Seguridad informacion

605 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
605
On SlideShare
0
From Embeds
0
Number of Embeds
32
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad informacion

  1. 1. www.infojc.com Jorge Cebreiros ArceSantiago, 23 de Setembro de 2011
  2. 2. Xornadas sobre as na • : Seguridad de la Información. • : Menos charla y más acción.Objetivos de la Jornada • : a profesionales y empresarios. • : tecnología y hackers. (KISS : Keep It Simple Stupid)www.infojc.com
  3. 3. Seguridad Los beneficios de las nuevas tecnologías de la información en el día a día son indudables, sin embargo también es cierto que estas pueden ser empleadas de forma malintencionada por algunos sujetos pudiendo llegar a afectar a ciudadanos y empresas y, de manera especial, a la privacidad de su información.Introducción www.infojc.com
  4. 4. De qué estamos hablando SEGURIDAD Cualidad de Seguro. Mecanismo que previene algún riesgo o asegura el buen funcionamiento de alguna cosa, precaviendo que falle. SEGURO Lugar o sitio libre y exento de todo peligro, daño o riesgo. Cierto, indubitable y en cierta manera infalible. Que no está en peligro de faltar o caerse. CONFIAR Depositar en alguien, sin más seguridad que la buena fe y la opinión que de él se tiene, la hacienda, el secreto o cualquierIntroducción otra cosa. Encargar o poner al cuidado de alguien algún negocio u otra cosa. www.infojc.com Diccionario de la R.A.E.
  5. 5. En el mundo real Estamos acostumbrados a manejarnos en la seguridad de la sociedad “física” No abras la puerta a nadie Deja el coche con la alarma conectada Ten cuidado al cruzar No vuelvas tarde, que ese barrio por la noche no es seguroIntroducción No te dejes la cartera a la vista Etc... www.infojc.com
  6. 6. Por ejemplo en el automóvil Para estar seguro no basta un buen motor Todo debe estar razonablemente bien: Sistema eléctrico, batería, alternador Refrigeración, bomba de agua, radiador Amortiguadores y neumáticos Frenos Etc...Introducción Pero también: Seguro Permiso de circulación Inspección Técnica de Vehículos Impuesto de tráfico www.infojc.com Etc...
  7. 7. En el mundo de los negocios En el departamento financiero...Introducción - ¿Que tal vamos hoy? Bastante bien, se han resuelto 230 incidencias más que ayer y ya estamos muy cerca de que los pedidos para el año próximo doblen los de este, que era el objetivo marcado. www.infojc.com - Entonces, ¿Llegaremos a BAI cero a final de año? Si seguimos así, incluso positivo.
  8. 8. Sin embargo ... En el departamento de sistemas de información...Introducción - ¿Hoy no tendremos otra caída como la de ayer, verdad? Pues, esperemos que no. - Pero, ¿qué probabilidad hay de que sí? Sería difícil decirlo, la verdad es que no debería, pero con estas cosas www.infojc.com ya se sabe... Yo espero que no pase nada más, pero ... - Por lo menos, ¿se estarán haciendo las copias de seguridad? Esto …. mmmmm…. Supongo que si.
  9. 9. Parece ... Que en la Sociedad de la Información estamos más perdidos: ¿Cómo evito el acceso a mi ordenador? ¿De dónde saco una alarma por si alguien entra en mi equipo? ¿Cómo se hace para que mi equipo no se cuelgue? ¿Cómo me entero de qué zonas de la Web no son seguras? ¿Tengo que guardar en cajones papeles, CDs, etc.?Introducción www.infojc.com
  10. 10. Podría ser ... ¿Problema de prioridades, de comunicación, de lenguaje o de falta de normas claras y conocidas?Introducción www.infojc.com - Entonces me dices que - Cuenta con ello, mi puedo estar tranquilo, que compañía tiene el sistema ya tienes claro lo que perfecto para cubrir tus quiero. expectativas
  11. 11. Modelos de negocios o estrategias diferentes? Durante una feria a la que el Presidente de una importante compañía de desarrollo de Software asistió para dar una conferencia, con el ánimo de ser lo más gráfico posible, hizo una comparación entre los logros de su compañía y los de la industria del automóvil. Y se le ocurrió la siguiente frase:Introducción “Si la General Motors se hubiera desarrollado como la industria de la informática en los últimos diez años, ahora podríamos conducir automóviles que correrían a 160.000 Km/h, pesarían menos de 14 kg y recorrerían una distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su precio sería de 25 dólares”. www.infojc.com
  12. 12. O Modelos de negocios/estrategias diferentes La respuesta de General Motors: “Puede que tenga razón, pero si la industria del automóvil hubiera seguido la evolución de la informática hoy tendríamos coches de las siguientes características”: Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y cada día, sin que usted pudiera no podría volver a arrancarlo. Este explicarse la causa. hecho podría producirse al intentar Ocasionalmente, su coche se realizar una maniobra (como girar a la pararía en medio de una autopista izquierda). La solución será reinstalar sin ninguna razón. Debería de nuevo el motor. Extrañamente, aceptarlo con resignación, volver a también aceptaría tal hecho resignado.Introducción arrancar y seguir conduciendo Además, las puertas de su vehículo se esperando que no vuelva a ocurrir bloquearían frecuentemente sin razón (y, por supuesto, no tendría ninguna aparente. Sin embargo, podría garantía de ello). volverlas a abrir utilizando algún truco Siempre que se presentase un como accionar el tirador al mismo nuevo vehículo, los conductores tiempo que con una mano gira la llave www.infojc.com deberían volver a aprender a de contacto y con la otra agarra la conducir porque nada funcionaría antena de la radio. igual que en el modelo anterior.
  13. 13. Pero ... “En Agosto de 2006 UniSys pierde un ordenador con datos personales (seguros, militares y médicos) de 38.000 veteranos de EEUU” “Dos estadounidenses han llegado a un acuerdo con la fiscalía para declararse culpables de robar secretos industriales a la Coca Cola, e intentar venderlos a su principal competidora, Pepsi Cola. Insistieron en que la idea de vender muestras del nuevo producto y de los documentos confidenciales partió de una secretaria de un ejecutivo de la empresa”Introducción “Un hacker logró un listado de 40 millones de tarjetas de crédito. Servired, Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000 clientes en España del riesgo que corrían” ¡Esto ya no hace tanta gracia! www.infojc.com
  14. 14. Además …. Cuentas sin contraseña, con contraseñas débiles o sin caducidad son graves fallos de logística en una organización.Introducción www.infojc.com
  15. 15. Y encima… Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. “Los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.Introducción www.infojc.com
  16. 16. Introducciónwww.infojc.com La Caixa: ¿Le ha pasado?
  17. 17. Hablamos de información “Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer elSeguridad de la Información resultado de mil batallas” www.infojc.com Sun-Tzu, El Arte de la Guerra
  18. 18. Hablamos de negocio Valor, Activos, Mercados ...Seguridad de la Información La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Se caracteriza por ser vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. www.infojc.com
  19. 19. Hablamos de negocio Un nuevo modelo de empresa:Seguridad de la Información www.infojc.com
  20. 20. Algunas preguntas Los pilares de la seguridad de la información:Seguridad de la Información Qué debe ser protegido? Por qué debe ser protegido? De qué debe ser protegido? Cómo protegerlo? www.infojc.com
  21. 21. Algunas preguntas ¿Cómo puede estar la información?Seguridad de la Información Impresa o escrita en papel Almacenada electrónicamente Trasmitida por correo o medios electrónicos Hablada ¿Cuál es la información más valiosa que manejamos? La de nuestros clientes, nuestras ventas, nuestro personal La de nuestros productos, desarrollos, proyectos www.infojc.com
  22. 22. Algunas preguntas ¿Como puede afectarnos la falta de seguridad?Seguridad de la Información www.infojc.com
  23. 23. Algunas preguntas ¿Desde dónde llegan las amenazas?Seguridad de la Información www.infojc.com
  24. 24. Seguridad de la Informaciónwww.infojc.com Respuesta Instintiva
  25. 25. Algunas reflexiones La Dirección de la Empresa: Mi sistema no es importante para un pirata y mi personal es deSeguridad de la Información confianza. ¿Quién va a querer obtener información mía o atacarme? No pasa nada, actualizo las versiones periódicamente. No entro en páginas peligrosas y como tengo antivirus estoy a salvo. Estoy protegido pues no abro archivos que no conozco ni contesto correos a desconocidos. Como dispongo de un firewall estoy tranquilo. Tengo un servidor web cuyo sistema operativo es seguro, por lo www.infojc.com tanto soy invulnerable.
  26. 26. Algunas reflexiones Los trabajadores de la empresa: Uno de cada 5 empleados deja a su familia y amigos usar sus portátilesSeguridad de la Información corporativos para acceder a Internet (21%). Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía. Un 5% dice que tienen acceso a áreas de la red corporativa que no deberían tener. Imprimen los informes y ficheros y los dejan en la impresora, la mesa, la papelera, el metro. www.infojc.com La mayoría no quiere usar contraseñas de calidad. No quieren u olvidan cifrar ficheros y correos. Fuente: McAfee
  27. 27. Problemas más importantes de seguridad ¿Cuáles son los problemas más importantes?Seguridad de la Información www.infojc.com Fuente: Verizon
  28. 28. Evolución de los orígenes de corrupción/pérdida de datos ¿A quién le va a interesar?Seguridad de la Información 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% www.infojc.com 2004 2005 2006 2007 2008 Externo Interno Colaboradores Fuente: Verizon
  29. 29. Origen de corrupción/pérdida de datos (Probabilidad) ¿Es muy probable?Seguridad de la Información Sospechoso Confirmado www.infojc.com Externo Interno Colaboradores Fuente: Verizon
  30. 30. Registros afectados según origen (Impacto) ¿Qué impacto puede tener?Seguridad de la Información 120,000 100,000 80,000 60,000 40,000 20,000 0 www.infojc.com Externo Interno Colaboradores Fuente: Verizon
  31. 31. Origen de ataques internos Pero, ¿quién dentro de mi empresa?Seguridad de la Información Agentes/Esp ias Ejecutivos Anónimos Administrad Empleados ores SI www.infojc.com Fuente: Verizon
  32. 32. Tiempo que llevaban disponibles las correcciones de las vulnerabilidades aprovechadas por los ataques Actualizo periódicamente.Seguridad de la Información Menos de 11 a 3 Meses 3 a 6 Meses Mes 6 a 12 Meses www.infojc.com Más de 1 Año Fuente: Verizon
  33. 33. Respuestas Las páginas en las que entro son seguras. Desde enero hasta finales de marzo de 2008, los investigadores de la empresa Sophos identificaron una media de más de 15.000 nuevas páginas infectadas cada día (una cada 5Seguridad de la Información segundos). La mayoría de estos sitios infectados (el 79%) se encuentran en webs legítimas que han sido vulneradas. Incremento del número de páginas web peligrosas en los dos últimos años 1731% 1800% 1564% 1600% 1314% 1400% 1092% 1200% 1000% 824% 800% 645% 532% 600% 431% 337% 400% 192% 247% 100% 161% 200% 0% www.infojc.com Fuente: Trend Micro
  34. 34. Respuestas Los ordenadores zombies (redes botnet) se multiplican. Mayo.2010 – Ya en 2008 Kaspersky Lab reportó dos nuevas variantes de un gusano, Networm.Win32.Koobface.a. y Networm.Win32.Koobface.b, que atacan a los usuarios de MySpace y de Facebook y transforman a los equipos de las víctimas en máquinas zombiesSeguridad de la Información que pasan a formar parte de una red botnet. www.infojc.com Fuente: ShadowServer
  35. 35. Respuestas Pero, ¿Qué buscan en mi empresa?Seguridad de la Información 80% de todas las vulnerabilidades www.infojc.com Web son facilmente explotadas. Fuente: Symantec
  36. 36. Respuestas Pero, ¿los atacantes tendrán un elevado nivel tecnológico?Seguridad de la Información www.infojc.com Fuente: Verizon
  37. 37. Respuestas ¿Serán ataques de mucha dificultad?Seguridad de la Información Ninguna Alta Baja Moderada www.infojc.com Fuente: Verizon
  38. 38. Respuestas No abro archivos ni contesto correo desconocido. Junio.2008 - Según un informe de IBM, el porcentaje de phishing procedente de servidores instalados en España ha pasado del 14,8% en 2007 a un 16,7% en el primer semestre deSeguridad de la Información este año. España continúa siendo el país que alberga el mayor número de servidores que envían correos electrónicos con la técnica fraudulenta del phishing. Porcentaje de usuarios que han recibido algún intento de fraude online y porcentaje de fraude con perjuicio económico 27.80% 70.10% 29.90% 2.10% www.infojc.com No Fuente: Inteco
  39. 39. Respuestas Pero dispongo de firewall que me protege.Seguridad de la Información www.infojc.com
  40. 40. Algunos datos ¿Cuáles son las causas de estos ataques?Seguridad de la Información El de los incidentes El de los incidentes El de los incidentes son atribuibles a errores tuvieron éxito como incorporaron código de gestión en la consecuencia de malicioso seguridad significativos actividades de hacking El de los incidentes El de los incidentes guardaron relación con tuvieron como motor explotación de una amenaza a la vulnerabilidades seguridad física www.infojc.com Fuente: Inteco
  41. 41. Algunos datos Datos significativosSeguridad de la Información de cada incidentes La mayoría de los no fueron descubiertos ataques no eran por las víctimas sofisticados El de los incidentes El de los objetivos podría haber sido son oportunísticos, y no prevenido mediante dirigidos aplicación de medidas de seguridad www.infojc.com Fuente: Inteco
  42. 42. Algunos datosSeguridad de la Información www.infojc.com Las vulnerabilidades mas comunes
  43. 43. Hábitos definitorios del componente “imprudencia” (%) Algunos datos Hábitos “Imprudentes” Enero Abril JulioSeguridad de la Información Abro correos de remitentes desconocidos si parecen interesante 9.8 11.9 10.5 Doy mi dirección de e-mail cuando me lo piden aunque desconozca el destinatario 8.4 11.7 10.0 Agrego contactos al Messenger aunque no sepa de quién se trata 9.0 10.9 10.4 Pulso los enlaces que aparecen en las conversaciones del Messenger, sin preguntar de que se trata 6.0 9.0 6.9 Si es necesario modifico las medidas de seguridad del ordenador para poder acceder a servicios o juegos 10.1 14.3 13.1 Comparto software sin comprobar si está o no 11.2 13.9 12.0 www.infojc.com infectado (redes P2P) Fuente: Inteco
  44. 44. Hábitos definitorios del componente “imprudencia” (%) Algunos datos Hábitos “Imprudentes” 2009 1º Trim. 2º Trim. Seguridad de la Información Abro correos de remitentes desconocidos si parecen interesante 15.3 % 14.7 % Agrego contactos al programa de mensajería (Messenger, ICQ) aunque no sepa de quién se trata 17.0 % 16.7 % Pulso los enlaces que aparecen en las conversaciones del Messenger, sin preguntar de que se trata 16.9 % 11.5 % Si es necesario modifico las medidas de seguridad del ordenador para poder acceder a servicios o juegos 40.8 % 39.3 % Comparto todos los archivos que tengo en mi ordenador con el resto de usuarios P2P 22.4 % 20.0 % No analizo con el programa antivirus todos los 44.2 % 39.1 %www.infojc.com archivos descargados a través de redes P2P Fuente: Inteco
  45. 45. Algunos datos Evolución de incidencias detectadas por los usuarios en los últimos meses (%)Seguridad de la Información 77.0% Recepción de correos no solicitados 83.3% 83.3% 35.9% Virus Informáticos 40.2% 32.8% 22.3% Intrusiones remotas en el ordenador 24.2% 25.8% 16.2% Intrusiones en el correo electrónico 19.3% 18.0% 14.6% Obtención fraudulenta de datos personales 15.5% 13.1% 12.7% Robo de ancho de banda WiFi 11.7% 8.1% 8.5% Intrusiones en otras cuentas de servicio web 12.4% 8.5% 7.6% Fraudes o robos cuentas bancarias online 6.5% 4.1% Fraudes o robos relacionados con tarjetas de 7.4% 7.1% crédito 4.0% www.infojc.com 0% 20% 40% 60% 80% 100% Mayo-Julio Febrero-Abril Noviembre-Enero Fuente: Inteco
  46. 46. Algunos datos Aumentan las vulnerabilidades y las posibilidades de tener éxito.Seguridad de la Información 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 www.infojc.com Fuente: CERT
  47. 47. Querido Directivo… Algunos datos ¿Monitoriza los sistemas IDS-IPS?Seguridad de la Información ¿Lleva a cabo acciones de hashing? ¿Puede sufrir ¿Con un algoritmo Eavesdropping? seguro? ¿Es su empresa resistente a Sniffing? ¿Tiene su firewall comunicación en ambos sentidos LAN-WLAN? ¿Usa técnicas criptográficas AES-256? www.infojc.com
  48. 48. Querido Directivo… Algunos datos ¿Alguien entró en su PC mientras no estuvo?Seguridad de la Información ¿Están seguros sus datos? ¿Sabe donde acaba la información? ¿Pueden corromper sus datos sin que se de cuenta? Creo que todo bien ¿Es legal todo su software? ¿Quién accedió a su BD? ¿Sabe lo que hace ¿Alguien le roba el administrador de su BD? información? www.infojc.com
  49. 49. Algunos datos Entonces, ¿cuál es el problema? El 99% de las empresas disponen de antivirus, el 87% firewall, pero soloSeguridad de la Información el 34% dispone de sistemas de backup y recuperación. El 75% no utilizan cifrado de información. El 55% no dispone de herramientas para hacer frente a vulnerabilidades. Solo el 34% afirma tener un entorno seguro en la empresa. El 30% piensa que no es importante pues no ha sufrido ningún ataque. El 19% ha sufrido un ataque con pérdida de datos/sistemas. El 35% no informa a los empleados sobre la política de Seguridad. El 16% no cuenta con ninguna. El 13% afirma que la seguridad no es prioritaria para la dirección. www.infojc.com Más del 20% apunta al coste como un obstáculo. Un 34% a la falta de tiempo y conocimientos. Fuente: Symantec
  50. 50. ¿Cuánto vale nuestra seguridad? No existe la certeza sobre una seguridad informática absoluta, pero con el 20% de esfuerzo se puede lograr el 80% de resultados.Seguridad de la Información www.infojc.com
  51. 51. Evaluación de pérdidas en dólares. ¿Cuánto vale nuestra NO seguridad? Fraude Financiero 21,124,750 Infección 8,391,800 Penetración en el sistema 6,875,000Seguridad de la Información Robo de información lógico 5,685,000 Robo de hardware 3,881,150 Abuso de privilegios 2,889,700 Denegación de servicio 2,888,600 Phishing suplantando a su empresa 2,752,000 Bots dentro de la organización 2,869,600 Robo de inf. propietaria desde un dispositivo movil 2,345,000 Robo de inf. confidencial desde un dispositivo movil 2,203,000 Sabotaje de inf., de red o datos 1,056,000 Acceso no autorizado a inf. por los empleados 1,042,700 Manipulación del sitio Web 725,300 Fraude de Telecomunicaciones 651,000 Uso no autorizado de la red WiFi 542,850 Uso o autorizado de una aplicación Web pública 251,000 Mensajería instantánea 200,700 www.infojc.com Sniffing de contraseñas 168,100 Envío de correos ofuscados 160,000 Uso no autorizado del servidor DNS de la empresa 104,500 0 5,000,000 10,000,000 15,000,000 20,000,000 25,000,000 Fuente: FBI/CSI
  52. 52. ¿Cuánto vale nuestra seguridad? 13/02/2005. Torre Windsor. No contaba con sistemas automáticos de detección ySeguridad de la Información extinción de incendios. No obligatorios en España para edificios con altura de evacuación inferior a los 100 m. Deloitte y Garrigues, ocupaban 20 plantas. 1.200 trabajadores de la auditora y 133 del bufete han perdido miles de horas de trabajo. Procedimientos de copia de seguridad externa. Se recuperó la gestión documental en diez días. Normalidad es lo que buscaron urgentemente las dos compañías. El lunes reubicaron a los empleados, desviaron las centralitas dañadas a otras sedes. Los ingresos dejados de percibir se cifran en 25 millones de euros. www.infojc.com
  53. 53. Medidas adoptadas después de un incidente. ¿Qué hacemos después? Intento de identificar al autor 61% Hacer todo lo posible por tapar los agujeros deSeguridad de la Información seguridad 54% Instalación de parches de seguridad 48% Instalación de software de seguridad adicional 36% Modificación de las políticas de seguridad 34% Comunicación a las fuerzas de la ley 29% Instalación de hardware de seguridad adicional 28% Comunicación a un asesor legal 24% No divulgación más allá de la organización 30% www.infojc.com Otros 10% 0% 10% 20% 30% 40% 50% 60% 70% Fuente: FBI/CSI
  54. 54. Algunas reflexiones Para debatir: Las empresas/particulares ignoran las nuevas amenazas de seguridad.Seguridad de la Información La seguridad informática NO es un problema exclusivamente de los ordenadores. La Seguridad de la Información no es independiente del resto de los procesos de negocio de la empresa. La Seguridad de la Información no es un medio, es un objetivo. La implantación de medidas de seguridad NO es costosa. El oscurantismo no ha de suponer uno de los pilares de la seguridad en una empresa (security through obscurity). www.infojc.com
  55. 55. Xornadas sobre as na : Seguridad de la Información. : Menos charla y más acción.Objetivos de la Jornada : a profesionales y empresarios. : a la tecnología y a los hackers.www.infojc.com
  56. 56. Jorge Cebreiros · direccion@infojc.com @InfoJC_Galicia Blog.infojc.comwww.infojc.com

×