Sensibilización en Seguridad Informática Septiembre 2003 Enrique Witte Consultor ArCERT – Coordinación de Emergencias en R...
:: Qué se debe asegurar ? Siendo que la  información  debe considerarse como un recurso con el que cuentan las Organizacio...
:: Contra qué se debe proteger la Información ? La Seguridad de la Información, protege a ésta de una amplia gama de amena...
:: Qué se debe garantizar ? Confidencialidad:   Se garantiza que la información es accesible sólo a aquellas personas auto...
:: Por qué aumentan las amenazas ? Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informa...
:: Por qué aumentan las amenazas ? <ul><li>Crecimiento exponencial de las Redes y Usuarios Interconectados </li></ul><ul><...
:: Cuáles son las amenazas ? Accidentes:   Averías, Catástrofes, Interrupciones, ... Errores:   de Uso, Diseño, Control, ....
:: Amenazas Intencionales Remotas <ul><li>Interceptación  pasiva de la información (amenaza a la CONFIDENCIALIDAD). </li><...
:: Cómo resolver el desafío de la Seguridad Informática ? Las tres primeras tecnologías de protección más utilizadas son e...
:: Ejemplo de problemas de Gerenciamiento ... I SOBIG.F Según Trend Micro, en los últimos 7 días se infectaron 124.410 equ...
:: Ejemplo de problemas de Gerenciamiento ...II <ul><li>SOBIG.F </li></ul><ul><li>Todo esto provoca varias reflexiones: </...
:: Ejemplo de problemas de Gerenciamiento ...III SOBIG.F O sea, existían 3 medios importantes para evitar las infecciones ...
:: Hasta acá .... Protección de la Información Confidencialidad Integridad Disponibilidad Gerenciar Seguridad Informática ...
:: Pero tenemos mas ... <ul><li>PRESUPUESTO </li></ul><ul><li>Presupuestos pesificados y disminuidos </li></ul><ul><li>Man...
:: Informática y Comunicaciones = Sistema de Seguridad <ul><li>Redes Únicas </li></ul><ul><li>Concentración de Servicios T...
:: Aspecto Legal Presentación de Aspectos Legales
:: Seguimos con Seguridad Informática ....
:: El éxito de un Sistema de Seguridad Informática ... Ecuación de Riesgo Organizacional Reingeniería Gerenciamiento Diseñ...
:: Requerimiento básico <ul><li>Apoyo de la Alta Gerencia </li></ul><ul><li>RRHH con conocimientos y experiencia </li></ul...
:: Estructura de Seguridad – Análisis de Riesgos <ul><li>Análisis de Riesgos </li></ul><ul><li>Se considera Riesgo Informá...
:: Análisis de Riesgos – Modelo de Gestión Activos Amenazas Impactos Vulnerabilidades Riesgos Función Correctiva Reduce Fu...
:: Estructura de Seguridad – Política de Seguridad Política de Seguridad “ Conjunto de Normas y Procedimientos  documentad...
:: Estructura de Seguridad – Plan de Contingencias “ Conjunto de Normas y Procedimientos  documentados  y  comunicados , c...
:: Control por Oposición <ul><li>Auditoría Informática Interna capacitada </li></ul><ul><li>Equipo de Control por Oposició...
:: Herramientas <ul><li>Copias de Resguardo </li></ul><ul><li>Control de Acceso </li></ul><ul><li>Encriptación </li></ul><...
:: Uso de Estándares NORMA ISO/IRAM 17799
:: Norma ISO/IRAM 17.799 Estándares Internacionales - Norma basada en la BS 7799 - Homologada por el IRAM
:: Norma ISO/IRAM 17.799 <ul><li>ORGANIZACION DE LA SEGURIDAD </li></ul><ul><li>Infraestructura de la Seguridad de la Info...
:: Norma ISO/IRAM 17.799 <ul><li>SEGURIDAD DEL PERSONAL </li></ul><ul><li>Seguridad en la definición y la dotación de tare...
:: Norma ISO/IRAM 17.799 <ul><li>GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES </li></ul><ul><li>Procedimientos operativ...
:: Norma ISO/IRAM 17.799 <ul><li>CONTROL DE ACCESO </li></ul><ul><li>Requisitos de la Organización para el control de acce...
:: Norma ISO/IRAM 17.799 <ul><li>DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS </li></ul><ul><li>Requisitos de Seguridad de l...
:: Norma ISO/IRAM 17.799 <ul><li>DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION </li></ul><ul><li>Aspectos de la dirección...
:: Fin de la presentación Este material podrá obtenerlo en  http://www.arcert.gov.ar/ en la Sección “Novedades” También en...
Upcoming SlideShare
Loading in …5
×

Sensibilizacion

921 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
921
On SlideShare
0
From Embeds
0
Number of Embeds
66
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sensibilizacion

  1. 1. Sensibilización en Seguridad Informática Septiembre 2003 Enrique Witte Consultor ArCERT – Coordinación de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas Subsecretaría de la Gestión Pública. Jefatura de Gabinete de Ministros. ewitte@arcert.gov.ar - http://www.arcert.gov.ar
  2. 2. :: Qué se debe asegurar ? Siendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos , debe estar debidamente protegida.
  3. 3. :: Contra qué se debe proteger la Información ? La Seguridad de la Información, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.
  4. 4. :: Qué se debe garantizar ? Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.
  5. 5. :: Por qué aumentan las amenazas ? Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.
  6. 6. :: Por qué aumentan las amenazas ? <ul><li>Crecimiento exponencial de las Redes y Usuarios Interconectados </li></ul><ul><li>Profusión de las BD On-Line </li></ul><ul><li>Inmadurez de las Nuevas Tecnologías </li></ul><ul><li>Alta disponibilidad de Herramientas Automatizadas de Ataques </li></ul><ul><li>Nuevas Técnicas de Ataque Distribuido (Ej:DDoS) </li></ul><ul><li>Técnicas de Ingeniería Social </li></ul>Algunas Causas
  7. 7. :: Cuáles son las amenazas ? Accidentes: Averías, Catástrofes, Interrupciones, ... Errores: de Uso, Diseño, Control, .... Intencionales Presenciales: Atentado con acceso físico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicación
  8. 8. :: Amenazas Intencionales Remotas <ul><li>Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD). </li></ul><ul><li>Corrupción o destrucción de la información (amenaza a la INTEGRIDAD). </li></ul><ul><li>Suplantación de origen (amenaza a la AUTENTICACIÓN). </li></ul>
  9. 9. :: Cómo resolver el desafío de la Seguridad Informática ? Las tres primeras tecnologías de protección más utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%) Los ataques más comunes durante el último año fueron los virus informáticos (27%) y el spammimg de correo electrónico (17%) seguido de cerca (con un 10%) por los ataques de denegación de servicio y el robo de notebook. 1 El problema de la Seguridad Informática está en su Gerenciamiento y no en las tecnologías disponibles Fuente: Centro de Investigación en Seguridad Informática Argentina
  10. 10. :: Ejemplo de problemas de Gerenciamiento ... I SOBIG.F Según Trend Micro, en los últimos 7 días se infectaron 124.410 equipos en el mundo. Se dan todo tipo de cifras pero, evidentemente, estas son solo estimaciones pues, como siempre, nadie puede saber exactamente cuantas máquinas se han infectado y cuantos usuarios se han perjudicado por las técnicas de spam que utiliza el virus. <ul><li>El virus, desde el punto de vista técnico no contiene grandes novedades </li></ul><ul><li>Incorpora archivos adjuntos de formato .PIF y .SCR, que son los que producen la infección al abrirse </li></ul>
  11. 11. :: Ejemplo de problemas de Gerenciamiento ...II <ul><li>SOBIG.F </li></ul><ul><li>Todo esto provoca varias reflexiones: </li></ul><ul><li>Hoy en día, según diversas encuestas publicadas, la gran mayoría de las organizaciones cuentan con herramientas antivirus y existe la facilidad de actualizarlas vía Internet </li></ul><ul><li>Dadas las proporciones del caso, todos los medios han difundido cantidades de mensajes y de alertas. Todos los Directores de TIs, Administradores de Red y demás responsables de sistemas informáticos han tenido información profusa, donde se indicaba que lo más peligroso era abrir los archivos adjuntos .PIF y .SCR . </li></ul>
  12. 12. :: Ejemplo de problemas de Gerenciamiento ...III SOBIG.F O sea, existían 3 medios importantes para evitar las infecciones masivas que se han producido: Evidentemente esto no se ha hecho masivamente permitiendo, así, la rápida propagación del virus y la pregunta que surge es ¿Por qué? ¿Por falta de información? ¿Por falta de medios?... a)Bloquear la entrada de estos archivos a las Redes. b)Actualizar rápidamente sus antivirus. c)Emitir inmediatamente las directivas necesarias para que ningún usuario bajo su control activara los mismos. (¿o ya lo deberían saber ?)
  13. 13. :: Hasta acá .... Protección de la Información Confidencialidad Integridad Disponibilidad Gerenciar Seguridad Informática Amenazas Internas Externas
  14. 14. :: Pero tenemos mas ... <ul><li>PRESUPUESTO </li></ul><ul><li>Presupuestos pesificados y disminuidos </li></ul><ul><li>Mantenimiento o aumento de los objetivos a cumplir </li></ul><ul><li>La reducción de inversión en TI en la Organización genera riesgos de Seguridad Informática </li></ul><ul><li>La reducción de inversión en TI de clientes, proveedores y aliados, genera riesgos de Seguridad Informática </li></ul>
  15. 15. :: Informática y Comunicaciones = Sistema de Seguridad <ul><li>Redes Únicas </li></ul><ul><li>Concentración de Servicios Telefónicos y Datos </li></ul><ul><li>Problemas de Confidencialidad y Disponibilidad </li></ul>
  16. 16. :: Aspecto Legal Presentación de Aspectos Legales
  17. 17. :: Seguimos con Seguridad Informática ....
  18. 18. :: El éxito de un Sistema de Seguridad Informática ... Ecuación de Riesgo Organizacional Reingeniería Gerenciamiento Diseño y Controles Equilibrio Seguridad y Operatividad Ecuación Económica de Inversión en TI
  19. 19. :: Requerimiento básico <ul><li>Apoyo de la Alta Gerencia </li></ul><ul><li>RRHH con conocimientos y experiencia </li></ul><ul><li>RRHH capacitados para el día a día </li></ul><ul><li>Recursos Económicos </li></ul><ul><li>Tiempo </li></ul>
  20. 20. :: Estructura de Seguridad – Análisis de Riesgos <ul><li>Análisis de Riesgos </li></ul><ul><li>Se considera Riesgo Informático, a todo factor que pueda generar una disminución en: </li></ul><ul><li>Confidencialidad – Disponibilidad - Integridad </li></ul><ul><li>Determina la probabilidad de ocurrencia </li></ul><ul><li>Determina el impacto potencial </li></ul>
  21. 21. :: Análisis de Riesgos – Modelo de Gestión Activos Amenazas Impactos Vulnerabilidades Riesgos Función Correctiva Reduce Función Preventiva Reduce
  22. 22. :: Estructura de Seguridad – Política de Seguridad Política de Seguridad “ Conjunto de Normas y Procedimientos documentados y comunicados , que tienen por objetivo minimizar los riesgos informáticos mas probables” Involucra <ul><li>Uso de herramientas </li></ul><ul><li>Cumplimiento de Tareas por parte de personas </li></ul>
  23. 23. :: Estructura de Seguridad – Plan de Contingencias “ Conjunto de Normas y Procedimientos documentados y comunicados , cuyo objetivo es recuperar operatividad mínima en un lapso adecuado a la misión del sistema afectado, ante emergencias generadas por los riesgos informáticos” Involucra <ul><li>Uso de herramientas </li></ul><ul><li>Cumplimiento de Tareas por parte de personas </li></ul>
  24. 24. :: Control por Oposición <ul><li>Auditoría Informática Interna capacitada </li></ul><ul><li>Equipo de Control por Oposición Formalizado </li></ul><ul><li>Outsourcing de Auditoría </li></ul>
  25. 25. :: Herramientas <ul><li>Copias de Resguardo </li></ul><ul><li>Control de Acceso </li></ul><ul><li>Encriptación </li></ul><ul><li>Antivirus </li></ul><ul><li>Barreras de Protección </li></ul><ul><li>Sistemas de Detección de Intrusiones </li></ul>
  26. 26. :: Uso de Estándares NORMA ISO/IRAM 17799
  27. 27. :: Norma ISO/IRAM 17.799 Estándares Internacionales - Norma basada en la BS 7799 - Homologada por el IRAM
  28. 28. :: Norma ISO/IRAM 17.799 <ul><li>ORGANIZACION DE LA SEGURIDAD </li></ul><ul><li>Infraestructura de la Seguridad de la Información </li></ul><ul><li>Seguridad del Acceso de terceros </li></ul><ul><li>Servicios provistos por otras Organizaciones </li></ul><ul><li>CLASIFICACION Y CONTROL DE BIENES </li></ul><ul><li>Responsabilidad de los Bienes </li></ul><ul><li>Clasificación de la Información </li></ul>
  29. 29. :: Norma ISO/IRAM 17.799 <ul><li>SEGURIDAD DEL PERSONAL </li></ul><ul><li>Seguridad en la definición y la dotación de tareas </li></ul><ul><li>Capacitación del usuario </li></ul><ul><li>Respuesta a incidentes y mal funcionamiento de la Seguridad </li></ul><ul><li>SEGURIDAD FISICA Y AMBIENTAL </li></ul><ul><li>Áreas Seguras </li></ul><ul><li>Seguridad de los Equipos </li></ul><ul><li>Controles generales </li></ul>
  30. 30. :: Norma ISO/IRAM 17.799 <ul><li>GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES </li></ul><ul><li>Procedimientos operativos y responsabilidades </li></ul><ul><li>Planificación y aceptación del Sistema </li></ul><ul><li>Protección contra el software maligno </li></ul><ul><li>Tares de acondicionamiento </li></ul><ul><li>Administración de la red </li></ul><ul><li>Intercambio de información y software </li></ul>
  31. 31. :: Norma ISO/IRAM 17.799 <ul><li>CONTROL DE ACCESO </li></ul><ul><li>Requisitos de la Organización para el control de acceso </li></ul><ul><li>Administración del acceso de usuarios </li></ul><ul><li>Responsabilidades de los usuarios </li></ul><ul><li>Control de acceso de la Red </li></ul><ul><li>Control de acceso al Sistema Operativo </li></ul><ul><li>Control de acceso de las Aplicaciones </li></ul><ul><li>Acceso y uso del Sistema de Monitoreo </li></ul><ul><li>Computadoras móviles y trabajo a distancia </li></ul>
  32. 32. :: Norma ISO/IRAM 17.799 <ul><li>DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS </li></ul><ul><li>Requisitos de Seguridad de los Sistemas </li></ul><ul><li>Seguridad de los Sistemas de Aplicación </li></ul><ul><li>Controles Criptográficos </li></ul><ul><li>Seguridad de los archivos del Sistema </li></ul><ul><li>Seguridad de los procesos de desarrollo y soporte </li></ul>
  33. 33. :: Norma ISO/IRAM 17.799 <ul><li>DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION </li></ul><ul><li>Aspectos de la dirección de continuidad de la Organización </li></ul><ul><li>CUMPLIMIENTO </li></ul><ul><li>Cumplimiento con los requisitos legales </li></ul><ul><li>Revisión de la Política de seguridad y del Cumplimiento Técnico </li></ul><ul><li>Consideración de las Auditorías del Sistema </li></ul>
  34. 34. :: Fin de la presentación Este material podrá obtenerlo en http://www.arcert.gov.ar/ en la Sección “Novedades” También encontrará allí un documento completo con el resumen de las principales Normas Legales vigentes referidas a la Seguridad Informática

×