000 Seguridad de Las Bases de Datos

Seguridad de la Base de Datos Seguridad de la Base de Datos
id d d l d Seguridad de la Base de Datos

NORMA ISO/IEC 27000 1-2
PARADIGMA DE LA SEGURIDAD
Expositor Expositor
Ren David Chvez Ortiz
http://basededatos.wordpress.com
2009 Escuela Militar de Ingeniera - MASTI
Seguridad de la Base de Datos
Objetivo
Adquirir conocimientos metodologas y herramientas Adquirir conocimientos, metodologas y herramientas
de implementacin y control de seguridad de los
datos de acuerdo con estndares internacionales y y
el paradigma de la seguridad:
L f i PROFESIONAL d l i di id La formacin PROFESIONAL del individuo
La IMPLEMENTACIN PRACTICA en las La IMPLEMENTACIN PRACTICA en las
organizaciones
2009
Paso 1:
Qu tomar en cuenta?
Reconocer los riesgos y su impacto en Reconocer los riesgos y su impacto en
los negocios
2009
Al d t
INTERNET
Nadie logra controlar la epidemia: el
correo basura invade las casillas de todo
Algunos datos
11:22 | EL GUSANO SE LLAMA ZAFI.D
correo basura invade las casillas de todo
el mundo
Apenas 150 spammers norteamericanos son los responsables del
90 por ciento de los mensajes no deseados que atestan las
computadoras de todo el mundo Todava no hay leyes para limitar
|
Un nuevo virus se
esconde en tarjetas
navideas
computadoras de todo el mundo. Todava no hay leyes para limitar
su impacto econmico.
navideas
Un virus informtico llamado Zafi.D, que
seescondeen una tarjetaelectrnica de se esconde en una tarjeta electrnica de
felicitacin, comenz a circular por la
red, inform Panda Software. La compaa
advirti a los usuarios que extremen las
medidas de seguridad durante estas fiestas. g
ESTAFAS EN INTERNET
El phishing ya pesca en todo Amrica
Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos
estadounidenses y del resto de Amrica.
2009
Al h h Algunos hechos
| S
La pregunta secreta
del caso "Paris Hilton"
12:50 | A TRAVES DE MAIL
Utilizan las siglas del FBI para
propagar un virus
del caso Paris Hilton
------------------------------
-------------
La famosa polica federal
estadounidense advirti sobre
la difusin de falsos correos
Hace apenas unos das salt la noticia de que
los contenidos del
telfono mvil de Paris Hilton haban sido
la difusin de falsos correos
electrnicos que llevan su
nombre.
telfono mvil de Paris Hilton haban sido
publicados en Internet. En
un principio se baraj la posibilidad de que
hubieran accedido a
la tarjeta SIM, o de que se tratara de una
i t i l id intrusin a los servidores
de T-Mobile aprovechando inyecciones SQL. Al
final parece ser que el
mtodo empleado fue mucho ms sencillo,
bastaba con contestar a la
pregunta "cul es el nombre de su mascota
favorita?".
2009
Al h h
Legales | Infracciones Graves
El delito informtico
Algunos hechos
El delito informtico
En forma amplia, es "toda accin reputada como delito
para cuya consumacin se utilizan o afectan medios
informticos" Vulneran tanto los equipos como los informticos . Vulneran tanto los equipos como los
programas, e incluyen virus, sustraccin de informacin o
piratera. En un terreno ms restringido, son slo
aquellas acciones que vulneran los equipos fijos de aquellas acciones que vulneran los equipos fijos de
computacin. Despus de la crisis de 2001, la falta de
previsin increment la aparicin de estos delitos.
Libertad control y responsabilidad en Internet Libertad, control y responsabilidad en Internet
Diariojudicial.com publica hoy un polmico fallo por el que se condena a los
responsables de un sitio de internet por un mensaje
injurioso annimo ingresado en un libro de visitas, de
libre acceso por los navegantes. La resolucin preocupa a los sitios web y puede sentar un
duro precedente para aquellos que contengan foros y libros de visitas abiertos al pblico.
2009
Al d t Algunos datos
NEGOCIOS
Una nueva fiebre enferma a las empresas de
todo el mundo: la seguridad de la informacin g
La gestin de las polticas de seguridad de la informacin
obsesiona a miles de empresas de todo el mundo. Ahora, ya no
se conforman con controlar los datos circulantes; tambin se conforman con controlar los datos circulantes; tambin
quieren ahorrar millones.
2009
Al i Algunas premisas
No existe la verdad absoluta en Seguridad
Informtica.
No es posible eliminar todos los riesgos.
La Direccin est convencida de que la Seguridad
I f ti h l i d l Informtica no hace al negocio de la compaa.
Cada vez los riesgos y el impacto en los negocios son
mayores mayores.
2009
Al lid d Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me
sacaron observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya arreglamos
todo.
2009
Algunos datos
Quines pueden atacarme y para qu?
Tipos de ataques Origen de los crmenes
44% 12%
16%
6%
13%
2%
10%
16%
81%
Robo de dinero Intrusin
Denegacin de Servicio Robo de informacin
Alteracin de datos Dao de SW
Empleados Ex empleados Externos
Fuentes:
Data Processing Management
Computer Security Institute
CAIDA
CERT
2009
CERT
SANS
Q I f i t Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas
2009
Principales riesgos y su impacto en los
negocios negocios
2009
P i i l i
Captura de PC desde el exterior
Violacin de e mails
Robo de informacin
Principales riesgos
Mails annimos con informacin crtica o con agresiones
Violacin de e-mails
Violacin de contraseas
Intercepcin y modificacin de e-mails
Destruccin de equipamiento
Spamming
Virus
Fraudes informticos
Incumplimiento de leyes y regulaciones
empleados deshonestos
Programas bomba
Violacin de la privacidad de los empleados
Ingeniera social
Interrupcin de los servicios
Fraudes informticos
Destruccin de soportes documentales
A l d i d
Programas bomba
Propiedad de la Informacin
Robo o extravo de notebooks
Acceso clandestino a redes
Acceso indebido a documentos impresos
Software ilegal
Intercepcin de comunicaciones
g
Agujeros de seguridad de redes conectadas
Falsificacin de informacin
para terceros
Indisponibilidad de informacin clave
2009
guje os de segu dad de edes co ec adas
para terceros
P i i l i
Escalamiento de privilegios
Instalaciones default
Principales riesgos
Password cracking
s a ac o es de au t
P t l bl bi t
Man in the middle Exploits
Puertos vulnerables abiertos
S i i d l i i t t h d
Denegacin de servicio
Servicios de log inexistentes o que no son chequeados
g
P t i
Backups inexistentes
ltimos parches no instalados
Replay attack
Keylogging
Port scanning
Desactualizacin
2009
Replay attack
P i i l i l i t l i Principales riesgos y el impacto en los negocios
En estos tipos de problemas es difcil:
D t h t Darse cuenta que pasan, hasta que pasan.
Poder cuantificarlos econmicamente, por ejemplo , p j p
cunto le cuesta a la compaa 4 horas sin sistemas?
Poder vincular directamente sus efectos sobre los Poder vincular directamente sus efectos sobre los
resultados de la compaa.
2009
P i i l i l i t l i Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible:
sin grandes inversiones en software sin grandes inversiones en software
sin mucha estructura de personal
l Tan solo:
ordenando la Gestin de Seguridad g
parametrizando la seguridad propia de los sistemas
utilizando herramientas licenciadas y libres en la web utilizando herramientas licenciadas y libres en la web
2009
Paso 2:
S d id d? Se desea seguridad?
Si igual voy a hacer algo, porque no lo S gua oy a ace a go, po que o o
hago teniendo en cuenta las Normas
Internacionales aplicables Internacionales aplicables
2009
N li bl
E l di i i l i d i l /
Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:
Information Systems and Audit Control Association - ISACA:
COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
D d D f d USA O B k / C C i i Departamento de Defensa de USA: Orange Book / Common Criteria
Sans Institute
Sarbanes Oxley Act HIPAA Act Sarbanes Oxley Act, HIPAA Act
2009
Paso 3:
Cmo gestionar la seguridad?
Q id l N ISO 27000 Que pide la Norma ISO 27000
2009
Q l S id d d l I f i
La informacin (los datos) = activo comercial
Qu es la Seguridad de la Informacin
( )
Tiene valor para una organizacin y por consiguiente debe
d bid t t id ser debidamente protegida.
Garantizar la continuidad comercial, minimizar el dao al ,
mismo y maximizar el retorno sobre las inversiones y las
oportunidades
La seguridad que puede lograrse por medios tcnicos es
limitada y debe ser respaldada por una gestin y y p p g y
procedimientos adecuados
2009
N d G ti ISO
Normas de Gestin ISO
ISO 9001 Calidad
ISO 14001 Ambiental
ISO 27000 1-2 Seguridad de la Informacin g
La principal norma de Evaluacin e Implementacin de
medidas de Seguridad en Tecnologas de la Informacin medidas de Seguridad en Tecnologas de la Informacin
es la NORMATIVA ISO/IEC 27000
Basada en el BRITISH STANDARD 7799.
ISO (Europa) y NIST (USA).
2009
N ISO27000 1 2 S id d d l I f i
La familia de normas 27000 contempla (entre otros):
Norma ISO27000 1-2 Seguridad de la Informacin
La familia de normas 27000, contempla (entre otros):
27000. GESTION SEGURIDAD DE LA INFORMACION
Fundamentos y vocabulario.
27000 1 . ESPECIFICACIONES SGSI CERTIFICACION
Anteriormente las certificaciones se basaban sobre el BS 7799.
27000 2 . CODIGOBUENAS PRACTICAS
Anteriormente se basaban sobre la ISO/IEC 17799.
2009
Ot N ISO27000 l i d
ISO 27003: Gua de Implantacin de un SGSI.
Otras Normas ISO27000 relacionadas
ISO 27004 Sistema de Mtricas e Indicadores.
ISO 27005: Gua de Anlisis y Gestin de Riesgos.
ISO 27006: Especificaciones para Organismos Certificadores de SGSI. p p g
ISO 27007: Gua para auditar un SGSI.
ISO 2701X: Guas sectoriales.
ISO 27XXX: Futuras normas ISO 27XXX: Futuras normas.
2009
Ot N ISO l i d
ISO 9797: Mecanismos de integridad de datos que utilizan una funcin de
b i i fi l d l i d if d d
Otras Normas ISOrelacionadas
comprobacin criptogrfica empleando un algoritmo de cifrado de
bloques.
ISO 9797-1: Cdigos de autenticacin de mensajes, Parte 1: Mecanismos que utilizan
cifrado de bloques cifrado de bloques.
ISO 9798: Autenticacin de entidades
ISO 10118: Funciones Hash
ISO 11770: Gestin de Claves
ISO 13335: Guas para la gestin de la seguridad en TI
ISO 13888: No repudio p
ISO 14516: Uso y gestin de confianza para servicios de terceras partes
ISO 14888: Firma digital con apndice
ISO 15292: Registro de Perfil de Protecciones ISO 15292: Registro de Perfil de Protecciones
ISO 15408: Criterio de evaluacin de la seguridad de TI
ISO 15816: Objetivos de Control de Acceso
2009
Est organizada en once captulos, en los que se tratan los
g p , q
distintos criterios a ser tenidos en cuenta en cada tema para
llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestin de la seguridad de la
informacin
Base comn para el desarrollo de estndares de
seguridad
2009
Preservar el paradigma de la seguridad:
p g g
confidencialidad:
accesible slo a aquellas personas autorizadas a tener acceso.
i t id d integridad:
exactitud y totalidad de la informacin y los mtodos de
procesamiento. p
disponibilidad:
acceso a la informacin y a los recursos relacionados con ella
toda vez que se requiera.
2009
N ISO27000 2 S id d d l I f i
1. Poltica de Seguridad
Norma ISO27000 2 Seguridad de la Informacin
2. Aspectos Organizativos para la Seguridad
3. Clasificacin y Control de Activos
4. Seguridad Ligada al Personal
5. Seguridad Fsica y del Entorno
6. Gestin de Comunicaciones y Operaciones
7. Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Gestin de Incidentes de Seguridad de la Inf. 9. Gestin de Incidentes de Seguridad de la Inf.
10. Gestin de Continuidad del Negocio
11 Conformidad
2009
11. Conformidad
N ISO27000 2 S id d d l I f i Norma ISO27000 2 Seguridad de la Informacin
2009
Dominio 6
Gestin de Operaciones y
Comunicaciones
2009
D i i 6 GESTION DE OPERACIONES Y COMUNICACIONES Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Garantizar el funcionamiento correcto y seguro de las Garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin.
S d b t bl l bilid d Se deben establecer las responsabilidades y
procedimientos para la gestin y operacin de todas
las instalaciones de procesamiento de informacin. p
Se debe implementar la separacin de funciones
cuando corresponda.
Se deben documentar los procedimientos de
operacin
2009
Separacin entre instalaciones de desarrollo e Separacin entre instalaciones de desarrollo e
instalaciones operativas
D b l i t l i d Deben separarse las instalaciones de:
Desarrollo
Prueba
Operaciones
Se deben definir y documentar las reglas para la
transferencia de software desde el estado de desarrollo
h i l t d ti hacia el estado operativo.
2009
Procesos de: Procesos de:
Planificacin y aprobacin de sistemas (gestin de Planificacin y aprobacin de sistemas (gestin de
cambios)
Proteccin contra software malicioso
Mantenimiento back up
Administracin de la red
Administracin y seguridad de los medios de
almacenamiento
A d d i bi d i f i f Acuerdos de intercambio de informacin y software
2009
Dominio 7
Control de Accesos
2009
D i i 7 SISTEMA DE CONTROL DE ACCESOS Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Requerimientos de negocio para el control de accesos Requerimientos de negocio para el control de accesos
Coherencia entre las polticas de control de acceso y de p y
clasificacin de informacin de los diferentes sistemas
y redes
Administracin de accesos de usuarios
Se deben implementar procedimientos formales para
controlar la asignacin de derechos de acceso a los controlar la asignacin de derechos de acceso a los
sistemas y servicios de informacin.
2009
D i i 7 SISTEMA DE CONTROL DE ACCESOS Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Administracin de accesos de usuarios
Administracin de privilegios
Responsabilidades del usuario
Control de acceso a la red
Camino forzado
Autenticacin de usuarios para conexiones externas
M i d l d l i Monitoreo del acceso y uso de los sistemas
2009
Dominio 8
Desarrollo y Mantenimiento de Sistemas
2009
D i i 8 DESARROLLO Y MANTENIMIENTODE SISTEMAS Dominio 8: DESARROLLO Y MANTENIMIENTODE SISTEMAS
Requerimientos de seguridad de los sistemas.
Asegurar que la seguridad es incorporada a los sistemas
d i f i de informacin.
Los requerimientos de seguridad deben ser Los requerimientos de seguridad deben ser
identificados y aprobados antes del desarrollo de los
sistemas de informacin.
2009
D i i 8 DESARROLLO Y MANTENIMIENTODE SISTEMAS Dominio 8: DESARROLLO Y MANTENIMIENTODE SISTEMAS
Seguridad en los sistemas de aplicacin
Se deben disear en los sistemas de aplicacin, incluyendo
l li i li d l i t l las aplicaciones realizadas por el usuario, controles
apropiados y pistas de auditoria o registros de actividad,
incluyendo: y
la validacin de datos de entrada,
procesamiento interno, y
salidas.
2009

000 Seguridad de Las Bases de Datos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

000 Seguridad de Las Bases de Datos

Cargado por

Copyright:

Formatos disponibles

Seguridad de la Base de Datos Seguridad de la Base de Datos

id d d l d Seguridad de la Base de Datos

También podría gustarte