CURSO TALLER: SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION
-
Upload
luciohoracio-prieto -
Category
Documents
-
view
218 -
download
2
description
Transcript of CURSO TALLER: SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION
SISTEMAS DE GESTÓN DE SEGURIDAD DE LA
INFORMACIÓN
Expositor: Mg. Ing. Miguel Robles-Recavarren Benites [email protected]
Contenido Estado del Arte.
Introducción a la Seguridad en TI.
Definiciones Básicas.
Plan de Seguridad de la Información (PSI).
Principios.
Consideraciones.
Tipos de Seguridad.
Plan de Contingencias (PCN).
Seguridad en Internet.
Metodologías para la elaboración del PCN y PSI.
ESTADO DEL ARTE
Innovación
Estado del Arte
Competencia Global
Manejo del
Cambio
Poder de Negociación
Ventaja Competitiva
Negocios
Internacionales
Recursos y
Utilidad
Velocidad en
Los Servicios
Negocios
Organizaciones
Instituciones
Personas Valor Generado
Estado del Arte
EMPRESA ESTRATEGIAS DE NEGOCIOS
OBJETIVOS ESTRATÉGICOS
DEL NEGOCIO
Reingeniería de procesos Reestructuración Organización horizontal Manejo de personas Procesamiento distribuido Dimensionamiento correcto Benchmarking Offshoring Outsourcing E-business SCM – BI - CRM
Introducción a la Seguridad en TI
Introducción
PROCESOS DE
NEGOCIOS TECNOLOGÍA DE
LA INFORMACIÓN
SEGURIDAD
DE TI GESTIÓN DE
SEGURIDAD
Identificación de Amenazas
Tipos de Amenazas
Amenazas a Instalaciones
Amenazas Sociales
Vulnerabilidades
Tipos de
Vulnerabilidades
Seguridad de los recursos humanos
Seguridad física y ambiental
Co
ntr
ol d
e
Acceso
El modelo de la administración de los recursos e información.
Ventaja competitiva.
Entorno
Entorno
Plan de negocio estratégico
Inteligencia de negocio
Vicepresidente de finanzas
Vicepresidente de manufactura
DI
DE
Vicepresidente de recursos humanos
Vicepresidente de mercadotecnia
Plan específico para los recursos de información
Comité Directivo del SIA
Política y estándares
Centros de información
Instalación de computo central
Áreas del usuario
Usuarios Finales
Usuarios
Recursos de información
Introducción
“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por el”
Gene Spafford
Mitos de Seguridad
El Sistema puede llegar al 100% de seguridad.
Mi red no es lo suficientemente atractiva para ser tomada en cuenta.
Nadie pensara que mi clave de acceso es sencilla.
Linux es más seguro que Windows.
Si mi servidor de correos tiene antivirus, mi estación no lo necesita.
Definiciones Básicas
Tecnología de la Información
Conjunto de ciencias relacionadas con los
Sistemas y la Informática que constituyen el
elemento indispensable para el desarrollo de
la humanidad y la generación sostenida de
puestos de trabajo.
Términos y Definiciones
ACTIVO: Algo que presenta valor para la
organización.
DISPONIBILIDAD: Garantizar que los
usuarios autorizados tengan acceso a la
información y activos asociados cuando sea
necesario.
CONFIDENCIALIDAD: Garantizar que la
información sea accesible únicamente para
quienes tengan acceso autorizado.
Términos y Definiciones
SEGURIDAD DE LA INFORMACIÓN: Preservar
la confidencialidad, integridad y
disponibilidad de la información; además,
también pueden ser involucradas otras
características como la autenticación,
responsabilidad, no-repudio y fiabilidad.
Términos y Definiciones
EVENTO DE LA SEGURIDAD DE LA
INFORMACIÓN: Ocurrencia identificada en un
sistema, servicio o red indicando una posible
brecha de la política de seguridad de la
información o falla de las salvaguardas o una
situación desconocida previa que puede ser
relevante. .
Términos y Definiciones
INCIDENTE DE LA SEGURIDAD DE LA
INFORMACIÓN: Una serie de eventos no
deseados que tienen una probabilidad
significativa de comprometer operaciones del
negocio y amenazar la seguridad de la
información.
Términos y Definiciones
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN - ISMS: Es la parte del
Sistema Integral de Gestión, basado en un
enfoque del riesgo del negocio para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de
la información.
El sistema de gestión incluye la estructura
organizacional, políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos,
procesos y recursos.
Términos y Definiciones
INTEGRIDAD: Salvaguardar la exactitud e
integridad de la información y activos
asociados.
RIESGO RESIDUAL: Riesgo remanente
después de un tratamiento del riesgo.
ACEPTACIÓN DEL RIESGO: Decisión de
aceptar el riesgo.
ANÁLISIS DEL RIESGO: Uso sistemático de
información para identificar amenazas y
estimular el riesgo.
Términos y Definiciones
ESTIMACIÓN DEL RIESGO: Proceso total de
análisis y evaluación del riesgo.
EVALUACIÓN DEL RIESGO: Proceso de
comparación del riesgo estimado frente al
criterio de riesgo para determinar el
significado del riesgo.
GESTIÓN DEL RIESGO: Actividades
coordinadas para dirigir y controlar el riesgo
en una organización.
Términos y Definiciones
TRATAMIENTO DEL RIESGO: Proceso de
Selección e implementación de controles para
minimizar el riesgo.
DECLARACIÓN DE APLICABILIDAD:
Documento que describe los objetivos de
control y los controles que son relevantes y
aplicables al ISMS de la organización.
Repercusión de las infracciones de seguridad
Pérdida de
beneficios
Deterioro de la confianza del inversionista
Perjuicio de la
reputación
Pérdida o compromiso
de la seguridad de los datos
Interrupción de los procesos empresariales
Deterioro de la confianza del
cliente Consecuencias
legales
QUÉ BUSCA LA SEGURIDAD?
Proteger Derechos
El derecho a la privacidad
El derecho a estar informados
Proteger activos
Información
Equipos ( Sistemas, Redes,
computadoras)
Reforzar las reglas
Leyes, Políticas y Procedimientos
VIDEO: PRIVACIDAD EN INTERNET
BRUSELAS - BÉLGICA
Sistema Nacional de Informática
IMPLEMENTACIÓN DE LA NORMA TÉCNICA
PERUANA “NTP-ISO/IEC 27001:2008 EDI
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN. REQUISITOS”.
Aspectos críticos de la seguridad
Arquitectura
Segura
de IT
Kerberos
Personas Developer
USER
Backup
El riesgo está en función del valor del activo de la información, la magnitud de la amenaza y
las vulnerabilidades existentes MEDIDAS
33
2/18/2014
Entre mediados de Abril y Junio del 2007, un gran número de servidores Web fueron infectados. Se asumió que la causa fue un fallo común afectando servidores Apache e IIS o un error de configuración en el proveedor de servicios.
En Junio del 2007, mas de 10,000 sitios fueron afectados, de los cuales, 80% estuvieron en Italia. Mas de 80,000 sistemas fueron infectados.
Tan pronto como los usuarios visitaban el sitio, estos eran direccionado silenciosamente a un servidor que contenía la pagina PHP de una herramienta llamada MPack.
Estando en esta página, varios ataques diseñados para aprovechar las fallas de seguridad del navegador del usuario (Firefox, IE, Opera, etc.) se aplicaban.
Esta forma de ataque se hizo común en el 2008
The Italian Mpack Job
Seguridad de SI
Seguridad de la información debe ser elemento integral de la empresa.
Fases del Proceso:
* Identificación de riesgos.
* Plan de Seguridad.
* Infraestructura.
* Mantenimiento y Coste
Valor de la Información
El principal bien de las empresas es la
información la cual hay que proteger en la
medida que su pérdida afecte a la empresa u
organización.
En el valor de la información entra a tallar el
flujo de la misma.
Si el bien fluye de un lado a otro, el camino
que recorre también debe ser protegido y el
medio de transporte lógico debe ser seguro.
Tipo de Información según Empresa
Empresa Privada Empresa Gubernamental
Pública
Sensible
Privada
Confidencial
No Clasificada
Sensitiva pero no Clasificada
Confidencial
Secreta
Top Secret
The National Strategy for Homeland Security of the United
States
Video Microsoft
Taller 1: Trabajo en Grupo
a. Proponer soluciones de manejo de la
información.
b. Proponer soluciones de integración de procesos.
Eje
Y
Ciclo de Vida
Empresa
Crediticio
Mercado
Operativo
HuelgasCatástrofe
Terrorismo
Robo
$
AÑO
PERDIDA ESPERADA
PROVISIONADO
PERDIDA INESPERADA
TIEMPO (años)
PerdidasCatastróficas
$
NORMA BASILEA II
Riesgo
Riesgos
RIESGOS EN ORGANIZACIONES FINANCIERAS
¿Cuánto dinero se ha perdido?, El mensaje entre líneas …
NORMAS
ORGANIZACIÓN
(PERSONAS)
METODOLOGÍAS
OBJETIVOS DE CONTROL
PROCEDIMIENTOS DE CONTROL
TECNOLOGÍA DE LA SEGURIDAD
HERRAMIENTAS
FACTORES DE LA CONTRAMEDIDA
HARDWARE
SOFTWARE
INFORMÁTICA
USUARIOS
FUNCIONES
PROCEDIMIENTOS
PLANES
ESTÁNDARES
POLÍTICAS
OBJETIVO:
POLÍTICAS DE SEGURIDAD
El objetivo de una política de seguridad es el de
comunicar a toda una organización que la
información que posee la empresa es muy valiosa y
es responsabilidad y compromiso de todos los
trabajadores resguardarla y en caso de compartirla
deben tener en cuentan los riesgos que puedan
ocurrir si esta información cae en manos no
autorizadas.
POLÍTICAS DE SEGURIDAD
Buena Política :
Una buena política de seguridad proporcionará a la
empresa la base para que diseñe un eficaz sistema de
seguridad.
Problemas de Seguridad
Problemas
Estructurales : 1. ORGANIGRAMA Y FUNCIONES.
2. CANALES DE COMUNICACIÓN.
3. RECURSOS ASIGNADOS.
Problemas en el
planeamiento : 1. FALTA DE COHERENCIA.
2. DIRECTRICES HETEROGÉNEAS.
3. FALTA DE DEFINICIÓN DE FUNCIONES.
4. NO SE DEFINEN NORMAS NI
PROCEDIMIENTOS DE SEGURIDAD.
5. DIFICULTAD EN JUSTIFICAR RECURSOS.
Problemas de Seguridad
El problema
tecnológico : 1. LA TECNOLOGÍA NO ES LA PANACEA.
2. LAS HERRAMIENTAS NO CUBREN TODAS LAS
NECESIDADES.
3. EXCESIVA CONFIANZA.
Problemas de Seguridad
Modelos de Políticas de Seguridad
• Política Individual.
• Política General Plana.
• Política de Tres Capas.
• Modelo ISO 17799.
Esquema de Desarrollo de una Política de Seguridad
Identificar requerimientos técnicos y
Administrativos de la organización
Definir políticas
individuales
Definir políticas
generales
Definir estándares,
guidelines
Definir procedimientos
Evaluación
¿Necesitan
Corrección?
Replanteamiento
Presentación final Aprobación por la
Alta dirección
¿Qué es un Plan de Seguridad de la Información (PSI)?
P S I
Estrategia planificada de acciones y proyectos para la protección de: información (D/B), sistemas de información (SW-IS) e infraestructura física (HW-TIC).
Demostrar cómo una estrategia integrada de Seguridad de la Información puede contribuir de manera efectiva al logro de los objetivos de Negocio de su empresa.
Objetivo
Objetivo
Consolidación de:
- Confidencialidad
- Integridad y autenticidad
- Disponibilidad
- No repudio
Si se cumplen estos puntos, diremos en general que los datos están protegidos y seguros.
Medidas y sus objetivos
Una serie de niveles de control.
- La falla de un nivel será “absorbida” por las otras.
- Reducir el impacto global al mínimo.
Objetivos
- Disuadir
- Detectar
- Minimizar el impacto de pérdida o desastre
- Investigar
- Recuperar
Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:
Aumentar la detección de riesgo de un agresor
Reduce la posibilidad de éxito de un agresor
Políticas de seguridad, procedimientos y educación Políticas, procedimientos y conciencia
Protecciones, seguros, dispositivos de seguimiento
Seguridad física
Fortalecimiento de la aplicación Aplicación
Fortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría
Host
Segmentos de red, NIDS Red interna
Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentena Perímetro
Contraseñas fuertes, ACLs, estrategia de respaldo y restauración Datos
Arquitectura General de Seguridad
VIDEO: CONTROL DE ACCESOS
Protección de la capa perimetral
La protección del perímetro de la red incluye:
Socio de negocios
Oficina sucursal
Red
inalámbrica
LAN
Usuario
remoto
Internet
Oficina principal
LAN
Servicios de Internet Servicios de Internet
LAN
Firewalls
Bloquear puertos de comunicación
Traducción de puerto y dirección IP
Redes privadas virtuales (VPNs)
Protocolos de túnel
Cuarentena de la VPN
Riesgo de la capa interna de la red
Acceso no autorizado a
sistemas
Acceso a todo el tráfico de la red
Acceso no autorizado a redes virtuales
Puertos de comunicación inesperados
Examinar paquetes de la
red
Ejemplo 1: Análisis de Riesgo Academia PAMER
Tipos de Seguridad
Seguridad
Física
Seguridad
Lógica
Seguridad Física
Ubicación física y disposición del centro de TI
Consideraciones:
- Características del equipo
- Valor del equipo
- Importancia del equipo
Lugar mas conservador y clandestino
- Lejos del tránsito terrestre y aéreo.
- Lejos de elementos electrónicos
Radares (5 volts / metro)
Microondas
Riesgos por ubicación Nivel
Actividad Al Me Ba So
Acceso a Máquinas G M P P
Acceso de elementos de
trabajo G M I P
Carga del suelo G M P I
Filtraciones de agua G P P P
Inundación I P M G
Sabotaje P G G P
Al = Alto
Me = Medio
Ba = Bajo
So = Sótano
G = Grave
M = Mediano
P = Poco
I = Inexistente
FILTRACIONES EN LA PARED
Instalaciones Físicas del Centro de TI
Factores inherentes a la localidad: - Naturales Hundimiento del piso Temperatura Sismos - Servicios Líneas Telefónicas Instalaciones Eléctricas Antenas de Comunicación - Seguridad Lugares desolados o desprotegidos Fuentes de incendios Inundaciones
Instalaciones Físicas del Centro de TI
Factores inherentes al centro de TI: - Piso falso Sellado hermético Nivelado topográfico Tierra física (aterrizado) Cableado cubierto Aprox. 40 cm. - Cableado De alto y bajo voltaje Cables de Telecomunicaciones Cables de señales para monitores
Cableado Estructurado
FALTA DE CANALETAS
CABLEADO DE RED EN DESORDEN
Switch de 8 puertos
Instalaciones Físicas del Centro de TI
- Paredes y techos Pintura plástica lavable Falso (amarres del plafón) La altura neta: 2.70 a 3.30 mts. - Puertas de acceso Puertas de doble hoja de 1.50 cm. Salida de emergencia Dimensiones máximas del equipo - Iluminación Generadores fuera de la sala. La alimentación de la iluminación diferente
al del equipo. El 25% debe ser de emergencia conectado
al UPS.
Instalaciones Físicas del Centro de TI
- Filtros * 99% de eficiencia sobre partículas de 3
micrones * Si existen otros contaminantes seleccionar
filtros adecuados * Aire de renovación y ventilación tratado
previamente: Temperatura Humedad - Vibración Equipos antivibraciones - Ductos Lisos y sin desprendimiento de partículas
Control de acceso físico
Estructura y disposición del área de recepción.
- Identificación del personal y visitantes.
- Recursos magnéticos.
- Vidrio reforzado.
Acceso de terceras personas
- De mantenimiento del aire acondicionado y cómputo.
- De limpieza.
- Identificación plenamente.
Instalaciones Físicas del Centro de TI
Acondicionamiento del local
- Necesidades de espacio Especificaciones técnicas del equipo Áreas de cintas, discos, archivos Evitar áreas con formas extrañas Preferentemente rectangulares Consideraciones a futuro - Distribución en planta Planos civiles y arquitectónicos Hidráulicos Sanitario Planta Teléfono Memoria de Cálculo Seguridad Energía Eléctrica
Control de acceso físico
Identificación del personal
- Algo que sea portátil.
- Algo que se sabe.
- Alguna característica física especial.
Guardias y escoltas especiales
Registro de firmas de entrada y salida
Puertas con chapas de control electrónico
Tarjetas de acceso y gafetes de identificación
Biometría
Entrada de dos puertas
Alarmas contra robos
Trituradores de papel
Aire acondicionado
Riesgos
- Mal funcionamiento del AC ocasiona que el equipo de cómputo sea apagado.
- La instalación del AC es una fuente de incendios.
Prevenciones
- Instalar AC de respaldo.
- Extintores y detectores de humo.
- Alarmas de temperatura y humedad.
Aire acondicionado
Capacidad del equipo de AC
- Disipación térmica de las máquinas y del personal
- Pérdidas por puertas y ventanas
- El AC debe ser independiente del aire general
- Conectarse directamente al generador de electricidad
Distribución del aire en la sala
- Distribución por techo
- Distribución por piso falso
- Distribución por dos canales
Instalación eléctrica
Corriente regulada
Sistemas de corriente interrumpida
- Regular la corriente eléctrica
- Proporcionar energía eléctrica continua
- Tipos de sistemas
Básico
Completo
Redundante
Instalación eléctrica
Plantas generadoras de energía
- Clasificación
Gas
Diesel
Gasolina
Sistemas de conexión de tierra
Impacto de la Energía Eléctrica en la TI
DISTURBIOS DE LA
ENERGÍA
ELÉCTRICA
EQUIPO QUE BRINDA LA PROTECCIÓN
SUPRES.
PICOS
ESTAB.
VOLTAJE
ACONDIC
LINEA
EQUIPO
APS
EQUIPO
SPS
EQUIPO
UPS
Picos de Voltaje y
Efectos Transitorios X X X X
Sobretensión o
Sobrevoltaje X X X X X
Micro Cortes de
Energía X X
Armónicos de
Corriente X X X
Ruido Eléctrico en
Modo Común X X
Ruido Eléctrico en
Modo Normal X X
Interferencias EM y de
RF X X X
Descargas Eléctricas
Atmosféricas X X
Cortes de Energía ó
Apagones X X X
Protección, detección y extinción de incendios
Consideraciones sobresalientes
- Paredes de material incombustible
- Techo resistente al fuego
- Canales y aislantes resistentes al fuego
- Sala y áreas de almacenamiento impermeables
- Sistema de drenaje en el piso firme
- Detectores de fuego alejados del AC
- Alarmas de incendios conectado al general
Protección, detección y extinción de incendios
Tipo de Extintor Tipo de Material
H2O CO2 Espuma Polvo seco
Seco E Luego
agua
E Luego agua
Líquidos Si E E E
Eléctrico NU E NO SI
NU = No usar
E = Excelente
GABINETE CERCA DE MATERIAL INFLAMABLE
Mantenimiento
Propio o externo
Equipo informático
- Electricidad, agua, AC, etc.
Refleja las actividades disciplinarias
Falta provoca una fractura en la seguridad
Taller 2: Trabajo Grupal a. Establezca una lista de 10 activos en su empresa. b. Determine para cada activo sus debilidades y amenazas a los que están expuestos. c. Establezca el nivel de impacto de la amenaza sobre el activo.
Seguridad Lógica
Causas de inseguridad
La deficiencia en los equipos respectivos de
soporte
La “inteligencia” social
El espionaje industrial
La deficiente administración de una red
Los virus
Fallos en la seguridad de
programas
Los vándalos informáticos
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Amenazas
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
Captura de PC desde el exterior Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus Mails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos Propiedad de la información
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
Más Amenazas!!
Programador de aplicaciones. * Programación de aplicaciones
que se comportan de modo contrario a la especificación.
Terminales * Localizadas en un entorno inseguro
Terminales de usuarios * Identificación fraudulenta. * Fuga ilegal de información autorizada.
Programador de Sistemas • Desviación de los
mecanismos de seguridad. • Inhabilitación de los
mecanismos de seguridad. • Instalación de un sistema
inseguro.
Entorno externo • Desastres naturales. • Ataques mal
intencionados. • Acceso no autorizado al
centro de computo.
Operador • Duplicación de informes
confidenciales. • Inicio de un sistema
inseguro. • Robo de un material
confidencial.
Autorización • Especificación
incorrecta de la política de seguridad.
Radiación
Base de datos
Reglas de Acceso
Base de Datos • Acceso no
autorizado. • Copia. • Robo.
Hardware • Falla de los mecanismos
de protección. • Fuga de la información.
Software de sistemas • Falla de los mecanismos
de protección. • Fuga de información.
PROCESADOR Diafonía
Derivación
113
El Mercado negro mantiene el robo de identidad Crimeware/Author Description Listed Price
FTP Checker Tool for automating FTP account validation (username/password) from a predefined list.
$15
IcePack
(by IDT Group) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites.
Advanced administrator interface.
$40 to $400
Limbo V1.7 (December 2006)
Grabber: tool for collecting banking information 1,000 wmz (see note)
MPack
(by DreamCoders Team) V0.99 (August 2007)
Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites.
$700
Nuclear Grabber
(by Corpse) V5 (February 2007)
Improved version of Haxdoor without a backdoor. Universal kit for creating tools to capture targeted banking data. Able to intercept and retransmit authentic transactions on the fly between the bank and its client. Addition of new fields to fill out, management of checkboxes and option lists, virtual keyboards, etc. Data transmitted to the bank is also sent to a collection site.
$3,000 (October 2005)
$100 (July 2007)
Pinch
(originally by Coban2k) V2.99 (March 2007)
Trojan designed to steal information sent by various office tools, such as RDP (Remote Desktop Protocol) clients and messaging tools (The Bat!, Outlook, etc.). Guaranteed non-detection.
$30
Update: $5
Management help tool: $100
Power Grabber
(by privat.inattack.ru) v1.8 (March 2007)
Grabber: tool for collecting banking information. Works with many banking organizations, as well as PayPal, eBay, e-gold, etc.
$700
Add $30 for anti-virus protection.
Web-Attacker
(from inet-lux.com) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. Technical support available.
$25 to $300 (July 2006)
Approx. $17
Note: wmz is the symbol for one of the electronic money units used by WebMoney (1$US = 1wmz).
114
2/18/2014
Código malicioso estilo parasito regresa. La vieja escuela!!!
115
La producción de Malware alcanza proporciones epidémicas
0
100000
200000
300000
400000
500000
600000
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Count Estimation
TEMAS DE PROGRAMACIÓN DE FRAUDE
Técnica de programación
Definición
Virus
Instrucciones secretas dentro de programas (o datos) que se ejecutan inocentemente durante tareas ordinarias. Las instrucciones secretas talvez obstruyan o alteren los datos, además de diseminarse dentro o entre sistemas computarizados.
Gusanos Un programa que se duplica por sí solo y penetra a un sistema computarizado válido. Tal vez dentro de una red, penetrando en todas las computadoras conectadas.
Caballo de Troya
Un programa ilegal, contenido dentro de otro programa que “está latente” hasta que ocurra algún evento específico, desatando luego la activación del programa ilegal y la producción de daños.
Rebanada de salami Un programa diseñado para extraer pequeñas cantidades de dinero de varias transacciones grandes, de manera que la cantidad extraída no se manifieste con facilidad.
Super zapping Un método consistente en utilizar un programa “zap” de utilería que puede desviar controles para modificar programas o datos.
Puerta trasera Una técnica que permite entrar el código de un programa, posibilitando insertar instrucciones adicionales.
VIDEO DELITOS INFORMÁTICOS EN
PERÚ
118
Tendencias del Delito Informático
Móvil
Social
Rootkits
Parásitos
Estrategias de Defensa
Detección
Limitación
Recuperación
Corrección
Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración: Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Auditoría en la seguridad de informática: Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la industria
Situación Actual
Internet
RED
RED
PC’s
Usuarios
Cosapi
DMZ BVL
SMS 8340
Websense
Enterprise
Red Admin.
Re
d 0
1
Red 02
LA
N C
OS
AP
I
ISS Proventia 3200Consola
Antivirus
Servidores
BVL
Red Capacittaciones
Re
d 0
3
ISS Proventia 4200
Prevenciòn de intrusos
Firewall
Checkpoint
Situación Sugerida
CRIPTOLOGÍA
Interés en el delito informático
El delito informático parece ser un “buen negocio “: - Objeto pequeño: la información esta almacenada en “contenedores pequeños”: no es necesario un camion para robar el banco, joyas, dinero,… - Contacto físico : no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del delincuente - Alto valor : el objeto codiciado tiene un alto valor. El contenido (los datos) vale mucho más que el soporte que los almacena (disquete, disco compacto,…). Única solución: el uso de Políticas de seguridad
125
Bajo riesgo + Gran recompensa
+ Oportunidad =
Más seguro que el crimen tradicional
Prueba rápida:
¿Cuál es el principio criminal?
Triángulo de Debilidades
Interrupción
( perdida)
Interceptación
( acceso)
Modificación
( cambio)
Generación
( perdida)
Los datos serán la
parte más vulnerable
del sistema
DATOS
HD SW
Ejemplos de ataques
Interrupción (denegar servicio)
Interceptación (robo)
Modificación (falsificación)
Interrupción (borrado)
Interceptación (copia)
Video: Visa
MODELOS DE CYBER CRIMEN: BOTNETS
Comprender los tiempos de las
vulnerabilidades
Producto
enviado Vulnerabilidad
descubierta Actualización
disponible
Actualización
implementada
por el cliente
Vulnerabilidad
presentada
La mayoría de los
ataques ocurren
aquí
En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a
una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son
finalmente recogidos en un servidor ubicado en Taiwán.
¿Cómo estamos en Latinoamérica?
Certificaciones de Seguridad
Certified Information Systems Security Professionals (CISSP).
Certified Information Security Manager (CISM).
Certified Information Systems Auditor (CISA).
SANS Global Information Assurance Certifications (GIAC).
Federal Information Systems Controls Audit Manual (FISCAM).
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Control Interno y Auditoria
CONTROL INTERNO
INFORMATICO
AUDITOR INFORMÁTICO
Similitudes
Conocimientos especializados en Tecnología de la Información.
Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.
Diferencias
Análisis de los controles en el día a día. Análisis de un momento informático determinado.
Informa a la Dirección del Departamento de Informática.
Informa a la Dirección General de la Organización.
Sólo personal interno. Personal interno y/o externo.
El alcance de sus funciones es únicamente sobre el Departamento de Informática
Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.
Entender los componentes de la auditorías de seguridad de informática
Proceso
Tecnología
Implementación
Documentación
Operaciones
Empezar con la política
Integrar el proceso
Aplicar tecnología
Modelo de
política de
seguridad
Política
Implementar una auditoría de seguridad
de informática Comparar cada área contra estándares y mejores prácticas
Política de seguridad Procedimientos documentados
Operaciones
Lo qué debe hacer Lo qué dice que hace Lo qué realmente hace
Estrategias Básicas de Auditoría y Valoración
Lineamientos Básicos.
Seguridad Basada en el Tiempo (TBS):
P > E D + R = E
P: Protección medida en el tiempo
D: Detección medida en el tiempo
R: Reacción medida en el tiempo
E: Exposición medida en el tiempo
Nueva Ley de Delitos Informáticos
ADMINISTRACIÓN DEL RIESGO Y ANÁLISIS DE COSTO - BENEFICIO
Comparar los enfoques con la administración de riesgos
Muchas organizaciones se han enfocado en la administración
de riesgos de seguridad al adoptar lo siguiente:
La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización
Enfoque
proactivo
Un proceso que responde a los eventos de seguridad conforme ocurren
Enfoque
reactivo
Comparar los enfoques con la priorización de riesgos
Enfoque Beneficios Inconvenientes
Cuantitativo
Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financieros
Los resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridad
Los resultados se pueden expresar con una terminología administrativa
Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes
Requieren mucho tiempo
Puede ser demasiado costoso
Cualitativo
Permite tener una visibilidad y comprensión de los niveles de riesgos
Es más sencillo llegar a un consenso
No es necesario cuantificar la frecuencia de las amenazas
No es necesario determinar los valores financieros de los activos
Granularidad insuficiente entre los riesgos importantes
Dificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficio
Los resultados dependen de la calidad del equipo de administración de riesgos que se haya creado
Administración del Riesgo
Identifica las amenazas y permite seleccionar las medidas de seguridad de costo adecuado.
Análisis de la Administración del Riesgo: Pérdida Esperada = P1 x P2 x L P1 = Probabilidad de ataque P2 = Probabilidad de éxito del ataque L = Pérdida si el ataque tiene éxito
Paso 1. Valoración de Activos Determinar el valor y la importancia de los activos tales como los datos, el
hardware, el software y la redes
Paso 2. Vulnerabilidad de los Activos Registrar las debilidades en el sistema de protección actual con respecto a
todas las amenazas potenciales.
Paso 3. Análisis de Perdidas Evaluar la probabilidad de daño y especificar las pérdidas tangibles e
intangibles que puedan originarse.
Paso 4. Análisis de Protección Proporcionar una descripción de los controles disponibles que deben
considerarse, su probabilidad de defensa exitosa y su costos.
Paso 5. Análisis de costo-beneficio Comparar los costos y los beneficios. Considerar la probabilidad que ocurran
daños y la protección exitosa de esos daños. Por último, decidir cuáles controles instalar.
El proceso de administración del riesgo
EVALUACIÓN DE ACTIVOS
Proceso de administración de riesgos de seguridad de Microsoft
Realizar un soporte basado en decisiones
2 Implementar los controles
3
Medir la efectividad del programa
4 Evaluar los riesgos
1
Mitigación
¿Qué está reduciendo el
riesgo?
Comunicar el riesgo
Declaración de riesgo
Impacto
¿Cuál es el impacto al negocio?
Probabilidad
¿Cuán probable es la amenaza dados los
controles?
Activo
¿Qué intenta proteger?
Amenaza
¿Qué teme que suceda?
Vulnerabilidad
¿Cómo puede ocurrir la
amenaza?
Ejemplo 2: Análisis de Riesgo SUNARP Huancayo
Provee principios y técnicas que facilitan la
investigación y persecución de ofensas catalogadas como criminales.
Implica la aplicación de la ciencia al campo legal. Cualquier principio científico o técnica puede ser aplicada
para: o Identificar,
o Recuperar,
o Reconstruir y
o Analizar evidencia durante un investigación de un crimen.
Aplicando métodos científicos los especialistas forenses pueden analizar la evidencia para:
o Crear hipótesis, efectuar pruebas para verificar dichas hipótesis, generando posibilidades claras sobre lo que ocurrió.
Informática Forense
Víctima Sospechoso
Escena crimen
Evidencia
Física
Principio de Intercambio de Locard. En CASEY.2000.
Pág.4
Informática Forense
Plan de Contingencia (Continuidad del Negocio – PCN)
Definición
Conjunto de procedimientos de recuperación
Acciones contemplan:
- Antes
- Durante
- Después
Reducir las pérdidas
Control preventivo
Objetivos
Mantener al organismo y sus actividades operando en una situación de desastre.
Las pérdidas provocan:
- Pérdidas financieras directas
- Pérdidas de la producción
- Pérdidas financieras indirectas
- Pérdidas de clientes
- Costos extras para apoyo
- Costo de compensación
- Perdidas de control
- Información errónea o incompleta
- Bases pobres para la toma de decisiones
P C N Partes de un PCN:
Evaluación del riesgo.
Determinación de alternativas de
recuperación.
Implementación del plan de recuperación.
Validación del plan de recuperación.
Información
Tecnología
Telecomunicaciones
Procesos
Personas
Instalaciones
Recursos Críticos
Factores Críticos de Éxito - FCE
Identificación de los procesos críticos del negocio
Dependencia de la TI
Gestión de riesgos adecuados
Calificación y cuantificación del impacto tangible e intangible
Aplicabilidad y viabilidad de las estrategias de recuperación
Factores Críticos de Éxito - FCE
Participación multidisciplinaria
Retroalimentación - actualización
Documentación de los procesos, operaciones y funciones
Personal capacitado
Metodologías para la Elaboración del PCN y del PSI
Metodologías para la Elaboración del PCN y del PSI
ESTÁNDAR INTERNACIONAL ISO 17799 / BS7799
ESTÁNDAR INTERNACIONAL ISO 17799:2005
ESTÁNDAR INTERNACIONAL ISO 27001:2005
ESTÁNDAR INTERNACIONAL AS/NZS 4360:1999
ITIL – INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY
COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECNOLOGY
Estructura Piramidal ISO 17799
El ISO 27001:2005 esta basado en el enfoque de procesos, siendo muy compatible con el ISO 9001:2000.
ISO 27001:2005
El modelo obliga a la empresa a establecer el alcance que tendrá en la empresa (que procesos abarcará). Cada empresa estratégicamente debe establecer el alcance que crea conveniente deba tener el modelo.
Actualmente existen unas 1200 empresas certificadas con el modelo a nivel internacional.
ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos.
ISO 27001:2005
2 Hacer
3 Revisar
4 Actuar
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
1
Planificar
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Planificar.
Definir el enfoque de evaluación del riesgo de la
organización.
Establecer metodología de cálculo del riesgo.
Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
Identificar los riesgos asociados al alcance
establecido.
Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Planificar.
Identificar y evaluar las opciones de tratamiento de los riesgos.
Aplicar controles.
Aceptarlo de acuerdo a los criterios de aceptación.
Evitarlo.
Transferirlo.
Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.
Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.
Preparar el Enunciado de Aplicabilidad.
1
Planificar
3
Revisar
4
Actuar
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo Hacer.
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medición de la efectividad de los controles a través de indicadores de gestión.
Implementar programas de capacitación.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de detección y respuesta a incidentes de seguridad.
1
Planificar
4
Actuar
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
3
Revisar
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Revisar.
Procedimientos de monitoreo y revisión para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de
seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
Determinar efectividad de las acciones
correctivas tomadas para resolver una
violación de seguridad.
Realizar revisiones periódicas.
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Revisar.
Medición de la efectividad de los controles.
Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.
Realizar auditorías internas al SGSI.
Realizar revisiones gerenciales.
Actualizar los planes de seguridad a partir de resultados del monitoreo.
Registrar las acciones y eventos con impacto sobre el SGSI.
1
Planificar
3
Revisar
2
Hacer
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
4
Actuar
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Actuar.
Implementar las mejoras identificadas en el SGSI.
Aplicar acciones correctivas y preventivas de seguridad al SGSI.
Comunicar los resultados y acciones a las partes interesadas.
Asegurar que las mejoras logren sus objetivos señalados.
Cadena de actuaciones
ISO17799
Communications
and
Operations
Management
Organizational
Security
Security Policy
Asset
Classification
and
Control
Business
Continuity
Management
Access Control
Physical
and
Environmental
Security
Personnel
Security
Systems
Development
and
Maintenance
Compliance
COBiT
Monitor
and
Support
Acquire
and
Implement
Plan
and
Organize
Define
and
Support
COSO
Monitoring
Internal
Environment
Risk
Assessment
Control
Activities
Information
and
Communications
ITIL
ICT Infrastructure
Management
Service
Delivery /
Support
Business
Perspective
Planning to
Implement
Service
Management
Application
Management
Security
Management
Objective
Setting
Risk
Response
Event
Identification
Estandares de seguridad IT
Recursos de TI Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Req. Información
Efectividad, Eficiencia, Confidencialidad, Integridad,
Disponibilidad, Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Adquisición e Implementación
Seguimiento
Prestación de Servicio y Soporte
1. Seguimiento de los procesos
2. Evaluar lo adecuado del control Interno
3. Obtener aseguramiento inndependiente
4. Proveer una auditoría independiente
1. Identificación de soluciones
2. Adquisición y mantenimiento de SW aplicativo
3. Adquisición y mantenimiento de arquitectura TI
4. Desarrollo y mantenimiento de Procedimientos
de TI
5. Instalación y Acreditación de sistemas
6. Administración de Cambios
IT. Governance 1. Definir un plan estratégico de TI
2. Definir la arquitectura de información
3. Determinar la dirección tecnológica
4. Definir la organización y relaciones de TI
5. Manejo de la inversión en TI
6. Comunicación de la directrices Gerenciales
7. Administración del Recurso Humano
8. Asegurar el cumplir requerimientos externos
9. Evaluación de Riesgos
10. Administración de Proyectos
11. Administración de Calidad
1.Definición del nivel de servicio
2.Admistración del servicio de terceros
3.Admon de la capacidad y el desempeño
4.Asegurar el servicio continuo
5.Garantizar la seguridad del sistema
6.Identificación y asignación de costos
7.Capacitación de usuarios
8.Soporte a los clientes de TI
9.Admistración de la configuración
10.Administración de problemas e incidentes
11.Administración de datos
12.Administración de Instalaciones
13.Administración de Operaciones
CONCLUSIÓN
CONCLUSIÓN
1. Impacto creciente de la tecnología
de información en los procesos de
negocio.
2. Grandes cambios en los controles
de procesos de TI.
CONCLUSIÓN
3. La productividad y supervivencia de
una organización depende cada vez en
mayor grado, del funcionamiento
ininterrumpido de los sistemas de
tecnología informática.
4. Transformación de todo el entorno
como un proceso crítico adicional.
CONCLUSIÓN
5. Todas las empresas sufren el
impacto de los nuevos escenarios
de riesgo.
6. Es importante contar con un
marco de referencia metodológico
que agilice el proceso de gestión
de seguridad de TI.
GRACIAS