Gestin de la Seguridad

Juan Carlos Rodrguez Rico

jcrodriguez@s21ec.com

Introduccin a la norma ISO 27001

Es el nuevo estndar oficial, su ttulo completo es: BS 7799-2:2005

(ISO/IEC 27001:2005).
Tiene su origen remoto en la BS-7799
Permite homogeneizar la seguridad de los SSII, necesario, si
debemos compartir informacin entre empresas.
No est enfocado solo a grandes empresas, sino que deber ser
aplicado en las PYMES que deseen trabajar como socias de negocio
de cualquier otra grande o pequea empresa.
Actualmente es el nico estndar aceptado internacionalmente para
la administracin de la Seguridad de la Informacin y se aplica a todo
tipo de organizaciones, independientemente de su tamao o
actividad.
 Introduccin a la norma ISO 27001

No est centrada en los aspectos tecnolgicos y trata ms de los

aspectos organizativos de la gestin de la seguridad.
Su objetivo principal es el establecimiento e implementacin de un
Sistema de Gestin de la Seguridad de la Informacin (SGSI).
Sus objetivos principales son:

La definicin clara y transmitida a toda la organizacin de los

objetivos y directrices de seguridad.
La sistematizacin, objetividad y consistencia a lo largo del tiempo
en las actuaciones de seguridad.
El anlisis y prevencin de los riesgos en los Sistemas de
Informacin.
La mejora de los procesos y procedimientos de gestin de la
informacin.
La motivacin del personal en cuanto a valoracin de la
informacin.
El cumplimiento con la legislacin vigente.
Una imagen de calidad frente a clientes y proveedores.

Anlisis y Valoracin de Riesgos

Identifica, clasifica y valora en primer lugar, todos los activos

relevantes de la empresa.
Por cada grupo de activos, estudia las amenazas, su probabilidad
de ocurrencia y el impacto que pueden causar, en funcin de su
vulnerabilidad.
Establece las medidas de salvaguarda necesarias para reducir hasta
un valor aceptable con un coste asumible, el riesgo asociado a cada
una de las amenazas.
Se establece el riesgo residual que se est dispuesto a aceptar.
 Desarrollo del SGSI

Es citado en la propia norma:

La organizacin, establecer, implementar, operar, monitorizar,

revisar, mantendr y mejorar un documentado SGSI en su contexto
para las actividades globales de su negocio y de cara a los riesgos.

Este documento deber de contener:

La poltica de seguridad
Las normas o estandares de funcionamiento
Los procedimientos detallados
Guas y recomendaciones

Su objetivo final es asegurar la Integridad, Confidencialidad y

Disponibilidad de la Informacin.

Metodologa PDCA

Para el desarrollo y mantenimiento del SGSI se adopta la

metodologa PDCA:
 reas o dominios contemplados

La norma se desarrolla en 11 reas o dominios que recogen los 133

controles a seguir.

Poltica de seguridad
Organizacin de la informacin de seguridad
Administracin de recursos
Seguridad de los recursos humanos
Seguridad fsica y del entorno
Administracin de las comunicaciones y operaciones
Control de accesos
Adquisicin de sistemas de informacin, desarrollo y
mantenimiento
Administracin de los incidentes de seguridad
Administracin de la continuidad de negocio
Marco legal y buenas prcticas

Definicin de control

El concepto de control dentro de la norma agrupa todo el conjunto

de acciones, documentos, procedimientos y medidas tcnicas
adoptadas para garantizar que cada amenaza, identificada y
valorada con un cierto riesgo, sea minimizada.

Se definen 133 controles dentro de las 11 reas o dominios que

podran agruparse e identificarse en procesos:

Organizativos
Implementacin de tecnologas de la seguridad.
Establecimiento de relaciones contractuales
Gestin de Incidencias
Gestin de Recursos Humanos
Cumplimiento con la normativa vigente.
 Los dominios de la ISO 27001

Poltica de seguridad Organizacin de la informacin de seguridad

- 2 controles- - 11 controles -

Los dominios de la ISO 27001

Administracin de recursos
-5 controles -
 Los dominios de la ISO 27001
Seguridad de los recursos humanos
- 9 controles -

Los dominios de la ISO 27001

Seguridad fsica y del entorno
-13 controles -
 Los dominios de la ISO 27001
Administracin de las comunicaciones y operaciones
- 32 controles -

Los dominios de la ISO 27001

Control de accesos
- 25 controles
 Los dominios de la ISO 27001
Adquisicin de sistemas de informacin, desarrollo y mantenimiento
- 16 controles -

Los dominios de la ISO 27001

Administracin de los incidentes Marco legal y buenas prcticas

de seguridad y continuidad de negocio - 10 controles -
- 10 controles -
 Cuadro Resumen de los Dominios

ISO 27004

Mediciones para la Gestin de la Seguridad de la Informacin

An en fase de borrador, tiene como misin desarrollar todos los

aspectos que deben ser considerados para poder medir el
cumplimiento de la norma ISO 27001.

En su introduccin la norma ISO 27004 se define como

El empleo de este estndar permitir a las organizaciones dar

respuesta a los interrogantes de cun efectivo y eficiente es el SGSI y
qu niveles de implementacin y madurez han sido alcanzados. Estas
mediciones permitirn comparar los logros obtenidos en seguridad de
la informacin sobre perodos de tiempo en reas de negocio
similares de la organizacin y como parte de continuas mejoras.
 ISO 27004

Los objetivos de los procesos de medicin son:

Evaluar la efectividad de la implementacin de los controles de

seguridad.
Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
Proveer estados de seguridad que guen las revisiones del SGSI,
facilitando mejoras a la seguridad y nuevas entradas para auditar.
Comunicar valores de seguridad a la organizacin.
Servir como entradas al plan de anlisis y tratamiento de riesgos.

El modelo utilizado es una estructura que enlaza los atributos

medibles con una entidad relevante y se debe describir cmo estos
atributos son cuantificados y convertidos a indicadores.

Se basa en la metodologa PDCA

Que aporta la certificacin ISO 27001 a la PYME

Mejor posicin sobre la competencia

Un ahorro en costos comparado con los ocasionados por su
incumplimiento
Aleja el concepto de la seguridad entendido como un producto.
Reduce los riesgos hasta un valor aceptable por la organizacin
Permite el cumplimiento con la legislacin vigente
Nos permitir seguir en el mercado cuando la certificacin sea un
requisito ineludible.
 Una aproximacin a los
controles de acceso

Control de acceso fsico

Los procesos de control de acceso implican:

Identificacin: Qu presentamos para demostrar nuestra identidad.

Autenticacin: Como se comprueba nuestra identidad.

Autorizacin: Que podemos hacer

despus.
 Pasado, presente y futuro

Cul es el mtodo ms antiguo utilizado para la identificacin

y la autenticacin?

! LA BIOMETRIA !

Identificacin:
Acudimos en persona y esperamos
ser reconocidos.
Hablamos por un telfono.

Autenticacin:
Reconocimiento facial visual.
Reconocimiento timbre de voz.

Tecnologas ms utilizadas

Control de acceso atendido

Se presenta algn documento acreditativo
Se comprueba su veracidad y validez

Control de acceso desatendido

Algo que tenemos:
Poseemos algn elemento que permite el acceso
Algo que sabemos:
Conocemos una clave o contrasea.
Algo que somos
Caracterstica biomtrica
Algo que hacemos
Como nos comportamos
 Control de acceso atendido

Que tipo de credenciales son presentadas?

Pueden ser falsificadas?

Puede comprobarse su autenticidad y validez?
Se exige siempre su presentacin?

Control de acceso atendido

Si no son utilizadas barreras fsicas para permitir el acceso, toda la

seguridad queda en manos de la confianza y efectividad del trabajo
del vigilante.
 Control de acceso desatendido
Algo que tenemos:

No se comprueba la identidad de la persona, tan solo la utilizacin

del elemento que autoriza el acceso.

La posesin de diferentes tipos de llaves es el mtodo ms

utilizado.
Es infranqueable esta barrera?

http://www.lockpicking101.com

Control de acceso desatendido

Algo que tenemos: tarjetas electrnicas

Gran variedad de formatos, banda magntica,

RFID, Chip criptogrfico

Segn su tecnologa, ms difcil su falsificacin o copia.

Permiten controlar de forma centralizada los accesos autorizados.
Pueden ser anuladas en caso de perdida, robo.
Pueden requerir la utilizacin de un PIN o biometra.
 Control de acceso desatendido
Algo que sabemos

Introducimos un PIN o contrasea para validar el acceso, se

considera ms robusto que la utilizacin de una llave, pero

Estamos seguros que nadie, ni nada nos observa

mientras lo tecleamos?
Llevamos el PIN anotado en algn lugar?
Cmo podemos asegurar que la persona autorizada
no lo ha comunicado a nadie ms?

Control de acceso desatendido

Algo que somos: biometra

Identifica a un usuario por alguna de sus caractersticas nicas,
como la voz, rostro, iris, retina, huella, firma,
 Caractersticas de los sistemas biomtricos

La escalabilidad del sistema.

nmero diario de requerimientos de identificacin.
procesado en un tiempo muy corto.
Soporte a grandes bases de datos.
Sistema robusto, tolerante a fallos de hardware.

Valores de ejemplo para un sistema de alto rendimiento de

reconocimiento de huella digital

Resolucin mnima del lector biomtrico: 250 dpi

Tiempo de proceso de la huella: < 1sg
Velocidad de comparacin: 60 huellas/sg
Tamao del registro en la Base de Datos: 600 bytes
Tamao mximo de Base de Datos: ilimitado

Control de acceso desatendido

Algo que hacemos: comportamentales

Identifica a un usuario por la forma nica y personal de comportarse
al hablar, escribir, caminar,

http://bendrath.blogspot.com/2006/10/you-are-what-you-do-behavioural-data.html

COMPORTAMENTALES:

Voz
Forma de firmar
Forma de teclear
Forma de caminar
 Control de presencia
En ocasiones es necesario controlar la presencia de personas en
determinados lugares donde se requiere una mayor seguridad.
La tecnologa ms empleada es la video-vigilancia

Actualmente comienza a implantarse el seguimiento y control

mediante dispositivos de Radio Frecuencia (RFID) que posibilitan
la trazabilidad continua de objetos o personas

Control de presencia
Los sistemas de doble puerta evitan la entrada de ms de una
persona simultneamente.

Pero
Tenemos la certeza de que no existen
otros lugares de acceso?
Controles de acceso lgico

Sistemas basados en claves de acceso

Sistemas basados en claves de acceso

Es el mtodo ms utilizado, incluido en todas las opciones

de autenticacin de S.O. y/o apliaciones. (Telnet, FTP,
HTTP, Email, ...)

Su fiabilidad se basa en la robustez de la poltica de

contraseas a seguir definiendo aspectos como:

Longitud mnima de la contrasea

Complejidad de la contrasea (caracteres utilizados)
Vigencia de la contrasea
 Sistemas basados en claves de acceso

Complejidad de la contrasea

Combinacin de letras nmeros y caracteres especiales.

No debe ser nunca una posible palabra de diccionario.
Debe de cambiarse de contrasea peridicamente y no es
conveniente admitir contraseas anteriormente utilizadas.

Resulta difcil su implementacin ya que para la

mayora de los usuarios seleccionar una
contrasea robusta no es tarea sencilla.

Sistemas basados en claves de acceso

Ejemplo de poltica de contrasea

Combinacin de 6 letras y nmeros.

Utilizando el alfabeto (a..z) y los nmeros naturales para construir la

contrasea, las diferentes combinaciones de una palabra de 6
letras son: 366=2.176.782.336
Un ordenador actual puede realizar todas estas combinaciones ! en
menos de 2 minutos!
 Sistemas basados en claves de acceso

Ruptura de contraseas
Ejemplo de descubrimiento por fuerza bruta.

Sistemas basados en claves de acceso

Ataque de diccionario
En la actualidad existen diccionarios en Internet de
numerosos lenguajes (ingls, francs, dans, ...) as como
materias diversas (literatura, msica, cine,...)
Por ello, seleccionar una contrasea de diccionario
implica su descubrimiento ! en segundos !.
 Sistemas basados en claves de acceso

Comportamiento usuarios

El mayor problema surge en la actitud de muchos usuarios

y su incapacidad de generar un password adecuado y ! recordarlo !
As, es frecuente que los usuarios:

Anoten y tengan a mano las contraseas que deben utilizar.

Traten de evadir la complejidad de la contrasea:

(Ej: mnimo 7 caracteres, obligatorio letras, nmeros y caracteres.)

Contrasea para Enero: pepe01!

Contrasea para Febrero: pepe02!

Sistemas basados en claves de acceso

captura de las contraseas

Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el par

Usuario/contrasea como control de acceso.

Estos servicios no utilizan cifrado en la comunicacin por lo que

Son fcilmente interceptados mediante un sniffer
 Sistemas basados en claves de acceso

Opcin recordar contraseas.

Utilizar la opcin de recordar contraseas en el equipo local

puede permitir extraer sin dificultad todas las contraseas.

Sistemas basados en claves de acceso

Keyloggers

Existen tambin numerosas aplicaciones software/hardware que

registran las pulsaciones efectuadas en el teclado
 Sistemas basados en claves de acceso

Ejemplo de captura por software la sesin de un usuario:

Sistemas basados en Tokens

Basados en la posesin de una tarjeta, token, ...

Hay que tener en cuenta:

* No prueba quien es la persona que tiene la prenda

* No autorizan a los individuos, sino a las prendas
* Si se extrava otra persona podra llegar a utilizarla
(conociendo el PIN de acceso)
 Tarjetas SmartCard

Dos categoras: contacto y RFID

contact smart card requiere introducirla en un

lector con una conexin directa a un micromdulo
conductor en la superficie de la tarjeta.

RFID card requiere proximidad al lector (unos 10

cm). Ambos (lector y tarjeta) tienen una antena y su
comunicacin se produce por radiofrecuencia.

Tarjetas SmartCard

Caracteristicas del chip

- Una CPU entre 8 bit hasta 32 bits

- ROM o Flash memory que contiene el chip del sistema operativo
- RAM que sirve de almacenamiento temporal de datos
- EEPROM que se usa para almacenamiento de datos de usuario
- Al menos un puerto serie
- Un generador nmeros aleatorios
- Timers
- Opcionalmente un motor criptogrfico
- Controladores para otros dispositivos.
 Tarjetas SmartCard

Contenido que puede ser almacenado en una smartcard

1. Combinacin de usuario/password para diferentes servicios

2. Credenciales de usuario/password para S.O.
3. Certificados Digitales
4. Certificados Raiz

Tokens USB

- Similares a las smartcard, pero no requieren lector adicional,

tan solo un puerto USB (previa instalacin del driver y software
Correspondiente).

- Pueden almacenar valores de

autenticacin genricos o
Configurarse especficamente
para soporte PKI
 Tokens USB

Configurados con soporte PKI permiten almacenar un certificado en

formato PKCS12 (clave privada+clave pblica) que permiten:

Login automtico
Certificado de usuario para autenticacin Web y firma electrnica

Dispositivos biometricos

Se clasifican segn la
Tecnologa Biomtrica:

FISIOLGICAS: COMPORTAMENTALES:

Voz
Huella dactilar
Forma de firmar
Iris
Forma de teclear
Cara
Forma de caminar
Geometra de la mano
Semntica escritura
Retina
Forma de las venas
ADN
 Dispositivos biometricos

Aplicacin para recogida de huellas digitales

Sistemas One Time Password

Permiten utilizar una contrasea diferente cada conexin que caduca

una vez utilizada.
Anula los intentos de captura de contraseas mediante keyloggers,
cmaras ocultas, etc.
La contrasea es generada por un dispositivo porttil que est
sincronizado con el servidor de autenticacin central.
 Esquema de conexin OTP

Servidor RAS
-W2000-

Firewall

Autenticacin RAS

Consulta Radius

Consulta LDAP
Servidor Radius Directorio Activo
-ActivCard- -W2003-

Gracias por su atencin