seguridade da información
TRANSCRIPT
Vigo, 28 de Setembro de 2011Jorge Cebreiros Arce
www.infojc.com
Obj
etiv
osde
la J
orna
da
• Reflexionar : Seguridad de la Información.
• Práctico : menos charla y más acción.
• Dirigido : a profesionales y empresarios.
• Desmitificar : tecnología y hackers. (KISS : Keep It Simple Stupid)
O BENEFICIO DA APLICACIÓN DAS TIC´S NAMELLORA DA XESTIÓN EMPRESARIAL
ww
w.in
fojc
.cço
m
Seguridad
Los beneficios de las nuevas tecnologías de la información en eldía a día son indudables, sin embargo también es cierto que estaspueden ser empleadas de forma malintencionada por algunossujetos pudiendo llegar a afectar a ciudadanos y empresas y, demanera especial, a la privacidad de su información.
ww
w.in
fojc
.cço
m
De qué estamos hablando
SEGURIDADCualidad de Seguro.Mecanismo que previene algún riesgo o asegura el buenfuncionamiento de alguna cosa, precaviendo que falle.
SEGUROLugar o sitio libre y exento de todo peligro, daño o riesgo.Cierto, indubitable y en cierta manera infalible.Que no está en peligro de faltar o caerse.
CONFIARDepositar en alguien, sin más seguridad que la buena fe y laopinión que de él se tiene, la hacienda, el secreto o cualquierotra cosa.Encargar o poner al cuidado de alguien algún negocio u otracosa.
Diccionario de la R.A.E.ww
w.in
fojc
.cço
m
En el mundo real
Estamos acostumbrados a manejarnos en la seguridad de lasociedad “física”
No abras la puerta a nadie
Deja el coche con la alarma conectada
Ten cuidado al cruzar
No vuelvas tarde, que ese barrio por la noche no esseguro
No te dejes la cartera a la vista
Etc...
ww
w.in
fojc
.cço
m
Por ejemplo en el automóvil
Para estar seguro no basta un buen motor
Todo debe estar razonablemente bien:Sistema eléctrico, batería, alternadorRefrigeración, bomba de agua, radiadorAmortiguadores y neumáticosFrenosEtc...
Pero también:SeguroPermiso de circulaciónInspección Técnica de VehículosImpuesto de tráficoEtc...
ww
w.in
fojc
.cço
m
En el mundo de los negocios
En el departamento financiero...
- ¿Que tal vamos hoy?Bastante bien, se han resuelto 230 incidencias más que ayer y ya estamosmuy cerca de que los pedidos para el año próximo doblen los de este, queera el objetivo marcado.- Entonces, ¿Llegaremos a BAI cero a final de año?
Si seguimos así, incluso positivo.
ww
w.in
fojc
.cço
m
Sin embargo ...
En el departamento de sistemas de información...
- ¿Hoy no tendremos otra caída como la de ayer, verdad?Pues, esperemos que no.- Pero, ¿qué probabilidad hay de que sí?
Sería difícil decirlo, la verdad es que no debería, pero con estas cosasya se sabe... Yo espero que no pase nada más, pero ...- Por lo menos, ¿se estarán haciendo las copias de seguridad?
Esto …. mmmmm…. Supongo que si.
ww
w.in
fojc
.cço
m
Parece ...
Que en la Sociedad de la Información estamos más perdidos:
¿Cómo evito el acceso a mi ordenador?¿De dónde saco una alarma por si alguien entra en mi equipo?¿Cómo se hace para que mi equipo no se cuelgue?¿Cómo me entero de qué zonas de la Web no son seguras?¿Tengo que guardar en cajones papeles, CDs, etc.?
ww
w.in
fojc
.cço
m
Podría ser ...
¿Problema de prioridades, de comunicación, de lenguaje o de falta denormas claras y conocidas?
- Entonces me dices quepuedo estar tranquilo, queya tienes claro lo quequiero.
- Cuenta con ello, micompañía tiene el sistemaperfecto para cubrir tusexpectativas
ww
w.in
fojc
.cço
m
Modelos de negocios o estrategias diferentes?
Durante una feria a la que el Presidente de una importante compañía dedesarrollo de Software asistió para dar una conferencia, con el ánimo de serlo más gráfico posible, hizo una comparación entre los logros de su compañíay los de la industria del automóvil. Y se le ocurrió la siguiente frase:
“Si la General Motors se hubiera desarrollado como la industria de lainformática en los últimos diez años, ahora podríamos conducir automóvilesque correrían a 160.000 Km/h, pesarían menos de 14 kg y recorrerían unadistancia de 1.000 kilómetros con un solo litro de gasolina. Además, su preciosería de 25 dólares”.
ww
w.in
fojc
.cço
m
La respuesta de General Motors: “Puede que tenga razón, pero si la industriadel automóvil hubiera seguido la evolución de la informática hoy tendríamoscoches de las siguientes características”:
O Modelos de negocios/estrategias diferentes
Su automóvil tendría dos accidentescada día, sin que usted pudieraexplicarse la causa.Ocasionalmente, su coche separaría en medio de una autopistasin ninguna razón. Deberíaaceptarlo con resignación, volver aarrancar y seguir conduciendoesperando que no vuelva a ocurrir(y, por supuesto, no tendría ningunagarantía de ello).Siempre que se presentase unnuevo vehículo, los conductoresdeberían volver a aprender aconducir porque nada funcionaríaigual que en el modelo anterior.
En ocasiones, su coche se pararía yno podría volver a arrancarlo. Estehecho podría producirse al intentarrealizar una maniobra (como girar a laizquierda). La solución será reinstalarde nuevo el motor. Extrañamente,también aceptaría tal hecho resignado.Además, las puertas de su vehículo sebloquearían frecuentemente sin razónaparente. Sin embargo, podríavolverlas a abrir utilizando algún trucocomo accionar el tirador al mismotiempo que con una mano gira la llavede contacto y con la otra agarra laantena de la radio.
ww
w.in
fojc
.cço
m
Pero ...
“En Agosto de 2006 UniSys pierde un ordenador con datos personales(seguros, militares y médicos) de 38.000 veteranos de EEUU”
“Dos estadounidenses han llegado a un acuerdo con la fiscalía paradeclararse culpables de robar secretos industriales a la Coca Cola, e intentarvenderlos a su principal competidora, Pepsi Cola. Insistieron en que la idea devender muestras del nuevo producto y de los documentos confidencialespartió de una secretaria de un ejecutivo de la empresa”
“Un hacker logró un listado de 40 millones de tarjetas de crédito. Servired,Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000clientes en España del riesgo que corrían”
¡Esto ya no hace tanta gracia!
ww
w.in
fojc
.cço
m
Además ….
Cuentas sin contraseña, con contraseñas débiles o sin caducidadson graves fallos de logística en una organización.
ww
w.in
fojc
.cço
m
Y encima…
Es la práctica de obtener información confidencial a través dela manipulación de usuarios legítimos. Un ingeniero social usarácomúnmente el teléfono o Internet para engañar a la gente yllevarla a revelar información sensible, o bien a violar las políticasde seguridad típicas.
Con este método, los ingenieros sociales aprovechan latendencia natural de la gente a confiar en su palabra, antes queaprovechar agujeros de seguridad en los sistemas informáticos.“Los usuarios son el eslabón débil” en seguridad; éste es elprincipio por el que se rige la ingeniería social.
ww
w.in
fojc
.cço
m
Hablamos de información
“Si te conoces a ti mismo y conoces a tuenemigo, entonces no deberás temer el
resultado de mil batallas”
Sun-Tzu, El Arte de la Guerraww
w.in
fojc
.cço
m
Hablamos de negocio
Valor, Activos, Mercados ...
La información es un activo que como otros activos importantes tiene valor yrequiere en consecuencia una protección adecuada.
Se caracteriza por ser vital para el éxito y la continuidad en el mercado decualquier organización.
El aseguramiento de dicha información y de los sistemas que la procesan es,por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesarioimplantar un sistema que aborde esta tarea de una forma metódica,documentada y basada en unos objetivos claros de seguridad y unaevaluación de los riesgos a los que está sometida la información de laorganización.
ww
w.in
fojc
.cço
m
Los pilares de la seguridad de la información:
Qué debe ser protegido?
Por qué debe ser protegido?
De qué debe ser protegido?
Cómo protegerlo?
Algunas preguntas
ww
w.in
fojc
.cço
m
Algunas preguntas
¿Cómo puede estar la información?Impresa o escrita en papelAlmacenada electrónicamenteTrasmitida por correo o medios electrónicosHablada
¿Cuál es la información más valiosa que manejamos?La de nuestros clientes, nuestras ventas, nuestro personalLa de nuestros productos, desarrollos, proyectos
ww
w.in
fojc
.cço
m
Algunas preguntas
¿Como puede afectarnos la falta de seguridad?w
ww
.info
jc.c
çom
Mi sistema no es importante para un pirata y mi personal es deconfianza. ¿Quién va a querer obtener información mía oatacarme?
Estoy protegido pues no abro archivos que no conozco nicontesto correos a desconocidos.
No entro en páginas peligrosas y como tengo antivirus estoy asalvo.
Como dispongo de un firewall estoy tranquilo.
Tengo un servidor web cuyo sistema operativo es seguro, por lotanto soy invulnerable.
No pasa nada, actualizo las versiones periódicamente.
La Dirección de la Empresa:
Algunas reflexiones
ww
w.in
fojc
.cço
m
Uno de cada 5 empleados deja a su familia y amigos usar sus portátilescorporativos para acceder a Internet (21%).
Uno de cada diez confiesa que baja algún tipo de contenido que no debieramientras está en el trabajo.
Dos tercios admiten tener conocimientos muy limitados en materia de seguridad.
La dirección suele estar más preocupada por facilitar las cosas a los usuariosque en mejorar la seguridad de la compañía.
Un 5% dice que tienen acceso a áreas de la red corporativa que no deberíantener.
Imprimen los informes y ficheros y los dejan en la impresora, la mesa, lapapelera, el metro.
La mayoría no quiere usar contraseñas de calidad.
No quieren u olvidan cifrar ficheros y correos.
Algunas reflexiones
Los trabajadores de la empresa:
Fuente: McAfeeww
w.in
fojc
.cço
m
Problemas más importantes de seguridad
¿Cuáles son los problemas más importantes?
Fuente: Verizonww
w.in
fojc
.cço
m
Evolución de los orígenes de corrupción/pérdida de datos
¿A quién le va a interesar?
Fuente: Verizon
0%10%20%30%40%50%60%70%80%90%
100%
2004 2005 2006 2007 2008
Externo Interno Colaboradores
ww
w.in
fojc
.cço
m
Origen de corrupción/pérdida de datos(Probabilidad)
¿Es muy probable?
Fuente: Verizon
Externo Interno Colaboradores
SospechosoConfirmado
ww
w.in
fojc
.cço
m
Registros afectados según origen(Impacto)
¿Qué impacto puede tener?
Fuente: Verizon
0
20,000
40,000
60,000
80,000
100,000
120,000
Externo Interno Colaboradores
ww
w.in
fojc
.cço
m
Origen de ataques internos
Pero, ¿quién dentro de mi empresa?
Fuente: Verizon
Anónimos
EmpleadosAdministradores SI
Ejecutivos
Agentes/Espias
ww
w.in
fojc
.cço
m
Tiempo que llevaban disponibles las correcciones de lasvulnerabilidades aprovechadas por los ataques
Actualizo periódicamente.
Fuente: Verizon
Menos de 1Mes
1 a 3 Meses 3 a 6 Meses
6 a 12 Meses
Más de 1 Año
ww
w.in
fojc
.cço
m
Respuestas
Las páginas en las que entro son seguras.Desde enero hasta finales de marzo de 2008, los investigadores de la empresa Sophosidentificaron una media de más de 15.000 nuevas páginas infectadas cada día (una cada 5segundos). La mayoría de estos sitios infectados (el 79%) se encuentran en webs legítimasque han sido vulneradas.
Fuente: Trend Micro
0%200%400%600%800%
1000%1200%1400%1600%1800%
100% 161% 192% 247%337%
431%532%
645%824%
1092%
1314%
1564%1731%
Incremento del número de páginas webpeligrosas en los dos últimos años
ww
w.in
fojc
.cço
m
RespuestasLos ordenadores zombies (redes botnet) se multiplican.Mayo.2010 – Ya en 2008 Kaspersky Lab reportó dos nuevas variantes de un gusano,Networm.Win32.Koobface.a. y Networm.Win32.Koobface.b, que atacan a los usuarios deMySpace y de Facebook y transforman a los equipos de las víctimas en máquinas zombiesque pasan a formar parte de una red botnet.
Fuente: ShadowServerww
w.in
fojc
.cço
m
Respuestas
Pero, ¿Qué buscan en mi empresa?
Fuente: Symantec
80% de todas las vulnerabilidadesWeb son facilmente explotadas.
ww
w.in
fojc
.cço
m
Pero, ¿los atacantes tendrán un elevado nivel tecnológico?
Fuente: Verizon
Respuestas
ww
w.in
fojc
.cço
m
¿Serán ataques de mucha dificultad?
Fuente: Verizon
Respuestas
Ninguna
BajaModerada
Alta
ww
w.in
fojc
.cço
m
Respuestas
No abro archivos ni contesto correo desconocido.Junio.2008 - Según un informe de IBM, el porcentaje de phishing procedente de servidoresinstalados en España ha pasado del 14,8% en 2007 a un 16,7% en el primer semestre deeste año. España continúa siendo el país que alberga el mayor número de servidores queenvían correos electrónicos con la técnica fraudulenta del phishing.
Fuente: Inteco
70.10%
27.80%
2.10%
29.90%
Porcentaje de usuarios que han recibido algúnintento de fraude online y porcentaje de fraude
con perjuicio económico
No
ww
w.in
fojc
.cço
m
Algunos datos
¿Cuáles son las causas de estos ataques?
Fuente: Inteco
El de los incidentesson atribuibles a errores
de gestión en laseguridad significativos
El de los incidentestuvieron éxito como
consecuencia deactividades de hacking
El de los incidentesincorporaron código
malicioso
El de los incidentesguardaron relación con
explotación devulnerabilidades
El de los incidentestuvieron como motor
una amenaza a laseguridad física
ww
w.in
fojc
.cço
m
Algunos datos
Datos significativos
Fuente: Inteco
de cada incidentesno fueron descubiertos
por las víctimas
La mayoría de losataques no eran
sofisticados
El de los objetivosson oportunísticos, y no
dirigidos
El de los incidentespodría haber sido
prevenido medianteaplicación de medidas
de seguridad
ww
w.in
fojc
.cço
m
Hábitos definitorios del componente “imprudencia” (%)
Fuente: Inteco
Algunos datos
Hábitos “Imprudentes”
Abro correos de remitentes desconocidos si pareceninteresanteAbro correos de remitentes desconocidos si pareceninteresante
Doy mi dirección de e-mail cuando me lo pidenaunque desconozca el destinatarioDoy mi dirección de e-mail cuando me lo pidenaunque desconozca el destinatario
Agrego contactos al Messenger aunque no sepa dequién se trataAgrego contactos al Messenger aunque no sepa dequién se trata
Pulso los enlaces que aparecen en las conversacionesdel Messenger, sin preguntar de que se trataPulso los enlaces que aparecen en las conversacionesdel Messenger, sin preguntar de que se trata
Si es necesario modifico las medidas de seguridad delordenador para poder acceder a servicios o juegosSi es necesario modifico las medidas de seguridad delordenador para poder acceder a servicios o juegos
Comparto software sin comprobar si está o noinfectado (redes P2P)Comparto software sin comprobar si está o noinfectado (redes P2P)
Enero
9.89.8
8.48.4
9.09.0
6.06.0
10.110.1
11.211.2
Abril
11.911.9
11.711.7
10.910.9
9.09.0
14.314.3
13.913.9
Julio
10.510.5
10.010.0
10.410.4
6.96.9
13.113.1
12.012.0
ww
w.in
fojc
.cço
m
Hábitos definitorios del componente “imprudencia” (%)
Fuente: Inteco
Algunos datos
Hábitos “Imprudentes” 2009
Abro correos de remitentes desconocidos si pareceninteresanteAbro correos de remitentes desconocidos si pareceninteresante
Agrego contactos al programa de mensajería(Messenger, ICQ) aunque no sepa de quién se trataAgrego contactos al programa de mensajería(Messenger, ICQ) aunque no sepa de quién se trata
Pulso los enlaces que aparecen en las conversacionesdel Messenger, sin preguntar de que se trataPulso los enlaces que aparecen en las conversacionesdel Messenger, sin preguntar de que se trata
Si es necesario modifico las medidas de seguridad delordenador para poder acceder a servicios o juegosSi es necesario modifico las medidas de seguridad delordenador para poder acceder a servicios o juegos
Comparto todos los archivos que tengo en miordenador con el resto de usuarios P2PComparto todos los archivos que tengo en miordenador con el resto de usuarios P2P
1º Trim.
15.3 %15.3 %
17.0 %17.0 %
16.9 %16.9 %
40.8 %40.8 %
22.4 %22.4 %
2º Trim.
14.7 %14.7 %
16.7 %16.7 %
11.5 %11.5 %
39.3 %39.3 %
20.0 %20.0 %
No analizo con el programa antivirus todos losarchivos descargados a través de redes P2PNo analizo con el programa antivirus todos losarchivos descargados a través de redes P2P 44.2 %44.2 % 39.1 %39.1 %
ww
w.in
fojc
.cço
m
Evolución de incidencias detectadas por los usuarios en los últimosmeses (%)
Fuente: Inteco
Algunos datos
4.0%
4.1%
8.5%
8.1%
13.1%
18.0%
25.8%
32.8%
83.3%
7.1%
6.5%
12.4%
11.7%
15.5%
19.3%
24.2%
40.2%
83.3%
7.4%
7.6%
8.5%
12.7%
14.6%
16.2%
22.3%
35.9%
77.0%
0% 20% 40% 60% 80% 100%
Fraudes o robos relacionados con tarjetas decrédito
Fraudes o robos cuentas bancarias online
Intrusiones en otras cuentas de servicio web
Robo de ancho de banda WiFi
Obtención fraudulenta de datos personales
Intrusiones en el correo electrónico
Intrusiones remotas en el ordenador
Virus Informáticos
Recepción de correos no solicitados
Mayo-Julio Febrero-Abril Noviembre-Enero
ww
w.in
fojc
.cço
m
Algunos datos
Aumentan las vulnerabilidades y las posibilidades de tener éxito.
Fuente: CERT
01,0002,0003,0004,0005,0006,0007,0008,0009,000
ww
w.in
fojc
.cço
m
Algunos datosQuerido Directivo…
¿Monitoriza los sistemas IDS-IPS?
¿Lleva a cabo acciones de hashing?
¿Es su empresa resistentea Sniffing?
¿Usa técnicas criptográficas AES-256?
¿Puede sufrirEavesdropping?
¿Tiene su firewallcomunicación en ambos sentidos LAN-WLAN?
¿Con un algoritmoseguro?
ww
w.in
fojc
.cço
m
Algunos datosQuerido Directivo…
Creo quetodo bien
¿Alguien entró en su PC mientras no estuvo?
¿Están seguros sus datos?
¿Es legal todo su software?¿Pueden corromper sus datos sin que se de cuenta?
¿Sabe donde acaba la información?
¿Quién accedió a su BD?
¿Alguien le robainformación?
¿Sabe lo que haceel administrador
de su BD?
ww
w.in
fojc
.cço
m
Algunos datos
Entonces, ¿cuál es el problema?
El 99% de las empresas disponen de antivirus, el 87% firewall, pero soloel 34% dispone de sistemas de backup y recuperación.
El 75% no utilizan cifrado de información.
El 55% no dispone de herramientas para hacer frente a vulnerabilidades.
Solo el 34% afirma tener un entorno seguro en la empresa.
El 30% piensa que no es importante pues no ha sufrido ningún ataque.
El 19% ha sufrido un ataque con pérdida de datos/sistemas.
El 35% no informa a los empleados sobre la política de Seguridad. El 16%no cuenta con ninguna.
El 13% afirma que la seguridad no es prioritaria para la dirección.
Más del 20% apunta al coste como un obstáculo. Un 34% a la falta detiempo y conocimientos.
Fuente: Symantecww
w.in
fojc
.cço
m
¿Cuánto vale nuestra seguridad?
No existe la certeza sobre una seguridad informática absoluta,pero con el 20% de esfuerzo se puede lograr el 80% deresultados.
ww
w.in
fojc
.cço
m
Evaluación de pérdidas en dólares.
Fuente: FBI/CSI
¿Cuánto vale nuestra NO seguridad?
104,500
160,000
168,100
200,700
251,000
542,850
651,000
725,300
1,042,700
1,056,000
2,203,000
2,345,000
2,869,600
2,752,000
2,888,600
2,889,700
3,881,150
5,685,000
6,875,000
8,391,800
21,124,750
0 5,000,000 10,000,000 15,000,000 20,000,000 25,000,000
Uso no autorizado del servidor DNS de la empresa
Envío de correos ofuscados
Sniffing de contraseñas
Mensajería instantánea
Uso o autorizado de una aplicación Web pública
Uso no autorizado de la red WiFi
Fraude de Telecomunicaciones
Manipulación del sitio Web
Acceso no autorizado a inf. por los empleados
Sabotaje de inf., de red o datos
Robo de inf. confidencial desde un dispositivo movil
Robo de inf. propietaria desde un dispositivo movil
Bots dentro de la organización
Phishing suplantando a su empresa
Denegación de servicio
Abuso de privilegios
Robo de hardware
Robo de información lógico
Penetración en el sistema
Infección
Fraude Financiero
ww
w.in
fojc
.cço
m
No contaba con sistemas automáticos de detección yextinción de incendios. No obligatorios en España paraedificios con altura de evacuación inferior a los 100 m.
Deloitte y Garrigues, ocupaban 20 plantas. 1.200trabajadores de la auditora y 133 del bufete han perdidomiles de horas de trabajo.
Procedimientos de copia de seguridad externa. Serecuperó la gestión documental en diez días.
Normalidad es lo que buscaron urgentemente las doscompañías. El lunes reubicaron a los empleados,desviaron las centralitas dañadas a otras sedes.
Los ingresos dejados de percibir se cifran en 25 millonesde euros.
¿Cuánto vale nuestra seguridad?
13/02/2005. Torre Windsor.w
ww
.info
jc.c
çom
¿Qué hacemos después?Medidas adoptadas después de un incidente.
Fuente: FBI/CSI
10%
30%
24%
28%
29%
34%
36%
48%
54%
61%
0% 10% 20% 30% 40% 50% 60% 70%
Otros
No divulgación más allá de la organización
Comunicación a un asesor legal
Instalación de hardware de seguridad adicional
Comunicación a las fuerzas de la ley
Modificación de las políticas de seguridad
Instalación de software de seguridad adicional
Instalación de parches de seguridad
Hacer todo lo posible por tapar los agujeros deseguridad
Intento de identificar al autorw
ww
.info
jc.c
çom
Algunas reflexiones
Para debatir:
Las empresas/particulares ignoran las nuevas amenazas de seguridad.
La seguridad informática NO es un problema exclusivamente de losordenadores.
La Seguridad de la Información no es independiente del resto de losprocesos de negocio de la empresa.
La Seguridad de la Información no es un medio, es un objetivo.
La implantación de medidas de seguridad NO es costosa.
El oscurantismo no ha de suponer uno de los pilares de la seguridad en unaempresa (security through obscurity).
ww
w.in
fojc
.cço
m
Reflexionar : Seguridad de la Información.
Práctico : menos charla y más acción.
Dirigido : a profesionales y empresarios.
Desmitificar : a la tecnología y a los hackers.
O BENEFICIO DA APLICACIÓN DAS TIC´S NAMELLORA DA XESTIÓN EMPRESARIAL:
ww
w.in
fojc
.cço
m
