la seguridad –un desafío contínuo - bicsi.org · pdf filede una...
TRANSCRIPT
Agenda• Objetivo• Objetivo• Situación Actal• Conceptos de Seguridad• Conceptos de Seguridad• Seguridad es un Proceso Contínuo
El P d S id d• El Proceso de Seguridad• Evaluación y Gestión de Riesgos
L 10 P i i l A• Las 10 Principales Amenazas• Mejores Prácticas
Objetivo• Comunicar la importancia de la seguridad• Comunicar la importancia de la seguridad
en las redesR l j á ti• Reconocer las mejores prácticas para detectar y mitigar los riesgos de seguridad
len la empresa
Situación Actual• Las ciber amenazas crecen más rápido de lo que• Las ciber-amenazas crecen más rápido de lo que
las empresas pueden mitigar• Estudios indican que los modelos actuales deEstudios indican que los modelos actuales de
seguridad son poco efectivos contra el ciber-crimen
• Más del 50% de los ataques de hoy son internos• El 70% de los ataques internos no se reportaq p
Situación ActualSituación Actual Los Ataques no se Detienen
http://www.scmagazineus.com/study-finds-214-per-breached-record-in-2010/article/197891/
http://www.computerworld.com/s/article/9214800
Seguridad …un Desafío Continuo• El problema• El problema
fundamental de la privacidad en laprivacidad en la comunicación está en garantizarestá en garantizar su seguridad.
Conceptos de Seguridad• La seguridad es un proceso que tiene• La seguridad es un proceso que tiene
como objetivo la protección de los siguientes elementos:siguientes elementos:– La vida humana
L ti d tid d– Los activos de una entidad– Los recursos humanos– La reputación y la imagen
Conceptos de SeguridadSeguridad InformáticaSeguridad Informática • Es el proceso de mantener bajo protección los
recursos y la información existentes en la red arecursos y la información existentes en la red, a través de procedimientos basados en políticas de seguridad que permitan el control de las g q pactividades.
Conceptos de SeguridadConceptos de SeguridadDefiniciones
• Vulnerabilidad: debilidad de hardware, software o ,procedimental que puede abrir la puerta a un atacante potencial denominado agente de amenaza
• Amenaza: cualquier peligro potencial para los sistemas q p g p pinformación
• Riesgo: la probabilidad de que un agente se aproveche de una vulnerabilidad y del impacto correspondiente al negocio
• Exposición: es una instancia de exposición a pérdidas causadas por un agente
• Contramedida o Salvaguarda: mecanismo colocado para mitigar el riesgo potencial
Conceptos de SeguridadConceptos de SeguridadPrincipales Disciplinas de Seguridad
Seguridad de Aplicaciones
Seguridad de RecuperaciónSeguridad deOperaciones De Desastre y
ContinuidadArquitectura yModelos deSeguridadSeguridad
FísicaCriptografía
Seguridad
Seguridad deRedes y Tele-
Prácticas de Gestión de
Control deAcceso y
Metodología
LeyesInvestigación
y Ética
Comunicaciones
Gestión deSeguridad
Conceptos de SeguridadConceptos de SeguridadRelación Agentes, Amenaza, Resultado
A t A E l t C iAgente Amenaza a Explotar ConsecuenciaVirus Falta de Antivirus Infección de Virus (CIA)
Hacker Servicios en el servidorAcceso no autorizado a información
confidencialHacker Servicios en el servidor confidencial
UsuariosError de configuración en
unsistema Falla del sistema (A)Daños la propiedad y posiblemente
Fuego Faltade extintoresDaños la propiedad y posiblemente
pérdidade vida (IA)
EmpleadoFalta de entrenamiento ó de
reforzamiento de estándaresPerdidade información crítica;
Alteración de datos, desfalcos (CIA)
Contratista Controlesde acceso relajados Robo de secretos (C)
AtacanteCódigo pobre, falta de firewall o mal
configuradoHacer un “bufferoverflow” (C)Hacer un “Denialof Service” (A)
IntrusoFalta de guardián o cerraduras en
puertas y ventanasPuertas o accesos rotos y robo de
equipos u otros activos. (IA)
Conceptos de SeguridadObjetivos de Seguridad de la InformaciónObjetivos de Seguridad de la Información1. Disponibilidad
• Implica proveer acceso a recursos e información de p pmanera confiable y a tiempo
2. Confidencialidad:C i t t l i f ió t l• Consiste en proteger la información contra el uso no autorizado explícitamente
3. Integridad3. Integridad– Busca proteger la información contra la modificación
sin autorización del dueño
Seguridad es un Proceso Contínuo• Los procesos de• Los procesos de
negocio se basan en los resultadosen los resultados esperadosEl i l ti 4• El ciclo tiene 4 dominios, similar l dal de
Deming/Shewhart
Seguridad es un Proceso ContínuoResultados de procesos que dan ResistenciaResultados de procesos que dan Resistencia
El Proceso de SeguridadEl Proceso de SeguridadModelo de Seguridad
• El modelo de seguridad de es un marco• El modelo de seguridad de es un marco formado por muchas entidades, mecanismos de protección componentesmecanismos de protección, componentes lógicos, administrativos y físicos, procedimientos y procesos que trabajanprocedimientos y procesos que trabajan todos juntos en forma sinergética para proveer un nivel se seguridad en unproveer un nivel se seguridad en un ambiente.
El Proceso de Seguridad• Piezas analizar los sistemas de seguridad• Piezas analizar los sistemas de seguridad.
El Proceso de SeguridadPoliticas Estándares Guías yPoliticas, Estándares, Guías y
ProcedimientosL líti t bl l l f l d• Las políticas establecen el canal formal de actuación del personal, en relación con los
i i i f átirecursos y servicios informáticos, importantes de la organización
El Proceso de SeguridadLas políticas deben considerar entre otros, los siguientes gelementos:
1. Alcance, incluyendo facilidades, sistemas y personal sobre la cual aplica.aplica.
2. Objetivos y descripción clara de los elementos involucrados en su definición.
3. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organizacióninformáticos a todos los niveles de la organización.
4. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
5. Definición de violaciones y de las consecuencias del incumplimiento de la políticade la política.
6. Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
El Proceso de SeguridadPoliticas, Estándares, Guías y Procedimientos
Ejemplo de procedimiento de chequeo de eventos en el sistema:Diariamente:• Extraer un logístico sobre el volumen de correo transportado. Extraer un g p
logístico sobre las conexiones de red levantadas en las últimas 24 horas.Semanalmente:• Extraer un logístico sobre los ingresos desde el exterior a la red interna.• Extraer un logístico con las conexiones externas realizadas desde nuestra• Extraer un logístico con las conexiones externas realizadas desde nuestra
red.• Obtener un logístico sobre los downloads de archivos realizados y quién los
realizó.• Obtener gráficos sobre tráfico en la red• Obtener gráficos sobre tráfico en la red
El Proceso de SeguridadEl Proceso de SeguridadEstándares Existentes
• El estándar de Manejo de Seguridad más usado es el ISO/IEC 17799:2005 renombrado ISO/IEC_27002.– Derivado del antiguo estándar Británico BS7799
Define 10 areas de trabajo que se alínean con la certificación CISSP– Define 10 areas de trabajo que se alínean con la certificación CISSP– Provee recomendaciones de alto nivel sobre seguridad empresarial– Consiste de dos partes: 1- Guia de implementación con
recomendaciones sobre como construir una infraestructura de seguridad. 2 Una guía de auditoría basada en los requerimientos a cumplir con2- Una guía de auditoría basada en los requerimientos a cumplir con relación a la ISO 17799.
• Otro estándard importante es el SO/IEC 27031:2011I f ti t h l S it t h i G id li fInformation technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity
http://en.wikipedia.org/wiki/ISO/IEC_27002http://www.isaca.org/cobit/
El Proceso de SeguridadEl Proceso de SeguridadEstándares Existentes, Cont.
• También se ha creado el Marco de Referencia COBIT: Control Objectives for Informationand RelatedTechnologies. Cobit es un marco de gobierno de TI que facilita cerrar la brecha entre los requerimientos de control los asuntos técnicos y los riesgos derequerimientos de control, los asuntos técnicos y los riesgos de negocio.
– Basado e integrado con estándares de la industria y las buenas prácticas en:en:
– Alineamiento estratégico de TI con las metas de negocios– Entrega del valor de nuevos servicios y las nuevas medidas y nuevos
proyectos– Manejo de riesgo– Manejo de recursos– Medición de la ejecución
http://en.wikipedia.org/wiki/ISO/IEC_27002http://www.isaca.org/cobit/
El Proceso de SeguridadEl Proceso de SeguridadControles
Control: Es un proceso ó mecanismo que sirve como contramedida.p q
Según el objetivo, los controles pueden ser:• Preventivos: previenen la explotación de la vulnerabilidad• Detectivos: ayudan a la investigación post-explotación• Correctivos: corrigen las ocurrencia de problemas
Según el área de ejecución los controles pueden ser:Según el área de ejecución, los controles pueden ser:• Administrativos: basados en procesos y gente• Técnicos: involucran software o hardware• Físicos: implementa barreras físicas para disuadir• Físicos: implementa barreras físicas para disuadir
Tipos de ControlesTipos de ControlesPreventivos
• Físico: Puertas cerradas, verjas, tags de activos, guardianes, señales.g
• Técnico: Respaldos, antivirus, sistemas HA, encriptación, certificaciones de aplicaciones,
l i DLPsoluciones DLP • Administrativo: Procedimientos de contratación,
investigaciones procesos de control de cambiosinvestigaciones, procesos de control de cambios, descripciones de trabajo, leyes y regulaciones, SLAs, etc.
Tipos de ControlesTipos de Controles Detectivos
• Administrativo: Auditoría logs vacaciones• Administrativo: Auditoría, logs, vacaciones mandatorias, balanceo de cuentas, evaluación de riesgo. g
• Técnico: IDS, HA failure detection, lectores automáticos de logs, checksums, circuito gcerrado, forensicos, etc.
• Físico: Vidrios rotos, inventarios físicos, sistemas de alarmas (fuego, ladrones), sellos de invasión, recibos y facturas.
Tipos de ControlesTipos de ControlesCorrectivos
• Administrativo: Proceso de terminación planes• Administrativo: Proceso de terminación, planes BCP y DRP, post mortems, seguros, implementación de recomendaciones de pauditoría.
• Técnico: Restauración de respaldo, HA failover, prutas redundantes (L2/L3), utilidades de reparación de archivos.
• Físico: Sitios alternos, rociadores de incendio, extintores, “mantraps”
El Proceso de Seguridad• Relación Entre Políticas Estándares• Relación Entre Políticas, Estándares,
Guías y Procedimientos
Evaluación y Gestión de RiesgosEvaluación y Gestión de RiesgosDefiniciones
• Riesgo: efecto de incertidumbre en los objetivosRiesgo: efecto de incertidumbre en los objetivos• No existe un ambiente 100% libre de riesgos • La gestión de riesgo es el proceso de evaluar y controlar
l h t d i l i l t bllas amenazas hasta reducirlas a un nivel aceptable.• El riesgo se puede mitigar, aceptar, transferir, y evitar• Análisis de Riesgo: es una herramienta de la gestión deAnálisis de Riesgo: es una herramienta de la gestión de
riesgo para identificar vulnerabilidades y amenazas y evaluar el daño potencial para determinar donde implementar los controles adecuadosimplementar los controles adecuados
• El análisis puede ser cualitativo ó cuantitativo
Evaluación y Gestión de RiesgosEvaluación y Gestión de RiesgosTipos de Riesgo
Principales amenazas p• Daño físico: fuego, agua, vandalismo, apagones, desastres• Interacción Humana: acciones intencionales ó no intencionales que
pueden afectar la productividadFalla de equipo ó de equipos periféricos• Falla de equipo ó de equipos periféricos
• Ataques internos ó externos: jaqueos, craqueos y ataques• Mal uso de datos: compartir secretos, fraude, espionaje ó robo• Pérdida de datos: perdida (intencional ó no intencional) viamedios• Pérdida de datos: perdida (intencional ó no intencional) viamedios
destructivos• Error de aplicaciones: errores computacionales, errores de entrada ó
“buffer overflows
Evaluación y Gestión de RiesgosClasificación de la Información y Sistemasy
Hay varios modelos de clasificación de información, las empresas clasifican según sus necesidadesempresas clasifican según sus necesidades.
Las principales clases incluyen:• Pública: información de mercadeo, website, etc.
Interna: diagramas organigramas manuales de• Interna: diagramas, organigramas, manuales de empleados, etc.
• Privada: información de empleado, BOMs, planes de proyectoproyecto.
• Confidencial: información de adquisiciones, estados financieros, contratos, etc.
Evaluación y Gestión de RiesgosAnálisis de Riesgo CuantitativoAnálisis de Riesgo Cuantitativo1. Determine el valor del activo a proteger2. Estime el valor de la pérdida potencial por la2. Estime el valor de la pérdida potencial por la
amenaza = PPA = Valor de activo*%de pérdida
3. Calcule las pérdidas anuales por amenaza: PA = PPA * TDO
Es decir Perdida Anual = Perdida porEs decir, Perdida Anual = Perdida por Amenaza * Tasa de Ocurrencia
Evaluación y Gestión de RiesgosEvaluación y Gestión de RiesgosEjemplo Cuantitativo
• Una granja de servidores tiene un valor de $100,000 y se estima que un rayo daña 20% de estos. Se espera que la probabilidad caida de rayo al año es 10%probabilidad caida de rayo al año es 10%.
• Valor del Activo = $100,000• Perdida Potencial por Instancia (SLE) = 100,000*0.2 =
$20,000• Pérdida Anualizada para 10% de Ocurrencia = $20,000 *
0.1 = $2,0000.1 $2,000• Si se quiere reducir o eliminar el resgo, la empresa
deberá ponderar el gasto de 2,000 en un pararayos.
Evaluación y Gestión de RiesgosAnálisis de Riesgo CualitativoAnálisis de Riesgo Cualitativo• Las amenazas se basan en un mecanismo de
escalaNú 1 10• Números, 1 – 10
• Tasa: baja, media y alta• Reportes
La amenaza se escala a la probabilidad• La amenaza se escala a la probabilidad• La pérdida se escala al impacto o importancia
Probabilidad Probabilidad ** Importancia = RiesgoImportancia = Riesgo
Evaluación y Gestión de RiesgosEjemplo de cálculo de Riesgo CualitativoEjemplo de cálculo de Riesgo Cualitativo• Supongamos una red simplificada con un
t id b idrouter, un servidor y un bridge.
Principales Amenazas• Los 10 Primeros Riesgos de Seguridad de• Los 10 Primeros Riesgos de Seguridad de
Aplicaciones Para el 2010 Según el OWASPA1-Injectionj
A2-Cross Site Scripting (XSS)
A3-Broken Authentication and Session Management
A4-Insecure Direct Object References
A5-Cross Site Request Forgery (CSRF)
A6-Security Misconfiguration
A7-Insecure Cryptographic Storage
A8-Failure to Restrict URL Access
A9-Insufficient Transport Layer Protection
http://www.owasp.org/index.php/Top_10_2010-MainThe Open Web Application Security Project
p y
A10-Unvalidated Redirects and Forwards
Mejores Prácticas10 Medidas de Protección Contra el Agente Interno
1. Cifrado de datos2. La gestión de identidad3 Implementar un sistema de DLP3. Implementar un sistema de DLP4. Configurar el firewall para abordar el tráfico en ambos sentidos5. Gestión del cambio6. El uso de productos de seguridad de correo con filtrado de contenidos7. Política de menor privilegio8. Archivo de auditoría de acceso9. Uso de inspección de paquetes en la red10. Política de segregación de responsabilidad10. Política de segregación de responsabilidad11.Control de dispositivos USB y otros almacenamiento
Conclusiones• Los ataques a los sistemas de información son cada vez q
más sofisticados y más costosos para las organizaciones• La seguridad es un proceso continuo• La segurida persigue la protección de la vida humana yLa segurida persigue la protección de la vida humana y
de diversos activos en las instituciones• Los principios de seguridad son: Disponibilidad,
Confidencialidad, e IntegridadConfidencialidad, e Integridad • Se puede establecer tres tipos de controles : Preventivos,
Detectivosy Correctivos• Los estándares y regulaciones facilitan el uso sistemáicoLos estándares y regulaciones facilitan el uso sistemáico
de los procesos de seguridad• La negligencia y el exceso de confianza facilitan
Fuentes1. Organizational Resilience: Security, Preparedness, and Continuity g y, p , y
Management Systems-Requirements and Guidance for Use. American National Standards Institute, Inc. 2009.
2. All in One CISSP Exam Guide, 3rd Ed, Shawn Harris3. Las 10 Primeras de OWASP
http://www.owasp.org/index.php/Top_10_2010-Main4. Manual de Seguridad en Redes, ArCERT. 5. Protecting Against Insider Attacks In Todays Network Environments, por
Deb Shinder.