Sensibilizacin en Seguridad Informtica

Septiembre 2003
Enrique Witte Consultor ArCERT Coordinacin de Emergencias en Redes Teleinformticas Oficina Nacional del Tecnologas Informticas Subsecretara de la Gestin Pblica. Jefatura de Gabinete de Ministros. ewitte@arcert.gov.ar - http://www.arcert.gov.ar
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Qu se debe asegurar ?

Siendo que la informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida.

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Contra qu se debe proteger la Informacin ?

La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Qu se debe garantizar ?

Confidencialidad: Se garantiza que la informacin es

accesible slo a aquellas personas autorizadas a tener acceso a la misma.

Integridad: Se salvaguarda la exactitud y totalidad de la

informacin y los mtodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios autorizados

tienen acceso a la informacin y a los recursos relacionados con la misma toda vez que se requiera.
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Por qu aumentan las amenazas ?

Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Por qu aumentan las amenazas ? Crecimiento exponencial de las Redes y Usuarios Interconectados Profusin de las BD On-Line Algunas Causas Inmadurez de las Nuevas Tecnologas Alta disponibilidad de Herramientas Automatizadas de Ataques

Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS)

Tcnicas de Ingeniera Social
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Cules son las amenazas ?

Accidentes: Averas, Catstrofes, Interrupciones, ... Errores: de Uso, Diseo, Control, .... Intencionales Presenciales: Atentado con acceso fsico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicacin
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Amenazas Intencionales Remotas

Interceptacin pasiva de la informacin (amenaza a la CONFIDENCIALIDAD). Corrupcin o destruccin de la informacin (amenaza a la INTEGRIDAD). Suplantacin de origen (amenaza a la AUTENTICACIN).
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Cmo resolver el desafo de la Seguridad Informtica ?

Las tres primeras tecnologas de proteccin ms utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%) Los ataques ms comunes durante el ltimo ao fueron los virus informticos (27%) y el spammimg de correo electrnico (17%) seguido de cerca (con un 10%) por los ataques de denegacin de 1 servicio y el robo de notebook.

El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas disponibles

Fuente: Centro de Investigacin en Seguridad Informtica Argentina

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Ejemplo de problemas de Gerenciamiento ... I

SOBIG.F Segn Trend Micro, en los ltimos 7 das se infectaron 124.410 equipos en el mundo. Se dan todo tipo de cifras pero, evidentemente, estas son solo estimaciones pues, como siempre, nadie puede saber exactamente cuantas mquinas se han infectado y cuantos usuarios se han perjudicado por las tcnicas de spam que utiliza el virus. El virus, desde el punto de vista tcnico no contiene grandes novedades Incorpora archivos adjuntos de formato .PIF y .SCR, que son los que producen la infeccin al abrirse
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Ejemplo de problemas de Gerenciamiento ...II

SOBIG.F Todo esto provoca varias reflexiones: 1. Hoy en da, segn diversas encuestas publicadas, la gran mayora de las organizaciones cuentan con herramientas antivirus y existe la facilidad de actualizarlas va Internet 2. Dadas las proporciones del caso, todos los medios han difundido cantidades de mensajes y de alertas. Todos los Directores de TIs, Administradores de Red y dems responsables de sistemas informticos han tenido informacin profusa, donde se indicaba que lo ms peligroso era abrir los archivos adjuntos .PIF y .SCR .
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Ejemplo de problemas de Gerenciamiento ...III

SOBIG.F O sea, existan 3 medios importantes para evitar las infecciones masivas que se han producido: a)Bloquear la entrada de estos archivos a las Redes. b)Actualizar rpidamente sus antivirus. c)Emitir inmediatamente las directivas necesarias para que ningn usuario bajo su control activara los mismos. (o ya lo deberan saber ?) Evidentemente esto no se ha hecho masivamente permitiendo, as, la rpida propagacin del virus y la pregunta que surge es Por qu? Por falta de informacin? Por falta de medios?...
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Hasta ac ....

Amenazas

Proteccin de la Informacin Internas Confidencialidad

Externas
Integridad Disponibilidad

Gerenciar Seguridad Informtica

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Pero tenemos mas ... PRESUPUESTO

Presupuestos pesificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir La reduccin de inversin en TI en la Organizacin genera riesgos de Seguridad Informtica La reduccin de inversin en TI de clientes, proveedores y aliados, genera riesgos de Seguridad Informtica
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Informtica y Comunicaciones = Sistema de Seguridad

Redes nicas

Concentracin de Servicios Telefnicos y Datos

Problemas de Confidencialidad y Disponibilidad

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Aspecto Legal

Presentacin de Aspectos Legales

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Seguimos con Seguridad Informtica ....

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: El xito de un Sistema de Seguridad Informtica ...

Reingeniera
Gerenciamiento Diseo y Controles Ecuacin Econmica de Inversin en TI

Equilibrio Seguridad y Operatividad

Ecuacin de Riesgo Organizacional

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Requerimiento bsico

Apoyo de la Alta Gerencia RRHH con conocimientos y experiencia RRHH capacitados para el da a da Recursos Econmicos Tiempo
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Estructura de Seguridad Anlisis de Riesgos

Anlisis de Riesgos Se considera Riesgo Informtico, a todo factor que pueda generar una disminucin en: Confidencialidad Disponibilidad - Integridad Determina la probabilidad de ocurrencia Determina el impacto potencial
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Anlisis de Riesgos Modelo de Gestin Activos Amenazas

Impactos
Reduce

Vulnerabilidades
Riesgos
Reduce

Funcin Correctiva
Sensibilizacin en Seguridad Informtica Septiembre 2003

Funcin Preventiva

:: Estructura de Seguridad Poltica de Seguridad

Poltica de Seguridad Conjunto de Normas y Procedimientos documentados y comunicados, que tienen por objetivo minimizar los riesgos informticos mas probables Uso de herramientas Involucra Cumplimiento de Tareas por parte de personas
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Estructura de Seguridad Plan de Contingencias

Conjunto de Normas y Procedimientos documentados y comunicados, cuyo objetivo es recuperar operatividad mnima en un lapso adecuado a la misin del sistema afectado, ante emergencias generadas por los riesgos informticos Uso de herramientas Involucra Cumplimiento de Tareas por parte de personas
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Control por Oposicin

Auditora Informtica Interna capacitada Equipo de Control por Oposicin Formalizado

Outsourcing de Auditora
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Herramientas

Copias de Resguardo Control de Acceso Encriptacin Antivirus Barreras de Proteccin Sistemas de Deteccin de Intrusiones
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Uso de Estndares

NORMA ISO/IRAM 17799

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799

Estndares Internacionales - Norma basada en la BS 7799

- Homologada por el IRAM

Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799

ORGANIZACION DE LA SEGURIDAD
Infraestructura de la Seguridad de la Informacin

Seguridad del Acceso de terceros

Servicios provistos por otras Organizaciones

CLASIFICACION Y CONTROL DE BIENES

Responsabilidad de los Bienes
Clasificacin de la Informacin
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799

SEGURIDAD DEL PERSONAL

Seguridad en la definicin y la dotacin de tareas Capacitacin del usuario Respuesta a incidentes y mal funcionamiento de la Seguridad

SEGURIDAD FISICA Y AMBIENTAL

reas Seguras Seguridad de los Equipos Controles generales
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799

GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES

Procedimientos operativos y responsabilidades
Planificacin y aceptacin del Sistema Proteccin contra el software maligno

Tares de acondicionamiento
Administracin de la red Intercambio de informacin y software
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799

CONTROL DE ACCESO
Requisitos de la Organizacin para el control de acceso Administracin del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras mviles y trabajo a distancia
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

Requisitos de Seguridad de los Sistemas
Seguridad de los Sistemas de Aplicacin Controles Criptogrficos

Seguridad de los archivos del Sistema

Seguridad de los procesos de desarrollo y soporte
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Norma ISO/IRAM 17.799 DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION Aspectos de la direccin de continuidad de la Organizacin CUMPLIMIENTO Cumplimiento con los requisitos legales

Revisin de la Poltica de seguridad y del Cumplimiento Tcnico

Consideracin de las Auditoras del Sistema
Sensibilizacin en Seguridad Informtica Septiembre 2003

:: Fin de la presentacin

Este material podr obtenerlo en http://www.arcert.gov.ar/

en la Seccin Novedades
Tambin encontrar all un documento completo con el resumen de las principales Normas Legales vigentes referidas a la Seguridad Informtica
Sensibilizacin en Seguridad Informtica Septiembre 2003