Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sesiones
19 20 Febrero 5 -6 Marzo 12 13 Marzo 26 27 Marzo
Evaluacin
Quiz semanal Examen final
Temas a tratar
Fundamentos Seguridad Anlisis de Riesgos Criptografa TCP/IP Fundamentos Seguridad TCP/IP PKI Defensa en profundidad Controles de Seguridad
Firewalls IDS/IPS Control de contenido Honey Pot Seguridad Wireless VPN
Diseo de redes (Seguras) NAC Gestin de Incidentes Fundamentos de Evaluacin de Seguridad (Hacking)
02/03/2010
Qu es la Informacin? La informacin es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una organizacin y por consiguiente debe ser debidamente protegida.
02/03/2010
Conceptos de Seguridad
La seguridad Informtica preserva:
Confidencialidad Integridad Disponibilidad Derivadas de las anteriores
Observancia Auditabilidad Rastreabilidad No repudio
02/03/2010
Realmente, no tengo informacin confidencial... Puedo estar 100% seguro... Una Solucin es suficiente... Seguridad es un problema de Internet... Los ataques externos son los mas "preocupantes... El costo de la privacidad es muy alto... A otros son los que atacan, a nosotros no!
Oportunidad
Presiones Financieras
Fraudes?
Desafo Intelectual Falta Administracin Sistemas
Empleados a Disgusto
02/03/2010
Componentes Seguridad
Normativo/Procedimientos
Tecnologa
Seguridad
Recurso Humano
02/03/2010
Minimizar Riesgos
Identificar Riesgos
Riesgos
Identificar Vulnerabilidades
Identificar Amenazas
Principales Obstculos
Falta de conciencia de los usuarios finales Falta de estndares Presupuesto Falta de apoyo y conciencia de la alta gerencia Falta de entrenamiento Responsabilidades no claras. Falta de herramientas Complejidad tcnica Falta de personal de seguridad competente Aspectos legales
02/03/2010
1. La informacin es ms valiosa que nunca 2. Las redes son infraestructura crtica 3. Los usuarios no tienen control sobre toda su informacin 4. Hacking = profesin criminal 5. La complejidad es tu enemigo 6. Los ataques son ms rpidos que los parches 7. Los gusanos son ms sofisticados que nunca 8. El enlace final es el punto ms dbil 9. El usuario final es una amenaza 10.Las 10. Las regulaciones impulsan las auditorias de seguridad
02/03/2010
Administracin de Seguridad
Procesos
Planeamiento de seguridad Prevencin Deteccin Reaccin Tecnologa base Estndares, Cifrado, Proteccin Capacidad de los productos Herramientas y productos de seguridad
Tecnologa
Personas
Personal dedicado Entrenamiento El cambio de mentalidad es la prioridad (Cultura Organizacional en seguridad) Personas externas
02/03/2010
Veremos a continuacin los tres principios bsicos de la seguridad informtica: el del acceso ms fcil, el de la caducidad del secreto y el de la eficiencia de las medidas tomadas.
Tras los acontecimientos del 11/09/2001 en Nueva York, los del 11/03/2004 en Madrid y los del 07/07/2005 en Londres, que echaron por tierra todos los planes de contingencia, incluso los ms paranoicos, comenzamos a tener muy en cuenta las debilidades de los sistemas y valorar en su justa medida el precio de la seguridad.
http://www.virusprot.com/Opiniones2002.html
Adaptacin Libro de Jorge Rami www.criptored.upm.es
P1: El intruso al sistema utilizar el artilugio que haga ms fcil su acceso y posterior ataque. Existir una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultar el anlisis de riesgo ya que el delincuente aplicar la filosofa del ataque hacia el punto ms dbil: el equipo o las personas.
Adaptacin Libro de Jorge Rami www.criptored.upm.es
PREGUNTA: Cunto tiempo deber protegerse un dato? P2: los datos confidenciales deben protegerse slo hasta que ese secreto pierda su valor como tal. Se habla, por tanto, de la caducidad del sistema de proteccin: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Esto nos llevar a la fortaleza del sistema de cifrado.
Adaptacin Libro de Jorge Rami www.criptored.upm.es
02/03/2010
P3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fciles de usar y apropiadas al medio.
Efectivo: que funcionen en el momento oportuno. Eficiente: que optimicen los recursos del sistema. Apropiadas: que pasen desapercibidas para el usuario.
Y lo ms importante: ningn sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciacin de los usuarios, ste ser uno de los grandes problemas de la Gestin de la Seguridad Informtica.
Medidas de control
Adaptacin Libro de Jorge Rami www.criptored.upm.es
10
02/03/2010
27004 Medicin
Proporciona la metodologa para la medicin de la efectividad del SGSI (27001) y de los controles (27002)
Consideraciones
11
02/03/2010
Delitos Informticos
Pueden ser clasificados en dos categoras: Crmenes realizados por un computador. Crmenes en donde un computador es el objetivo. Las leyes USA contemplan penas de cadena perpetua a hackers que ponen en peligro a otros
Legislacin (Colombia)
Las leyes sobre delitos informticos en Colombia son muy dbiles. El cdigo penal colombiano Ley 599 de 2000 sptimo capitulo. Contempla penas de 1 a 3 aos para interceptacin de comunicaciones Multa por introduccin abusivo a un sistema. Se recomienda apoyar la ley Colombiana con contratos y acuerdos de confidencialidad y de correcto uso de recursos. Pero.
NewNet S.A.
12
02/03/2010
Dao informtico
Tomado de presentacin Dr. Arean Velasco (Dalleman, Velasco abogados NewNet Forum 2009
13
02/03/2010
Causales de agravacin
Tomado de presentacin Dr. Arean Velasco (Dalleman, Velasco abogados NewNet Forum 2009
Una aproximacin
Actividades coordinadas para DIRIGIR y CONTROLAR un conjunto de instalaciones y personas con unas responsabilidades especficas, autoridades y relaciones con respecto a los riesgos influenciados por la seguridad de la informacin.
14
02/03/2010
Alinear los controles de seguridad con la estrategia del negocio. Definir qu cantidad de dinero de debe invertir en seguridad, cules controles se necesitan, con qu prioridad y en dnde. Hacer seguimiento constante y mejoras cuando sea necesario.
Amenaza: causante de un evento adverso. Vulnerabilidad: debilidad frente a una amenaza. Impacto: Grado en que se ve afectado por la ocurrencia de un riesgo.
Riesgo
Inherente a la realidad. Contempla la probabilidad de ocurrencia y el impacto causado. Imprctico y poco rentable eliminar todos los riesgos, por lo cual se debe definir un nivel de riesgo aceptable.
15
02/03/2010
1. 2.
3. 4. 5.
6. 7. 8.
Identificacin de activos. Identificacin de amenazas y vulnerabilidades. Clculo de riesgo (impacto X probabilidad). Definicin nivel de riesgo aceptable. Identificacin de estrategias y controles de manejo del riesgo. Anlisis de factibilidad. Definicin y ejecucin del plan (priorizar). Revisin y evaluacin.
http://www.nova.edu/cipher/cyber.gif
16
02/03/2010
Aplicacin web. Informacin de historias clnicas. Informacin financiera del consultorio. Informacin de nmina de los empleados del consultorio. Servidor web. .
Accidentes por falla humana / error operacional Cdigo malicioso Divulgacin no autorizada de informacin Corrupcin de datos Falla de las copias de respaldo Acceso no autorizado Ataque terrorista / vandalismo / desastre natural Robo de identidad / suplantacin de usuario
17
02/03/2010
Ausencia de planes de contingencia. Especificaciones inadecuadas de las aplicaciones. Falta o gestin inadecuada de control de acceso y asignacin de privilegios. Deficiencia en el proceso de clasificacin de la informacin. Falta de capacitacin o de conciencia de los colaboradores. Ausencia de procedimientos de mantenimiento de los equipos. Ausencia de cifrado en las comunicaciones.
Escala
Catstrofe (numerosas fatalidades): 5 Desastre (algunas fatalidades): 4 Muy serio (fatalidad/prdidas econmicas muy altas): 3 Serio (heridos/prdidas econmicas serias): 2 Importante (prdidas econmicas significativas): 1 Leve (fallas en el proceso, prdidas econmicas importantes): 0
18
02/03/2010
Escala ejemplo
IMPACTO
Leve
10
Moderado
de
forma
importante
la
20
Catastrfico
Escala 1:
Casi cierta: 1 Altamente posible: 0,8 Inusual pero posible: 0,6 Remotamente posible: 0,4 Concebible pero poco probable: 0,2 Casi imposible: 0
Escala ejemplo 2
PROBABILIDAD Baja probabilidad de que se presente ha ocurrido en perodos de cinco aos. Media probabilidad de que se presente ha sido de ocurrencia ocasional (una vez al ao). Alta probabilidad de que se presente ha sido de frecuente ocurrencia (varias veces al ao).
Baja
Medi a
Alta
19
02/03/2010
Escala ejemplo 1:
Muy alto: entre 4 y 5 Alto: entre 3 y 4. Medio: entre 2 y 3. Bajo: entre 1 y 2. Muy bajo: menor a 1.
Acceso no autorizado
20
02/03/2010
21
02/03/2010
GPAM1
22
Diapositiva 64 GPAM1 Para realizar la valoracin de los controles existentes es necesario recordar que stos se clasifican en: CONTROLES - Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. - Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia.
Gloria, 28/02/2008
02/03/2010
Poltica. Econmica. Organizacional: acorde con la estrategia del negocio. Operacional. Tcnica.
23
02/03/2010
http://geeks.ms/blogs/rcorral/WindowsLiveWriter/Tengounplansergil_141F1/Dilbert%20plan%20proyecto%5B1%5D. png
Controles definidos de acuerdo con el anlisis de factibilidad. Definicin del plan de tratamiento.
Por dnde empezar? Cundo?
24
02/03/2010
25