770 likes | 956 Views
Seguridad en Sistemas de Información. Carmen R. Cintrón Ferrer - 2011, Derechos Reservados. Introducción. ¿Por qué estoy en este seminario? ¿Cuál es el interés de Sagrado? ¿Qué pueden aportar las tecnologías de información en la protección de Sagrado? ¿Qué debo contribuir para lograrlo?.
E N D
Seguridad en Sistemas de Información Carmen R. Cintrón Ferrer - 2011, Derechos Reservados
Introducción ¿Por qué estoy en este seminario? ¿Cuál es el interés de Sagrado? ¿Qué pueden aportar las tecnologías de información en la protección de Sagrado? ¿Qué debo contribuir para lograrlo? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Introducción • Administro, custodio y/o utilizo recursos • Contribuyo al manejo efectivo de riesgos • Colaboro en implantar: • Visión (Cultura Corporativa de Seguridad) • Políticas, procedimientos y estándares • Controles objetivos, uniformes y continuos • Registro de vulnerabilidades y/o incidentes • Generar informes • Anticipar escenarios • Facilitar la recuperación o restauración Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio 1Incidentes como los ocurridos en: ¿Podrían ocurrir en Puerto Rico? ¿Podrían ocurrir en Sagrado? ¿Se pueden evitar? ¿Reducir su impacto? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio 1 - Riesgos Riesgo = (Amenaza*Vulnerabilidad/Estrategias o Medidas)*Valor • Vulnerabilidades prevenibles • Amenazas previsibles • Intención anticipable • ¿Cultura de seguridad? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Físicos: Vandalismo Robo Interceptación Comunicación: Impostura Adulteración de tráfico, mensajes Fisgonear (“Eavesdropping”) Penetración: Escáners Negación de Servicios (DoS) Código malicioso (virus) Ingeniería social: Robo de claves (“passwords”) Robo de información Abrir documentos (“attachments”) MóduloIntroducción - Tipos de ataques Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
“Hackers”: Intencionales Técnicos excepcionales Empleo de rutinas (“scripts”) “Crackers” “White hackers” Agrupaciones Virus: Codificadores Distribuidores “Script Kiddies” Criminales: Robo de identidad Extorsión Robo de propiedad: intelectual industrial Empleados: Sabotaje Oportunidad (valores) Consultores y contratistas Terrorismo cibernético: Ataca infraestructuras Actuación concertada (gob/ind) MóduloIntroducción - Tipo de atacantes Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
MóduloIntroducción - Respuesta • Compromiso Gerencial: • Alta gerencia debe asignar alta prioridad • Asignar recursos requeridos • Integrar a las operaciones diarias • Poner en vigor (“enforce”) medidas • Enfoque integral: • Considerar todas las áreas de riesgo • Identificar todas las vulnerabilidades posibles • Establecer múltiples niveles de protección • Auditar y fiscalizar continuamente Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Conceptos básicos Recursos de información (def) Seguridad (def) Riesgos (clasif) Arquitectura de seguridad (modelo) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Recursos de Información(Definición) • Personal técnico y su conocimiento • Equipo de tecnología informática • Hardware • Software • Network • Depósitos de datos/información o conocimiento • Procedimientos apoyados mediante tecnología • Infraestructura de comunicación y conexión • Otras tecnologías asociada * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Definición) • Conjunto de medidas • Adoptadas para prevenir o limitar: • el uso o acceso indebido • la adulteración, eliminación o divulgación • De los activos informáticos críticos • De una organización Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Objetivos) • Confidencialidad • Impedir el acceso no autorizado • Integridad • Evitar la contaminación o modificación indebida • Disponibilidad • Permitir el acceso autorizado • Validación (“Non Repudiation”) • Evitar el que se repudien mensajes o actos • Asegurar que éstos se mantengan íntegros Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Etapas o Niveles) Física Comunicación (interceptación) Tecnología informática (“reliable”) Perfil del usuario (criterios para acceso) Redes (confiabilidad) Recursos de Información * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
¿Conoces los riesgos? ¿Puedes identificarlos? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Riesgos típicos) • Uso indebido • Amenazas internas • Amenazas externas • Fallas en la infraestructura: • Hardware • Software • Network • Conexión * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Riesgos de seguridad - Uso indebido • Abuso de privilegios • Acceder y/o adulterar: • Datos • Documentos/información • Procesos • Modificar privilegios de acceso o seguridad • Intentos de lograr acceso a: • Servicios • Servidores • Aplicaciones • Bancos de datos no disponibles • Divulgar datos/documentos/información confidencial o protegida * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Riesgos de seguridad – Amenazas internas • Empleados: • Involuntariamente (error o negligencia) • Intencionalmente (disgustados, despedidos) • Empleados comprometidos (informantes) • Ex- empleados • Contratistas, temporeros, otros • Asociados: • Clientes • Proveedores o “business partners” * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Riesgos de seguridad - Amenazas externas • Código maligno Virus, worms, logic bombs, spam, spyware, bots • Violadores cibernéticos Hackers/Crackers • Ingeniería social Social engineering • Pérdida de credibilidad Brand equity • Adulterar la sede virtual Graffiti • Interrupción de servicios Denial of service: • Dummy transactions that overload target server • Packet flooding • Distributed DoS* Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Modelo de Seguridad Cultura de Seguridad Gestión Estrategias Tecnologías Información Prácticas Personal Políticas/Estándares Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Modelo de Seguridad - Cultura de Seguridad • Comprende: • Gente • Procedimientos y • Tecnologías • Promueve cambio en actitudes: • Reactiva @ proactiva • Proactiva @ predictiva • Planifica para que los activos de información: • Estén acequibles • Se integren a las funciones del negocio • Respalden el desarrollo de nuevos productos/procesos • Estén protegidos (minimizar los riesgos que afrontan) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Modelo de SeguridadEstrategias de Seguridad • Tecnologías de seguridad: • Firewalls y sistemas de monitoreo • Antivirus & protección contra malware • Políticas y procedimientos: • Uso de las tecnologías de información • Identificación y Claves de acceso • Protección de datos y confidencialidad de documentos • Copias de resguardo • Configuración de sistemas • Investigación de personal • Plan de concienciación (“Awareness”) • Equipo de respuesta a emergencias (CERT/CSIRT) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Modelo de SeguridadPrincipios de una Cultura de Seguridad • Es responsabilidad gerencial proteger los activos informáticos de la organización. • El acceso se basa en necesidad: • Persona • Accede • Información • Cuando la necesita • La protección se enfoca por niveles • Las estrategias de mitigación está basadas en costo efectividad • Los procesos propenden a la confiabilidad (“reliability”) y replicación • Hay consecuencias asociadas al incumplimiento Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Modelo de Seguridad - Gestión gerencial • Proteger los activos de información • Garantizar (CIA): • Confidencialidad • Integridad • Disponibilidad • Asegurar los activos de información (“Information Assurance”) • Facilitar continuidad de operaciones • Cumplimiento con legislación aplicable Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Manejo de Riesgos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Mecanismos de protección - Riesgos y amenazas • Intencionales: Empleados o contratistas • Hacer daño, afectar imagen o interumpir operaciones • Beneficio o lucro personal • Represalia • Negligencia: • Ignorancia • Uso indebido • Falta de adiestramiento • Falta de actualización o protección • Falta de mantenimiento • Falta de fiscalización monitoring Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Mecanismos de protección - Riesgos y amenazas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados • Naturales: • Fuego • Terremoto • Inundaciones o filtraciones • Tormentas o tornados • Accidentales (Incidentes fuera de nuestro control, o actos sin intención): • Interrupción o desconexión de servicios • Desaparición o destrucción de archivos
Riesgos y amenazas - Inherentes a la tecnología • Fallos en Hardware debidos a: • Diseño • Construcción • Instalación • Desgaste natural • Fallos en Software: • Diseño • Errores de programación • Instalación o integración • Uso indebido • Fallos en la red: • Diseño • Arquitectura • Errores de programación, Instalación o integración y Uso indebido Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Riesgos y amenazas - Externos a la organización • Delitos: • Vandalismo • Robo/hurto • Apropiación ilegal • Vigilancia electrónica • “Computer tresspass” • Hackers/Crackers ataque intencional para incursionar: • Redes • Servidores • Dispositivos • Computadoras • Virus: • Programas que se propagan para afectar: • Servidores o computadoras • Borrar archivos o colmar la memoria (RAM/Discos) • Antivirus y Bloqueadores de virus Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
¿Cuántos riesgos conoces? Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Escenarios • Spyware • Trojans & Worms • Bots • Phishing • IdTheft • Steganography • P2P • PDF • EXE • Social Engineering • Facebook & Google • Film downloading • Music/Film sharing • Online Piracy – IP • Web cams • Extorsion • Notebooks & laptops • Celular phones Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio 2 Identifique algunos riesgos de seguridad asociados a las Tecnologías de información Clasifique y ordene los riesgos a base de probabilidad del evento y a base del impacto Provea recomendaciones para evitar el evento y/o atenuar su impacto Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio 2 Riesgos Tecnologías de Información Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio 2 Riesgos Tecnologías de Información • Identificar y valorar activos informáticos • Identificar posibles riesgos • Identificar áreas de vulnerabilidad • Estimar riesgos reales • Calcular posible impacto • Identificar medidas de protección • Estimar posible reducción en impacto • Determinar riesgos a cubrir y riesgos asumir • Revisar las medidas de protección según respuesta a incidentes acaecidos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio 2 Riesgos Tecnologías de Información Carmen R. Cintrón Ferrer, 2011, Derechos Reservados Tomado de: Panko, Corporate and Computer Security, Fig. 1-9, p.36
Mecanismos de Protección Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Tecnología de RedesMecanismos de protección • Riesgos y amenazas • Tecnologías de seguridad: • ¿Para qué? • ¿Cómo? • Otras consideraciones • Mecanismos de protección • Control y Claves de Acceso “passwords” • Copias de resguardo • Servicios de batería (“UPS”) • Sistemas sin interrupción (“Fault tolerant”) • Herramientas tecnológicas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Validación de acceso) “Validación intenta asegurar que logran acceso quienes deben tener derecho para las funciones o los procesos autorizados.” Autenticar Autorizar Acceder Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Autenticar) “Autenticar implica asegurar que identificamos correctamente a quién solicita acceso, o sea verificar que realmente es quien asevera ser.” • Kerberos • Tokens • Biometrics • Certificates * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Autorizar) “Autorizar regula para qué se nos permite el acceso. Depende de la(s) función(es) o rol(es) y del nivel de confianza en la conexión.” • Centralización (“Web single sign-on”) • Role based access control • Proxies * Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Acceder) “Acceder es permitir llegar hasta los recursos de información protegidos en la confianza que el autorizado hará un buen uso.” • Balance delicado de riesgos • Bitácora de transacciones • Fiscalización de uso autorizado Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Tecnologías de seguridad¿Para qué las tecnologías de seguridad? • Proteger los recursos importantes/sensitivos • Imponer controles de acceso, según las políticas • Administrar los roles, según grupos de usuarios • Fiscalizar el acceso y el uso de los recursos • Prevenir ataques, interrupciones e intrusos • Reducir o mitigar el impacto de éstos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Tecnologías de Seguridad¿Cómo integrar las tecnologías de seguridad? • Fijar políticas relativas al control de acceso • Enumerar recursos críticos • Para cada recurso crítico: • Determinar el nivel de sensibilidad • Decidir quién debe tener acceso • Definir para qué (Roles) debe tener acceso • Determinar cómo va a implantarse el control • Planificar cómo integrar esas determinaciones en: • Firewall y otras tecnologías de seguridad • Auditorías y pruebas internas periódicas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Tecnologías de seguridadOtras consideraciones para integrarlas • Nivel y medio de autenticación: • Claves y #’s PIN • Tarjetas, Tokens • Biométricas • Políticas y controles sobre medios de autenticación • Procesos de control sobre usuarios privilegiados Control relativo a archivos y algoritmos de cifrado (“encryption”) • Estándares e integración de: • Redes inalámbricas • Tecnologías móviles • colaboradores (Extranet/EDI/VPN) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Mecanismos de protecciónControl y claves de acceso (“Passwords”) • Funciones: • Protegen la red al exigir identificación (autenticación) • Protegen de acceso indebido a recursos en de la red • Mantener protegidos por el usuario • Almacenar en sitio seguro con acceso limitado • Renovar frecuentemente (45-90 días) • Combinar 8 caracteres numéricos y alfanuméricos • Variantes: • Individuales • Grupales • Por dispositivo o recurso Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Mecanismos de protecciónControl y claves de acceso (“Passwords”) • Funciones: • Controlan acceso a archivos, directorios o dispositivos • Identifican tipo de autorizaciones para navegar • Identifican tipo de protocolos a utilizar • Tipos de privilegios: • “Read” • “Execute” • “Write” • “Delete” • “Search” • “No Access” Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Mecanismos de protecciónCopias de resguardo (“Backups”) • Tipos de copias de resguardo: • “Full backup” – copia todos los archivos en la red • “Selective backup” – copia archivos seleccionados • “Incremental backup” – copia archivos modificados • Estrategias de copiar: • Funciones críticas • Riesgos de pérdida • Frecuencia/volumen de cambio en datos • Itinerario de copias de resguardo: • Automático/Manual • Horario Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Mecanismos de protecciónServicios de batería(“UPS”) • Funciones: • Provee energía temporera al ocurrir interrupción • Evita daños a servidores, conectores y dispositivos en la red • El tiempo de operación lo determina la carga y demanda • Puede complementarse con planta generadora alterna • Protege contra fluctuaciones (“surge/spike”) • Tipos de UPS: • “standby” – al notar interrupción provee energía (“delay”) • “line-interactive” – acondiciona corriente y se activa con interrupción • “online” – continuamente activo y acondiciona corriente (“no delay”) • Programación de administración: • Permite fiscalizar operación del UPS • Provee respaldo para desactivar automáticamente aplicaciones y dispositivos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Ejercicio AAA • Integren el grupo y distribuyan roles • Seleccionen la organización a evaluar • Utilicen las listas de cotejo I-IV • Añadan preguntas necesarias para cubrir los tres criterios (AAA), conforme el rol asignado • Resuman sus hallazgos Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Seguridad de los Recursos de información(Herramientas de control) “Administrar el uso adecuado.” Políticas de acceso y seguridad Tecnología para implantar controles Tecnología para operaciones Servicios de seguridad Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Políticas de seguridad • Clasificación de la información: • Pública • Privada (organización) • Particular (privada de clientes o terceros) • Confidencial • Políticas para segmentar grupos • Políticas para autenticar usuarios • Procedimientos para manejo de: • Configuración y control • Medidas aseguren cumplimiento • Amenazas o incidentes de riesgo Carmen R. Cintrón Ferrer, 2011, Derechos Reservados