Curso taller: Sistemas de Gestión de Seguridad de la Información

1,574 views
1,293 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,574
On SlideShare
0
From Embeds
0
Number of Embeds
255
Actions
Shares
0
Downloads
90
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Curso taller: Sistemas de Gestión de Seguridad de la Información

  1. 1. SISTEMAS DE GESTÓN DE SEGURIDAD DE LA INFORMACIÓN Expositor: Mg. Ing. Miguel Robles-Recavarren Benites M_roblesrecavarren@hotmail.com
  2. 2. Contenido  Estado del Arte.  Introducción a la Seguridad en TI.  Definiciones Básicas.  Plan de Seguridad de la Información (PSI).  Principios.  Consideraciones.  Tipos de Seguridad.  Plan de Contingencias (PCN).  Seguridad en Internet.  Metodologías para la elaboración del PCN y PSI.
  3. 3. ESTADO DEL ARTE
  4. 4. Innovación Estado del Arte Competencia Global Manejo del Cambio Poder de Negociación Ventaja Competitiva Negocios Internacionales Recursos y Utilidad Velocidad en Los Servicios Negocios Organizaciones Instituciones Personas Valor Generado
  5. 5. Estado del Arte EMPRESA ESTRATEGIAS DE NEGOCIOS OBJETIVOS ESTRATÉGICOS DEL NEGOCIO  Reingeniería de procesos  Reestructuración  Organización horizontal  Manejo de personas  Procesamiento distribuido  Dimensionamiento correcto  Benchmarking  Offshoring  Outsourcing  E-business  SCM – BI - CRM
  6. 6. Introducción a la Seguridad en TI
  7. 7. Introducción PROCESOS DE NEGOCIOSTECNOLOGÍA DE LA INFORMACIÓN SEGURIDAD DE TI GESTIÓN DE SEGURIDAD
  8. 8. Identificación de Amenazas Tipos de Amenazas Amenazas a Instalaciones Amenazas Sociales
  9. 9. Vulnerabilidades Tipos de Vulnerabilidades Seguridad de los recursos humanos Seguridad física y ambiental Controlde Acceso
  10. 10. El modelo de la administración de los recursos e información. Ventaja competitiva. Entorno Entorno Plan de negocio estratégico Inteligencia de negocio Vicepresidente de finanzas Vicepresidente de manufactura DI DE Vicepresidente de recursos humanos Vicepresidente de mercadotecnia Plan específico para los recursos de información Comité Directivo del SIA Política y estándares Centros de información Instalación de computo central Áreas del usuario Usuarios Finales Usua rios Recursos de información
  11. 11. Introducción  “El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por el” Gene Spafford
  12. 12. Mitos de Seguridad El Sistema puede llegar al 100% de seguridad. Mi red no es lo suficientemente atractiva para ser tomada en cuenta. Nadie pensara que mi clave de acceso es sencilla. Linux es más seguro que Windows. Si mi servidor de correos tiene antivirus, mi estación no lo necesita.
  13. 13. Definiciones Básicas
  14. 14. Tecnología de la Información  Conjunto de ciencias relacionadas con los Sistemas y la Informática que constituyen el elemento indispensable para el desarrollo de la humanidad y la generación sostenida de puestos de trabajo.
  15. 15. Términos y Definiciones  ACTIVO: Algo que presenta valor para la organización.  DISPONIBILIDAD: Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario.  CONFIDENCIALIDAD: Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado.
  16. 16. Términos y Definiciones  SEGURIDAD DE LA INFORMACIÓN: Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como la autenticación, responsabilidad, no-repudio y fiabilidad.
  17. 17. Términos y Definiciones  EVENTO DE LA SEGURIDAD DE LA INFORMACIÓN: Ocurrencia identificada en un sistema, servicio o red indicando una posible brecha de la política de seguridad de la información o falla de las salvaguardas o una situación desconocida previa que puede ser relevante. .
  18. 18. Términos y Definiciones  INCIDENTE DE LA SEGURIDAD DE LA INFORMACIÓN: Una serie de eventos no deseados que tienen una probabilidad significativa de comprometer operaciones del negocio y amenazar la seguridad de la información.
  19. 19. Términos y Definiciones  SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN - ISMS: Es la parte del Sistema Integral de Gestión, basado en un enfoque del riesgo del negocio para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.
  20. 20. Términos y Definiciones  INTEGRIDAD: Salvaguardar la exactitud e integridad de la información y activos asociados.  RIESGO RESIDUAL: Riesgo remanente después de un tratamiento del riesgo.  ACEPTACIÓN DEL RIESGO: Decisión de aceptar el riesgo.  ANÁLISIS DEL RIESGO: Uso sistemático de información para identificar amenazas y estimular el riesgo.
  21. 21. Términos y Definiciones  ESTIMACIÓN DEL RIESGO: Proceso total de análisis y evaluación del riesgo.  EVALUACIÓN DEL RIESGO: Proceso de comparación del riesgo estimado frente al criterio de riesgo para determinar el significado del riesgo.  GESTIÓN DEL RIESGO: Actividades coordinadas para dirigir y controlar el riesgo en una organización.
  22. 22. Términos y Definiciones  TRATAMIENTO DEL RIESGO: Proceso de Selección e implementación de controles para minimizar el riesgo.  DECLARACIÓN DE APLICABILIDAD: Documento que describe los objetivos de control y los controles que son relevantes y aplicables al ISMS de la organización.
  23. 23. Algunos artículos: www.diarioti.com
  24. 24. Repercusión de las infracciones de seguridad Pérdida de beneficios Deterioro de la confianza del inversionista Perjuicio de la reputación Pérdida o compromiso de la seguridad de los datos Interrupción de los procesos empresariales Deterioro de la confianza del cliente Consecuencias legales
  25. 25. QUÉ BUSCA LA SEGURIDAD?  Proteger Derechos El derecho a la privacidad El derecho a estar informados  Proteger activos Información Equipos ( Sistemas, Redes, computadoras)  Reforzar las reglas Leyes, Políticas y Procedimientos
  26. 26. VIDEO: PRIVACIDAD EN INTERNET BRUSELAS - BÉLGICA
  27. 27. Sistema Nacional de Informática IMPLEMENTACIÓN DE LA NORMA TÉCNICA PERUANA “NTP-ISO/IEC 27001:2008 EDI TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. REQUISITOS”.
  28. 28. Aspectos críticos de la seguridad Arquitectura Segura de IT Kerberos Personas Developer USER Backup
  29. 29. El riesgo está en función del valor del activo de la información, la magnitud de la amenaza y las vulnerabilidades existentes MEDIDAS
  30. 30. 33 2/18/2014 Entre mediados de Abril y Junio del 2007, un gran número de servidores Web fueron infectados. Se asumió que la causa fue un fallo común afectando servidores Apache e IIS o un error de configuración en el proveedor de servicios. En Junio del 2007, mas de 10,000 sitios fueron afectados, de los cuales, 80% estuvieron en Italia. Mas de 80,000 sistemas fueron infectados. Tan pronto como los usuarios visitaban el sitio, estos eran direccionado silenciosamente a un servidor que contenía la pagina PHP de una herramienta llamada MPack. Estando en esta página, varios ataques diseñados para aprovechar las fallas de seguridad del navegador del usuario (Firefox, IE, Opera, etc.) se aplicaban. Esta forma de ataque se hizo común en el 2008 The Italian Mpack Job
  31. 31. Seguridad de SI  Seguridad de la información debe ser elemento integral de la empresa.  Fases del Proceso: * Identificación de riesgos. * Plan de Seguridad. * Infraestructura. * Mantenimiento y Coste
  32. 32. Valor de la Información  El principal bien de las empresas es la información la cual hay que proteger en la medida que su pérdida afecte a la empresa u organización.  En el valor de la información entra a tallar el flujo de la misma.  Si el bien fluye de un lado a otro, el camino que recorre también debe ser protegido y el medio de transporte lógico debe ser seguro.
  33. 33. Tipo de Información según Empresa Empresa Privada Empresa Gubernamental Pública Sensible Privada Confidencial No Clasificada Sensitiva pero no Clasificada Confidencial Secreta Top Secret
  34. 34. The National Strategy for Homeland Security of the United States
  35. 35. Video Microsoft
  36. 36. Taller 1: Trabajo en Grupo a. Proponer soluciones de manejo de la información. b. Proponer soluciones de integración de procesos.
  37. 37. EjeY Ciclo de Vida Empresa Crediticio Mercado Operativo Huelgas Catástrofe Terrorismo Robo $ AÑO PERDIDA ESPERADA PROVISIONADO PERDIDA INESPERADA TIEMPO (años) Perdidas Catastróficas $ NORMA BASILEA II Riesgo Riesgos RIESGOS EN ORGANIZACIONES FINANCIERAS
  38. 38. ¿Cuánto dinero se ha perdido?, El mensaje entre líneas …
  39. 39. NORMAS ORGANIZACIÓN (PERSONAS) METODOLOGÍAS OBJETIVOS DE CONTROL PROCEDIMIENTOS DE CONTROL TECNOLOGÍA DE LA SEGURIDAD HERRAMIENTAS FACTORES DE LA CONTRAMEDIDA HARDWARE SOFTWARE INFORMÁTICA USUARIOS FUNCIONES PROCEDIMIENTOS PLANES ESTÁNDARES POLÍTICAS
  40. 40. OBJETIVO: POLÍTICAS DE SEGURIDAD El objetivo de una política de seguridad es el de comunicar a toda una organización que la información que posee la empresa es muy valiosa y es responsabilidad y compromiso de todos los trabajadores resguardarla y en caso de compartirla deben tener en cuentan los riesgos que puedan ocurrir si esta información cae en manos no autorizadas.
  41. 41. POLÍTICAS DE SEGURIDAD Buena Política : Una buena política de seguridad proporcionará a la empresa la base para que diseñe un eficaz sistema de seguridad.
  42. 42. Problemas de Seguridad Problemas Estructurales : 1. ORGANIGRAMA Y FUNCIONES. 2. CANALES DE COMUNICACIÓN. 3. RECURSOS ASIGNADOS.
  43. 43. Problemas en el planeamiento : 1. FALTA DE COHERENCIA. 2. DIRECTRICES HETEROGÉNEAS. 3. FALTA DE DEFINICIÓN DE FUNCIONES. 4. NO SE DEFINEN NORMAS NI PROCEDIMIENTOS DE SEGURIDAD. 5. DIFICULTAD EN JUSTIFICAR RECURSOS. Problemas de Seguridad
  44. 44. El problema tecnológico : 1. LA TECNOLOGÍA NO ES LA PANACEA. 2. LAS HERRAMIENTAS NO CUBREN TODAS LAS NECESIDADES. 3. EXCESIVA CONFIANZA. Problemas de Seguridad
  45. 45. Modelos de Políticas de Seguridad • Política Individual. • Política General Plana. • Política de Tres Capas. • Modelo ISO 17799.
  46. 46. Esquema de Desarrollo de una Política de Seguridad Identificar requerimientos técnicos y Administrativos de la organización Definir políticas individuales Definir políticas generales Definir estándares, guidelines Definir procedimientos Evaluación ¿Necesitan Corrección? Replanteamiento Presentación final Aprobación por la Alta dirección
  47. 47. ¿Qué es un Plan de Seguridad de la Información (PSI)?
  48. 48. P S I Estrategia planificada de acciones y proyectos para la protección de: información (D/B), sistemas de información (SW-IS) e infraestructura física (HW-TIC).
  49. 49. Demostrar cómo una estrategia integrada de Seguridad de la Información puede contribuir de manera efectiva al logro de los objetivos de Negocio de su empresa. Objetivo
  50. 50. Objetivo  Consolidación de: - Confidencialidad - Integridad y autenticidad - Disponibilidad - No repudio  Si se cumplen estos puntos, diremos en general que los datos están protegidos y seguros.
  51. 51. Medidas y sus objetivos  Una serie de niveles de control. - La falla de un nivel será “absorbida” por las otras. - Reducir el impacto global al mínimo.  Objetivos - Disuadir - Detectar - Minimizar el impacto de pérdida o desastre - Investigar - Recuperar
  52. 52. Entender la defensa a profundidad Utilizar un enfoque dividido por etapas: Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor Políticas de seguridad, procedimientos y educaciónPolíticas, procedimientos y conciencia Protecciones, seguros, dispositivos de seguimiento Seguridad física Fortalecimiento de la aplicaciónAplicación Fortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría Host Segmentos de red, NIDSRed interna Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentenaPerímetro Contraseñas fuertes, ACLs, estrategia de respaldo y restauraciónDatos
  53. 53. Arquitectura General de Seguridad
  54. 54. ATAQUES DIRIGIDOS
  55. 55. VIDEO: CONTROL DE ACCESOS
  56. 56. Protección de la capa perimetral La protección del perímetro de la red incluye: Socio de negocios Oficina sucursal Red inalámbrica LAN Usuario remoto Internet Oficina principal LAN Servicios de InternetServicios de Internet LAN Firewalls Bloquear puertos de comunicación Traducción de puerto y dirección IP Redes privadas virtuales (VPNs) Protocolos de túnel Cuarentena de la VPN
  57. 57. Riesgo de la capa interna de la red Acceso no autorizado a sistemas Acceso a todo el tráfico de la red Acceso no autorizado a redes virtuales Puertos de comunicación inesperados Examinar paquetes de la red
  58. 58. Ejemplo 1: Análisis de Riesgo Academia PAMER
  59. 59. Tipos de Seguridad
  60. 60.  Seguridad Física  Seguridad Lógica
  61. 61. Seguridad Física
  62. 62. Ubicación física y disposición del centro de TI  Consideraciones: - Características del equipo - Valor del equipo - Importancia del equipo  Lugar mas conservador y clandestino - Lejos del tránsito terrestre y aéreo. - Lejos de elementos electrónicos Radares (5 volts / metro) Microondas
  63. 63. Riesgos por ubicación Nivel Actividad Al Me Ba So Acceso a Máquinas G M P P Acceso de elementos de trabajo G M I P Carga del suelo G M P I Filtraciones de agua G P P P Inundación I P M G Sabotaje P G G P Al = Alto Me = Medio Ba = Bajo So = Sótano G = Grave M = Mediano P = Poco I = Inexistente
  64. 64. FILTRACIONES EN LA PARED
  65. 65. Instalaciones Físicas del Centro de TI  Factores inherentes a la localidad: - Naturales Hundimiento del piso Temperatura Sismos - Servicios Líneas Telefónicas Instalaciones Eléctricas Antenas de Comunicación - Seguridad Lugares desolados o desprotegidos Fuentes de incendios Inundaciones
  66. 66. Instalaciones Físicas del Centro de TI  Factores inherentes al centro de TI: - Piso falso Sellado hermético Nivelado topográfico Tierra física (aterrizado) Cableado cubierto Aprox. 40 cm. - Cableado De alto y bajo voltaje Cables de Telecomunicaciones Cables de señales para monitores
  67. 67. Cableado Estructurado
  68. 68. FALTA DE CANALETAS
  69. 69. CABLEADO DE RED EN DESORDEN
  70. 70. Switch de 8 puertos
  71. 71. Instalaciones Físicas del Centro de TI - Paredes y techos Pintura plástica lavable Falso (amarres del plafón) La altura neta: 2.70 a 3.30 mts. - Puertas de acceso Puertas de doble hoja de 1.50 cm. Salida de emergencia Dimensiones máximas del equipo - Iluminación Generadores fuera de la sala. La alimentación de la iluminación diferente al del equipo. El 25% debe ser de emergencia conectado al UPS.
  72. 72. Instalaciones Físicas del Centro de TI - Filtros * 99% de eficiencia sobre partículas de 3 micrones * Si existen otros contaminantes seleccionar filtros adecuados * Aire de renovación y ventilación tratado previamente: Temperatura Humedad - Vibración Equipos antivibraciones - Ductos Lisos y sin desprendimiento de partículas
  73. 73. Control de acceso físico  Estructura y disposición del área de recepción. - Identificación del personal y visitantes. - Recursos magnéticos. - Vidrio reforzado.  Acceso de terceras personas - De mantenimiento del aire acondicionado y cómputo. - De limpieza. - Identificación plenamente.
  74. 74. Instalaciones Físicas del Centro de TI  Acondicionamiento del local - Necesidades de espacio Especificaciones técnicas del equipo Áreas de cintas, discos, archivos Evitar áreas con formas extrañas Preferentemente rectangulares Consideraciones a futuro - Distribución en planta Planos civiles y arquitectónicos Hidráulicos Sanitario Planta Teléfono Memoria de Cálculo Seguridad Energía Eléctrica
  75. 75. Control de acceso físico  Identificación del personal - Algo que sea portátil. - Algo que se sabe. - Alguna característica física especial. Guardias y escoltas especiales Registro de firmas de entrada y salida Puertas con chapas de control electrónico Tarjetas de acceso y gafetes de identificación Biometría Entrada de dos puertas Alarmas contra robos Trituradores de papel
  76. 76. Aire acondicionado  Riesgos - Mal funcionamiento del AC ocasiona que el equipo de cómputo sea apagado. - La instalación del AC es una fuente de incendios.  Prevenciones - Instalar AC de respaldo. - Extintores y detectores de humo. - Alarmas de temperatura y humedad.
  77. 77. Aire acondicionado  Capacidad del equipo de AC - Disipación térmica de las máquinas y del personal - Pérdidas por puertas y ventanas - El AC debe ser independiente del aire general - Conectarse directamente al generador de electricidad  Distribución del aire en la sala - Distribución por techo - Distribución por piso falso - Distribución por dos canales
  78. 78. Instalación eléctrica  Corriente regulada  Sistemas de corriente interrumpida - Regular la corriente eléctrica - Proporcionar energía eléctrica continua - Tipos de sistemas Básico Completo Redundante
  79. 79. Instalación eléctrica  Plantas generadoras de energía - Clasificación Gas Diesel Gasolina  Sistemas de conexión de tierra
  80. 80. Impacto de la Energía Eléctrica en la TI
  81. 81. DISTURBIOS DE LA ENERGÍA ELÉCTRICA EQUIPO QUE BRINDA LA PROTECCIÓN SUPRES. PICOS ESTAB. VOLTAJE ACONDIC LINEA EQUIPO APS EQUIPO SPS EQUIPO UPS Picos de Voltaje y Efectos Transitorios X X X X Sobretensión o Sobrevoltaje X X X X X Micro Cortes de Energía X X Armónicos de Corriente X X X Ruido Eléctrico en Modo Común X X Ruido Eléctrico en Modo Normal X X Interferencias EM y de RF X X X Descargas Eléctricas Atmosféricas X X Cortes de Energía ó Apagones X X X
  82. 82. Protección, detección y extinción de incendios  Consideraciones sobresalientes - Paredes de material incombustible - Techo resistente al fuego - Canales y aislantes resistentes al fuego - Sala y áreas de almacenamiento impermeables - Sistema de drenaje en el piso firme - Detectores de fuego alejados del AC - Alarmas de incendios conectado al general
  83. 83. Protección, detección y extinción de incendios Tipo de Extintor Tipo de Material H2O CO2 Espuma Polvo seco Seco E Luego agua E Luego agua Líquidos Si E E E Eléctrico NU E NO SI NU = No usar E = Excelente
  84. 84. GABINETE CERCA DE MATERIAL INFLAMABLE
  85. 85. Mantenimiento  Propio o externo  Equipo informático - Electricidad, agua, AC, etc.  Refleja las actividades disciplinarias  Falta provoca una fractura en la seguridad
  86. 86. Taller 2: Trabajo Grupal a. Establezca una lista de 10 activos en su empresa. b. Determine para cada activo sus debilidades y amenazas a los que están expuestos. c. Establezca el nivel de impacto de la amenaza sobre el activo.
  87. 87. Seguridad Lógica
  88. 88. Causas de inseguridad  La deficiencia en los equipos respectivos de soporte  La “inteligencia” social  El espionaje industrial  La deficiente administración de una red  Los virus  Fallos en la seguridad de programas  Los vándalos informáticos
  89. 89. Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Hacking de Centrales Telefónicas Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados Amenazas Violación de la privacidad de los empleados Fraudes informáticos Destrucción de equipamiento
  90. 90. Captura de PC desde el exterior Violación de contraseñas Interrupción de los servicios Intercepción y modificación y violación de e-mails Virus Mails anónimos con agresiones Incumplimiento de leyes y regulaciones Robo o extravío de notebooks, palms empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Programas “bomba, troyanos” Acceso indebido a documentos impresos Propiedad de la información Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Ingeniería social Más Amenazas!!
  91. 91. Programador de aplicaciones. * Programación de aplicaciones que se comportan de modo contrario a la especificación. Terminales * Localizadas en un entorno inseguro Terminales de usuarios * Identificación fraudulenta. * Fuga ilegal de información autorizada. Programador de Sistemas • Desviación de los mecanismos de seguridad. • Inhabilitación de los mecanismos de seguridad. • Instalación de un sistema inseguro. Entorno externo • Desastres naturales. • Ataques mal intencionados. • Acceso no autorizado al centro de computo. Operador • Duplicación de informes confidenciales. • Inicio de un sistema inseguro. • Robo de un material confidencial. Autorización • Especificación incorrecta de la política de seguridad. Radiación Base de datos Reglas de Acceso Base de Datos • Acceso no autorizado. • Copia. • Robo. Hardware • Falla de los mecanismos de protección. • Fuga de la información. Software de sistemas • Falla de los mecanismos de protección. • Fuga de información. PROCESADOR Diafonía Derivación
  92. 92. 113 El Mercado negro mantiene el robo de identidad Crimeware/Author Description Listed Price FTP Checker Tool for automating FTP account validation (username/password) from a predefined list. $15 IcePack (by IDT Group) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. Advanced administrator interface. $40 to $400 Limbo V1.7 (December 2006) Grabber: tool for collecting banking information 1,000 wmz (see note) MPack (by DreamCoders Team) V0.99 (August 2007) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. $700 Nuclear Grabber (by Corpse) V5 (February 2007) Improved version of Haxdoor without a backdoor. Universal kit for creating tools to capture targeted banking data. Able to intercept and retransmit authentic transactions on the fly between the bank and its client. Addition of new fields to fill out, management of checkboxes and option lists, virtual keyboards, etc. Data transmitted to the bank is also sent to a collection site. $3,000 (October 2005) $100 (July 2007) Pinch (originally by Coban2k) V2.99 (March 2007) Trojan designed to steal information sent by various office tools, such as RDP (Remote Desktop Protocol) clients and messaging tools (The Bat!, Outlook, etc.). Guaranteed non-detection. $30 Update: $5 Management help tool: $100 Power Grabber (by privat.inattack.ru) v1.8 (March 2007) Grabber: tool for collecting banking information. Works with many banking organizations, as well as PayPal, eBay, e-gold, etc. $700 Add $30 for anti-virus protection. Web-Attacker (from inet-lux.com) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. Technical support available. $25 to $300 (July 2006) Approx. $17 Note: wmz is the symbol for one of the electronic money units used by WebMoney (1$US = 1wmz).
  93. 93. 114 2/18/2014 Código malicioso estilo parasito regresa. La vieja escuela!!!
  94. 94. 115 La producción de Malware alcanza proporciones epidémicas 0 100000 200000 300000 400000 500000 600000 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Count Estimation
  95. 95. TEMAS DE PROGRAMACIÓN DE FRAUDE Técnica de programación Definición Virus Instrucciones secretas dentro de programas (o datos) que se ejecutan inocentemente durante tareas ordinarias. Las instrucciones secretas talvez obstruyan o alteren los datos, además de diseminarse dentro o entre sistemas computarizados. Gusanos Un programa que se duplica por sí solo y penetra a un sistema computarizado válido. Tal vez dentro de una red, penetrando en todas las computadoras conectadas. Caballo de Troya Un programa ilegal, contenido dentro de otro programa que “está latente” hasta que ocurra algún evento específico, desatando luego la activación del programa ilegal y la producción de daños. Rebanada de salami Un programa diseñado para extraer pequeñas cantidades de dinero de varias transacciones grandes, de manera que la cantidad extraída no se manifieste con facilidad. Super zapping Un método consistente en utilizar un programa “zap” de utilería que puede desviar controles para modificar programas o datos. Puerta trasera Una técnica que permite entrar el código de un programa, posibilitando insertar instrucciones adicionales.
  96. 96. VIDEO DELITOS INFORMÁTICOS EN PERÚ
  97. 97. 118 Tendencias del Delito Informático Móvil Social Rootkits Parásitos
  98. 98. Estrategias de Defensa  Detección  Limitación  Recuperación  Corrección
  99. 99. Tipos de evaluaciones de seguridad Exploraciones de vulnerabilidades: Se enfoca en las debilidades conocidas Se puede automatizar No requiere experiencia necesariamente Pruebas de penetración: Se enfoca en las debilidades conocidas y desconocidas Requiere probadores altamente capacitados Lleva una carga legal tremenda en ciertos países/organizaciones Auditoría en la seguridad de informática: Se enfoca en las políticas y procedimientos de seguridad Se utiliza para proporcionar evidencia para las normas de la industria
  100. 100. Situación Actual
  101. 101. Internet RED RED PC’s Usuarios Cosapi DMZ BVL SMS 8340 Websense Enterprise Red Admin. Red01 Red 02 LANCOSAPI ISS Proventia 3200Consola Antivirus Servidores BVL Red Capacittaciones Red03 ISS Proventia 4200 Prevenciòn de intrusos Firewall Checkpoint Situación Sugerida
  102. 102. CRIPTOLOGÍA
  103. 103. Interés en el delito informático  El delito informático parece ser un “buen negocio “: - Objeto pequeño: la información esta almacenada en “contenedores pequeños”: no es necesario un camion para robar el banco, joyas, dinero,… - Contacto físico : no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del delincuente - Alto valor : el objeto codiciado tiene un alto valor. El contenido (los datos) vale mucho más que el soporte que los almacena (disquete, disco compacto,…).  Única solución: el uso de Políticas de seguridad
  104. 104. 125 Bajo riesgo + Gran recompensa + Oportunidad = Más seguro que el crimen tradicional Prueba rápida: ¿Cuál es el principio criminal?
  105. 105. Triángulo de Debilidades Interrupción ( perdida) Interceptación ( acceso) Modificación ( cambio) Generación ( perdida) Los datos serán la parte más vulnerable del sistema DATOS HD SW Ejemplos de ataques Interrupción (denegar servicio) Interceptación (robo) Modificación (falsificación) Interrupción (borrado) Interceptación (copia)
  106. 106. SKIMMING
  107. 107. Video: Visa
  108. 108. MODELOS DE CYBER CRIMEN: BOTNETS
  109. 109. Comprender los tiempos de las vulnerabilidades Producto enviado Vulnerabilidad descubierta Actualización disponible Actualización implementada por el cliente Vulnerabilidad presentada La mayoría de los ataques ocurren aquí
  110. 110. En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son finalmente recogidos en un servidor ubicado en Taiwán.
  111. 111. ¿Cómo estamos en Latinoamérica?
  112. 112. Certificaciones de Seguridad  Certified Information Systems Security Professionals (CISSP).  Certified Information Security Manager (CISM).  Certified Information Systems Auditor (CISA).  SANS Global Information Assurance Certifications (GIAC).  Federal Information Systems Controls Audit Manual (FISCAM).
  113. 113. AUDITORÍA DE SISTEMAS DE INFORMACIÓN
  114. 114. Control Interno y Auditoria CONTROL INTERNO INFORMATICO AUDITOR INFORMÁTICO Similitudes Conocimientos especializados en Tecnología de la Información. Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información. Diferencias Análisis de los controles en el día a día. Análisis de un momento informático determinado. Informa a la Dirección del Departamento de Informática. Informa a la Dirección General de la Organización. Sólo personal interno. Personal interno y/o externo. El alcance de sus funciones es únicamente sobre el Departamento de Informática Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.
  115. 115. Entender los componentes de la auditorías de seguridad de informática Proceso Tecnología Implementación Documentación Operaciones Empezar con la política Integrar el proceso Aplicar tecnología Modelo de política de seguridad Política
  116. 116. Implementar una auditoría de seguridad de informática Comparar cada área contra estándares y mejores prácticas Política de seguridad Procedimientos documentados Operaciones Lo qué debe hacer Lo qué dice que hace Lo qué realmente hace
  117. 117. Estrategias Básicas de Auditoría y Valoración  Lineamientos Básicos.  Seguridad Basada en el Tiempo (TBS): P > E D + R = E P: Protección medida en el tiempo D: Detección medida en el tiempo R: Reacción medida en el tiempo E: Exposición medida en el tiempo
  118. 118. Nueva Ley de Delitos Informáticos
  119. 119. ADMINISTRACIÓN DEL RIESGO Y ANÁLISIS DE COSTO - BENEFICIO
  120. 120. Comparar los enfoques con la administración de riesgos Muchas organizaciones se han enfocado en la administración de riesgos de seguridad al adoptar lo siguiente: La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización Enfoque proactivo Un proceso que responde a los eventos de seguridad conforme ocurren Enfoque reactivo
  121. 121. Comparar los enfoques con la priorización de riesgos Enfoque Beneficios Inconvenientes Cuantitativo Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financieros Los resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridad Los resultados se pueden expresar con una terminología administrativa Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes Requieren mucho tiempo Puede ser demasiado costoso Cualitativo Permite tener una visibilidad y comprensión de los niveles de riesgos Es más sencillo llegar a un consenso No es necesario cuantificar la frecuencia de las amenazas No es necesario determinar los valores financieros de los activos Granularidad insuficiente entre los riesgos importantes Dificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficio Los resultados dependen de la calidad del equipo de administración de riesgos que se haya creado
  122. 122. Administración del Riesgo  Identifica las amenazas y permite seleccionar las medidas de seguridad de costo adecuado.  Análisis de la Administración del Riesgo: Pérdida Esperada = P1 x P2 x L P1 = Probabilidad de ataque P2 = Probabilidad de éxito del ataque L = Pérdida si el ataque tiene éxito
  123. 123. Paso 1. Valoración de Activos Determinar el valor y la importancia de los activos tales como los datos, el hardware, el software y la redes Paso 2. Vulnerabilidad de los Activos Registrar las debilidades en el sistema de protección actual con respecto a todas las amenazas potenciales. Paso 3. Análisis de Perdidas Evaluar la probabilidad de daño y especificar las pérdidas tangibles e intangibles que puedan originarse. Paso 4. Análisis de Protección Proporcionar una descripción de los controles disponibles que deben considerarse, su probabilidad de defensa exitosa y su costos. Paso 5. Análisis de costo-beneficio Comparar los costos y los beneficios. Considerar la probabilidad que ocurran daños y la protección exitosa de esos daños. Por último, decidir cuáles controles instalar. El proceso de administración del riesgo
  124. 124. EVALUACIÓN DE ACTIVOS
  125. 125. Proceso de administración de riesgos de seguridad de Microsoft Realizar un soporte basado en decisiones 2Implementar los controles 3 Medir la efectividad del programa 4 Evaluar los riesgos 1
  126. 126. Mitigación ¿Qué está reduciendo el riesgo? Comunicar el riesgo Declaración de riesgo Impacto ¿Cuál es el impacto al negocio? Probabilidad ¿Cuán probable es la amenaza dados los controles? Activo ¿Qué intenta proteger? Amenaza ¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza?
  127. 127. Ejemplo 2: Análisis de Riesgo SUNARP Huancayo
  128. 128.  Provee principios y técnicas que facilitan la investigación y persecución de ofensas catalogadas como criminales.  Implica la aplicación de la ciencia al campo legal.  Cualquier principio científico o técnica puede ser aplicada para: o Identificar, o Recuperar, o Reconstruir y o Analizar evidencia durante un investigación de un crimen.  Aplicando métodos científicos los especialistas forenses pueden analizar la evidencia para: o Crear hipótesis, efectuar pruebas para verificar dichas hipótesis, generando posibilidades claras sobre lo que ocurrió. Informática Forense
  129. 129. Víctima Sospechoso Escena crimen Evidencia Física Principio de Intercambio de Locard. En CASEY.2000. Pág.4 Informática Forense
  130. 130. Plan de Contingencia (Continuidad del Negocio – PCN)
  131. 131. Definición  Conjunto de procedimientos de recuperación  Acciones contemplan: - Antes - Durante - Después  Reducir las pérdidas  Control preventivo
  132. 132. Objetivos  Mantener al organismo y sus actividades operando en una situación de desastre.  Las pérdidas provocan: - Pérdidas financieras directas - Pérdidas de la producción - Pérdidas financieras indirectas - Pérdidas de clientes - Costos extras para apoyo - Costo de compensación - Perdidas de control - Información errónea o incompleta - Bases pobres para la toma de decisiones
  133. 133. P C N Partes de un PCN: Evaluación del riesgo. Determinación de alternativas de recuperación. Implementación del plan de recuperación. Validación del plan de recuperación.
  134. 134. Información Tecnología Telecomunicaciones Procesos Personas Instalaciones Recursos Críticos
  135. 135. Factores Críticos de Éxito - FCE  Identificación de los procesos críticos del negocio  Dependencia de la TI  Gestión de riesgos adecuados  Calificación y cuantificación del impacto tangible e intangible  Aplicabilidad y viabilidad de las estrategias de recuperación
  136. 136. Factores Críticos de Éxito - FCE  Participación multidisciplinaria  Retroalimentación - actualización  Documentación de los procesos, operaciones y funciones  Personal capacitado
  137. 137. Metodologías para la Elaboración del PCN y del PSI
  138. 138. Metodologías para la Elaboración del PCN y del PSI  ESTÁNDAR INTERNACIONAL ISO 17799 / BS7799  ESTÁNDAR INTERNACIONAL ISO 17799:2005  ESTÁNDAR INTERNACIONAL ISO 27001:2005  ESTÁNDAR INTERNACIONAL AS/NZS 4360:1999  ITIL – INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY  COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECNOLOGY
  139. 139. Estructura Piramidal ISO 17799
  140. 140.  El ISO 27001:2005 esta basado en el enfoque de procesos, siendo muy compatible con el ISO 9001:2000. ISO 27001:2005
  141. 141.  El modelo obliga a la empresa a establecer el alcance que tendrá en la empresa (que procesos abarcará). Cada empresa estratégicamente debe establecer el alcance que crea conveniente deba tener el modelo.  Actualmente existen unas 1200 empresas certificadas con el modelo a nivel internacional.  ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos. ISO 27001:2005
  142. 142. 2 Hacer 3 Revisar 4 Actuar Seguridad de Información Administrada Requerimientos y Expectativas de la Seguridad de Información 1 Planificar Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
  143. 143. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo  Planificar. Definir el enfoque de evaluación del riesgo de la organización. Establecer metodología de cálculo del riesgo. Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados.
  144. 144. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo  Planificar. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptación. Evitarlo. Transferirlo. Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.
  145. 145. 1 Planificar 3 Revisar 4 Actuar Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 2 Hacer
  146. 146. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo  Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los controles a través de indicadores de gestión. Implementar programas de capacitación. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de detección y respuesta a incidentes de seguridad.
  147. 147. 1 Planificar 4 Actuar 2 Hacer Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 3 Revisar
  148. 148. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo  Revisar. Procedimientos de monitoreo y revisión para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. Realizar revisiones periódicas.
  149. 149. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Medición de la efectividad de los controles. Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.
  150. 150. 1 Planificar 3 Revisar 2 Hacer Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 4 Actuar
  151. 151. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo  Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos señalados.
  152. 152. Cadena de actuaciones
  153. 153. ISO17799 Communications and Operations Management Organizational Security Security Policy Asset Classification and Control Business Continuity Management Access Control Physical and Environmental Security Personnel Security Systems Development and Maintenance Compliance COBiT Monitor and Support Acquire and Implement Plan and Organize Define and Support COSO Monitoring Internal Environment Risk Assessment Control Activities Information and Communications ITIL ICT Infrastructure Management Service Delivery / Support Business Perspective Planning to Implement Service Management Application Management Security Management Objective Setting Risk Response Event Identification
  154. 154. Estandares de seguridad IT
  155. 155. Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento inndependiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Admistración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Admistración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones
  156. 156. CONCLUSIÓN
  157. 157. CONCLUSIÓN 1. Impacto creciente de la tecnología de información en los procesos de negocio. 2. Grandes cambios en los controles de procesos de TI.
  158. 158. CONCLUSIÓN 3. La productividad y supervivencia de una organización depende cada vez en mayor grado, del funcionamiento ininterrumpido de los sistemas de tecnología informática. 4. Transformación de todo el entorno como un proceso crítico adicional.
  159. 159. CONCLUSIÓN 5. Todas las empresas sufren el impacto de los nuevos escenarios de riesgo. 6. Es importante contar con un marco de referencia metodológico que agilice el proceso de gestión de seguridad de TI.
  160. 160. GRACIAS

×