Este documento describe varios conceptos y riesgos de seguridad informática, así como contramedidas recomendadas. Aborda riesgos como fraude, virus, ingeniería social, empleados descontentos y falta de controles de acceso. Recomienda implementar medidas como políticas de seguridad claras, autenticación robusta, segmentación de funciones, protección antivirus y encriptación de datos.
2. Conceptos de Seguridad Informática...
Qué debo tener en cuenta al desarrollar un Area de SI ?...
Riesgos Informáticos
y contra medidas...
Metodología ?
3.
4. Consecuencias de la ausencia de Seguridad,
Daños por fenómenos naturales:
Infraestructura Física:
Centro de Cómputo,
Hardware,
Redes de Comunicación,
Información.
Fraude Informático:
Virus,
Robo de Software, Piratería,
Intereses económicos,
Inculpar a otros,
Imagen Corporativa.
5. Circunstancias que motivan el Fraude,
Oportunidad,
Baja probabilidad de detección,
Grado de conocimiento del sistema, herramientas y sitios sobre
vulnerabilidades,
Justificación,
Ego personal.
Cómo evitar el Fraude Informático ?,
Aplicar Metodología de seguridad clara,
6. Consideraciones importantes(1),
Seguridad en todo el esquema computacional,
Un intruso utilizará cualquier medio de penetración; no necesariamente el más
obvio ni el más complicado de romper...
Medio Cliente: C
Medio Comunicación: R
Medio Servidor: S
Medio Logístico: L
8. Administración de Riesgos
•Riesgo: Probabilidad de ocurrencia de un
evento adverso (DoS)
•Amenaza: Causante de un evento adverso
(Virus)
•Vulnerabilidad: Debilidad frente a una
amenaza(No tener AntiVirus)
•Incidente: Materialización de un riesgo
•Impactos: Imagen, dinero, mercado, etc.
9. Fundamentos Básicos de la Seguridad Informática(1)
Integridad: Garantizar que la información es la misma de
origen a destino:
•Huella digital de los datos - Hash (Checksum),
•MD5 (Message Digest 5),
•SHA-1 (Secure Hash Algoritm 1).
10. Fundamentos Básicos de la Seguridad Informática(1)
Confidencialidad: Garantizar que nadie pueda entender
la información que fluye:
•Software y Hardware (combinaciones),
•Encripción Simétrica y Asimétrica,
•DES, TripleDES, AES(Seleccionado RIJNDAEL),
•RSA.
11. Fundamentos Básicos de la Seguridad Informática(2)
Disponibilidad: Garantizar que los servicios estén activos
en todo momento:
•Plan de Continuidad: Planes de Contingencia,
•Operativa y Tecnológica,
•Pruebas Periódicas,
•Talleres Prácticos,
•Compromiso de los Clientes (Nivel de Acuerdo).
12. Fundamentos Básicos de la Seguridad Informática(3)
Control de Acceso: Permitir que algo o alguien acceda
sólo lo que le es permitido:
•Políticas de Acceso,
•Asociación usuarios y recursos,
•Administración de recursos,
•Periféricos,
•Directorios,
•Archivos, etc,
•Operaciones,
•Perfiles,
•Niveles de Sensibilidad,
•ACL’s,
•Horarios y holgura,
•Privilegios.
13. Fundamentos Básicos de la Seguridad Informática(4)
No-Repudiación: Garantizar que quién genere un evento
válidamente, no pueda retractarse:
•Certificados Digitales,
•Firmas Digitales,
•Integridad,
•No copias de la llave privada para firmar.
14. Fundamentos Básicos de la Seguridad Informática(5)
Auditoria:Llevar registro de los eventos importantes:
•Monitoreo de pistas,
•Ocasional,
•Periódico,
•Alertas,
•Herramientas Amigables.
15.
16. Descuido de papeles o documentos confidenciales,
Passwords,
Listas de control de Acceso,
Mapas de la Red de la Organización,
Listados de información sensible.
Contra medida: Admon. de documentos y/o papeles sensibles.
Categorías para los documentos.
Medio Logístico(1)
17. Ingeniería Social,
• Ataque de Autoridad: con o sin armas,
• Ataque de Conocimiento: Solicitar otro tipo de información basándose en
conocimiento profundo,
• Ataque de Respuesta: Basarse en mentiras,
• Ataque Persistente: Intentos repetitivos con amenazas,
• Ataques sobre las actividades diarias: Revisar acciones, movimientos, etc.,
• El ataque 10: Usar el atractivo físico,
• Ataque por engaño: Habilitar falsas alarmas para deshabilitar las
verdaderas,
• Ataque Help-Desk: Pasarse por un usuario de la red de la organización,
• Ataque de los premios: Prometer premios si se llena cierta información.
Contra medida: Esquemas de autenticación. Protección física. Seleccionar
personal idóneo para funciones sensibles. Procedimientos claros.
Medio Logístico(2)
18. Responsabilidad sobre una sola área o persona,
Contra medida: Segregación de funciones (definición de políticas
de seguridad Vs. Administración de las políticas) en áreas
diferentes. Doble intervención. Doble autenticación.
Empleados y/o Ex-empleados disgustados,
Contra medida: Sacar de todo acceso a los ex-empleados. Política
de autenticación y control de acceso clara para los empleados.
Cultura de seguridad informática.
Medio Logístico(3)
19. Virus:
• Tabla de Particiones,
• Boot Sector,
• Archivos,
• Polimórficos: Encripción, se alteran solos,
• Stealth: Parcialmente residentes en memoria,
• Múltiples partes: Combina 2 anteriores,
• Macro Virus.
Contra medida: Antivirus para Micros, Servidores, Firewalls, Correo e
Internet. Políticas claras sobre riesgos en Internet. Restringir mensajes
de fuentes dudosas.
Medio Cliente(1)
20. Mal uso de los passwords:
Muy cortos,
Muy simples (sin números, símbolos y/o caracteres especiales),
Palabras comunes a un diccionario,
Lógicas simples (password = login al contrario),
Passwords estáticos.
Contra medida: Políticas de administración de passwords (vigencia,
herramientas para romperlos y generar reportes). Esquemas robustos
de autenticación (Token Cards, Smart Cards, Biométricos).
Medio Cliente(2)
21. Ningún control de acceso al Micro:
Micro sensible no protegido físicamente,
No control de acceso al sistema operacional,
Passwords escritos cerca al Micro,
Administración pobre del sistema de archivos y privilegios locales,
Compartir el Micro sin discriminar el usuario.
Ningún sistema de seguridad local (permite cargar agentes
residentes locales).
Contra medida: Control de acceso físico al Micro. Políticas de
administración en el sistema operacional. Perfiles claros por usuario.
Módulos de seguridad activos.
Medio Cliente(3)
22. Ver información por la Red,
Contra medida: Encripción,
Modificar información que viaja por la Red,
Contra medida: Checksums (hash), firmas,
Modificar información que viaja por la Red,
Contra medida: Checksums (hash), firmas,
Medio Comunicaciones y Servidor(1)