02/03/2010

Universidad Tecnolgica de Pereira Especializacin de Redes

Sesiones
19 20 Febrero 5 -6 Marzo 12 13 Marzo 26 27 Marzo

Evaluacin
Quiz semanal Examen final

Temas a tratar
Fundamentos Seguridad Anlisis de Riesgos Criptografa TCP/IP Fundamentos Seguridad TCP/IP PKI Defensa en profundidad Controles de Seguridad
Firewalls IDS/IPS Control de contenido Honey Pot Seguridad Wireless VPN

Talleres Criptografa Anlisis de trfico Anlisis de Riesgos Hacking / IPS /

Diseo de redes (Seguras) NAC Gestin de Incidentes Fundamentos de Evaluacin de Seguridad (Hacking)

02/03/2010

Introduccin Seguridad Informtica Creencias Riesgos Obstculos Administracin Seguridad Componentes

Qu es la Informacin? La informacin es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una organizacin y por consiguiente debe ser debidamente protegida.

02/03/2010

La seguridad de la informacin se define como la preservacin de las siguientes caractersticas:

Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera.

Conceptos de Seguridad
La seguridad Informtica preserva:
Confidencialidad Integridad Disponibilidad Derivadas de las anteriores
Observancia Auditabilidad Rastreabilidad No repudio

Se logra por medio de:

Control de acceso Encripcin Autenticacin Polticas Procedimientos Conciencia Planeacin Entrenamiento

02/03/2010

Realmente, no tengo informacin confidencial... Puedo estar 100% seguro... Una Solucin es suficiente... Seguridad es un problema de Internet... Los ataques externos son los mas "preocupantes... El costo de la privacidad es muy alto... A otros son los que atacan, a nosotros no!

Por qu seguridad de la Informacin?

... y gente deseosa de sacar ventaja de esas vulnerabilidades!!!

Oportunidad

Para cubrir errores

Para ayudar a un competidor

Mantener Estilo de Vida

Presiones Financieras

Fraudes?
Desafo Intelectual Falta Administracin Sistemas

Baja Probabilidad de Deteccin

Empleados a Disgusto

02/03/2010

Proceso de la seguridad (no es un producto).

Entender las verdaderas amenazas de un sistema (Anlisis de Riesgos - Diagnstico) Disear una poltica de seguridad que pueda hacer frente a esas amenazas. Analizar las medidas de proteccin Decidir las medidas adecuadas Poltica de seguridad Integrar contramedidas de seguridad adecuadas. (De acuerdo al nivel de riesgo e impacto) Planes de contingencia. Mantenimiento y Revisin.

Componentes Seguridad
Normativo/Procedimientos

Tecnologa

Seguridad

Recurso Humano

Es posible minimizar los riesgos?

02/03/2010

Es posible minimizar los riesgos?

Minimizar Riesgos

Identificar Riesgos

Riesgos

Identificar Vulnerabilidades

Identificar Amenazas

Principales Obstculos
Falta de conciencia de los usuarios finales Falta de estndares Presupuesto Falta de apoyo y conciencia de la alta gerencia Falta de entrenamiento Responsabilidades no claras. Falta de herramientas Complejidad tcnica Falta de personal de seguridad competente Aspectos legales

Fuente: Infosecurity news

Por que es importante la seguridad?

Informacin Recurso esencial para todos las organizaciones Permite el crecimiento de las organizaciones Compartir informacin es una prctica comn hoy y continua incrementndose Uno de los principales activos de la organizacin (si no el ms importante) La disponibilidad, integridad y confidencialidad de la informacin crtica para el xito de la organizacin.

02/03/2010

Definicin del Problema Por qu seguridad?

Evolucin de la tecnologa por su facilidad de uso. Disminucin de los niveles de conocimiento para atacar

Incremento en ambientes de red y aplicaciones.

1. La informacin es ms valiosa que nunca 2. Las redes son infraestructura crtica 3. Los usuarios no tienen control sobre toda su informacin 4. Hacking = profesin criminal 5. La complejidad es tu enemigo 6. Los ataques son ms rpidos que los parches 7. Los gusanos son ms sofisticados que nunca 8. El enlace final es el punto ms dbil 9. El usuario final es una amenaza 10.Las 10. Las regulaciones impulsan las auditorias de seguridad

02/03/2010

Administracin de Seguridad

Es el conjunto de aspectos interrelacionados que incluye:

Estructura organizacional Anlisis de riesgos Seguridad Informtica aplica a Todos los sistemas deben ser en la organizacin Lastodos polticas Todo definen sistema la posicin debe tener de la un asegurados de acuerdo al nivel de Propiedad de los organizacin recursos dueo y documentan o responsable las que Sin embargo requieren riesgos que se enfrentan decisiones de toma la administracin las decisiones ena lo responsabilidades especficas Seguridad informtica es unde Polticas Documentacin Informacin detallada ms detallada requerida El propsito anlisis de riesgos relacionado negocio con ladel seguridad informtica nivel organizacional o de sistema problema administrativo de para qu definir y como como lograr las personas el nivel de es cuantificar esos riesgos para Polticas definen Es acerca el nivel de de seguridad Alguien en la organizacin debera Guas, estndares Permite tomar decisiones la a seguridad soportan el dictado sistema entome la con poltica que la administracin las ser logrado responsabilidad en la organizacin, o las el ser responsable por analizar informacin requerida decisiones adecuadas Se Depende usan para de la ayudar tecnologa a los deseado de seguridad Procedimientos modelo necesidades, establecer un desarrolladores a completos construir Anlisis de riesgos es usado para Debendar ser lo ms sistema, soporte y vigilar un sistemas con las caractersticas convertir miedos tcnicos en posibles para evitar subjetividad Actuar con el debido cuidado sistema y mejorar un sistema
Adaptado de: Curso Admin Seguridad - UniAndes

NewNet S.A. AGS - Derechos Reservados

de seguridad requeridas aspectos del negocio

Procesos

Planeamiento de seguridad Prevencin Deteccin Reaccin Tecnologa base Estndares, Cifrado, Proteccin Capacidad de los productos Herramientas y productos de seguridad

Tecnologa

Personas

Personal dedicado Entrenamiento El cambio de mentalidad es la prioridad (Cultura Organizacional en seguridad) Personas externas

02/03/2010

Veremos a continuacin los tres principios bsicos de la seguridad informtica: el del acceso ms fcil, el de la caducidad del secreto y el de la eficiencia de las medidas tomadas.

Tras los acontecimientos del 11/09/2001 en Nueva York, los del 11/03/2004 en Madrid y los del 07/07/2005 en Londres, que echaron por tierra todos los planes de contingencia, incluso los ms paranoicos, comenzamos a tener muy en cuenta las debilidades de los sistemas y valorar en su justa medida el precio de la seguridad.

Es necesario aprender de los errores

http://www.virusprot.com/Opiniones2002.html
Adaptacin Libro de Jorge Rami www.criptored.upm.es

PREGUNTA: Cules son los puntos dbiles de un sistema informtico?

P1: El intruso al sistema utilizar el artilugio que haga ms fcil su acceso y posterior ataque. Existir una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultar el anlisis de riesgo ya que el delincuente aplicar la filosofa del ataque hacia el punto ms dbil: el equipo o las personas.
Adaptacin Libro de Jorge Rami www.criptored.upm.es

PREGUNTA: Cunto tiempo deber protegerse un dato? P2: los datos confidenciales deben protegerse slo hasta que ese secreto pierda su valor como tal. Se habla, por tanto, de la caducidad del sistema de proteccin: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Esto nos llevar a la fortaleza del sistema de cifrado.
Adaptacin Libro de Jorge Rami www.criptored.upm.es

02/03/2010

P3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fciles de usar y apropiadas al medio.

Efectivo: que funcionen en el momento oportuno. Eficiente: que optimicen los recursos del sistema. Apropiadas: que pasen desapercibidas para el usuario.
Y lo ms importante: ningn sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciacin de los usuarios, ste ser uno de los grandes problemas de la Gestin de la Seguridad Informtica.

Medidas de control
Adaptacin Libro de Jorge Rami www.criptored.upm.es

Imagen Adaptado de: Cisco Systems

10

02/03/2010

Tomado de: Cisco Systems

Las normas de la familia 27k

27000 Descripcin & Vocabulario
Proporciona terminologa y relacionamiento entre las normas 27000

27001 Requisitos SGSI

Proporciona los fundamentos de un SGSI

27005 Gestin del Riesgo

Proporciona una metodologa para uso en el SGSI (27001)

27002 Cdigo de Prcticas

Proporciona las mejores prcticas de control para la implantacin del SGSI

27003 Gua para Implantacin

Proporciona directrices detalladas para la implantacin de un SGSI (27001) utilizando ejemplos y estudios de caso

27004 Medicin
Proporciona la metodologa para la medicin de la efectividad del SGSI (27001) y de los controles (27002)

27006 Requisitos de Acreditacin

Proporciona los requisitos para acreditacin de organismos acreditadores y de auditores para proporcionar servicios de certificacin de SGSI (27001)

Consideraciones

11

02/03/2010

Delitos Informticos
Pueden ser clasificados en dos categoras: Crmenes realizados por un computador. Crmenes en donde un computador es el objetivo. Las leyes USA contemplan penas de cadena perpetua a hackers que ponen en peligro a otros

Legislacin (Ley Federal USA)

USA contempla dos secciones en la ley federal 18 U.S.C. Seccin 1029. Fraud and Related Activity in Connection with Access Devices. Tarjetas de Crdito, PINS Multas de 10.000 1.000.000 Prisin hasta 20 aos. Seccin 1030. Fraud and Related Activity in Connection with Computers. Prisin de 1 a 10 aos

Legislacin (Colombia)
Las leyes sobre delitos informticos en Colombia son muy dbiles. El cdigo penal colombiano Ley 599 de 2000 sptimo capitulo. Contempla penas de 1 a 3 aos para interceptacin de comunicaciones Multa por introduccin abusivo a un sistema. Se recomienda apoyar la ley Colombiana con contratos y acuerdos de confidencialidad y de correcto uso de recursos. Pero.
NewNet S.A.

12

02/03/2010

Ley 1273 de 2009

De la Proteccin de la informacin y de los datos Capitulo I De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informticos Acceso abusivo a un sistema informtico Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin Interceptacin de datos informticos Dao informtico Uso de software malicioso Violacin de datos personales Suplantacin de sitios web para capturar datos personales

Ley 1273 de 2009

De la Proteccin de la informacin y de los datos Capitulo II
Hurto por medios informticos y semejantes Transferencia no consentida de activos

Tipologa de delitos informticos

Acceso abusivo a un sistema informtico

Dao informtico

Violacin de datos personales

Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin

Uso de software malicioso

Hurto por medios informticos y semejantes

Interceptacin de datos informticos

Suplantacin de sitios web para capturar datos personales

Transferencia no consentida de activos

Tomado de presentacin Dr. Arean Velasco (Dalleman, Velasco abogados NewNet Forum 2009

13

02/03/2010

Causales de agravacin

Aprovechando la confianza depositada por el poseedor de la informacin

Utilizando como instrumento a un tercero de buena fe.

Sobre redes o sistemas informticos o de comunicaciones estatales

Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

Por servidor pblico en ejercicio de sus funciones

Revelando o dando a conocer el contenido de la informacin en perjuicio de otro.

Obteniendo provecho para si o para un tercero.

Tomado de presentacin Dr. Arean Velasco (Dalleman, Velasco abogados NewNet Forum 2009

Una aproximacin

Actividades coordinadas para DIRIGIR y CONTROLAR un conjunto de instalaciones y personas con unas responsabilidades especficas, autoridades y relaciones con respecto a los riesgos influenciados por la seguridad de la informacin.

14

02/03/2010

Alinear los controles de seguridad con la estrategia del negocio. Definir qu cantidad de dinero de debe invertir en seguridad, cules controles se necesitan, con qu prioridad y en dnde. Hacer seguimiento constante y mejoras cuando sea necesario.

Amenaza: causante de un evento adverso. Vulnerabilidad: debilidad frente a una amenaza. Impacto: Grado en que se ve afectado por la ocurrencia de un riesgo.

Riesgo
Inherente a la realidad. Contempla la probabilidad de ocurrencia y el impacto causado. Imprctico y poco rentable eliminar todos los riesgos, por lo cual se debe definir un nivel de riesgo aceptable.

15

02/03/2010

1. 2.

3. 4. 5.

6. 7. 8.

Identificacin de activos. Identificacin de amenazas y vulnerabilidades. Clculo de riesgo (impacto X probabilidad). Definicin nivel de riesgo aceptable. Identificacin de estrategias y controles de manejo del riesgo. Anlisis de factibilidad. Definicin y ejecucin del plan (priorizar). Revisin y evaluacin.

http://www.nova.edu/cipher/cyber.gif

16

02/03/2010

Aplicacin web. Informacin de historias clnicas. Informacin financiera del consultorio. Informacin de nmina de los empleados del consultorio. Servidor web. .

Accidentes por falla humana / error operacional Cdigo malicioso Divulgacin no autorizada de informacin Corrupcin de datos Falla de las copias de respaldo Acceso no autorizado Ataque terrorista / vandalismo / desastre natural Robo de identidad / suplantacin de usuario

17

02/03/2010

Ausencia de planes de contingencia. Especificaciones inadecuadas de las aplicaciones. Falta o gestin inadecuada de control de acceso y asignacin de privilegios. Deficiencia en el proceso de clasificacin de la informacin. Falta de capacitacin o de conciencia de los colaboradores. Ausencia de procedimientos de mantenimiento de los equipos. Ausencia de cifrado en las comunicaciones.

Escala
Catstrofe (numerosas fatalidades): 5 Desastre (algunas fatalidades): 4 Muy serio (fatalidad/prdidas econmicas muy altas): 3 Serio (heridos/prdidas econmicas serias): 2 Importante (prdidas econmicas significativas): 1 Leve (fallas en el proceso, prdidas econmicas importantes): 0

18

02/03/2010

Escala ejemplo
IMPACTO

Leve

Impacta negativamente de forma leve a la organizacin.

10

Moderado

Impacta negativamente organizacin.

de

forma

importante

la

20

Catastrfico

Impacta negativamente a los objetivos misionales de la organizacin.

Escala 1:
Casi cierta: 1 Altamente posible: 0,8 Inusual pero posible: 0,6 Remotamente posible: 0,4 Concebible pero poco probable: 0,2 Casi imposible: 0

Escala ejemplo 2
PROBABILIDAD Baja probabilidad de que se presente ha ocurrido en perodos de cinco aos. Media probabilidad de que se presente ha sido de ocurrencia ocasional (una vez al ao). Alta probabilidad de que se presente ha sido de frecuente ocurrencia (varias veces al ao).

Baja

Medi a

Alta

19

02/03/2010

Escala ejemplo 1:
Muy alto: entre 4 y 5 Alto: entre 3 y 4. Medio: entre 2 y 3. Bajo: entre 1 y 2. Muy bajo: menor a 1.

Amenaza Vulnerabilidad Probabilidad Impacto Riesgo

Error humano Falta de capacitacin y educacin en seguridad Ausencia de cifrado en las comunicaciones Media Catastrfico Alta Catastrfico Inaceptable Importante

Acceso no autorizado

20

02/03/2010

21

02/03/2010

Evitar: Evitar prevenir la explotacin de la vulnerabilidad.

Definicin e implantacin de una poltica Entrenamiento y educacin Implementacin de tecnologa

GPAM1

Adaptacin curso seguridad - Gloria Patrica Arenas

Mitigar: Mitigar reducir el impacto

Disaster Recovery Plan (DRP) Business Continuity Plan (BCP) IRP (Incident Response Plan) Copias de respaldo

Transferir: Transferir alguien ms asume la responsabilidad.

Outsourcing Plizas de seguros

22

Diapositiva 64 GPAM1 Para realizar la valoracin de los controles existentes es necesario recordar que stos se clasifican en: CONTROLES - Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. - Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia.
Gloria, 28/02/2008

02/03/2010

Aceptar: Aceptar no se hace nada al respecto.

Poltica. Econmica. Organizacional: acorde con la estrategia del negocio. Operacional. Tcnica.

23

02/03/2010

http://geeks.ms/blogs/rcorral/WindowsLiveWriter/Tengounplansergil_141F1/Dilbert%20plan%20proyecto%5B1%5D. png

Controles definidos de acuerdo con el anlisis de factibilidad. Definicin del plan de tratamiento.
Por dnde empezar? Cundo?

Ejecucin y seguimiento del plan.

24

02/03/2010

Eficacia de los controles Realizacin de otro anlisis de risgos.

25