Gestion

1,563 views
1,511 views

Published on

Enseña a crear cuentas y compartir diapositivas

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,563
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
60
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Otras seguridades: alimenticia, transito, vida misma Ligereza: datos confidenciales publicados en sitios web Rugido GRR vale mas que cualquier ley o precepto constitucional
  • Cornell
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Seguridad juridica: insercion del pais en el mundo digital (Internet II) Potencial Ecuador para desarrollo (tecnologico)? Pais bello Problema no es tecnologico ni legal-formal, reglamentario, PROBLEMA CULTURAL Ley, Reglamento, ANC, e-gobierno, e-licitacion (UIT – OMC) Tecnologia ayuda, pero no soluciona problema global (a veces contraproducente)
  • Gestion

    1. 1. Gestión de Seguridad de la Información MGCTI - EPN Enrique Mafla 2007
    2. 2. Detalles del Curso <ul><li>Profesor: Enrique Mafla </li></ul><ul><li>http://dblinux.sis.epn.edu.ec/~emafla </li></ul><ul><li>Mailto:mafla@server.epn.edu.ec </li></ul><ul><li>Oficina: Edif. Sistemas, 2do piso </li></ul><ul><li>Atención: Lu – Mi: 17:00 – 18:00 </li></ul><ul><li>Texto: Handbook of Information Security Management . Krause M y Tipton H. </li></ul>EMafla
    3. 3. Alcance - Dominios <ul><li>Control de acceso </li></ul><ul><li>Seguridad de la red </li></ul><ul><li>Gestión de riesgos </li></ul><ul><li>Políticas y estándares </li></ul><ul><li>Seguridad de sistemas </li></ul><ul><li>Legislación y ética </li></ul><ul><li>Seguridad de aplicaciones </li></ul><ul><li>Criptografía </li></ul><ul><li>Seguridad de producción </li></ul><ul><li>Seguridad física </li></ul>EMafla
    4. 4. The Art of War, Sun Tzu <ul><li>The art of war teaches us to rely not on the likelihood of the enemy's not coming, but on our own readiness to receive him; not on the chance of his not attacking, but rather on the fact that we have made our position unassailable. </li></ul>EMafla
    5. 5. Objetivo <ul><li>Resaltar importancia estratégica de Gestión de Seguridad </li></ul><ul><ul><li>Modelos </li></ul></ul><ul><ul><li>Metodologías </li></ul></ul><ul><ul><li>Estándares internacionales </li></ul></ul><ul><ul><li>Mejores prácticas </li></ul></ul><ul><ul><li>Herramientas de evaluación y control </li></ul></ul><ul><li>Gestión vs. Tecnología </li></ul><ul><li>Mas seguridad no implica mas SEGURO </li></ul>EMafla
    6. 6. Seguridad de la Información <ul><li>La información es un activo (estratégico?), tiene valor para una organización y debe ser protegida </li></ul><ul><li>Garantizar la continuidad del negocio, minimizar el daño al mismo y maximizar el retorno sobre las inversiones </li></ul><ul><li>La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos certificados </li></ul>EMafla
    7. 7. Seguridad - Propiedades <ul><li>C onfidencialidad </li></ul><ul><li>I ntegridad </li></ul><ul><li>D isponibilidad </li></ul><ul><li>Autenticidad </li></ul><ul><li>No-retractación </li></ul><ul><li>Control de acceso </li></ul><ul><li>Responsabilidad ante terceros </li></ul>EMafla
    8. 8. Importancia de la Seguridad <ul><li>Información es esencial </li></ul><ul><ul><li>Activo mas valioso </li></ul></ul><ul><ul><li>Confidencialidad, Integridad, Disponibilidad </li></ul></ul><ul><li>Requerimientos de seguridad </li></ul><ul><ul><li>Negocio </li></ul></ul><ul><ul><li>Legales </li></ul></ul><ul><li>Problemas </li></ul><ul><ul><li>Gestión deficiente de la información </li></ul></ul><ul><ul><li>Enfasis en Tecnología </li></ul></ul><ul><ul><li>Brecha entre requerimientos TIC y negocio </li></ul></ul>EMafla
    9. 9. Premisas <ul><li>No existe la “verdad absoluta” en Seguridad. </li></ul><ul><li>Seguridad no es intuitiva </li></ul><ul><li>No es posible eliminar todos los riesgos. </li></ul><ul><li>No hay especialistas en todos los temas. </li></ul><ul><li>La Dirección está convencida de que la Seguridad no afecta al negocio de la compañía. </li></ul><ul><li>Cada vez los riesgos y el impacto en los negocios son mayores. </li></ul><ul><li>No se puede dejar de hacer algo en este tema. </li></ul>EMafla
    10. 10. Actitud de la Dirección <ul><li>Seguridad es necesaria pero se debe minimizar inversión </li></ul><ul><ul><li>SROI – retorno de inversión? </li></ul></ul><ul><ul><li>Probabilidad de fallas catastróficas? </li></ul></ul><ul><ul><li>Costo / beneficio? </li></ul></ul><ul><ul><li>Importancia estratégica de la seguridad? </li></ul></ul><ul><li>Necesidad operativa y no oportunidad de negocio </li></ul>EMafla
    11. 11. Actitud de la Dirección <ul><li>Seguridad es prevenir que hackers afecten a la organización </li></ul><ul><li>Valor de seguridad es prevenir o detectar violaciones de seguridad </li></ul><ul><li>Tecnologias de seguridad no funcionan </li></ul><ul><li>Seguridad debe ser delegada a mandos medios </li></ul>EMafla
    12. 12. Seguridad: Plan de Negocio <ul><li>Competir con otras areas </li></ul><ul><li>TIC trata de impresionar con lenguaje técnico </li></ul><ul><ul><li>Debemos incrementar seguridad con un nuevo firewall </li></ul></ul><ul><ul><li>Nuestro principal competidor perdió información que ahora está en Internet </li></ul></ul><ul><ul><li>Para mejorar el ancho de banda, debemos migrar a un ambiente conmutado </li></ul></ul><ul><ul><li>Los mensajes a los gerentes regionales se demoran ahora 4 horas porque usamos los computadores para muchas mas tareas. </li></ul></ul>EMafla
    13. 13. Realidades <ul><li>Mi red es segura </li></ul><ul><ul><li>Implementamos un firewall </li></ul></ul><ul><ul><li>Contratamos una persona para el área </li></ul></ul><ul><ul><li>Nuestros técnicos siguieron un curso de seguridades </li></ul></ul><ul><ul><li>Pasamos la última auditoría de sistemas </li></ul></ul><ul><ul><li>Ya desarrollamos las políticas de seguridad </li></ul></ul><ul><ul><li>Contratamos un penetration test y ya arreglamos todo </li></ul></ul>EMafla
    14. 14. Hechos <ul><li>Hacker obtiene datos de tarjetas de crédito   </li></ul><ul><li>Yahoo!, doblegado por los hackers </li></ul><ul><li>Intrusos asaltaron sitio del FBI </li></ul><ul><li>La Casa Blanca extravió correo electrónico </li></ul><ul><li>Hackers acceden a la red de Microsoft </li></ul><ul><li>Suplantan identidad del presidente brasileño </li></ul><ul><li>Hackers atacan a la defensa de EE.UU </li></ul><ul><li>FTC vs. PetCo, eBay </li></ul>EMafla
    15. 15. Pérdidas Financieras CSI / FBI: “ Computer Crime and Security Survey”. 2002 EMafla
    16. 16. Cultura de Seguridad <ul><li>Nivel País </li></ul><ul><ul><li>(In)seguridad jurídica </li></ul></ul><ul><ul><li>Conocimiento </li></ul></ul><ul><ul><li>Espacio virtual seguro </li></ul></ul><ul><li>Nivel internacional </li></ul><ul><ul><li>Globalización y transparencia </li></ul></ul><ul><ul><li>Presión de OMC, BM, FMI, FCC </li></ul></ul><ul><ul><ul><li>Gobierno y contratación en línea </li></ul></ul></ul><ul><ul><ul><li>Comercio electrónico </li></ul></ul></ul><ul><ul><li>Tecnologías: Internet2 </li></ul></ul>EMafla
    17. 17. OMC – UIT: EC-DE <ul><li>Comercio Electrónico - Economías en Desarrollo </li></ul><ul><ul><li>Proyecto UIT: ayuda a 80 paises LDC </li></ul></ul><ul><ul><li>2,5M USD </li></ul></ul><ul><li>Principales Problemas </li></ul><ul><ul><li>Ambiente legal </li></ul></ul><ul><ul><li>Infraestructura física confiable </li></ul></ul><ul><ul><li>Conocimiento </li></ul></ul><ul><li>Solución </li></ul><ul><ul><li>Portal a través de WTCs </li></ul></ul>EMafla
    18. 18. Brecha TIC - Negocio <ul><li>Solución tecnológica para seguridad </li></ul><ul><ul><li>Enfoque en debilidades de la infraestructura </li></ul></ul><ul><ul><li>Ingorancia de efectos sobre información </li></ul></ul><ul><li>Brecha entre requerimientos TIC y negocio </li></ul><ul><ul><li>TIC no conoce misión del negocio </li></ul></ul><ul><ul><li>Falta de proteccion a información crítica </li></ul></ul><ul><ul><li>Demasiados recursos para información inútil </li></ul></ul><ul><li>Gran riesgo para la CIA de la información </li></ul>EMafla
    19. 19. Carrera “ Armamentista ” <ul><li>Crac kers vs. adm i nistradores, usuarios </li></ul><ul><li>Desarrollo tecnológico, algoritmos </li></ul><ul><li>Similar a seguridad convencional </li></ul><ul><ul><li>Sistemas dinámicos, distribuidos, globales </li></ul></ul><ul><ul><li>Mantener, elevar nivel de confianza </li></ul></ul><ul><ul><li>Riesgos, costos, beneficios </li></ul></ul><ul><ul><li>Bancos vs. Bandas (Ecuador) </li></ul></ul>EMafla
    20. 20. Carrera Armamentista: Ejemplo <ul><li>Agresor </li></ul><ul><ul><li>Master en playstationIII </li></ul></ul><ul><ul><li>Cancelado: filtró información de clientes </li></ul></ul><ul><ul><li>Revancha </li></ul></ul><ul><li>Víctima </li></ul><ul><ul><li>Banco en proceso de expansión </li></ul></ul><ul><ul><li>Planes para homebanking </li></ul></ul><ul><ul><li>TIC no tiene tiempo para admin, seguridad </li></ul></ul>EMafla
    21. 21. Solución Inicial EMafla
    22. 22. Elviro al Ataque EMafla <ul><li>Scan puertos y vulnerabilidades </li></ul><ul><li>Bind desactualizado en servidor HTTP </li></ul><ul><li>Obtener privilegio root, limpiar logs, instalar rootkit </li></ul>
    23. 23. Herramientas: nmap EMafla
    24. 24. Vulnerabilidades: SANS U9 <ul><li>U9.1 Descripción </li></ul><ul><ul><li>Buffer overflow, DNS cache poisoning </li></ul></ul><ul><li>Sistemas operativos afectados </li></ul><ul><ul><li>Todo Unix y Linux, algunos Windows </li></ul></ul><ul><li>U9.3 CVE entries </li></ul><ul><li>U9.4 Test de vulnerabilidad </li></ul><ul><ul><li>Toda versión anterior a la actual (named –v) </li></ul></ul><ul><li>U9.5 Como protegerse </li></ul><ul><ul><li>Instalar última versión, parchar </li></ul></ul>EMafla
    25. 25. Root Kits: t0rnkit <ul><li>Múltiples variantes para Unix </li></ul><ul><li>Operación </li></ul><ul><ul><li>Termina syslogd </li></ul></ul><ul><ul><li>Almacena password de intruso (/etc/ttyhash) </li></ul></ul><ul><ul><li>Instala sshd troyano </li></ul></ul><ul><ul><li>Oculta nombres de archivos, procesos de rootkit </li></ul></ul><ul><ul><li>Troyanos: login, ifconfig, ps, du, ls, netstat, fingerd, find, top </li></ul></ul><ul><ul><li>Instala passwd sniffer, parser, limpiador de log </li></ul></ul><ul><ul><li>Activa telnet, shell, finger en /etc/inetd.conf </li></ul></ul><ul><ul><li>Reinicia inetd, Inicia syslogd </li></ul></ul>EMafla
    26. 26. Solución 1: Tecnología <ul><li>Descubrir problema (chkrootkit) </li></ul><ul><li>Reconstruir servidor HTTP (rootkit) </li></ul><ul><li>Eliminar servicios extras </li></ul><ul><li>Enjuagar y repetir (con otros servidores) </li></ul><ul><li>Crear DMZ </li></ul>EMafla
    27. 27. Que Pasó con “mi” Servidor? <ul><li>Scan: menos servicios, parches </li></ul><ul><li>Esperar nuevas vulnerabilidades </li></ul><ul><ul><li>CERT, SANS, grupos de noticias </li></ul></ul>EMafla
    28. 28. Segundo Round <ul><li>Explotar nuevas vulnerabilidades </li></ul><ul><li>Reinstalar rootkit, limpiar logs </li></ul><ul><li>Bajar mas herramientas </li></ul><ul><li>Scan red interna </li></ul><ul><li>Adueñarse de nuevos servidores </li></ul>EMafla
    29. 29. Solución 2: más Tecnología EMafla
    30. 30. NIDS Funciona!  Captura intentos de scan y ataques Activa ACLs dinámicamente EMafla
    31. 31. Pero no por Mucho Tiempo  <ul><li>http:// www.eurocompton.net /stick </li></ul><ul><ul><li>Satura capacidad de shunning </li></ul></ul>EMafla
    32. 32. Solución 3: más Tecnología <ul><li>Shunning puede impedir acceso de clientes legítimos </li></ul><ul><ul><li>Afinar shunning </li></ul></ul>EMafla
    33. 33. Subir Nivel: Aplicaciones CGI <ul><li>oO Phrack 49 Oo. </li></ul><ul><li>Volume Seven, Issue Forty-Nine </li></ul><ul><li>File 14 of 16 </li></ul><ul><li>BugTraq, r00t, and Underground.Org bring you </li></ul><ul><li>XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX </li></ul><ul><li>Smashing The Stack For Fun and Profit </li></ul><ul><li>XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX </li></ul><ul><li>By Aleph One </li></ul><ul><li>[email_address] </li></ul>EMafla
    34. 34. 1988 - Worm de Internet <ul><li>2 noviembre 1988 </li></ul><ul><li>Robert Morris Jr. </li></ul><ul><li>Ataques (vulnerabilidades) </li></ul><ul><ul><li>Passwords, archivos desprotegidos </li></ul></ul><ul><ul><li>Rexec, sendmail, finger </li></ul></ul><ul><li>Defensa </li></ul><ul><ul><li>Args, fork, core, cifrado, OTP </li></ul></ul>EMafla
    35. 35. SANS: Top 10 Unix <ul><li>U1 Remote Procedure Calls (RPC) </li></ul><ul><li>U2 Apache Web Server </li></ul><ul><li>U3 Secure Shell (SSH) </li></ul><ul><li>U4 Simple Network Management Protocol </li></ul><ul><li>U5 File Transfer Protocol (FTP) </li></ul><ul><li>U6 R- Services -- Trust Relationships </li></ul><ul><li>U7 Line Printer Daemon (LPD) </li></ul><ul><li>U8 Sendmail </li></ul><ul><li>U9 BIND/DNS </li></ul><ul><li>U10 General Unix Authentication </li></ul>EMafla
    36. 36. SANS: Top 10 Windows <ul><li>W1 Internet Information Services (IIS) </li></ul><ul><li>W2 Microsoft Data Access Components (MDAC) -- Remote Data Services </li></ul><ul><li>W3 Microsoft SQL Server </li></ul><ul><li>W4 NETBIOS -- Unprotected Windows Networking Shares </li></ul><ul><li>W5 Anonymous Logon -- Null Sessions </li></ul><ul><li>W6 LAN Manager Authentication -- Weak LM Hashing </li></ul><ul><li>W7 General Windows Authentication -- Accounts with No Passwords or Weak Passwords </li></ul><ul><li>W8 Internet Explorer </li></ul><ul><li>W9 Remote Registry Access </li></ul><ul><li>W10 Windows Scripting Host </li></ul>EMafla
    37. 37. Gestión de Seguridad !!! <ul><li>Sistema de Gestión de Seguridad de la Información (SGSI) </li></ul><ul><ul><li>Rendimiento de cuentas corporativo </li></ul></ul><ul><ul><li>Reducción de riesgos legales </li></ul></ul><ul><ul><li>Cumplimiento de regulaciones </li></ul></ul><ul><ul><li>Continuidad del negocio </li></ul></ul><ul><li>Calidad del SGSI </li></ul><ul><li>CERTIFICACION </li></ul>EMafla
    38. 38. Desafios y Beneficios del SGSI <ul><li>Desafios </li></ul><ul><ul><li>Cambio en la cultura corporativa </li></ul></ul><ul><ul><li>Nuevo enfoque de TIC y negocio </li></ul></ul><ul><ul><li>Esfuerzo significativo (recursos, tiempo) </li></ul></ul><ul><ul><li>Decisión política del Directorio </li></ul></ul><ul><li>Beneficios </li></ul><ul><ul><li>Cumplir con Procesos, Objetivos y Misión </li></ul></ul><ul><li>Opciones </li></ul><ul><ul><li>Ignorar ISO 27001 y usar soluciones ad-hoc </li></ul></ul><ul><ul><li>Usar ISO 27001 como marco de referencia </li></ul></ul><ul><ul><li>Emprender programa de seguridad ISO 27001 </li></ul></ul>EMafla
    39. 39. Vulnerabilidades <ul><li>Origen: tecnología, personas, procedimientos </li></ul><ul><li>Tipos </li></ul><ul><ul><li>Físicas </li></ul></ul><ul><ul><ul><li>Acceso a centro de datos </li></ul></ul></ul><ul><ul><li>Naturales </li></ul></ul><ul><ul><ul><li>Centro de datos en quebrada </li></ul></ul></ul><ul><ul><li>Hardware y software </li></ul></ul><ul><ul><ul><li>Parches de SO, servicios innecesarios </li></ul></ul></ul><ul><ul><li>Ambiente </li></ul></ul><ul><ul><ul><li>Interferencia eléctrica </li></ul></ul></ul><ul><ul><li>Comunicaciones </li></ul></ul><ul><ul><ul><li>Protocolos inseguros </li></ul></ul></ul><ul><ul><li>Humanas </li></ul></ul><ul><ul><ul><li>Aplicaciones, procedimientos defectuosos </li></ul></ul></ul>EMafla
    40. 40. Vulnerabilidades Tecnológicas <ul><li>Modelos de protección de C.I.A. </li></ul><ul><ul><li>Arquitectura (VonNeumman) </li></ul></ul><ul><ul><li>Sistemas operativos </li></ul></ul><ul><ul><li>Red (TCP/IP) </li></ul></ul><ul><ul><li>Base de datos </li></ul></ul><ul><ul><li>Programas </li></ul></ul><ul><li>Tecnologías </li></ul><ul><ul><li>Cifrado simétrico: empírico </li></ul></ul><ul><ul><li>Cifrado asimétrico: NP-completos </li></ul></ul>EMafla
    41. 41. OSSTM <ul><li>Open Source Security Testing Methodology </li></ul><ul><li>ISECOM </li></ul><ul><li>Certificaciones </li></ul><ul><ul><li>OPST – Professional Security Tester </li></ul></ul><ul><ul><li>OPSA – Professional Security Analyst </li></ul></ul><ul><li>Alternativa a pruebas de penetración </li></ul><ul><ul><li>Ganar o ganar </li></ul></ul>EMafla
    42. 42. Metodología <ul><li>Utiliza </li></ul><ul><ul><li>Creatividad </li></ul></ul><ul><ul><li>Bases de conocimiento de mejores prácticas </li></ul></ul><ul><ul><li>Aspectos legales </li></ul></ul><ul><ul><li>Regulaciones de la industria del cliente </li></ul></ul><ul><ul><li>Amanazas conocidas </li></ul></ul><ul><ul><li>Riesgos del cliente </li></ul></ul><ul><li>Objetivo : obtener un cuadro exacto </li></ul><ul><ul><li>Vulnerabilidades </li></ul></ul><ul><ul><li>Amenazas </li></ul></ul><ul><ul><li>Riesgos </li></ul></ul>EMafla
    43. 43. Alcance <ul><li>Reglas y Guias de que eventos verificar y cuando </li></ul><ul><li>Detectar vulnerabilidades conocidas, fugas de información e incumplimiento de la ley, estándares de la industria y mejores prácticas </li></ul><ul><li>Pruebas externas de seguridad </li></ul><ul><ul><li>Desde ambiente sin privilegios </li></ul></ul><ul><ul><li>Evitar controles, procesos, alarmas </li></ul></ul><ul><ul><li>Seguridad Internet </li></ul></ul><ul><li>Areas de seguridad </li></ul><ul><ul><li>Fisica, wireless, comunicaciones, información, Internet, procesos </li></ul></ul>EMafla
    44. 44. Requerimientos del Test <ul><li>Cuantificable </li></ul><ul><li>Consistente y repetible </li></ul><ul><li>Válido mas alla del momento del test </li></ul><ul><li>Basado en el mérito del OPST/OPSA </li></ul><ul><li>Completo </li></ul><ul><li>Enmarcado en la ley </li></ul>EMafla
    45. 45. Pruebas de Seguridad Internet EMafla tiempo costo
    46. 46. Pruebas de Seguridad <ul><li>Vulnerability Scanning – verificacion automática de vulnerabilidades de sistemas </li></ul><ul><li>Security Scanning – incluye verificacion manual de falsos positivos, identificacion de debilades de red </li></ul><ul><li>Penetration Testing – meta: obtener trofeo (obtener acceso privilegiado) </li></ul><ul><li>Risk Assessment – análisis de seguridad mediante entrevistas </li></ul><ul><li>Security Auditing –inspeccion privilegiada de seguridad </li></ul><ul><li>Ethical Hacking - penetration tests desde Internet </li></ul><ul><li>Security Testing – (Posture Assessment) proyecto de evaluacion de riesgos mediante analisis de security scans. </li></ul><ul><li>Auditoria - analisis privilegiado de gestion de seguridades </li></ul>EMafla
    47. 47. Fuentes de Amenazas* <ul><li>55% error human o </li></ul><ul><li>10% empleados resentidos </li></ul><ul><li>10% empleados deshonestos </li></ul><ul><li>10% outsiders </li></ul><ul><li>*) Estadísticas de E.U. </li></ul>EMafla
    48. 48. Modelo de Ataques* EMafla *) Fuente MS
    49. 49. Métodos de Ataque <ul><li>Ataque = motivo para amenaza + método de explotación + vulnerabilidad </li></ul><ul><li>Métodos </li></ul><ul><ul><li>Virus, Troyanos, gusanos </li></ul></ul><ul><ul><li>Cracking de passwords </li></ul></ul><ul><ul><li>Ataques DoS, email, intrusiones </li></ul></ul><ul><ul><li>Código malicioso </li></ul></ul><ul><ul><li>Replay, modificación de paquetes </li></ul></ul><ul><ul><li>Espionaje en la red (sniffing) </li></ul></ul><ul><ul><li>Ingeniería social </li></ul></ul><ul><ul><li>Spoofing IP, secuestro de sesiones </li></ul></ul>EMafla
    50. 50. Riesgos <ul><li>Posibilidad de que atacante use (explote) una vulnerabilidad </li></ul><ul><li>Ejemplos </li></ul><ul><ul><li>Puertos abiertos en firewall: Riesgo mas alto de acceso no autorizado </li></ul></ul><ul><ul><li>Falta de capacitación en procedimientos: Riesgo mas alto de errores humanos </li></ul></ul><ul><li>Activo * amenaza * vulnerabilidad </li></ul><ul><ul><li>Reducir riesgo </li></ul></ul><ul><ul><ul><li>Firewall: reducir amenaza </li></ul></ul></ul><ul><ul><ul><li>Parches: reducir amenaza </li></ul></ul></ul><ul><ul><ul><li>Cifrado: reducir activo </li></ul></ul></ul>EMafla
    51. 51. Matriz de Riesgos* EMafla *) Fuente MS
    52. 52. Riesgos <ul><li>Violación de e-mails </li></ul><ul><li>Inercepción y modificación de e-mails </li></ul><ul><li>Robo de información </li></ul><ul><li>Spamming </li></ul><ul><li>Destrucción de equipos </li></ul><ul><li>violación de contraseñas </li></ul><ul><li>Ingeniería social </li></ul><ul><li>Bombas </li></ul><ul><li>Virus </li></ul><ul><li>Violación de privacidad de empleados </li></ul><ul><li>Incumplimiento de leyes y reglamentos </li></ul><ul><li>Fraudes informáticos </li></ul><ul><li>Acceso clandestino a redes </li></ul><ul><li>Software ilegal </li></ul><ul><li>Intercepción de comunicaciones </li></ul><ul><li>Destrucción de soporte documental </li></ul><ul><li>Empleados deshonestos </li></ul><ul><li>Interrupción de servicios </li></ul><ul><li>Robo de notebooks </li></ul><ul><li>Instalaciones default </li></ul><ul><li>Password cracking </li></ul><ul><li>Puertos abiertos </li></ul><ul><li>Logs inexistentes o no revisados </li></ul><ul><li>Backaup insuficientes </li></ul><ul><li>Replay </li></ul><ul><li>Port scanning </li></ul><ul><li>Desactualizacion de SPs y HFs </li></ul><ul><li>Escalamiento de privilegios </li></ul>EMafla
    53. 53. Riesgos EMafla Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e-mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados
    54. 54. Riesgos EMafla Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Keylogging Port scanning Parches no instalados Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Phishing Ingeniería social
    55. 55. Impacto al Negocio <ul><li>Desde cualquier PC fuera de la Compañía se puede tomar control de cualquier PC dentro de la Compañía. </li></ul><ul><li>Alguien puede mandar e-mails en nombre de otro. </li></ul><ul><li>En minutos, cualquier usuario puede conocer las contraseñas. </li></ul><ul><li>Los e-mails y documentos pueden ser “consultados y modificados” en cualquier punto de la red. </li></ul><ul><li>Cualquier usuario puede infectar con virus la red de la Compañía. </li></ul><ul><li>La mayor parte de los fraudes son a través del uso de los sistemas. </li></ul><ul><li>Cualquier hacker puede dejar los sistemas sin servicios. </li></ul><ul><li>Una compañía puede ser enjuiciada por incumplimiento de leyes y reglamentaciones (Habeas Data, Propiedad Intelectual) </li></ul>EMafla
    56. 56. Complejidad <ul><li>En estos tipos de problemas es difícil: </li></ul><ul><ul><li>Darse cuenta que pasan, hasta que pasan </li></ul></ul><ul><ul><li>Poder cuantificarlos económicamente </li></ul></ul><ul><ul><ul><li>Cuánto le cuesta a la compañía 4 horas sin sistema? </li></ul></ul></ul><ul><ul><li>Poder vincular directamente sus efectos sobre los resultados de la compañía </li></ul></ul><ul><ul><ul><li>Cumplimiento de objetivos, misión </li></ul></ul></ul>EMafla
    57. 57. Normas <ul><li>Information Systems and Audit Control Association - ISACA: COBIT </li></ul><ul><li>British Standards Institute: BS </li></ul><ul><li>International Standards Organization </li></ul><ul><li>Departamento de Defensa EU: Orange Book </li></ul><ul><li>ITSEC – Information Technology Security Evaluation Criteria: White Book </li></ul><ul><li>Sans Institute </li></ul><ul><li>CIS – Center for Internet Security </li></ul><ul><li>CERT – Computer Emergency Response Team </li></ul>EMafla
    58. 58. Gestión de Riesgos <ul><li>Proceso de mejoramiento continuo </li></ul><ul><ul><li>Evaluación de riesgos </li></ul></ul><ul><ul><ul><li>Entender cuales son los riesgos en relación a la misión de la organización y sus activos críticos </li></ul></ul></ul><ul><ul><li>Definición de plan para reducir riesgos </li></ul></ul><ul><ul><ul><li>Prioridad por impacto a los activos </li></ul></ul></ul><ul><li>Incluir todas las componentes de riesgo </li></ul><ul><ul><li>Activos, amenazas y vulnerabilidades </li></ul></ul><ul><li>Información insuficiente </li></ul><ul><ul><li>Difícil ajustar estrategia de protección a los riesgos </li></ul></ul>EMafla
    59. 59. Factores Críticos de Exito <ul><li>Política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa. </li></ul><ul><li>Estrategia de implementación de seguridad que sea consecuente con la cultura organizacional. </li></ul><ul><li>Apoyo y compromiso manifiestos de la gerencia </li></ul><ul><li>Claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y su administración </li></ul><ul><li>Comunicación eficaz de los temas de seguridad a todos los gerentes y empleados </li></ul><ul><li>Instrucción y entrenamiento adecuados; </li></ul><ul><li>Sistema integral y equilibrado de medición para evaluar el desempeño de la gestión de la seguridad </li></ul>EMafla
    60. 60. Relación de Seguridad con otras Areas de Gestión TIC <ul><li>Modelo de administración TIC </li></ul><ul><li>Calendarización de tareas </li></ul><ul><li>Gestión de versiones </li></ul><ul><li>Administración de la red </li></ul><ul><li>Administracion de servicios de directorio </li></ul><ul><li>Monitoreo y control de servicios </li></ul><ul><li>Gestión de impresión y reportes </li></ul><ul><li>Gestión de almacenamiento (backups) </li></ul><ul><li>Gestión de configuraciones, disponibilidad (DoS) </li></ul><ul><li>Planificación de capacidad </li></ul><ul><li>Mesa de ayuda </li></ul>EMafla
    61. 61. Análisis de Riesgos <ul><li>Concientización del problema </li></ul><ul><li>Fases </li></ul><ul><ul><li>Identificar recursos TIC </li></ul></ul><ul><ul><li>Determinar vulnerabilidades </li></ul></ul><ul><ul><li>Estimar probabilidad de ataques </li></ul></ul><ul><ul><li>Calcular pérdidas (anuales) </li></ul></ul><ul><ul><li>Diseño de sistema de seguridad (controles) </li></ul></ul><ul><ul><ul><li>Tecnología, procedimientos </li></ul></ul></ul><ul><ul><ul><li>Análisis costo - beneficio </li></ul></ul></ul>EMafla
    62. 62. Recursos TIC EMafla <ul><li>Sistemas computacionales </li></ul><ul><ul><li>Red (elementos activos, cableado) </li></ul></ul><ul><ul><li>Hardware </li></ul></ul><ul><ul><li>Sistemas operativos </li></ul></ul><ul><ul><li>DMBS </li></ul></ul><ul><li>Sistemas informáticos </li></ul><ul><ul><li>Aplicaciones y servicios </li></ul></ul><ul><ul><li>Datos </li></ul></ul><ul><ul><li>Documentación </li></ul></ul><ul><ul><li>Usuarios, personal TIC </li></ul></ul>
    63. 63. Controles y Protecciones <ul><li>Contrarrestan amenazas y vulnerabilidades, reducen riesgo </li></ul><ul><li>Ejemplos </li></ul><ul><ul><li>Mecanismos para control de acceso (RBAC) </li></ul></ul><ul><ul><li>Gestión segura de passwords </li></ul></ul><ul><ul><li>Capacitación sobre seguridad </li></ul></ul><ul><ul><li>Detección de intrusos </li></ul></ul><ul><ul><li>Blindaje de sistemas </li></ul></ul><ul><ul><li>Gestión de versiones, parches, HF </li></ul></ul>EMafla
    64. 64. Políticas y Procedimientos <ul><li>Políticas </li></ul><ul><ul><li>Política institucional de información </li></ul></ul><ul><ul><li>Comité de alto nivel </li></ul></ul><ul><ul><li>Documentación, comunicación </li></ul></ul><ul><li>Procedimientos </li></ul><ul><ul><li>Gestión </li></ul></ul><ul><ul><li>Operación </li></ul></ul><ul><ul><li>Control </li></ul></ul><ul><li>Tecnología (al final) </li></ul>EMafla
    65. 65. Estrategia para Política de Seguridad <ul><li>Tomar en cuenta debilidades naturales </li></ul><ul><ul><li>Seguridad impide progreso </li></ul></ul><ul><ul><li>Seguridad no es instinto </li></ul></ul><ul><ul><li>Sucede lo inesperado </li></ul></ul><ul><ul><li>No existe solución universal </li></ul></ul><ul><li>Educar a usuarios sobre la política, cumplimiento y valor de recursos TCI </li></ul><ul><li>Verificar continuamente el cumplimiento de las políticas </li></ul><ul><li>Hacer los ajustes necesarios </li></ul>EMafla
    66. 66. Ciclo de Vida EMafla
    67. 67. Definición de la Política <ul><li>Fase de descubrimiento </li></ul><ul><li>Identificacion de amenazas y riesgos </li></ul><ul><li>Determinacion de recursos TIC a proteger </li></ul><ul><li>Diseño de estrategia de protección </li></ul><ul><ul><li>Tecnología </li></ul></ul><ul><ul><li>Recursos </li></ul></ul><ul><ul><li>Procedimientos </li></ul></ul>EMafla
    68. 68. Cumplimiento y Control <ul><li>Cumplimiento </li></ul><ul><ul><li>Fase de acción </li></ul></ul><ul><ul><li>Ejecución de la política de seguridades </li></ul></ul><ul><li>Control de calidad de la política </li></ul><ul><ul><li>Evaluar efectividad de la política </li></ul></ul><ul><ul><ul><li>Procedimientos </li></ul></ul></ul><ul><ul><ul><li>Controles </li></ul></ul></ul><ul><ul><ul><li>Tecnología </li></ul></ul></ul><ul><ul><ul><li>Fallas de seguridad </li></ul></ul></ul>EMafla
    69. 69. Consideraciones sobre Ciclo de Vida <ul><li>Determinar impacto de la política </li></ul><ul><ul><li>Seguridad es un inconveniente </li></ul></ul><ul><ul><li>Evitar complejidad excesiva </li></ul></ul><ul><ul><li>Perseguir o no perseguir? </li></ul></ul><ul><ul><li>Crimen y castigo </li></ul></ul><ul><li>Cumplimiento debe ser visible </li></ul><ul><ul><li>Entrenamiento: usuarios, admins </li></ul></ul><ul><ul><li>Investigación de todos los casos </li></ul></ul><ul><li>Control de calidad </li></ul><ul><ul><li>Auditoria: fallas de diseño </li></ul></ul>EMafla
    70. 70. Política de Seguridad <ul><li>Metas </li></ul><ul><li>Responsabilidades </li></ul><ul><li>Cronograma </li></ul><ul><li>Acción continua </li></ul><ul><li>CERT </li></ul><ul><li>Clasificación de la información </li></ul><ul><ul><li>Confidencial, Corporativa, Pública </li></ul></ul><ul><li>Acceso </li></ul><ul><ul><li>Quién? A qué? Cuándo? </li></ul></ul><ul><ul><li>Controles que deben se aplicados </li></ul></ul>EMafla
    71. 71. Políticas Específicas (SANS) <ul><li>Cifrado </li></ul><ul><li>Uso aceptable </li></ul><ul><li>Acceso remoto </li></ul><ul><li>Anti-virus </li></ul><ul><li>Adquisiciones </li></ul><ul><li>Auditoria </li></ul><ul><li>Email, Internet </li></ul><ul><li>Extranet, DMZ </li></ul><ul><li>Passwords </li></ul>EMafla
    72. 72. Aspectos Legales <ul><li>OMC: problema mas grave en LDC </li></ul><ul><li>Restricciones para exportacion de tech </li></ul><ul><li>Ecuador </li></ul><ul><ul><li>Ley de comercio electrónico (OMC) </li></ul></ul><ul><ul><li>Reglamento a la ley </li></ul></ul><ul><ul><ul><li>PKI </li></ul></ul></ul><ul><ul><ul><li>Confianza </li></ul></ul></ul><ul><ul><li>Ley de Acceso a la información </li></ul></ul>EMafla

    ×