Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos...

Posgrado en Dirección de Sistemas de Información

• Temario de Seguridad Informática

– Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas: Antivirus, Firewalls, Intrusion Detection/Prevention Sistems

– Criptografía Aplicada: Seguridad en el Correo Electrónico, Firma Digital y Métodos de Pago.

– Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría.

– Normativa y Legislación Vigente: ISO - IEC - IRAM 17799, Habeas Data, Firma Digital, Sabarnes Oxley.

Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

Paradigma actual de la Seguridad Informática

• Sostener la Continuidad Segura de los Negocios por medio de una estructura que mantenga la

– Integridad

– Disponibilidad

– Confidencialidad

» Autenticación (de origen de una información)» No repudio

en un grado acorde a la criticidad de la Misión de Negocio del Sistema

Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas


Definición de Virus Informático

• Modelo DAS

–Dañino

–Autorreproductor

–Subrepticio



Modelo de Virus Informático

entorno

módulo de reproducción

módulo de ataque (optativo)

módulo de defensa (optativo)

(signature)



Concepto de daño de un virus informático

• Modo de daño

– Implícito

– Explícito

• Tipo de daño

– Performance

– Información

– Hardware



Concepto de daño de un virus informático

• Potencial de daño

–El daño que puede producir un virus informático no depende de su complejidad sino del entorno donde actúa.



Funcionamiento de un virus informático

• Debe ejecutarse para, desde la memoria, tomar control de la computadora.

• Genera copias de sí mismo en la computadora ya infectada para garantizar su supervivencia.

• Vía LAN, WAN, Internet, diskette u otras formas de transportar archivos, infecta a otras computadoras.



Spyware

• Spyware

• Spyware - Troyanos

• Spyware - Web Bugs



Modelo de Sistema Antivirus

Módulo de ControlAdministración de recursos

Identificación de código

Verificación de integridad

Módulo de Respuesta Alarma Reparar Evitar



Sniffing

• Permite la obtención de gran cantidad de información sensible enviada sin encriptar– Usuarios, direcciones de e-mail, claves, números

de tarjetas de crédito, etc.

• Consiste en emplear sniffers en entornos de red basados en difusión, como por ejemplo ethernet (mediante el uso de concentradores o hubs).

• El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones.



IP spoofing

• En TCP/IP se basa en la generación de paquetes IP con una dirección origen falsa.

• El motivo para realizar el envío de paquetes con esa IP puede ser, por ejemplo, que desde la misma se disponga de acceso hacia un sistema destino objetivo, porque existe undispositivo de filtrado (screening router o firewall) que permite el tráfico de paquetes con esa dirección IP origen, o porque existe una relación de confianza entre esos dos sistemas.



SMTP Spoofing y Spamming

• El SMTP Spoofing a nivel de aplicación se basa en que, en el protocolo SMTP (puerto TCP 25) es posible falsear la dirección fuente de un e-mail enviando mensajes en nombre de otra persona. – Es así porque el protocolo no lleva a cabo ningún

mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado.

• El spamming consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo.



DoS Denial of Service

• Este tipo de ataques no supone ningún peligro para la seguridad de las máquinas, ya que no modifica los contenidos de la información, por ejemplo páginas Web, ni permite obtener información sensible.

• El objetivo es entorpecer el acceso de los usuarios a los servicios de un sistema. Normalmente, una vez que el ataque finaliza, se vuelve a la situación normal.

• En algunas ocasiones se han empleado para encubrir otros ataques simultáneos cuyo objetivo sí era comprometer el sistema.



DDoS Distributed Denial of Service

• El proceso esta compuesto de 4 pasos principales:

1) Fase de escaneo con un conjunto objetivo de sistemas muy elevado, 100.000 o más. Se prueban éstos frente a una vulnerabilidad conocida.

2) Se obtiene acceso a parte de esos sistemas a través de la vulnerabilidad.

3) Se instala la herramienta de DDoS en cada sistema comprometido.

4) Se utilizan estos sistemas para escanear y comprometer nuevos sistemas.



Firewall de capa 7Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas


Verificador de Vulnerabilidades



IDS/IPS



Limitaciones de la tecnología de Inspección Profunda de Paquetes con respecto a la Protección Completa de Contenido

Evolución de las Amenazas



Protección Completa de Contenidos y Performance de Red



Introducción a la Criptografía

Criptografía Aplicada


Problemas que resuelve la Criptografía

• Privacidad

• Integridad

• Autenticación

• No rechazo



Criptografía Asimétrica

Este tipo de criptografía se conoce también como criptografía de clave privada o

criptografía de llave privada.



•

A B

Mensaje

Canal

Inseguro

C



Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo AldeganiPosgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

•

A B

Privada A Privada B

Pública A Pública B

Mensaje

Canal

Inseguro

C



Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo AldeganiPosgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

•

A B

Privada A Privada B

Pública A

Pública A

Pública B

Pública B

Mensaje

Canal

Inseguro

C




•

A B

Privada A Privada B

Pública A

Pública A

Pública B

Pública B

Mensaje

Canal

Inseguro

C

Pública B

Pública A




•

A B

Privada A Privada B

Pública A

Pública A

Pública B

Pública B

Mensaje

Encripción

con Pública B

Canal

Inseguro

C

Pública B

Pública A




•

A B

Privada A Privada B

Pública A

Pública A

Pública B

Pública B

Mensaje

Encripción

con Pública B

Canal

Inseguro

C

Pública B

Pública A

Mensaje

Apócrifo

Encripción

con Pública B




•

A B

Privada A Privada B

Pública A

Pública A

Pública B

Pública B

Mensaje

Encripción

con Pública B

Encripción

con Privada de A

Canal

Inseguro

C

Pública B

Pública A

Mensaje

Apócrifo

Encripción

con Pública B




•

A B

Privada A Privada B

Pública A

Pública A

Pública B

Pública B

Mensaje

Encripción

con Pública B

Encripción

con Privada de A

Canal

Inseguro

C

Pública B

Pública A

Mensaje

Apócrifo

Encripción

con Pública B

Confidencialidad Autenticidad de Origen





• La criptografía asimétrica o de clave pública se divide en tres familias (según el problema matemático en el cual basan su seguridad)

– Problema de Factorización Entera PFE (RSA y Rabin Williams RW)

– Problema del Logaritmo Discreto PLD (Diffie Hellman DH de intercambio de claves y sistema DSA de firma digital)

– Problema del Logaritmo Discreto Elíptico PLDE, hay varios esquemas tanto de intercambio de claves como de firma digital como el DHE (Diffie Hellman Elíptico), DSAE, (Nyberg-Rueppel) NRE, (Menezes, Qu, Vanstone) MQV, etcétera.



Firma Digital

• Existen dos tipos de esquemas sobre firma digital

– Esquema de firma digital con apéndice

– Esquema de firma digital con mensaje recuperable



Firma Digital



FIRMANTE

MENSAJE

FINGERPRINT DEL MENSAJE

ALGORITMO HASH

Firma Digital


ENCRIPCION CON PRIVADA DEL FIRMANTE

FIRMA DIGITAL

MENSAJE NUEVO FINGERPRINT

FINGERPRINT DEL MENSAJE


Firma Digital


FINGERPRINT DEL MENSAJEENCRIPCION

CON PRIVADA DEL FIRMANTE

FIRMA DIGITAL


DESENCRIPCIONCON PUBLICA DEL FIRMANTEFINGERPRINT DEL MENSAJE


Firma Digital


FINGERPRINT DEL MENSAJEENCRIPCION

CON PRIVADA DEL FIRMANTE

FIRMA DIGITAL


DESENCRIPCIONCON PUBLICA DEL FIRMANTEFINGERPRINT DEL MENSAJE

COMPARACION


Certificados Digitales



Infraestructura de Claves Públicas



SSL



SET



• Este protocolo esta especialmente diseñado para asegurar las transacciones por Internet que se pagan con tarjeta de crédito.

• La principal característica de SET, es que cubre estos huecos en la seguridad que deja SSL.

SET



Determinación de Responsables


• Objetivo de la Infraestructura de seguridad de la información

– Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría



• Foro gerencial sobre seguridad de la información

– La seguridad de la información es una responsabilidad de la empresa compartida por todos los miembros del equipo gerencial.

– Por consiguiente, debe tenerse en cuenta la creación de un foro gerencial para garantizar que existe una clara dirección y un apoyo manifiesto de la gerencia a las iniciativas de seguridad.

– Este foro debe promover la seguridad dentro de la organización mediante un adecuado compromiso y una apropiada reasignación de recursos.

– El foro podría ser parte de un cuerpo gerencial existente.




• Coordinación de la seguridad de la información

– En una gran organización, podría ser necesaria la creación de un foro ínter funcional que comprenda representantes gerenciales de sectores relevantes de la organización para coordinar la implementación de controles de seguridad de la información.




• Asignación de responsabilidades en materia de seguridad de la información

– Deben definirse claramente las responsabilidades para la protección de cada uno de los recursos y por la implementación de procesos específicos de seguridad.

– La política de seguridad de la información debe suministrar una orientación general acerca de la asignación de funciones de seguridad y responsabilidades dentro la organización.

– Esto debe complementarse, cuando corresponda, con una guía más detallada para sitios, sistemas o ser-vicios específicos.

– Deben definirse claramente las responsabilidades locales para cada uno de los procesos de seguridad y recursos físicos y de

información, como la planificación de la continuidad de los negocios.




• Proceso de autorización para instalaciones de procesamiento de información

– Debe establecerse un proceso de autorización gerencial para nuevas instalaciones de procesamiento de información..




• Asesoramiento especializado en materia de seguridad de la información

– Es probable que muchas organizaciones requieran asesoramiento especializado en materia de seguridad.

– Idealmente, éste debe ser provisto por un asesor interno experimentado en seguridad de la información.

– No todas las organizaciones desean emplear aun asesor especializado.

• En esos casos, se recomienda que se identifique a una persona determinada para coordinar los conocimientos y experiencias disponibles en la organización a fin de garantizar coherencia, y brindar ayuda para la toma de decisiones en materia de seguridad.

• También debe tener acceso a calificados asesores externos para

brindar asesoramiento especializado más allá de su propia experiencia.


Determinación de Normas y Procedimientos


• Las Políticas de Seguridad son los documentos que describen la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos que tanto usuarios como administradores tienen y qué hacer ante un incidente de seguridad.

• Mientras las políticas indican el “qué”, los procedimientos indican el “cómo”. Los procedimientos son los que nos permiten llevar a cabo las políticas.



• Las políticas son parte fundamental de cualquier esquema de seguridad eficiente.

• Como administradores, nos aminoran los riesgos, y nos permiten actuar de manera rápida y acertada en caso de haber una emergencia de cómputo.

• Como usuarios, nos indican la manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos “malos vecinos” de la red sin saberlo.

• El tener un esquema de políticas facilita grandemente la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación; dan una imagen profesional a la organización y facilitan una auditoría.




• Al diseñar un esquema de políticas de seguridad, conviene que dividamos nuestro trabajo en varias diferentes políticas específicas a un campo.




• Políticas de cuentas

– Establecen qué es una cuenta de usuario de un sistema de cómputo, cómo está conformada, a quién puede serle otorgada, quién es el encargado de asignarlas, cómo deben ser creadas y comunicadas.




• Políticas de contraseñas

– Son una de las políticas más importantes, ya que por lo general, las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra ataques.

– Establecen quién asignará la contraseña, qué longitud debe tener, a qué formato deberá apegarse, cómo será comunicada, etc.




• Políticas de control de acceso

– Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben autentificarse.




• Políticas de uso adecuado

– Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido dentro del sistema de cómputo.




• Políticas de uso adecuado

– Existen dos enfoques

• Permisivo (todo lo que no esté explícitamente prohibido está permitido)

• Paranoico (todo lo que no esté explícitamente permitido está prohibido).

– Cuál de estas elegir dependerá del tipo de organización y el nivel de seguridad que esta requiera.




• Políticas de respaldos

– Especifican qué información debe respaldarse, con qué periodicidad, qué medios de respaldo utilizar, cómo deberá ser restaurada la información, dónde deberán almacenarse los respaldos, etc.




• Políticas de correo electrónico

– Establece tanto el uso adecuado como inadecuado del servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto.




• Políticas de contabilidad del sistema

– Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la manera en que debe manejarse la contabilidad del sistema y el propósito de la misma.




• Plan de Contingencia - Contingency Plan (CP)

• Plan de Continuidad de Negocio - Business Continuity Plan (BCP)

• Plan de Recuperación de Desastres - Disaster Recovery Plan (DRP)

Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Desastres



• Toda planificación de Recuperación ante Contingencias debe ser realizada antes de la ocurrencia de los eventos.

Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres



• Causas de Contingencia

– Eventos naturales

– Eventos ocasionados por personas

– Eventos debidos a fallas de tecnología




• Definición de Alcance e Inicio del Plan.

• Evaluación del Impacto en el Negocio (Business Impact Assessment – BIA).

• Desarrollo del Plan.

• Aprobación e Implantación del Plan.

• Prueba y Mantenimiento del Plan.




• Alcance del Plan

– Roles y Responsabilidades




• Evaluación del Impacto en el Negocio

(BIA)

– Objetivos

– Tareas




• Evaluación del Impacto en el Negocio

(BIA)

– Risk Assessment




• Desarrollo de la Estrategia (Selección de Alternativas)

• Definición de la Estrategia




• Implantación (Desarrollo del Plan)

• Prevención/ Mitigación de Riesgos.




• Toma de decisiones

• ¿Qué incluye el BCP?




• Disaster Recovery Plan

– Objetivos

– Procesos

– Mantenimiento




• Testeo de DRP




• Equipos de Trabajo




• Otros aspecto a considerar

• Conclusiones




• Objetivo

– Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Implementación de un sistema de Control por Oposición o Auditoría Interna



• Controles de auditoría

• Protección de las herramientas de auditoría

Implementación de un sistema de Control por Oposición o Auditoría Interna



• Relación con la empresa

• Convenio de Confidencialidad

• Limitaciones del entorno a auditar

Manejo de Auditorías Externas


Ley de Habeas Data


ARTICULO 1°.- (Objeto)

La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

Normativa y Legislación Vigente

Ley de Firma Digital


ARTICULO 3°.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia.


Antecedentes

• 1995 se publica BS 7799

• 1999 se revisa BS 7799

• 2000 se adopta como ISO 17799

• 2002 se homologa como IRAM 17799

• 2004 lo adopta la ONTI como base para las Políticas de Seguridad de Gestión Pública



Las diez Areas de Control

• Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles

• No todos los controles podrán aplicarse a cada empresa, sin embargo la norma 17799 ayuda a identificar los controles relevantes para cada empresas.

• 1) Política de Seguriad• 2) Organización de la Seguridad• 3) Clasificación y Control de Activos• 4) Seguridad Personal• 5) Seguridad Física y Ambiental• 6) Control de Comunicaciones y Operaciones• 7) Control de Accesos• 8) Desarrollo y Mantenimiento de Sistemas• 9) Administración de la Continuidad de Negocios• 10) Cumplimiento



Sarbanes Oxley


• Qué es la ley Sarbanes Oxley Act

• Que relación hay entre la ley SOX en las TI


Sarbanes Oxley


• Cómo afecta la ley Sarbanes Oxley a la cadena de valor

• Y las empresas Argentinas?

• Que deben hacer las empresas


Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos...

Documents

Transcript of Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos...