Seguridad de la Base de Datos Seguridad de la Base de Datos
id d d l d Seguridad de la Base de Datos
NORMA ISO/IEC 27000 1-2 PARADIGMA DE LA SEGURIDAD Expositor Expositor Ren David Chvez Ortiz http://basededatos.wordpress.com 2009 Escuela Militar de Ingeniera - MASTI Seguridad de la Base de Datos Objetivo Adquirir conocimientos metodologas y herramientas Adquirir conocimientos, metodologas y herramientas de implementacin y control de seguridad de los datos de acuerdo con estndares internacionales y y el paradigma de la seguridad: L f i PROFESIONAL d l i di id La formacin PROFESIONAL del individuo La IMPLEMENTACIN PRACTICA en las La IMPLEMENTACIN PRACTICA en las organizaciones 2009 Seguridad de la Base de Datos Paso 1: Qu tomar en cuenta? Reconocer los riesgos y su impacto en Reconocer los riesgos y su impacto en los negocios 2009 Seguridad de la Base de Datos Al d t INTERNET Nadie logra controlar la epidemia: el correo basura invade las casillas de todo Algunos datos 11:22 | EL GUSANO SE LLAMA ZAFI.D correo basura invade las casillas de todo el mundo Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo Todava no hay leyes para limitar | Un nuevo virus se esconde en tarjetas navideas computadoras de todo el mundo. Todava no hay leyes para limitar su impacto econmico. navideas Un virus informtico llamado Zafi.D, que seescondeen una tarjetaelectrnica de se esconde en una tarjeta electrnica de felicitacin, comenz a circular por la red, inform Panda Software. La compaa advirti a los usuarios que extremen las medidas de seguridad durante estas fiestas. g ESTAFAS EN INTERNET El phishing ya pesca en todo Amrica Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de Amrica. 2009 Seguridad de la Base de Datos Al h h Algunos hechos | S La pregunta secreta del caso "Paris Hilton" 12:50 | A TRAVES DE MAIL Utilizan las siglas del FBI para propagar un virus del caso Paris Hilton ------------------------------ ------------- La famosa polica federal estadounidense advirti sobre la difusin de falsos correos Hace apenas unos das salt la noticia de que los contenidos del telfono mvil de Paris Hilton haban sido la difusin de falsos correos electrnicos que llevan su nombre. telfono mvil de Paris Hilton haban sido publicados en Internet. En un principio se baraj la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una i t i l id intrusin a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el mtodo empleado fue mucho ms sencillo, bastaba con contestar a la pregunta "cul es el nombre de su mascota favorita?". 2009 Seguridad de la Base de Datos Al h h Legales | Infracciones Graves El delito informtico Algunos hechos El delito informtico En forma amplia, es "toda accin reputada como delito para cuya consumacin se utilizan o afectan medios informticos" Vulneran tanto los equipos como los informticos . Vulneran tanto los equipos como los programas, e incluyen virus, sustraccin de informacin o piratera. En un terreno ms restringido, son slo aquellas acciones que vulneran los equipos fijos de aquellas acciones que vulneran los equipos fijos de computacin. Despus de la crisis de 2001, la falta de previsin increment la aparicin de estos delitos. Libertad control y responsabilidad en Internet Libertad, control y responsabilidad en Internet Diariojudicial.com publica hoy un polmico fallo por el que se condena a los responsables de un sitio de internet por un mensaje injurioso annimo ingresado en un libro de visitas, de libre acceso por los navegantes. La resolucin preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al pblico. 2009 Seguridad de la Base de Datos Al d t Algunos datos NEGOCIOS Una nueva fiebre enferma a las empresas de todo el mundo: la seguridad de la informacin g La gestin de las polticas de seguridad de la informacin obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; tambin se conforman con controlar los datos circulantes; tambin quieren ahorrar millones. 2009 Seguridad de la Base de Datos Al i Algunas premisas No existe la verdad absoluta en Seguridad Informtica. No es posible eliminar todos los riesgos. La Direccin est convencida de que la Seguridad I f ti h l i d l Informtica no hace al negocio de la compaa. Cada vez los riesgos y el impacto en los negocios son mayores mayores. 2009 Seguridad de la Base de Datos Al lid d Algunas realidades En mi compaa ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el rea. ... en la ltima auditora de sistemas no me sacaron observaciones importantes. ... ya escrib las polticas. ... hice un penetration testing y ya arreglamos todo. 2009 Seguridad de la Base de Datos Algunos datos Quines pueden atacarme y para qu? Tipos de ataques Origen de los crmenes 44% 12% 16% 6% 13% 2% 10% 16% 81% Robo de dinero Intrusin Denegacin de Servicio Robo de informacin Alteracin de datos Dao de SW Empleados Ex empleados Externos Fuentes: Data Processing Management Computer Security Institute CAIDA CERT 2009 CERT SANS Seguridad de la Base de Datos Q I f i t Qu Informacin proteger en formato electrnico / magntico / ptico en formato impreso en el conocimiento de las personas 2009 Seguridad de la Base de Datos Principales riesgos y su impacto en los negocios negocios 2009 Seguridad de la Base de Datos P i i l i Captura de PC desde el exterior Violacin de e mails Robo de informacin Principales riesgos Mails annimos con informacin crtica o con agresiones Violacin de e-mails Violacin de contraseas Intercepcin y modificacin de e-mails Destruccin de equipamiento Spamming Virus Fraudes informticos Incumplimiento de leyes y regulaciones empleados deshonestos Programas bomba Violacin de la privacidad de los empleados Ingeniera social Interrupcin de los servicios Fraudes informticos Destruccin de soportes documentales A l d i d Programas bomba Propiedad de la Informacin Robo o extravo de notebooks Acceso clandestino a redes Acceso indebido a documentos impresos Software ilegal Intercepcin de comunicaciones g Agujeros de seguridad de redes conectadas Falsificacin de informacin para terceros Indisponibilidad de informacin clave 2009 guje os de segu dad de edes co ec adas para terceros Seguridad de la Base de Datos P i i l i Escalamiento de privilegios Instalaciones default Principales riesgos Password cracking s a ac o es de au t P t l bl bi t Man in the middle Exploits Puertos vulnerables abiertos S i i d l i i t t h d Denegacin de servicio Servicios de log inexistentes o que no son chequeados g P t i Backups inexistentes ltimos parches no instalados Replay attack Keylogging Port scanning Desactualizacin 2009 Replay attack Seguridad de la Base de Datos P i i l i l i t l i Principales riesgos y el impacto en los negocios En estos tipos de problemas es difcil: D t h t Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos econmicamente, por ejemplo , p j p cunto le cuesta a la compaa 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los Poder vincular directamente sus efectos sobre los resultados de la compaa. 2009 Seguridad de la Base de Datos P i i l i l i t l i Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin grandes inversiones en software sin mucha estructura de personal l Tan solo: ordenando la Gestin de Seguridad g parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web utilizando herramientas licenciadas y libres en la web 2009 Seguridad de la Base de Datos Paso 2: S d id d? Se desea seguridad? Si igual voy a hacer algo, porque no lo S gua oy a ace a go, po que o o hago teniendo en cuenta las Normas Internacionales aplicables Internacionales aplicables 2009 Seguridad de la Base de Datos N li bl E l di i i l i d i l / Normas aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Informacin, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO D d D f d USA O B k / C C i i Departamento de Defensa de USA: Orange Book / Common Criteria Sans Institute Sarbanes Oxley Act HIPAA Act Sarbanes Oxley Act, HIPAA Act 2009 Seguridad de la Base de Datos Paso 3: Cmo gestionar la seguridad? Q id l N ISO 27000 Que pide la Norma ISO 27000 2009 Seguridad de la Base de Datos Q l S id d d l I f i La informacin (los datos) = activo comercial Qu es la Seguridad de la Informacin ( ) Tiene valor para una organizacin y por consiguiente debe d bid t t id ser debidamente protegida. Garantizar la continuidad comercial, minimizar el dao al , mismo y maximizar el retorno sobre las inversiones y las oportunidades La seguridad que puede lograrse por medios tcnicos es limitada y debe ser respaldada por una gestin y y p p g y procedimientos adecuados 2009 Seguridad de la Base de Datos N d G ti ISO International Standards Organization: Normas ISO Normas de Gestin ISO International Standards Organization: Normas ISO ISO 9001 Calidad ISO 14001 Ambiental ISO 27000 1-2 Seguridad de la Informacin g La principal norma de Evaluacin e Implementacin de medidas de Seguridad en Tecnologas de la Informacin medidas de Seguridad en Tecnologas de la Informacin es la NORMATIVA ISO/IEC 27000 Basada en el BRITISH STANDARD 7799. ISO (Europa) y NIST (USA). 2009 Seguridad de la Base de Datos N ISO27000 1 2 S id d d l I f i La familia de normas 27000 contempla (entre otros): Norma ISO27000 1-2 Seguridad de la Informacin La familia de normas 27000, contempla (entre otros): 27000. GESTION SEGURIDAD DE LA INFORMACION Fundamentos y vocabulario. 27000 1 . ESPECIFICACIONES SGSI CERTIFICACION Anteriormente las certificaciones se basaban sobre el BS 7799. 27000 2 . CODIGOBUENAS PRACTICAS Anteriormente se basaban sobre la ISO/IEC 17799. 2009 Seguridad de la Base de Datos Ot N ISO27000 l i d ISO 27003: Gua de Implantacin de un SGSI. Otras Normas ISO27000 relacionadas ISO 27004 Sistema de Mtricas e Indicadores. ISO 27005: Gua de Anlisis y Gestin de Riesgos. ISO 27006: Especificaciones para Organismos Certificadores de SGSI. p p g ISO 27007: Gua para auditar un SGSI. ISO 2701X: Guas sectoriales. ISO 27XXX: Futuras normas ISO 27XXX: Futuras normas. 2009 Seguridad de la Base de Datos Ot N ISO l i d ISO 9797: Mecanismos de integridad de datos que utilizan una funcin de b i i fi l d l i d if d d Otras Normas ISOrelacionadas comprobacin criptogrfica empleando un algoritmo de cifrado de bloques. ISO 9797-1: Cdigos de autenticacin de mensajes, Parte 1: Mecanismos que utilizan cifrado de bloques cifrado de bloques. ISO 9798: Autenticacin de entidades ISO 10118: Funciones Hash ISO 11770: Gestin de Claves ISO 13335: Guas para la gestin de la seguridad en TI ISO 13888: No repudio p ISO 14516: Uso y gestin de confianza para servicios de terceras partes ISO 14888: Firma digital con apndice ISO 15292: Registro de Perfil de Protecciones ISO 15292: Registro de Perfil de Protecciones ISO 15408: Criterio de evaluacin de la seguridad de TI ISO 15816: Objetivos de Control de Acceso 2009 Seguridad de la Base de Datos N ISO27000 1 2 S id d d l I f i Est organizada en once captulos, en los que se tratan los Norma ISO27000 1-2 Seguridad de la Informacin g p , q distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestin de la seguridad de la informacin Base comn para el desarrollo de estndares de seguridad 2009 Seguridad de la Base de Datos N ISO27000 1 2 S id d d l I f i Preservar el paradigma de la seguridad: Norma ISO27000 1-2 Seguridad de la Informacin p g g confidencialidad: accesible slo a aquellas personas autorizadas a tener acceso. i t id d integridad: exactitud y totalidad de la informacin y los mtodos de procesamiento. p disponibilidad: acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera. 2009 Seguridad de la Base de Datos N ISO27000 2 S id d d l I f i 1. Poltica de Seguridad Norma ISO27000 2 Seguridad de la Informacin 2. Aspectos Organizativos para la Seguridad 3. Clasificacin y Control de Activos 4. Seguridad Ligada al Personal 5. Seguridad Fsica y del Entorno 6. Gestin de Comunicaciones y Operaciones 7. Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Gestin de Incidentes de Seguridad de la Inf. 9. Gestin de Incidentes de Seguridad de la Inf. 10. Gestin de Continuidad del Negocio 11 Conformidad 2009 11. Conformidad Seguridad de la Base de Datos N ISO27000 2 S id d d l I f i Norma ISO27000 2 Seguridad de la Informacin 2009 Seguridad de la Base de Datos Dominio 6 Gestin de Operaciones y Comunicaciones 2009 Seguridad de la Base de Datos D i i 6 GESTION DE OPERACIONES Y COMUNICACIONES Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. S d b t bl l bilid d Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. p Se debe implementar la separacin de funciones cuando corresponda. Se deben documentar los procedimientos de operacin 2009 Seguridad de la Base de Datos D i i 6 GESTION DE OPERACIONES Y COMUNICACIONES Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separacin entre instalaciones de desarrollo e Separacin entre instalaciones de desarrollo e instalaciones operativas D b l i t l i d Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo h i l t d ti hacia el estado operativo. 2009 Seguridad de la Base de Datos D i i 6 GESTION DE OPERACIONES Y COMUNICACIONES Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Procesos de: Planificacin y aprobacin de sistemas (gestin de Planificacin y aprobacin de sistemas (gestin de cambios) Proteccin contra software malicioso Mantenimiento back up Administracin de la red Administracin y seguridad de los medios de almacenamiento A d d i bi d i f i f Acuerdos de intercambio de informacin y software 2009 Seguridad de la Base de Datos Dominio 7 Control de Accesos 2009 Seguridad de la Base de Datos D i i 7 SISTEMA DE CONTROL DE ACCESOS Dominio 7: SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Requerimientos de negocio para el control de accesos Coherencia entre las polticas de control de acceso y de p y clasificacin de informacin de los diferentes sistemas y redes Administracin de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin. 2009 Seguridad de la Base de Datos D i i 7 SISTEMA DE CONTROL DE ACCESOS Dominio 7: SISTEMA DE CONTROL DE ACCESOS Administracin de accesos de usuarios Administracin de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticacin de usuarios para conexiones externas M i d l d l i Monitoreo del acceso y uso de los sistemas 2009 Seguridad de la Base de Datos Dominio 8 Desarrollo y Mantenimiento de Sistemas 2009 Seguridad de la Base de Datos D i i 8 DESARROLLO Y MANTENIMIENTODE SISTEMAS Dominio 8: DESARROLLO Y MANTENIMIENTODE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas d i f i de informacin. Los requerimientos de seguridad deben ser Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin. 2009 Seguridad de la Base de Datos D i i 8 DESARROLLO Y MANTENIMIENTODE SISTEMAS Dominio 8: DESARROLLO Y MANTENIMIENTODE SISTEMAS Seguridad en los sistemas de aplicacin Se deben disear en los sistemas de aplicacin, incluyendo l li i li d l i t l las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: y la validacin de datos de entrada, procesamiento interno, y salidas. 2009