1 / 74

Seguridad en Sistemas de Información

Seguridad en Sistemas de Información. Carmen R. Cintrón Ferrer - 2011, Derechos Reservados. Introducción. ¿Por qué estoy en este seminario? ¿Cuál es el interés de Sagrado? ¿Qué pueden aportar las tecnologías de información en la protección de Sagrado? ¿Qué debo contribuir para lograrlo?.

min
Download Presentation

Seguridad en Sistemas de Información

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad en Sistemas de Información Carmen R. Cintrón Ferrer - 2011, Derechos Reservados

  2. Introducción ¿Por qué estoy en este seminario? ¿Cuál es el interés de Sagrado? ¿Qué pueden aportar las tecnologías de información en la protección de Sagrado? ¿Qué debo contribuir para lograrlo? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  3. Introducción • Administro, custodio y/o utilizo recursos • Contribuyo al manejo efectivo de riesgos • Colaboro en implantar: • Visión (Cultura Corporativa de Seguridad) • Políticas, procedimientos y estándares • Controles objetivos, uniformes y continuos • Registro de vulnerabilidades y/o incidentes • Generar informes • Anticipar escenarios • Facilitar la recuperación o restauración Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  4. Ejercicio 1Incidentes como los ocurridos en: ¿Podrían ocurrir en Puerto Rico? ¿Podrían ocurrir en Sagrado? ¿Se pueden evitar? ¿Reducir su impacto? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  5. Ejercicio 1 - Riesgos Riesgo = (Amenaza*Vulnerabilidad/Estrategias o Medidas)*Valor • Vulnerabilidades prevenibles • Amenazas previsibles • Intención anticipable • ¿Cultura de seguridad? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  6. Físicos: Vandalismo Robo Interceptación Comunicación: Impostura Adulteración de tráfico, mensajes Fisgonear (“Eavesdropping”) Penetración: Escáners Negación de Servicios (DoS) Código malicioso (virus) Ingeniería social: Robo de claves (“passwords”) Robo de información Abrir documentos (“attachments”) MóduloIntroducción - Tipos de ataques Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  7. “Hackers”: Intencionales Técnicos excepcionales Empleo de rutinas (“scripts”) “Crackers” “White hackers” Agrupaciones Virus: Codificadores Distribuidores “Script Kiddies” Criminales: Robo de identidad Extorsión Robo de propiedad: intelectual industrial Empleados: Sabotaje Oportunidad (valores) Consultores y contratistas Terrorismo cibernético: Ataca infraestructuras Actuación concertada (gob/ind) MóduloIntroducción - Tipo de atacantes Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  8. MóduloIntroducción - Respuesta • Compromiso Gerencial: • Alta gerencia debe asignar alta prioridad • Asignar recursos requeridos • Integrar a las operaciones diarias • Poner en vigor (“enforce”) medidas • Enfoque integral: • Considerar todas las áreas de riesgo • Identificar todas las vulnerabilidades posibles • Establecer múltiples niveles de protección • Auditar y fiscalizar continuamente Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  9. Conceptos básicos Recursos de información (def) Seguridad (def) Riesgos (clasif) Arquitectura de seguridad (modelo) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  10. Recursos de Información(Definición) • Personal técnico y su conocimiento • Equipo de tecnología informática • Hardware • Software • Network • Depósitos de datos/información o conocimiento • Procedimientos apoyados mediante tecnología • Infraestructura de comunicación y conexión • Otras tecnologías asociada * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  11. Seguridad de los Recursos de información(Definición) • Conjunto de medidas • Adoptadas para prevenir o limitar: • el uso o acceso indebido • la adulteración, eliminación o divulgación • De los activos informáticos críticos • De una organización Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  12. Seguridad de los Recursos de información(Objetivos) • Confidencialidad • Impedir el acceso no autorizado • Integridad • Evitar la contaminación o modificación indebida • Disponibilidad • Permitir el acceso autorizado • Validación (“Non Repudiation”) • Evitar el que se repudien mensajes o actos • Asegurar que éstos se mantengan íntegros Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  13. Seguridad de los Recursos de información(Etapas o Niveles) Física Comunicación (interceptación) Tecnología informática (“reliable”) Perfil del usuario (criterios para acceso) Redes (confiabilidad) Recursos de Información * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  14. ¿Conoces los riesgos? ¿Puedes identificarlos? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  15. Seguridad de los Recursos de información(Riesgos típicos) • Uso indebido • Amenazas internas • Amenazas externas • Fallas en la infraestructura: • Hardware • Software • Network • Conexión * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  16. Riesgos de seguridad - Uso indebido • Abuso de privilegios • Acceder y/o adulterar: • Datos • Documentos/información • Procesos • Modificar privilegios de acceso o seguridad • Intentos de lograr acceso a: • Servicios • Servidores • Aplicaciones • Bancos de datos no disponibles • Divulgar datos/documentos/información confidencial o protegida * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  17. Riesgos de seguridad – Amenazas internas • Empleados: • Involuntariamente (error o negligencia) • Intencionalmente (disgustados, despedidos) • Empleados comprometidos (informantes) • Ex- empleados • Contratistas, temporeros, otros • Asociados: • Clientes • Proveedores o “business partners” * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  18. Riesgos de seguridad - Amenazas externas • Código maligno Virus, worms, logic bombs, spam, spyware, bots • Violadores cibernéticos Hackers/Crackers • Ingeniería social Social engineering • Pérdida de credibilidad Brand equity • Adulterar la sede virtual Graffiti • Interrupción de servicios Denial of service: • Dummy transactions that overload target server • Packet flooding • Distributed DoS* Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  19. Modelo de Seguridad Cultura de Seguridad Gestión Estrategias Tecnologías Información Prácticas Personal Políticas/Estándares Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  20. Modelo de Seguridad - Cultura de Seguridad • Comprende: • Gente • Procedimientos y • Tecnologías • Promueve cambio en actitudes: • Reactiva @ proactiva • Proactiva @ predictiva • Planifica para que los activos de información: • Estén acequibles • Se integren a las funciones del negocio • Respalden el desarrollo de nuevos productos/procesos • Estén protegidos (minimizar los riesgos que afrontan) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  21. Modelo de SeguridadEstrategias de Seguridad • Tecnologías de seguridad: • Firewalls y sistemas de monitoreo • Antivirus & protección contra malware • Políticas y procedimientos: • Uso de las tecnologías de información • Identificación y Claves de acceso • Protección de datos y confidencialidad de documentos • Copias de resguardo • Configuración de sistemas • Investigación de personal • Plan de concienciación (“Awareness”) • Equipo de respuesta a emergencias (CERT/CSIRT) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  22. Modelo de SeguridadPrincipios de una Cultura de Seguridad • Es responsabilidad gerencial proteger los activos informáticos de la organización. • El acceso se basa en necesidad: • Persona • Accede • Información • Cuando la necesita • La protección se enfoca por niveles • Las estrategias de mitigación está basadas en costo efectividad • Los procesos propenden a la confiabilidad (“reliability”) y replicación • Hay consecuencias asociadas al incumplimiento Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  23. Modelo de Seguridad - Gestión gerencial • Proteger los activos de información • Garantizar (CIA): • Confidencialidad • Integridad • Disponibilidad • Asegurar los activos de información (“Information Assurance”) • Facilitar continuidad de operaciones • Cumplimiento con legislación aplicable Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  24. Manejo de Riesgos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  25. Mecanismos de protección - Riesgos y amenazas • Intencionales: Empleados o contratistas • Hacer daño, afectar imagen o interumpir operaciones • Beneficio o lucro personal • Represalia • Negligencia: • Ignorancia • Uso indebido • Falta de adiestramiento • Falta de actualización o protección • Falta de mantenimiento • Falta de fiscalización monitoring Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  26. Mecanismos de protección - Riesgos y amenazas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados • Naturales: • Fuego • Terremoto • Inundaciones o filtraciones • Tormentas o tornados • Accidentales (Incidentes fuera de nuestro control, o actos sin intención): • Interrupción o desconexión de servicios • Desaparición o destrucción de archivos

  27. Riesgos y amenazas - Inherentes a la tecnología • Fallos en Hardware debidos a: • Diseño • Construcción • Instalación • Desgaste natural • Fallos en Software: • Diseño • Errores de programación • Instalación o integración • Uso indebido • Fallos en la red: • Diseño • Arquitectura • Errores de programación, Instalación o integración y Uso indebido Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  28. Riesgos y amenazas - Externos a la organización • Delitos: • Vandalismo • Robo/hurto • Apropiación ilegal • Vigilancia electrónica • “Computer tresspass” • Hackers/Crackers ataque intencional para incursionar: • Redes • Servidores • Dispositivos • Computadoras • Virus: • Programas que se propagan para afectar: • Servidores o computadoras • Borrar archivos o colmar la memoria (RAM/Discos) • Antivirus y Bloqueadores de virus Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  29. ¿Cuántos riesgos conoces? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  30. Escenarios • Spyware • Trojans & Worms • Bots • Phishing • IdTheft • Steganography • P2P • PDF • EXE • Social Engineering • Facebook & Google • Film downloading • Music/Film sharing • Online Piracy – IP • Web cams • Extorsion • Notebooks & laptops • Celular phones Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  31. Ejercicio 2 Identifique algunos riesgos de seguridad asociados a las Tecnologías de información Clasifique y ordene los riesgos a base de probabilidad del evento y a base del impacto Provea recomendaciones para evitar el evento y/o atenuar su impacto Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  32. Ejercicio 2 Riesgos Tecnologías de Información Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  33. Ejercicio 2 Riesgos Tecnologías de Información • Identificar y valorar activos informáticos • Identificar posibles riesgos • Identificar áreas de vulnerabilidad • Estimar riesgos reales • Calcular posible impacto • Identificar medidas de protección • Estimar posible reducción en impacto • Determinar riesgos a cubrir y riesgos asumir • Revisar las medidas de protección según respuesta a incidentes acaecidos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  34. Ejercicio 2 Riesgos Tecnologías de Información Carmen R. Cintrón Ferrer, 2011, Derechos Reservados Tomado de: Panko, Corporate and Computer Security, Fig. 1-9, p.36

  35. Mecanismos de Protección Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  36. Tecnología de RedesMecanismos de protección • Riesgos y amenazas • Tecnologías de seguridad: • ¿Para qué? • ¿Cómo? • Otras consideraciones • Mecanismos de protección • Control y Claves de Acceso “passwords” • Copias de resguardo • Servicios de batería (“UPS”) • Sistemas sin interrupción (“Fault tolerant”) • Herramientas tecnológicas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  37. Seguridad de los Recursos de información(Validación de acceso) “Validación intenta asegurar que logran acceso quienes deben tener derecho para las funciones o los procesos autorizados.” Autenticar Autorizar Acceder Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  38. Seguridad de los Recursos de información(Autenticar) “Autenticar implica asegurar que identificamos correctamente a quién solicita acceso, o sea verificar que realmente es quien asevera ser.” • Kerberos • Tokens • Biometrics • Certificates * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  39. Seguridad de los Recursos de información(Autorizar) “Autorizar regula para qué se nos permite el acceso. Depende de la(s) función(es) o rol(es) y del nivel de confianza en la conexión.” • Centralización (“Web single sign-on”) • Role based access control • Proxies * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  40. Seguridad de los Recursos de información(Acceder) “Acceder es permitir llegar hasta los recursos de información protegidos en la confianza que el autorizado hará un buen uso.” • Balance delicado de riesgos • Bitácora de transacciones • Fiscalización de uso autorizado Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  41. Tecnologías de seguridad¿Para qué las tecnologías de seguridad? • Proteger los recursos importantes/sensitivos • Imponer controles de acceso, según las políticas • Administrar los roles, según grupos de usuarios • Fiscalizar el acceso y el uso de los recursos • Prevenir ataques, interrupciones e intrusos • Reducir o mitigar el impacto de éstos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  42. Tecnologías de Seguridad¿Cómo integrar las tecnologías de seguridad? • Fijar políticas relativas al control de acceso • Enumerar recursos críticos • Para cada recurso crítico: • Determinar el nivel de sensibilidad • Decidir quién debe tener acceso • Definir para qué (Roles) debe tener acceso • Determinar cómo va a implantarse el control • Planificar cómo integrar esas determinaciones en: • Firewall y otras tecnologías de seguridad • Auditorías y pruebas internas periódicas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  43. Tecnologías de seguridadOtras consideraciones para integrarlas • Nivel y medio de autenticación: • Claves y #’s PIN • Tarjetas, Tokens • Biométricas • Políticas y controles sobre medios de autenticación • Procesos de control sobre usuarios privilegiados Control relativo a archivos y algoritmos de cifrado (“encryption”) • Estándares e integración de: • Redes inalámbricas • Tecnologías móviles • colaboradores (Extranet/EDI/VPN) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  44. Mecanismos de protecciónControl y claves de acceso (“Passwords”) • Funciones: • Protegen la red al exigir identificación (autenticación) • Protegen de acceso indebido a recursos en de la red • Mantener protegidos por el usuario • Almacenar en sitio seguro con acceso limitado • Renovar frecuentemente (45-90 días) • Combinar 8 caracteres numéricos y alfanuméricos • Variantes: • Individuales • Grupales • Por dispositivo o recurso Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  45. Mecanismos de protecciónControl y claves de acceso (“Passwords”) • Funciones: • Controlan acceso a archivos, directorios o dispositivos • Identifican tipo de autorizaciones para navegar • Identifican tipo de protocolos a utilizar • Tipos de privilegios: • “Read” • “Execute” • “Write” • “Delete” • “Search” • “No Access” Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  46. Mecanismos de protecciónCopias de resguardo (“Backups”) • Tipos de copias de resguardo: • “Full backup” – copia todos los archivos en la red • “Selective backup” – copia archivos seleccionados • “Incremental backup” – copia archivos modificados • Estrategias de copiar: • Funciones críticas • Riesgos de pérdida • Frecuencia/volumen de cambio en datos • Itinerario de copias de resguardo: • Automático/Manual • Horario Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  47. Mecanismos de protecciónServicios de batería(“UPS”) • Funciones: • Provee energía temporera al ocurrir interrupción • Evita daños a servidores, conectores y dispositivos en la red • El tiempo de operación lo determina la carga y demanda • Puede complementarse con planta generadora alterna • Protege contra fluctuaciones (“surge/spike”) • Tipos de UPS: • “standby” – al notar interrupción provee energía (“delay”) • “line-interactive” – acondiciona corriente y se activa con interrupción • “online” – continuamente activo y acondiciona corriente (“no delay”) • Programación de administración: • Permite fiscalizar operación del UPS • Provee respaldo para desactivar automáticamente aplicaciones y dispositivos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  48. Ejercicio AAA • Integren el grupo y distribuyan roles • Seleccionen la organización a evaluar • Utilicen las listas de cotejo I-IV • Añadan preguntas necesarias para cubrir los tres criterios (AAA), conforme el rol asignado • Resuman sus hallazgos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  49. Seguridad de los Recursos de información(Herramientas de control) “Administrar el uso adecuado.” Políticas de acceso y seguridad Tecnología para implantar controles Tecnología para operaciones Servicios de seguridad Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  50. Políticas de seguridad • Clasificación de la información: • Pública • Privada (organización) • Particular (privada de clientes o terceros) • Confidencial • Políticas para segmentar grupos • Políticas para autenticar usuarios • Procedimientos para manejo de: • Configuración y control • Medidas aseguren cumplimiento • Amenazas o incidentes de riesgo Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

More Related