Escuela Superior Politécnica del Litoral

Autores:

Mariela Zambrano R.

Dario Palacios F.

Presentación de Seminario Graduación


Seguridad de la Información

La seguridad de la Información

La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen como:



DEFINICIÓN DE CONCEPTOS


Etapas de un SGSI


Beneficios de implementar un SGSI


LA EMPRESA

Antecedentes - Organigrama


Antecedentes

Desarrolladora de software Consultoría de negocios Orientada a satisfacer las necesidades y aspiraciones de los clientes.

Kennedy Norte, Av. Miguel H. Alcivar y Eleodoro Arboleda, Edificio Plaza Center Piso 8, Of. 803Teléf.: 2-280217 ext. 124Guayaquil – Ecuador


Justificación - Antecedentes



ETAPA DE PLANEACIÓN

Controles según la Norma Iso 20072


11. CONTROL DE ACCESO. 11.1 Requisitos de negocio para el control de acceso.

11.1.1 Política de control de acceso. 11.2 Gestión de acceso de usuario.

11.2.1 Registro de usuario. 11.2.2 Gestión de privilegios. 11.2.3 Gestión de contraseñas de usuario. 11.2.4 Revisión de los derechos de acceso de usuario.

11.3 Responsabilidades de usuario. 11.3.1 Uso de contraseñas. 11.3.2 Equipo de usuario desatendido. 11.3.3 Política de puesto de trabajo despejado y pantalla limpia.

11.4 Control de acceso a la red. 11.4.1 Política de uso de los servicios en red. 11.4.2 Autenticación de usuario para conexiones externas. 11.4.3 Identificación de los equipos en las redes. 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. 11.4.5 Segregación de las redes. 11.4.6 Control de la conexión a la red. 11.4.7 Control de encaminamiento (routing) de red.

11.5 Control de acceso al sistema operativo. 11.5.1 Procedimientos seguros de inicio de sesión. 11.5.2 Identificación y autenticación de usuario. 11.5.3 Sistema de gestión de contraseñas. 11.5.4 Uso de los recursos del sistema. 11.5.5 Desconexión automática de sesión. 11.5.6 Limitación del tiempo de conexión.

11.6 Control de acceso a las aplicaciones y a la información. 11.6.1 Restricción del acceso a la información. 11.7 Ordenadores portátiles y teletrabajo. 11.7.1 Ordenadores portátiles y comunicaciones móviles. 11.7.2 Teletrabajo.

Controles según la Norma Iso 20072


Código Descripción Objetivo

11.4.1 Política de uso de los servicios de red Disponer de acceso a los servicios autorizado a usar.

11.4.2 Autentificación de usuarios para

conexiones externas

Métodos apropiados de autenticación para controlar el acceso de

usuarios remotos.

11.4.3Identificación de equipos en las redes

Identificación del equipo automático desde lugares específicos y

equipos.

11.4.4 Protección de puerto y diagnóstico remoto Acceso físico y lógico a los puertos de diagnóstico.

11.4.5 Segregación en las redes Grupos de servicios de información, usuarios y sistemas de

información deben estar separados de redes.

11.4.6 control de conexiones de red La capacidad de los usuarios conectarse a la red se limitará, con el

acceso control de las políticas.

11.4.7 Control de encaminamiento de red. Se llevará a cabo por redes para asegurar que las conexiones de

equipo y flujos de información no violen la política de control de

acceso.

Política de uso de los servicios de red

Consiste en Controlar:Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados a usar.


Autenticación del usuario para conexiones externas.

Consiste en controlar:Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos


Las conexiones externas son una fuente potencial de accesos no autorizados a la información. Por tanto, el acceso por usuarios remotos debería ser objeto de su autenticación.

Identificación de equipos en las redes

Consiste en Controlar:Se debe considerar la identificación automática del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones específicas.


Recomendación a Implementar:La identificación del equipo se puede utilizar si es importante que la comunicación sólo sea iniciada desde una ubicación o equipo específico.

Protección de puerto de Diagnóstico remoto

Consiste en:Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración


Recomendación a Implementar:

Para dicho procedimientos se debe asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso.

Segregación en las redes

Consiste en Controlar:Los servicios de información, usuarios y sistemasde información se deben segregar en las redes.


Recomendación a Implementar:Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados;

Control de conexiones de redes

Consiste en Controlar:Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizaciones; se debiera restringir la capacidad de los usuarios para conectarse a la red,en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales


Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso

Recomendación a Implementar:

Control de encaminamiento de red

Consiste en Controlar:Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de lasaplicaciones comerciales..


Recomendación a Implementar: Asignación de direcciones únicas a todas las máquinas de la red, independientes de la tecnología de los niveles de enlace. Y Control de congestión


DEFINICIÓN DE POLITICAS


Busca garantizar el cumplimiento de los acuerdos de nivel de servicio en relación a la seguridad de la información establecidos con terceros. Las políticas a aplicar son las siguientes:

•Uso aceptable de los activos•Uso contra software malicioso•Control de accesos•Uso de correo electrónico•Puestos de trabajo despejados•Uso de contraseñas de usuario•Uso de equipos portátiles

Políticas de seguridad


EVALUACIÓN DE RIESGO.


TABLA IDENTIFICACION DE ACTIVOS

Categoría Nombre Descripción

HARDW(Hardware)

PC Computador Personal

NETWORK Servidor de Proxy Server

PRINT Medios de Impresión

SWITH Conmutadores

SERVIDOR Alojamiento de información

ROUTER Enrutador

SOFTW(Software)

ANV AntivirusCORREO Cliente de correo electrónico

BROWSER Navegador Web

FIREWALL Pared corta fuegos

RED(Redes de

comunicaciones)

PSTN Red Telefónica

PP Red Inalámbrica

LAN Red Local

INTERNET Internet

PTH Patch PanelADD

(Equipos adicionales)CABLING Cableado


Valorización De Los Activos


DisponibilidadValor Criterio

1 Baja

2 Media-Baja3 Media4 Media-Alta5 Alta

ConfidencialidadValor Criterio

1 Publica

2 Uso Interno3 Privada4 Confidencial5 Alta Confidencialidad

IntegridadValor Criterio

1 No necesaria

2 Opcional3 Importante4 Necesaria5 Indispensable

CONFIDENCIALIDAD + INTEGRIDAD + DISPONIBILIDAD) / Nº DE CRITERIOSCONFIDENCIALIDAD + INTEGRIDAD + DISPONIBILIDAD) / Nº DE CRITERIOS

Valorización De Los Activos

Valorización del activo



Gestión de Riesgo


Gestión de Riesgo

Red Host Aplicaciones DatosIdentificar Identificar Amenazas Amenazas yy VulnerabilidadesVulnerabilidades

FísicasFísicas

Físico

Debe considerar estas amenazas en Debe considerar estas amenazas en cualquier evaluación de riesgoscualquier evaluación de riesgosDebe considerar estas amenazas en Debe considerar estas amenazas en cualquier evaluación de riesgoscualquier evaluación de riesgos

Niveles de seguridadNiveles de seguridad


Gestión de Riesgo Niveles de seguridadNiveles de seguridad

Físico Red Host Aplicaciones DatosIdentificar Identificar AAmenazas y menazas y VVulnerabilidades ulnerabilidades a la a la RReded

Acceso no autorizado a los recursos de Acceso no autorizado a los recursos de intranetintranet

VisVisiónión no autorizada y modificación de no autorizada y modificación de los datoslos datos

Uso no autorizado del ancho de bandaUso no autorizado del ancho de banda

Negación de servicio Negación de servicio en el en el ancho de ancho de banda de la redbanda de la red

Acceso no autorizado a los recursos de Acceso no autorizado a los recursos de intranetintranet

VisVisiónión no autorizada y modificación de no autorizada y modificación de los datoslos datos

Uso no autorizado del ancho de bandaUso no autorizado del ancho de banda

Negación de servicio Negación de servicio en el en el ancho de ancho de banda de la redbanda de la red



Físico Red Host Aplicaciones DatosIdentificar Identificar AAmenazas y menazas y VVulnerabilidades ulnerabilidades a los a los HHostsosts

Acceso no autorizado a Acceso no autorizado a los recursos del hostlos recursos del host/servidor/servidor AActualizaciónctualizacióneses de seguridad de seguridad faltantes faltantes Configuración errónea del hostConfiguración errónea del host

Escalación de privilegios o Escalación de privilegios o imitación de la identidadimitación de la identidad Contraseña perdida o robadaContraseña perdida o robada Creación no autorizada de cuentasCreación no autorizada de cuentas

Acceso no autorizado a Acceso no autorizado a los recursos del hostlos recursos del host/servidor/servidor AActualizaciónctualizacióneses de seguridad de seguridad faltantes faltantes Configuración errónea del hostConfiguración errónea del host

Escalación de privilegios o Escalación de privilegios o imitación de la identidadimitación de la identidad Contraseña perdida o robadaContraseña perdida o robada Creación no autorizada de cuentasCreación no autorizada de cuentas



Físico Red Host Aplicaciones DatosIdentificar Identificar AAmenazas y menazas y VVulnerabilidades ulnerabilidades aa las las AAplicacionesplicaciones Escalación de privilegiosEscalación de privilegios

Validación de entradaValidación de entrada Validación de parámetroValidación de parámetro Administración de sesiónAdministración de sesión

Acceso no autorizado a una aplicaciónAcceso no autorizado a una aplicación Faltan actualizaciones de seguridadFaltan actualizaciones de seguridad Configuración erróneaConfiguración errónea

Escalación de privilegiosEscalación de privilegios Validación de entradaValidación de entrada Validación de parámetroValidación de parámetro Administración de sesiónAdministración de sesión

Acceso no autorizado a una aplicaciónAcceso no autorizado a una aplicación Faltan actualizaciones de seguridadFaltan actualizaciones de seguridad Configuración erróneaConfiguración errónea



Red Host Aplicaciones DatosIdentificar Identificar AAmenazas y menazas y VVulnerabilidades ulnerabilidades a los a los DDatosatos

Físico

VisVisiónión no autorizada de los datos no autorizada de los datos

Modificación no autorizada de los datos Modificación no autorizada de los datos

Uso no autorizado de los datosUso no autorizado de los datos

Destrucción de los datosDestrucción de los datos

VisVisiónión no autorizada de los datos no autorizada de los datos

Modificación no autorizada de los datos Modificación no autorizada de los datos

Uso no autorizado de los datosUso no autorizado de los datos

Destrucción de los datosDestrucción de los datos


Tipos de amenazas


Captura de PC desde el exteriorViolación de contraseñas

Interrupción de los servicios

VirusMails anónimos con agresionesMails anónimos con agresiones

Incumplimiento de Políticas

Robo o extravío de notebooks, palms

Robo de información

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresosAgujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Hurto de equipos

Principales de amenazas


Principales de Vulnerabilidades

Ataque Externo

Internet

AtaqueInterno

AtaqueAtaqueAccesoAccesoRemotoRemoto


Todos los riesgos que se presentan podemos:

EliminarEliminar

ReducirReducir

AsumirAsumir

TransferirTransferir


Resultados de Evaluación de RiesgosActivos Dpto. Peligro identificado Probabilidad Impacto Riesgo

PC Dpto.Cont. Fact.

Mal uso de la PC 2 4.66 9.32

Intención de acceder a datos 4 4.66 18.64Hurto de dispositivos 1 4.66 4.66

Acceso no autorizado 5 4.66 23.33

Sustracción de Doc. Fact. 3 4.66 13.98

Correo Electrónico

Dpto. RedesMal uso del correo 3 4.66 13.98Robo. 2 4.66 9.32

Escape de información 3 4.66 13.98

Aplicativo Control de

Entrada

Puesto trabajo

Conexión Remota no controlada 5 4.33 21.65

Acceso a su configuración 3 4.33 12.99Análisis de trafico 2 4.33 8.66


Riegos


Implementación Del Plan De Tratamiento Del Riesgo


Activo Amenaza Vulnerabilidades PTR

Servidor

Negación del Servicio Falta de personal capacitado para el control de servicios

Reducción

Corte de suministro eléctrico o Falla en el aire acondicionado

Funcionamiento no adecuado del aire acondicionado

Reducción

Degradación de HW Falta de mantenimiento adecuado Reducción

Incumplimiento de controles de seguridad

Falta de conocimiento de seguridad por parte del software

Reducción

Análisis de tráfico Falta de establecimiento de una conexión segura (VPN)

Reducción

Ataque destructivo Falta de protección física Reducción


Activo Amenaza Vulnerabilidades PTR

Servicio de

Correo

electrónico

Análisis de trafico

Falta de establecimiento de una conexión segura

Reducción

Uso no previsto Falta de Políticas Reducción

Fallas de servicios de soporte telefonía servicios de internet

Falta de acuerdos bien definidos con terceras

Reducción

Access

Point

Acceso Externo

Pirata

Falta de procedimientos y seguridades en el control de acceso

Reducción

Degradación del servicio y equipos

Falta de mantenimiento adecuado Reducción

Ataque destructivo Falta de protección física Reducción

PC

Desarrolladores

Errores de Empleados y acciones equivocadas

Falta de conocimientos y entrenamiento oportuno

Reducción

Acceso a Internet Uso de internet en oficina Aceptable

Uso de Internet Falta de políticas de control de acceso a paginas no autorizadas

Bloqueo de Páginas desde el departamento de Redes.

Reducción


Amenaza PTR CONTROL

Ataques Maliciosos Reducción10.4.1 Controles contra códigos maliciosos A – C Políticas de seguridad 4.2 :: Descripción

Acceso a Internet Aceptación 11.4.1.2 :: Descripción

Mal uso de correo Reducción Políticas de seguridad 4.4 – 4.5 :: Descripción

Escape de información Reducción11.4.1 Política de uso de los servicios de red.

11.4.1.18 – 11.4.1.4 :: Descripción

Acceso no autorizados Reducción11.4.1 Política de uso de los servicios de red.

11.4.1.4 – 11.4.1.5 – 11.4.1.14 – 11.4.1.15 :: Descripción

Falla de conexión Reducción 9.2.1 Ubicación y protección del equipo.9.2.4 Mantenimiento de los equipos. :: Descripción

Degradación del Hardware

Reducción11.4.1 Política de uso de los servicios de red.

11.4.1.2 - 11.4.1.7 :: Descripción

Uso de Internet Reducción 11.4.7 desde el 1 al 9 :: Descripción


Controles - Ataques Maliciosos

a.- Establecer una política formal prohibiendo el uso de software no-autorizado.b.- Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas4.2.1 No utilizar CD s, disquetes, memorias USB de fuera de las instalaciones en los equipos del sistema de información de la organización a menos que haya sido previamente verificado que están libres de virus u otros agentes dañinos4.2.2 Los mensajes que se reciban de remitentes extraños o con contenido clasificable como no relacionable con la actividad empresarial deben ser eliminados en el acto, sin proceder a abrirlos

PTR


Controles – Acceso a Internet

11.4.1.2 el usuario no esta autorizado a instalar o retirar cables o dispositivos de la red

PTR


Controles – Correo Electrónico

4.4.2 Todos los emails procesados por los Sistemas de Información corporativos y redes son considerados propiedad de la organización

4.5.1 No usar el correo electrónico para enviar información confidencial/sensible, particularmente a través de internet, a menos que ésta sea primero cifrada por un sistema de cifrado aprobado por el Dpto. Informático.

4.5.2 Para crear, enviar, reenviar o almacenar emails con mensajes o adjuntos que podrían ser ilegales o considerados ofensivos, sexualmente explícitos, racistas, difamatorios, abusivos, obscenos, discriminatorios u otros ofensivos

PTR


Controles – Escape de información

11.4.1.4 Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red

11.4.1.18 En caso de requerir el respaldo de información específica que no esté contemplada dentro de los servidores, el usuario tendrá la obligación de notificarlo al personal de Redes a través de un oficio signado por su Director General, Ejecutivo o de Área, indicando la periodicidad de dicho respaldo, a fin de que se incluya en el compendio de información a resguardar en cinta.

PTR


Controles – Acceso no autorizados

PTR

11.4.1.4 Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red.11.4.1.5 Todo recurso compartido deberá tener contraseña o determinar que usuarios tendrán acceso, así como el tipo de permisos asignados.11.4.1.14 Solamente el Director General, Ejecutivo o de Área, por medio de un oficio podrá hacer la petición del uso de los servicios para el personal que labore en su departamento, debiendo indicar los siguientes puntos.11.4.1.15 El servidor llevan un registro detallado de las operaciones ejecutadas en el, por lo cual el usuario será responsable totalmente del buen o mal uso de dichos recursos, así como pérdidas o cambios de información como resultados de errores de operación.


Controles – Degradación del Hardware

PTR

11.4.1.2 El usuario no esta autorizado a instalar o retirar cables o dispositivos de la red.

11.4.1.7 El personal que solicite o tenga a resguardo una computadora de escritorio, estación de trabajo, portátil, servidor, impresora, y/o cualquier otro dispositivo de entrada o salida, etc., se compromete a ser responsable por maltrato o mal manejo del mismo o alguno de sus componentes


Controles – Uso de Internet

PTR

11.4.7 El personal tendrá acceso al servicio de Internet. Cuando las necesidades del servicio así lo requieran.

Prohibir.11.4.7.1 Chats, icq, bbs, irc, talk, write o cualquier programa utilizado para realizar pláticas en línea

11.4.7.2 Cualquier programa destinado a realizar enlaces de voz y video, sin que esto sea previamente autorizado y justificado por la Dirección General, Ejecutiva o de Área

11.4.7.3 Descargas de gran tamaño (mayores a 10 Mb) o uso de archivos de audio y multimedia

11.4.7.4 Sitios de interacción así como redes sociales.


Fin…

Escuela Superior Politécnica del Litoral

Documents

Transcript of Escuela Superior Politécnica del Litoral