• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Like this? Share it with your network

Share

Arquitectura de seguridad de la información (Melia)

on

  • 4,851 views

 

Statistics

Views

Total Views
4,851
Views on SlideShare
4,822
Embed Views
29

Actions

Likes
3
Downloads
0
Comments
0

2 Embeds 29

http://www.fluidsignal.com 19
http://www.slideshare.net 10

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Arquitectura de seguridad de la información (Melia) Presentation Transcript

  • 1. Arquitectura de Seguridad Informatica Hotel Meliá, 12 de Noviembre de 2003 Medellín, Colombia
  • 2. AGE N DA 1. Introducción 2. Arquitectura de Seguridad de la Información 2.1. Analisis de riesgo 2.2. Organización e Infraestructura 2.3. Politicas, Estandares y Procedimientos 2.4. Capacitación 2.5. Conformidad 3. Estandarizacion: BS-7799 4. Conclusiones
  • 3. IN F OR MACION La información es la base fundamental de la comunicación, la cual es el elemento principal para la evolución empresarial
  • 4. AR E AS F U N CION ALE S D E LA E MP R E S A Técnica ● Comercial ● Financiera ● Contable ● Seguridad ● Administrativa ●
  • 5. “S egu ridad sign ifica salvagu ardar propiedades y person as con t ra el robo, fu ego, in u n dación , con t rarrest ar h u elgas y felon ías, y de form a am plia t odos los dist u rbios sociales qu e pu edan pon er en peligro el progreso e in clu so la vida del n egocio. S on t odas las m edidas para con ferir la requ erida paz y t ran qu ilidad al person al" Hen r y Fa yol
  • 6. ¿P OR QU E AH OR A ? Prevalencia de un mundo en red interconectado Disponibilidad de herramientas que permiten explotación de vulnerabilidades
  • 7. S E GU R ID AD IN F OR MATICA La seguridad informática es el área que se encarga de brindarle características de confidencialidad, autenticidad, integridad y disponibilidad a nuestra información
  • 8. CON CE P TOS DE SE GU RIDAD Confidencialidad Integridad Disponibilidad
  • 9. CON F ID E N CIALID AD
  • 10. IN TE GR ID AD
  • 11. D IS P ON IB ILID AD
  • 12. Una analogia...
  • 13. ¿Conocen los riesgos de seguridad de su casa?
  • 14. ...Y basta conocer los riesgos para que esté
  • 15. ¿Tienen controles para mitigar los riesgos conocidos?
  • 16. ...Y basta tener controles para que esté segura?
  • 17. ¿Existen reglas claras sobre lo que se debe y no se debe
  • 18. ...Y basta tener reglas claras para que esté segura?
  • 19. ¿Los habitantes de la casa conocen las reglas?
  • 20. ...Y basta que las reglas sean conocidas para que esté
  • 21. ¿Los habitantes de la casa practican las reglas?
  • 22. ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN
  • 23. AR QU ITE CTU R A D E S E GU R ID AD D E LA IN F OR MACION Análisis de Riesgo ● Organización e Infraestructura ● Políticas, Estándares y Procedimientos ● Capacitación ● Conformidad ●
  • 24. ¿Comó lograrla? A.S.I. ¿Cómo estandarizarla? BS-7799
  • 25. Análisis de Riesgo (i)
  • 26. R IE S GO Todo lo que pueda afectar el logro de los objetivos del negocio y la ejecución de sus estrategias
  • 27. AN ALIS IS D E R IE S GO Objetivos Educar ● ● Identificar ● Fortalezas ● Controles ● Debilidades ● Amenazas
  • 28. AN ALIS IS D E R IE S GO Periódicamente... Requerimientos y prioridades del negocio ● Nuevas amenazas y vulnerabilidades ● Verificar que los controles sean efectivos ●
  • 29. AN ALIS IS D E R IE S GO OCTAVE Identificar elementos organizacionales y tecnológicos para construir las necesidades de seguridad de la Información
  • 30. AN ALIS IS D E R IE S GO OCTAVE ¿Por qué? Los análisis de riesgos eran tan buenos como los expertos los realizaran y no necesariamente adecuados a las necesidades de cada organización
  • 31. AN ALIS IS D E R IE S GO OCTAVE Historia DoD (Department of Defense) ● ● SEI (Carnegie Mellon University) ● Programa de Supervivencia para los Sistemas de Red
  • 32. AN ALIS IS D E R IE S GO OCTAVE Componentes del Riesgo Recursos ● Amenazas ● Vulnerabilidades ●
  • 33. AN ALIS IS D E R IE S GO OCTAVE Organización Fases ● Procesos ● Actividades ● Entradas ● Salidas ●
  • 34. AN ALIS IS D E R IE S GO OCTAVE Fases Construcción de Requisitos de Seguridad ● Corporativos ● Identificación de Vulnerabilidades de la Infraestructura ● Desarrollo de la Estrategia de Administración del Riesgo
  • 35. AN ALIS IS D E R IE S GO OCTAVE Construcción de Requisitos de Seguridad Corporativos (Fase 1) Identificación de: ● ● Recursos Claves ● Valor ● Amenazas ● Indicadores de Riesgo
  • 36. AN ALIS IS D E R IE S GO OCTAVE Construcción de Requisitos de Seguridad Corporativos (Fase 1) Identificación del Conocimiento Corporativo ● ● Identificación del Conocimiento Operativo ● Identificación del Conocimiento del Personal ● Establecimiento de Requisitos de Seguridad Corporativos
  • 37. AN ALIS IS D E R IE S GO OCTAVE Identificación de Vulnerabilidades de la Infraestructura (Fase 2) Asignación de los Recursos de Alta ● Prioridad a la Infraestructura de Información ● Evaluación de Vulnerabilidades de la Infraestructura
  • 38. AN ALIS IS D E R IE S GO OCTAVE Desarrollo de la Estrategia de Protección (Fase 3) Análisis de Riesgo Multidimensional ● ● Area de riesgo aplicable ● Probabilidad ● Impacto Desarrollar la Estrategia de Protección ●
  • 39. AN ALIS IS D E R IE S GO Fases VSAN: Valoración de Seguridad de Alto Nivel ● VSA: Valoración de Seguridad de Aplicacione ● VSR: Valoración de Seguridad de Redes ● VSS: Valoración de Seguridad de Servidores ● VST: Valoración de Seguridad de ● Telecomunicaciones
  • 40. AN ALIS IS D E R IE S GO VSAN Función de seguridad ● Plan de seguridad ● Políticas, estándares y procedimientos ● BIA, BCP (11), DRP ● Clasificación de recursos (5) ● Inventario de recursos (5) ● Plan de capacidad ●
  • 41. AN ALIS IS D E R IE S GO VSAN Programa de antivirus ● ● Seguridad en los PC ● Seguridad física y ambiental. Mantenimiento de los recursos computacionales ● Gestión de problemas ● Monitoreo ● Contratos
  • 42. AN ALIS IS D E R IE S GO VSA Ambiente operativo ● Desarrollo (10) ● Mecanismos de autenticación e integridad ● Bases de datos ●
  • 43. AN ALIS IS D E R IE S GO VSR Ambiente operativo ● Administración ● Control de acceso (9) ● Terceras partes ● Respaldo y recuperación ●
  • 44. AN ALIS IS D E R IE S GO VSS Configuración ● Usuarios y grupos ● Control de contraseñas ● Acceso remoto ● Redes ● Respaldo y recuperación ●
  • 45. AN ALIS IS D E R IE S GO VST Tecnología ● Administración ● Revision técnica ●
  • 46. ID E N TIF ICACION D E ME D ID AS D E S E GU R ID AD Buena identificación de riesgos Adecuada selección de mecanismos de protección
  • 47. ID E N TIF ICACION D E ME D ID AS D E S E GU R ID AD Mala identificación de riesgos Falsa sensación de seguridad
  • 48. Organización e Infraestructura
  • 49. OR GAN IZACION D E LA S E GU R ID AD (4) Comité Ejecutivo de Seguridad ● Gerente de Información ● Gerente Financiero ● Oficial de Seguridad ● Equipo de Seguridad ● Terceras partes ●
  • 50. OR GAN IZACION D E LA S E GU R ID AD (4) Administradores de red y aplicaciones ● Recursos humanos ● Consejeros legales ● Help Desk ● Usuarios finales ●
  • 51. OR GAN IZACION D E LA S E GU R ID AD (4) Matriz propietario/recurso ● Metodología de Clasificación (5) ● Segregación de responsabilidades ●
  • 52. IN F R AE S TR U CTU R A Firewall
  • 53. Firewall IN F R AE S TR U CTU R A Según su uso ● ● De red ● Personal Según la fabricación ● ● Software ● Hardware Desde el punto de vista tecnico ● ● De red (filtrado de paquetes) ● Stateful ● Non-Stateful ● De aplicación (circuitos)
  • 54. IN F R AE S TR U CTU R A Proxy Tecnicamente ● ● Es un firewall de aplicación Ventajas ● ● Control de contenido ● Control de ancho de banda ● Cache ● Identificación de consumo
  • 55. IN F R AE S TR U CTU R A IDS Detectar ● Según su ubicacion: ● ● NIDS ● HIDS ● SIV (System Integrity Verifier) ● LFM (Log File Monitors) Según su arquitectura: ● ● Basados en reglas o firmas ● Basados en estadistica
  • 56. IN F R AE S TR U CTU R A Sistemas de decepción Según el tamaño ● ● HoneyPots ● HoneyNets
  • 57. IN F R AE S TR U CTU R A VPN Según su campo de accion ● ● De red (IPSec, PPTP, L2TP) ● De aplicación (SSH) Según su tamaño ● ● User to Site ● Site to Site
  • 58. IN F R AE S TR U CTU R A Antispam Analisis de headers ● Analisis de contenido ● Listas negras ● Estadistica (Analisis bayesiano) ●
  • 59. IN F R AE S TR U CTU R A Antivirus Escritorio ● Servidores de correo ●
  • 60. IN F R AE S TR U CTU R A PGP Criptografia ● ● Simetrica ● Asimetrica Capacidades ● ● Cifrado ● Firma
  • 61. IN F R AE S TR U CTU R A Seguridad física (7) Vigilancia del perímetro ● Controles de entrada ● UPS ● Cableado ●
  • 62. Políticas, Estándares y Procedimientos
  • 63. La seguridad que puede ser alcanzada técnicamente es limitada y debe ser soportada con administración y procedimientos apropiados
  • 64. P OLITICAS (3) ¿Qué? ● ¿Quién? ● ¿Por qué? ● Mecanismo de comunicación ● Claras y concisas ● Bases para las acciones disciplinarias ●
  • 65. P OLITICAS (3) Los usuarios deben cambiar sus contraseñas periódicamente
  • 66. P R OCE D IMIE N TOS ¿Dónde? ● ¿Cuándo? ● ¿Cómo? ● Transferencia de conocimiento ● Mejores prácticas ● No son revisados a nivel ejecutivo ●
  • 67. P R OCE D IMIE N TOS ¿Cómo se cambian ● las contraseñas? ● ¿Cómo se asignan contraseñas para nuevos usuarios?
  • 68. E S TAN D AR E S Convenciones acordadas ● Operar uniformemente ● Definen unas expectativas mínimas ● Administración eficiente ● Mejores prácticas de la industria ●
  • 69. P R OCE D IMIE N TOS Los usuarios normales deben cambiar las contraseñas cada 90 días y los usuarios administradores cada 30 días
  • 70. Capacitación
  • 71. CAP ACITACION Objetivos Conocer las responsabilidades ● ● Conocer el valor de la seguridad de la información ● Conocer las posibles violaciones de seguridad y a quién contactar
  • 72. CAP ACITACION Quiénes Empleados ● Ejecutivos ● Administradores de sistemas ● Oficiales de seguridad ●
  • 73. Conformidad (12)
  • 74. CON F OR MID AD (12) Garantizar que lo definido esté siendo ejecutado en la realidad
  • 75. CON F OR MID AD (12) Verificar Integridad de las cuentas ● Integridad del respaldo ● Atributos de archivos ● Rendimiento ● Auditoría del sistema ● Parámetros de login ● Test de penetración ● Auditoría de código fuente ●
  • 76. N OR MAS IN TE R N ACION ALE S ¿Cómo dar a mis clientes y socios comerciales la confianza necesaria para facilitar la realización de negocios?
  • 77. N OR MAS IN TE R N ACION ALE S BS7799
  • 78. N OR MAS IN TE R N ACION ALE S BS7799 Organización Parte 1: BS7799-1 Código de ● Practicas ● Parte 2: BS7799-2 Especificación del Sistema de Administración de Seguridad de la Información (ISMS)
  • 79. N OR MAS IN TE R N ACION ALE S BS7799 Historia ¿Quién? UK Department of ● Trade and Industry ● ¿Cuando? ● 1995 y 1998 ● 1999 y 2002 ● 2000 (ISO/IEC)
  • 80. N OR MAS IN TE R N ACION ALE S BS7799-1 Organización 10 Categorías ● 127 Controles de Seguridad ● Énfasis No hay que implementar todos los ● Controles ● Análisis de Riesgo
  • 81. N OR MAS IN TE R N ACION ALE S BS7799-1 Categorías Políticas de Seguridad ● ● Seguridad de la Organización ● Clasificación y Control de Recursos ● Seguridad del Personal ● Seguridad Física y Ambiental ● Comunicación y Administración de Operaciones
  • 82. N OR MAS IN TE R N ACION ALE S BS7799-1 Categorías Control de Acceso ● ● Desarrollo y Mantenimiento de Software ● Administración de la Continuidad del Negocio ● Conformidad
  • 83. N OR MAS IN TE R N ACION ALE S BS7799-2 Cómo construir, operar, mantener y mejorar un Sistema de Administración de la Seguridad de la Información
  • 84. N OR MAS IN TE R N ACION ALE S BS7799-2 Organización ● Definir el ámbito ¿Qué quiero proteger? ● Definir la política ¿Cuál es el riesgo aceptable? ● Análisis de riesgo ¿Cuál es mi nivel actual de riesgo? ● Administración del riesgo ¿Qué acepto, prevengo o transfiero?
  • 85. N OR MAS IN TE R N ACION ALE S BS7799-2 Organización Seleccionar controles ¿Cómo ● prevenir? ● Declaración de Aplicabilidad ¿Por qué se escogieron o no determinados controles?
  • 86. N OR MAS IN TE R N ACION ALE S BS7799-2 Requisitos de Documentación Compromisos de la Gerencia ● ● Recursos ● Planes de Capacitación ● Auditoria Interna ● Mejora Continua ● Acciones Preventivas y Correctivas
  • 87. N OR MAS IN TE R N ACION ALE S BS7799-2 Certificación Roles ● ● Cuerpo de Certificación ● BSI Assesment Services ● Det Norske Veritas ● Organización Tiempo ● ● 10 Meses
  • 88. BS7799-2 Empresas Certificadas Mexico: 2 ● Brazil: 2 ● Inglaterra: 93 ● India: 13 ● Alemania: 8 ● Japon: 40 ● Estados Unidos: 3 ● China: 3 ● COLOMBIA: 0 ●
  • 89. N OR MAS IN TE R N ACION ALE S BS7799 Riesgos de Mercado ¿Qué sucede si sus competidores están más avanzados que usted?
  • 90. N OR MAS IN TE R N ACION ALE S BS7799 Beneficios Utilidades ● Satisfacción del Cliente ● Imagen ● Demostración de Seguridad ● Reconocimiento Internacional ●
  • 91. N OR MAS IN TE R N ACION ALE S BS7799 Opciones Ignorarla ● Comenzar el camino... ●
  • 92. F ACTOR E S CLAVE D E E XITO Conocer el riesgo ● Falta de recursos ● Sistemas heterogéneos ● Operaciones independientes ● Fomento de la confianza ● Terceras partes ● Cambio de tecnología ●
  • 93. F ACTOR E S CLAVE D E E XITO Reflejar los objetivos del negocio ● Consistencia con la cultura organizacional ● Marketing efectivo de la seguridad ● Capacitación a todos ●
  • 94. CON CLU S ION E S La seguridad no es un asunto ● meramente técnico ● Los ejecutivos deben conocer los riesgos ● Las implementaciones no deben realizarse arbitrariamente ● Existen estándares internacionales que apoyan el proceso
  • 95. DESMITIFICANDO LOS DICHOS POPULARES...
  • 96. “N o s o t r o s n o s o m o s u n o b je t i v o p a r a lo s h a c k e r s , a q u i é n le v a int eresar en t rar a nuest ros sist em as” Mito # 1: 91% de los participantes de la de CSI/FBI (Computer Crime Survey) fueron atacados en los primeros 12 meses de estar conectados.
  • 97. “L a m a y o r í a d e a t a q u e s i n v o lu c r a n usu arios int ernos” Mito # 2: Esto solía ser cierto, pero en los últimos 24 meses este comportamiento ha cambiado; sólo el 30% de los ataques ahora corresponden a usuarios en la red local.
  • 98. “N u e s t r a r e d e s s e g u r a p o r q u e t e n e m o s u n fi r e w a ll” Mito # 3: 90% de los encuestados tenían un firewall debidamente configurado pero aun así se presentaron problemas de seguridad.
  • 99. “E s t a m o s s e g u r o s . H a s t a e l m om en t o n ad ie h a en t r ad o en n u est r os sist em as” Mito # 4: La mayoría de veces puede tardar meses o años detectar un acceso no autorizado. Muchos casos pueden pasar sin ser detectados gracias a débiles esquemas de seguridad.
  • 100. LAS 7 R E GLAS CON TR A LA IN VAS ION D E R ATAS No deje comida afuera Tape las entradas que permitan acceso a su casa No deje lugares donde se puedan hacer nidos Ponga trampas Chequee las trampas No use mata ratas "a la loca" por todos lados ¡Compre un gato!
  • 101. LAS 7 R E GLAS P AR A LA S E GU R ID AD D E S U S S IS TE MAS No provea acceso en línea a archivos críticos Cierre los "huecos" que puedan dar acceso a su sistema No permita que se hagan "nidos" en su sistema Ponga trampas para detectar intrusos Monitoree los logs de sus herramientas de seguridad Aprenda usted mismo de seguridad
  • 102. GRACIAS... Juan Rafael Álvarez http://people.fluidsignal.com/~jalvarez jalvarez@fluidsignal.com Fluidsignal Group S.A. http://www.fluidsignal.com