Security Manager (CISM). Certified Information Systems Auditor (CISA). SANS Global Information Assurance Certifications (GIAC). Federal Information Systems Controls Audit Manual (FISCAM).
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Control Interno y Auditoria CONTROL INTERNO INFORMATICO
AUDITOR INFORMÁTICO
Conocimientos especializados en Tecnología de la Información.
Similitudes
Diferencias
Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información. Análisis de los controles en el día a día.
Análisis de un momento informático determinado.
Informa a la Dirección del Departamento de Informática.
Informa a la Dirección General de la Organización.
Sólo personal interno.
Personal interno y/o externo.
El alcance de sus funciones es únicamente sobre el Departamento de Informática
Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.
Entender los componentes de la auditorías de seguridad de informática Modelo de Operaciones Documentación política de seguridad Implementación Tecnología Proceso Política
Empezar con la política Integrar el proceso
Aplicar tecnología
Implementar una auditoría de seguridad de informática Comparar cada área contra estándares y mejores prácticas
Política de seguridad
Procedimientos documentados
Operaciones
Lo qué debe hacer
Lo qué dice que hace
Lo qué realmente hace
Estrategias Básicas de Auditoría y Valoración Lineamientos Básicos. Seguridad Basada en el Tiempo (TBS):
P>E
D+R=E
P: Protección medida en el tiempo D: Detección medida en el tiempo R: Reacción medida en el tiempo E: Exposición medida en el tiempo
Nueva Ley de Delitos Informรกticos
ADMINISTRACIÓN DEL RIESGO Y ANÁLISIS DE COSTO - BENEFICIO
Comparar los enfoques con la administraci贸n de riesgos Muchas organizaciones se han enfocado en la administraci贸n de riesgos de seguridad al adoptar lo siguiente:
Enfoque reactivo
Enfoque proactivo
Un proceso que responde a los eventos de seguridad conforme ocurren La adopci贸n de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organizaci贸n
Comparar los enfoques con la priorización de riesgos Enfoque
Beneficios Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financieros
Cuantitativo
Los resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridad Los resultados se pueden expresar con una terminología administrativa Permite tener una visibilidad y comprensión de los niveles de riesgos
Cualitativo
Es más sencillo llegar a un consenso No es necesario cuantificar la frecuencia de las amenazas No es necesario determinar los valores financieros de los activos
Inconvenientes Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes Requieren mucho tiempo Puede ser demasiado costoso
Granularidad insuficiente entre los riesgos importantes Dificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficio Los resultados dependen de la calidad del equipo de administración de riesgos que se haya creado
Administración del Riesgo Identifica las amenazas y permite seleccionar las medidas de seguridad de costo adecuado. Análisis de la Administración del Riesgo: Pérdida Esperada = P1 x P2 x L
P1 = Probabilidad de ataque P2 = Probabilidad de éxito del ataque L = Pérdida si el ataque tiene éxito
El proceso de administración del riesgo Paso 1. Valoración de Activos Determinar el valor y la importancia de los activos tales como los datos, el hardware, el software y la redes
Paso 2. Vulnerabilidad de los Activos Registrar las debilidades en el sistema de protección actual con respecto a todas las amenazas potenciales.
Paso 3. Análisis de Perdidas Evaluar la probabilidad de daño y especificar las pérdidas tangibles e intangibles que puedan originarse.
Paso 4. Análisis de Protección Proporcionar una descripción de los controles disponibles que deben considerarse, su probabilidad de defensa exitosa y su costos.
Paso 5. Análisis de costo-beneficio Comparar los costos y los beneficios. Considerar la probabilidad que ocurran daños y la protección exitosa de esos daños. Por último, decidir cuáles controles instalar.
EVALUACIÓN DE ACTIVOS
Proceso de administraci贸n de riesgos de seguridad de Microsoft 4
3
Medir la efectividad del programa
Implementar los controles
1
Evaluar los riesgos
2
Realizar un soporte basado en decisiones
Comunicar el riesgo Activo
Amenaza
Vulnerabilidad
Mitigación
¿Qué intenta proteger?
¿Qué teme que suceda?
¿Cómo puede ocurrir la amenaza?
¿Qué está reduciendo el riesgo?
Impacto ¿Cuál es el impacto al negocio?
Probabilidad ¿Cuán probable es la amenaza dados los controles?
Declaración de riesgo
Ejemplo 2: Anรกlisis de Riesgo SUNARP Huancayo
Informática Forense Provee principios y técnicas que facilitan la investigación y persecución de ofensas catalogadas como criminales. Implica la aplicación de la ciencia al campo legal. Cualquier principio científico o técnica puede ser aplicada para: o Identificar, o Recuperar, o Reconstruir y o Analizar evidencia durante un investigación de un crimen. Aplicando métodos científicos los especialistas forenses pueden analizar la evidencia para: o Crear hipótesis, efectuar pruebas para verificar dichas hipótesis, generando posibilidades claras sobre lo que ocurrió.
Informática Forense
Escena crimen
Evidencia Física Víctima
Principio de Intercambio de Locard. En CASEY.2000. Pág.4
Sospechoso
Plan de Contingencia (Continuidad del Negocio – PCN)
Definición Conjunto de procedimientos de recuperación Acciones contemplan: - Antes - Durante - Después Reducir las pérdidas Control preventivo
Objetivos Mantener al organismo y sus actividades operando en una situación de desastre. Las pérdidas provocan: - Pérdidas financieras directas - Pérdidas de la producción - Pérdidas financieras indirectas - Pérdidas de clientes - Costos extras para apoyo - Costo de compensación - Perdidas de control - Información errónea o incompleta - Bases pobres para la toma de decisiones
PCN Partes de un PCN: Evaluación del riesgo.
Determinación de alternativas de recuperación.
Implementación del plan de recuperación.
Validación del plan de recuperación.
Recursos Críticos Información Tecnología Telecomunicaciones Procesos Personas Instalaciones
Factores Críticos de Éxito - FCE Identificación de los procesos críticos del negocio Dependencia de la TI Gestión de riesgos adecuados Calificación y cuantificación del impacto tangible e intangible Aplicabilidad y viabilidad de las estrategias de recuperación
Factores Críticos de Éxito - FCE Participación multidisciplinaria
Retroalimentación - actualización
Documentación de los procesos, operaciones y funciones
Personal capacitado
Metodolog铆as para la Elaboraci贸n del PCN y del PSI
Metodologías para la Elaboración del PCN y del PSI ESTÁNDAR INTERNACIONAL ISO 17799 / BS7799 ESTÁNDAR INTERNACIONAL ISO 17799:2005 ESTÁNDAR INTERNACIONAL ISO 27001:2005 ESTÁNDAR INTERNACIONAL AS/NZS 4360:1999 ITIL – INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECNOLOGY
Estructura Piramidal ISO 17799
ISO 27001:2005 ď ą El ISO 27001:2005 esta basado en el enfoque de procesos, siendo muy compatible con el ISO 9001:2000.
ISO 27001:2005 El modelo obliga a la empresa a establecer el alcance que tendrá en la empresa (que procesos abarcará). Cada empresa estratégicamente debe establecer el alcance que crea conveniente deba tener el modelo.
Actualmente existen unas 1200 empresas certificadas con el modelo a nivel internacional. ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos.
Gesti贸n Seguridad Informaci贸n ISO-27001:2005. Modelo Preventivo
4 Actuar Requerimientos y Expectativas
de la Seguridad
Seguridad de
1 Planificar
Informaci贸n Administrada
de Informaci贸n
3 Revisar
2 Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Definir el enfoque de evaluación del riesgo de la organización. Establecer metodología de cálculo del riesgo. Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptación. Evitarlo. Transferirlo.
Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.
Gesti贸n Seguridad Informaci贸n ISO-27001:2005. Modelo Preventivo 1 Planificar
4 Actuar
2 Hacer 3 Revisar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los controles a través de indicadores de gestión. Implementar programas de capacitación. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de detección y respuesta a incidentes de seguridad.
Gesti贸n Seguridad Informaci贸n ISO-27001:2005. Modelo Preventivo
4 Actuar
1 Planificar
3 Revisar 2 Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Procedimientos de monitoreo y revisión para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. Realizar revisiones periódicas.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Medición de la efectividad de los controles. Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.
Gesti贸n Seguridad Informaci贸n ISO-27001:2005. Modelo Preventivo 1 Planificar
4 Actuar 3 Revisar
2 Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos señalados.
Cadena de actuaciones
Risk Response Plan and Organize
Security Management Service Delivery / Support
Physical and Environmental Security
Business Continuity Management Internal Environment
ISO17799
Define and Support Event Identification
COBiT
Access Control
ICT Infrastructure Management
Information and Communications
Planning to Implement Service Management
Objective Setting Systems Development and Maintenance
Communications and Operations Management
Asset Classification and Control
Organizational Security
Monitoring
Personnel Security
Security Policy
COSO
ITIL
Acquire and Implement
Control Activities
Application Management
Compliance Monitor and Support
Risk Assessment Business Perspective
Estandares de seguridad IT
Objetivos del Negocio IT. Governance 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento inndependiente 4. Proveer una auditoría independiente
Seguimiento
1.Definición del nivel de servicio 2.Admistración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Admistración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones
CobiT
1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad
Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Prestación de Servicio y Soporte
Planeación y Organización
Adquisición e Implementación 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios
CONCLUSIÓN
CONCLUSIÓN 1. Impacto creciente de la tecnología de información en los procesos de negocio. 2. Grandes cambios en los controles de procesos de TI.
CONCLUSIÓN 3. La productividad y supervivencia de una organización depende cada vez en mayor grado, del funcionamiento ininterrumpido de los sistemas de tecnología informática. 4. Transformación de todo el entorno como un proceso crítico adicional.
CONCLUSIÓN 5. Todas las empresas sufren el impacto de los nuevos escenarios de riesgo. 6. Es importante contar con un marco de referencia metodológico que agilice el proceso de gestión de seguridad de TI.
GRACIAS