La Seguridad –Un desafío Contínuo

Elving Santana

Agenda• Objetivo• Objetivo• Situación Actal• Conceptos de Seguridad• Conceptos de Seguridad• Seguridad es un Proceso Contínuo

El P d S id d• El Proceso de Seguridad• Evaluación y Gestión de Riesgos

L 10 P i i l A• Las 10 Principales Amenazas• Mejores Prácticas

Objetivo• Comunicar la importancia de la seguridad• Comunicar la importancia de la seguridad

en las redesR l j á ti• Reconocer las mejores prácticas para detectar y mitigar los riesgos de seguridad

len la empresa

Situación Actual• Las ciber amenazas crecen más rápido de lo que• Las ciber-amenazas crecen más rápido de lo que

las empresas pueden mitigar• Estudios indican que los modelos actuales deEstudios indican que los modelos actuales de

seguridad son poco efectivos contra el ciber-crimen

• Más del 50% de los ataques de hoy son internos• El 70% de los ataques internos no se reportaq p

Situación ActualSituación Actual Los Ataques no se Detienen

http://www.scmagazineus.com/study-finds-214-per-breached-record-in-2010/article/197891/

http://www.computerworld.com/s/article/9214800

Seguridad …un Desafío Continuo• El problema• El problema

fundamental de la privacidad en laprivacidad en la comunicación está en garantizarestá en garantizar su seguridad.

Conceptos de Seguridad• La seguridad es un proceso que tiene• La seguridad es un proceso que tiene

como objetivo la protección de los siguientes elementos:siguientes elementos:– La vida humana

L ti d tid d– Los activos de una entidad– Los recursos humanos– La reputación y la imagen

Conceptos de SeguridadSeguridad InformáticaSeguridad Informática • Es el proceso de mantener bajo protección los

recursos y la información existentes en la red arecursos y la información existentes en la red, a través de procedimientos basados en políticas de seguridad que permitan el control de las g q pactividades.

Conceptos de SeguridadConceptos de SeguridadDefiniciones

• Vulnerabilidad: debilidad de hardware, software o ,procedimental que puede abrir la puerta a un atacante potencial denominado agente de amenaza

• Amenaza: cualquier peligro potencial para los sistemas q p g p pinformación

• Riesgo: la probabilidad de que un agente se aproveche de una vulnerabilidad y del impacto correspondiente al negocio

• Exposición: es una instancia de exposición a pérdidas causadas por un agente

• Contramedida o Salvaguarda: mecanismo colocado para mitigar el riesgo potencial

Conceptos de SeguridadConceptos de SeguridadPrincipales Disciplinas de Seguridad

Seguridad de Aplicaciones

Seguridad de RecuperaciónSeguridad deOperaciones De Desastre y

ContinuidadArquitectura yModelos deSeguridadSeguridad

FísicaCriptografía

Seguridad

Seguridad deRedes y Tele-

Prácticas de Gestión de

Control deAcceso y

Metodología

LeyesInvestigación

y Ética

Comunicaciones

Gestión deSeguridad

Conceptos de SeguridadConceptos de SeguridadRelación Agentes, Amenaza, Resultado

A t A E l t C iAgente Amenaza a Explotar ConsecuenciaVirus Falta de Antivirus Infección de Virus (CIA)

Hacker Servicios en el servidorAcceso no autorizado a información

confidencialHacker Servicios en el servidor confidencial

UsuariosError de configuración en

unsistema Falla del sistema (A)Daños la propiedad y posiblemente

Fuego Faltade extintoresDaños la propiedad y posiblemente

pérdidade vida (IA)

EmpleadoFalta de entrenamiento ó de

reforzamiento de estándaresPerdidade información crítica;

Alteración de datos, desfalcos (CIA)

Contratista Controlesde acceso relajados Robo de secretos (C)

AtacanteCódigo pobre, falta de firewall o mal

configuradoHacer un “bufferoverflow” (C)Hacer un “Denialof Service” (A)

IntrusoFalta de guardián o cerraduras en

puertas y ventanasPuertas o accesos rotos y robo de

equipos u otros activos. (IA)

Conceptos de SeguridadObjetivos de Seguridad de la InformaciónObjetivos de Seguridad de la Información1. Disponibilidad

• Implica proveer acceso a recursos e información de p pmanera confiable y a tiempo

2. Confidencialidad:C i t t l i f ió t l• Consiste en proteger la información contra el uso no autorizado explícitamente

3. Integridad3. Integridad– Busca proteger la información contra la modificación

sin autorización del dueño

Seguridad es un Proceso Contínuo• Los procesos de• Los procesos de

negocio se basan en los resultadosen los resultados esperadosEl i l ti 4• El ciclo tiene 4 dominios, similar l dal de

Deming/Shewhart

Seguridad es un Proceso ContínuoResultados de procesos que dan ResistenciaResultados de procesos que dan Resistencia

El Proceso de SeguridadEl Proceso de SeguridadModelo de Seguridad

• El modelo de seguridad de es un marco• El modelo de seguridad de es un marco formado por muchas entidades, mecanismos de protección componentesmecanismos de protección, componentes lógicos, administrativos y físicos, procedimientos y procesos que trabajanprocedimientos y procesos que trabajan todos juntos en forma sinergética para proveer un nivel se seguridad en unproveer un nivel se seguridad en un ambiente.

El Proceso de Seguridad• Piezas analizar los sistemas de seguridad• Piezas analizar los sistemas de seguridad.

El Proceso de SeguridadPoliticas Estándares Guías yPoliticas, Estándares, Guías y

ProcedimientosL líti t bl l l f l d• Las políticas establecen el canal formal de actuación del personal, en relación con los

i i i f átirecursos y servicios informáticos, importantes de la organización

El Proceso de SeguridadLas políticas deben considerar entre otros, los siguientes gelementos:

1. Alcance, incluyendo facilidades, sistemas y personal sobre la cual aplica.aplica.

2. Objetivos y descripción clara de los elementos involucrados en su definición.

3. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organizacióninformáticos a todos los niveles de la organización.

4. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.

5. Definición de violaciones y de las consecuencias del incumplimiento de la políticade la política.

6. Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

El Proceso de SeguridadPoliticas, Estándares, Guías y Procedimientos

Ejemplo de procedimiento de chequeo de eventos en el sistema:Diariamente:• Extraer un logístico sobre el volumen de correo transportado. Extraer un g p

logístico sobre las conexiones de red levantadas en las últimas 24 horas.Semanalmente:• Extraer un logístico sobre los ingresos desde el exterior a la red interna.• Extraer un logístico con las conexiones externas realizadas desde nuestra• Extraer un logístico con las conexiones externas realizadas desde nuestra

red.• Obtener un logístico sobre los downloads de archivos realizados y quién los

realizó.• Obtener gráficos sobre tráfico en la red• Obtener gráficos sobre tráfico en la red

El Proceso de SeguridadEl Proceso de SeguridadEstándares Existentes

• El estándar de Manejo de Seguridad más usado es el ISO/IEC 17799:2005 renombrado ISO/IEC_27002.– Derivado del antiguo estándar Británico BS7799

Define 10 areas de trabajo que se alínean con la certificación CISSP– Define 10 areas de trabajo que se alínean con la certificación CISSP– Provee recomendaciones de alto nivel sobre seguridad empresarial– Consiste de dos partes: 1- Guia de implementación con

recomendaciones sobre como construir una infraestructura de seguridad. 2 Una guía de auditoría basada en los requerimientos a cumplir con2- Una guía de auditoría basada en los requerimientos a cumplir con relación a la ISO 17799.

• Otro estándard importante es el SO/IEC 27031:2011I f ti t h l S it t h i G id li fInformation technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity

http://en.wikipedia.org/wiki/ISO/IEC_27002http://www.isaca.org/cobit/

El Proceso de SeguridadEl Proceso de SeguridadEstándares Existentes, Cont.

• También se ha creado el Marco de Referencia COBIT: Control Objectives for Informationand RelatedTechnologies. Cobit es un marco de gobierno de TI que facilita cerrar la brecha entre los requerimientos de control los asuntos técnicos y los riesgos derequerimientos de control, los asuntos técnicos y los riesgos de negocio.

– Basado e integrado con estándares de la industria y las buenas prácticas en:en:

– Alineamiento estratégico de TI con las metas de negocios– Entrega del valor de nuevos servicios y las nuevas medidas y nuevos

proyectos– Manejo de riesgo– Manejo de recursos– Medición de la ejecución

http://en.wikipedia.org/wiki/ISO/IEC_27002http://www.isaca.org/cobit/

El Proceso de SeguridadEl Proceso de SeguridadControles

Control: Es un proceso ó mecanismo que sirve como contramedida.p q

Según el objetivo, los controles pueden ser:• Preventivos: previenen la explotación de la vulnerabilidad• Detectivos: ayudan a la investigación post-explotación• Correctivos: corrigen las ocurrencia de problemas

Según el área de ejecución los controles pueden ser:Según el área de ejecución, los controles pueden ser:• Administrativos: basados en procesos y gente• Técnicos: involucran software o hardware• Físicos: implementa barreras físicas para disuadir• Físicos: implementa barreras físicas para disuadir

Tipos de ControlesTipos de ControlesPreventivos

• Físico: Puertas cerradas, verjas, tags de activos, guardianes, señales.g

• Técnico: Respaldos, antivirus, sistemas HA, encriptación, certificaciones de aplicaciones,

l i DLPsoluciones DLP • Administrativo: Procedimientos de contratación,

investigaciones procesos de control de cambiosinvestigaciones, procesos de control de cambios, descripciones de trabajo, leyes y regulaciones, SLAs, etc.

Tipos de ControlesTipos de Controles Detectivos

• Administrativo: Auditoría logs vacaciones• Administrativo: Auditoría, logs, vacaciones mandatorias, balanceo de cuentas, evaluación de riesgo. g

• Técnico: IDS, HA failure detection, lectores automáticos de logs, checksums, circuito gcerrado, forensicos, etc.

• Físico: Vidrios rotos, inventarios físicos, sistemas de alarmas (fuego, ladrones), sellos de invasión, recibos y facturas.

Tipos de ControlesTipos de ControlesCorrectivos

• Administrativo: Proceso de terminación planes• Administrativo: Proceso de terminación, planes BCP y DRP, post mortems, seguros, implementación de recomendaciones de pauditoría.

• Técnico: Restauración de respaldo, HA failover, prutas redundantes (L2/L3), utilidades de reparación de archivos.

• Físico: Sitios alternos, rociadores de incendio, extintores, “mantraps”

El Proceso de Seguridad• Relación Entre Políticas Estándares• Relación Entre Políticas, Estándares,

Guías y Procedimientos

Evaluación y Gestión de RiesgosEvaluación y Gestión de RiesgosDefiniciones

• Riesgo: efecto de incertidumbre en los objetivosRiesgo: efecto de incertidumbre en los objetivos• No existe un ambiente 100% libre de riesgos • La gestión de riesgo es el proceso de evaluar y controlar

l h t d i l i l t bllas amenazas hasta reducirlas a un nivel aceptable.• El riesgo se puede mitigar, aceptar, transferir, y evitar• Análisis de Riesgo: es una herramienta de la gestión deAnálisis de Riesgo: es una herramienta de la gestión de

riesgo para identificar vulnerabilidades y amenazas y evaluar el daño potencial para determinar donde implementar los controles adecuadosimplementar los controles adecuados

• El análisis puede ser cualitativo ó cuantitativo

Evaluación y Gestión de RiesgosEvaluación y Gestión de RiesgosTipos de Riesgo

Principales amenazas p• Daño físico: fuego, agua, vandalismo, apagones, desastres• Interacción Humana: acciones intencionales ó no intencionales que

pueden afectar la productividadFalla de equipo ó de equipos periféricos• Falla de equipo ó de equipos periféricos

• Ataques internos ó externos: jaqueos, craqueos y ataques• Mal uso de datos: compartir secretos, fraude, espionaje ó robo• Pérdida de datos: perdida (intencional ó no intencional) viamedios• Pérdida de datos: perdida (intencional ó no intencional) viamedios

destructivos• Error de aplicaciones: errores computacionales, errores de entrada ó

“buffer overflows

Evaluación y Gestión de RiesgosClasificación de la Información y Sistemasy

Hay varios modelos de clasificación de información, las empresas clasifican según sus necesidadesempresas clasifican según sus necesidades.

Las principales clases incluyen:• Pública: información de mercadeo, website, etc.

Interna: diagramas organigramas manuales de• Interna: diagramas, organigramas, manuales de empleados, etc.

• Privada: información de empleado, BOMs, planes de proyectoproyecto.

• Confidencial: información de adquisiciones, estados financieros, contratos, etc.

Evaluación y Gestión de RiesgosAnálisis de Riesgo CuantitativoAnálisis de Riesgo Cuantitativo1. Determine el valor del activo a proteger2. Estime el valor de la pérdida potencial por la2. Estime el valor de la pérdida potencial por la

amenaza = PPA = Valor de activo*%de pérdida

3. Calcule las pérdidas anuales por amenaza: PA = PPA * TDO

Es decir Perdida Anual = Perdida porEs decir, Perdida Anual = Perdida por Amenaza * Tasa de Ocurrencia

Evaluación y Gestión de RiesgosEvaluación y Gestión de RiesgosEjemplo Cuantitativo

• Una granja de servidores tiene un valor de $100,000 y se estima que un rayo daña 20% de estos. Se espera que la probabilidad caida de rayo al año es 10%probabilidad caida de rayo al año es 10%.

• Valor del Activo = $100,000• Perdida Potencial por Instancia (SLE) = 100,000*0.2 =

$20,000• Pérdida Anualizada para 10% de Ocurrencia = $20,000 *

0.1 = $2,0000.1 $2,000• Si se quiere reducir o eliminar el resgo, la empresa

deberá ponderar el gasto de 2,000 en un pararayos.

Evaluación y Gestión de RiesgosAnálisis de Riesgo CualitativoAnálisis de Riesgo Cualitativo• Las amenazas se basan en un mecanismo de

escalaNú 1 10• Números, 1 – 10

• Tasa: baja, media y alta• Reportes

La amenaza se escala a la probabilidad• La amenaza se escala a la probabilidad• La pérdida se escala al impacto o importancia

Probabilidad Probabilidad ** Importancia = RiesgoImportancia = Riesgo

Evaluación y Gestión de RiesgosEjemplo de cálculo de Riesgo CualitativoEjemplo de cálculo de Riesgo Cualitativo• Supongamos una red simplificada con un

t id b idrouter, un servidor y un bridge.

Principales Amenazas• Los 10 Primeros Riesgos de Seguridad de• Los 10 Primeros Riesgos de Seguridad de

Aplicaciones Para el 2010 Según el OWASPA1-Injectionj

A2-Cross Site Scripting (XSS)

A3-Broken Authentication and Session Management

A4-Insecure Direct Object References

A5-Cross Site Request Forgery (CSRF)

A6-Security Misconfiguration

A7-Insecure Cryptographic Storage

A8-Failure to Restrict URL Access

A9-Insufficient Transport Layer Protection

http://www.owasp.org/index.php/Top_10_2010-MainThe Open Web Application Security Project

p y

A10-Unvalidated Redirects and Forwards

Principales AmenazasPrincipales AmenazasLos 10 Principales Ataques en Celulares

Fuente: ENISA

Mejores Prácticas10 Medidas de Protección Contra el Agente Interno

1. Cifrado de datos2. La gestión de identidad3 Implementar un sistema de DLP3. Implementar un sistema de DLP4. Configurar el firewall para abordar el tráfico en ambos sentidos5. Gestión del cambio6. El uso de productos de seguridad de correo con filtrado de contenidos7. Política de menor privilegio8. Archivo de auditoría de acceso9. Uso de inspección de paquetes en la red10. Política de segregación de responsabilidad10. Política de segregación de responsabilidad11.Control de dispositivos USB y otros almacenamiento

El Ambiente RegulatorioEl Ambiente RegulatorioEntidades Regulatorias de Estados Unidos

Conclusiones• Los ataques a los sistemas de información son cada vez q

más sofisticados y más costosos para las organizaciones• La seguridad es un proceso continuo• La segurida persigue la protección de la vida humana yLa segurida persigue la protección de la vida humana y

de diversos activos en las instituciones• Los principios de seguridad son: Disponibilidad,

Confidencialidad, e IntegridadConfidencialidad, e Integridad • Se puede establecer tres tipos de controles : Preventivos,

Detectivosy Correctivos• Los estándares y regulaciones facilitan el uso sistemáicoLos estándares y regulaciones facilitan el uso sistemáico

de los procesos de seguridad• La negligencia y el exceso de confianza facilitan

Fuentes1. Organizational Resilience: Security, Preparedness, and Continuity g y, p , y

Management Systems-Requirements and Guidance for Use. American National Standards Institute, Inc. 2009.

2. All in One CISSP Exam Guide, 3rd Ed, Shawn Harris3. Las 10 Primeras de OWASP

http://www.owasp.org/index.php/Top_10_2010-Main4. Manual de Seguridad en Redes, ArCERT. 5. Protecting Against Insider Attacks In Todays Network Environments, por

Deb Shinder.