Está en la página 1de 39

UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO

INGENIERIA DE SISTEMAS

GESTIN DE LA SEGURIDAD
SEGURIDAD INFORMATICA
M.A. Ing. Robert E. Puican Gutirrez
Lambayeque Per

PROTECCIN LGICA Y FSICA DE LOS DATOS


Los datos deben protegerse aplicando: Seguridad Lgica

Seguridad Fsica

Uso de herramientas de proteccin de la informacin en el mismo medio en el que se genera o transmite. Protocolos de autenticacin entre cliente y servidor. Aplicacin de estndares en redes, etc. En este apartado deben incluirse tambin las medidas de prevencin de riesgos a travs de la instauracin de polticas de seguridad, de planes de contingencia, la aplicacin de normativas, la legislacin vigente, etc.
Procedimientos de proteccin fsica del sistema: acceso personas, incendio, agua, terremotos, etc.

Ing Robert Puican Gutirrez

Seguridad Informtica

LA SEGURIDAD FSICA EN ENTORNOS DE PCS


Anclajes a mesas de trabajo. Cerraduras.

Tarjetas con alarma.


Etiquetas con adhesivos especiales. Bloqueo de disquetera.

Temas a tener en cuenta en un entorno de PC

Protectores de teclado.
Tarjeta de control de acceso al hardware. Suministro continuo de corriente.

Toma de tierra.
Eliminacin de la esttica... etc.
Seguridad Informtica

Ing Robert Puican Gutirrez

ANLISIS DE RIESGO: PLAN ESTRATGICO

Es el proceso de identificacin y evaluacin del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparndolo con el costo que significara la prevencin de este suceso. Su anlisis no slo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.
Chinchon Magerit

Existen estas herramientas para el anlisis de riesgo

Ing Robert Puican Gutirrez

Seguridad Informtica

INFORMACIN DEL ANLISIS DE RIESGO

Informacin que se obtiene en un anlisis de riesgo:


Determinacin precisa de los recursos sensibles de la organizacin. Identificacin de las amenazas del sistema. Identificacin de las vulnerabilidades especficas del sistema. Identificacin de posibles prdidas. Identificacin de la probabilidad de ocurrencia de una prdida. Derivacin de contramedidas efectivas. Identificacin de herramientas de seguridad. Implementacin de un sistema de seguridad eficiente en costes y tiempo.

Ing Robert Puican Gutirrez

Seguridad Informtica

ECUACIN BSICA DEL ANLISIS DE RIESGO


BPL?

B: es la carga o gasto que significa la prevencin de una prdida especfica debido a una vulnerabilidad. P: es la probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa prdida especfica. L: es el impacto o coste total que significa la prdida especfica debido a esa vulnerabilidad que ha sido afectada.

Ing Robert Puican Gutirrez

Seguridad Informtica

CUNDO Y CUNTO INVERTIR EN SEGURIDAD?


Si Si BPL Hay que implementar una medida de prevencin. BPL No es necesaria una medida de prevencin. ... al menos matemticamente. No obstante, siempre puede ocurrir una desgracia que est fuera de todo clculo como las consecuencias informticas en algunas empresas tras el 11 de septiembre. No obstante, no tiene sentido invertir ms dinero en la proteccin del bien que el valor de ste.

Ing Robert Puican Gutirrez

Seguridad Informtica

EFECTIVIDAD DEL COSTE DE LA MEDIDA

Las medidas y herramientas de control han de tener menos coste que el valor de las posibles prdidas y el impacto de stas si se produce el riesgo temido. Ley bsica: el costo del control ha de ser menor que el activo que se protege. Algo totalmente lgico y que tanto los directivos como los responsables de seguridad de la empresa debern estimar de forma adecuada a su realidad. En varios casos, el verdadero problema est en la dificultad de estimar de forma precisa el impacto econmico que puede suponer el hecho de que ocurra ese riesgo.

Ing Robert Puican Gutirrez

Seguridad Informtica

EL FACTOR L EN LA ECUACIN DE RIESGO


Factor L (en B P L)

El factor de impacto total L es difcil de evaluar. Incluye daos a la informacin, a los equipos, prdidas por reparacin, por volver a levantar el sistema, prdidas por horas de trabajo, etc. Siempre habr una parte de valoracin subjetiva.

La prdida de datos puede llevar a una prdida de oportunidades por el llamado efecto cascada.
En la organizacin debe existir una comisin especializada interna o externa que sea capaz de evaluar todas las posibles prdidas y cuantificarlas.

Ing Robert Puican Gutirrez

Seguridad Informtica

EL FACTOR P EN LA ECUACIN DE RIESGO


Factor P (en B P L)

El factor P est relacionado con la determinacin del impacto total L y depende del entorno en el que est la posible prdida. Como este valor es difcil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.

Una vez se conoce P para un L dado, se obtiene la probabilidad de prdida relativa de la ocurrencia PL que se comparar con B, el peso que nos supondra implantar la medida de prevencin respectiva.

Ing Robert Puican Gutirrez

Seguridad Informtica

EL FACTOR B EN LA ECUACIN DE RIESGO


Factor B (en B P L)

Indica qu se requiere para prevenir una prdida. Por ejemplo, puede ser la cantidad de dinero que vamos a disponer para mitigar la posible prdida.

Ejemplo: la carga de prevencin para que un sistema informtico minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalacin de software y hardware adecuado, un cortafuegos, un sistema de deteccin de intrusos, una configuracin de red segura, una poltica de seguimiento de accesos y de passwords, personal tcnico cualificado, etc. Todo ello importa una cantidad de dinero especfica.

Ing Robert Puican Gutirrez

Seguridad Informtica

CUANTIFICACIN DE LA PROTECCIN
BPL?

Cunta proteccin es necesaria?

En nuestro ejemplo: qu configuracin de red usar, en qu entorno trabajar, qu tipo de cortafuegos, etc. Eso depender del nivel de seguridad que nuestra empresa desee, crea oportuno o que nos imponga el mercado.
Una casa puede protegerse con puertas, cerraduras, barras de hierro en ventanas, sistemas de alarmas, etc. En un sistema informtico podemos aplicar protecciones fsicas, polticas de seguridad, control de accesos, planes de contingencia y de recuperacin, cortafuegos, IDs, uso de cifrado, autenticacin, firmas, pasarelas seguras, etc.

De qu forma nos protegeremos?


Ing Robert Puican Gutirrez

Seguridad Informtica

PASOS EN UN ANLISIS DE RIESGOS


1. Identificacin costo posibles prdidas (L) 3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar.

Se cierra el ciclo

Identificar amenazas B PL ?

2. Determinar susceptibilidad. La probabilidad de prdida (P)

Ing Robert Puican Gutirrez

Seguridad Informtica

ALGUNAS POLTICAS DE SEGURIDAD

Polticas administrativas

Procedimientos administrativos. Privilegios de acceso del usuario o programa. Normas bajo las cuales se comunican los sujetos dentro del sistema.

Polticas de control de acceso

Polticas de flujo de informacin

Ing Robert Puican Gutirrez

Seguridad Informtica

ASPECTOS ADMINISTRATIVOS

Polticas administrativas

Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel.

Se procede a la etapa de concienciacin.

Ing Robert Puican Gutirrez

Seguridad Informtica

CONTROL DE ACCESOS

Polticas de control de acceso

Poltica de menor privilegio Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios. Poltica de comparticin Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos. Granularidad Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
Seguridad Informtica

Ing Robert Puican Gutirrez

CONTROL DE FLUJO

Polticas de control de flujo

La informacin a la que se accede, se enva y recibe por: Canales claros o canales ocultos? Seguros o no?
Qu es lo que hay que potenciar? La confidencialidad o la integridad? La disponibilidad? ... El no repudio? Segn cada organizacin y su entorno de trabajo y servicios ofrecidos, habr diferencias. En algunos sistemas primarn unos ms que otros, en funcin de lo secreta que sea la informacin que procesan.

Ing Robert Puican Gutirrez

Seguridad Informtica

MODELOS DE SEGURIDAD

Modelo de Bell LaPadula (BLP)

Rgido. Confidencialidad y con autoridad. Orientacin comercial: integridad. Derechos especiales: tomar y otorgar.

Modelo de Clark-Wilson (CW)

Modelo de Take-Grant (TG)

Otros: modelo de Goguen-Meseguer (no interferencia entre usuarios); modelo de Matriz de Accesos (estados y transiciones entre estados: tipo Graham-Dennig; tipo HarrisonRuzzo-Ullman), Biba, Chinese Wall, etc.

Ing Robert Puican Gutirrez

Seguridad Informtica

MODELO DE BELL Y LAPADULA BLP

La escritura hacia abajo est prohibida.

La lectura hacia arriba est prohibida.


Es el llamado principio de tranquilidad.
No lectura hacia arriba usuario dado de alta con un nivel de secreto No escritura hacia abajo Secreto mximo Secreto No clasificado

Ing Robert Puican Gutirrez

Seguridad Informtica

MODELO DE CLARK WILSON CW

Est basado en polticas de integridad

Elementos de datos restringidos.

sobre stos debe hacerse un chequeo de consistencia.


Elementos de datos no restringidos. Procedimientos de transformacin.

trata los dos elementos.

Procedimientos de verificacin de integridad.


Seguridad Informtica

Ing Robert Puican Gutirrez

MODELO DE TAKE GRANT TG

Se describe mediante grafos orientados:

el vrtice es un objeto o sujeto. un arco es un derecho.

Se ocupa slo de aquellos derechos que pueden ser transferidos.

Cada poltica de seguridad informtica est pensada para fortalecer alguna propiedad de la informacin. Dado que este captulo es slo de introduccin, al lector interesado en estos temas se le recomienda la bibliografa que puede encontrar en los documentos a los que se haca mencin en la pgina web indicada en una diapositiva anterior.

Ing Robert Puican Gutirrez

Seguridad Informtica

CRITERIOS Y NORMATIVAS DE SEGURIDAD

Criterio de evaluacin TSEC

Trusted Computer System Evaluation Criteria, tambin conocido como Orange Book. Information Technology Security Evaluation Criteria. Common Criteria: incluye los dos anteriores. Desarrolla un protocolo de condiciones mnimas de seguridad informtica de amplio espectro.

Criterio de evaluacin ITSEC

Criterio de evaluacin CC

Normativa internacional 17799

Ing Robert Puican Gutirrez

Seguridad Informtica

CADENA DE RESPONSABILIDADES EN SEGURIDAD

Responsable de Fichero: es la entidad, institucin o persona jurdica que posee datos de carcter personal y que por tanto debe velar por la seguridad de ellos. Responsable de Tratamiento: es posible que la entidad anterior sea quien manipule los datos (gestin, copias de seguridad, etc.) o bien esta tarea la ejecute otra empresa. De ah que se diferencie entre estos dos responsables. Responsable de seguridad: persona o personas en las que el responsable de fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables.

Ing Robert Puican Gutirrez

Seguridad Informtica

LA NORMA ISO 17799 (UNE-ISO/IEC)

Presenta normas, criterios y


recomendaciones bsicas para establecer polticas de seguridad.

stas van desde los conceptos de


seguridad fsica hasta los de seguridad lgica.

Parte de la norma elaborada por la BSI,


British Standards Institution, adoptada por International Standards Organization ISO y la International Electronic Commission IEC.
Ing Robert Puican Gutirrez Seguridad Informtica

ENTORNOS DE LA NORMA ISO 17799


Se trata de un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin.

Antecedentes Introduccin Objeto y campo de la aplicacin Trminos y definiciones Poltica de seguridad Aspectos organizativos para la seguridad Clasificacin y control de los archivos Seguridad ligada al personal

Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestin de continuidad del negocio Conformidad

Ing Robert Puican Gutirrez

Seguridad Informtica

HISTORIA DE LA NORMA ISO 17799

Referencia: Gestin de Seguridad de la Informacin: UNE 71502, ISO17799. Autor: Antonio Villaln, septiembre de 2004.
Ing Robert Puican Gutirrez Seguridad Informtica

PLANES DE CONTINGENCIA

Un Plan de Contingencia consiste en un estudio y anlisis pormenorizado de las reas que componen la organizacin y que nos servir para establecer una poltica de recuperacin ante un desastre.

Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades.

Adems de aumentar su seguridad, con un plan estratgico la empresa tambin gana en el conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan.
Ing Robert Puican Gutirrez Seguridad Informtica

Desastres naturales y su prevencin

Desastres naturales

Huracn Tormenta Inundacin Tornado

Medidas prevencin

Emplazamientos adecuados
Proteccin fachadas, ventanas, puertas

Vendaval
Incendio Terremoto

Otros

Ing Robert Puican Gutirrez

Seguridad Informtica

VANDALISMO INFORMTICO Y SU PREVENCIN


Terrorismo Sabotaje Robo

Medidas de prevencin

Fortificacin de entradas Guardia Jurado Patrullas de seguridad Circuito cerrado TV Control fsico de accesos Proteccin de software y hardware con antivirus, cortafuegos, deteccin de intrusos, etc. Seguimiento de las polticas de seguridad de la empresa.

Virus
Chantaje informtico Programas malignos

Ing Robert Puican Gutirrez

Seguridad Informtica

AMENAZAS DEL AGUA Y SU PREVENCIN

Amenazas

Medidas prevencin

Inundaciones por causas propias de la empresa Inundaciones causas ajenas por

Revisar conductos de agua Emplazar la sala con los equipos ms caros en un sitio libre de estos problemas Instalar sistemas de drenaje de emergencia

Pequeos incidentes personales (la tpica botella de agua o taza con caf que se cae sobre el teclado...)

Concienciar a nuestros empleados


Seguridad Informtica

Ing Robert Puican Gutirrez

AMENAZAS DEL FUEGO Y SU PREVENCIN

Amenazas

Medidas prevencin

Una mala elctrica

instalacin

Detector humo y calor Materiales ignfugos Almacn de separado mquinas papel de

Descuidos personales como puede ser fumar en sala de ordenadores Papeleras mal ubicadas en la que se tira un cigarrillo no apagado

Estado del falso suelo Extintores revisados

Vulnerabilidades del sistema ante el humo


Seguridad Informtica

Ing Robert Puican Gutirrez

QU SUCEDE SI SE PRODUCE UN DESASTRE?

Las empresas dependen hoy en da de los equipos informticos y de todos los datos que hay all almacenados (nminas, clientes, facturas, ...). Dependen tambin cada vez ms de las comunicaciones a travs de las redes de datos.

Si falla el sistema informtico y ste no puede recuperarse, la empresa puede desaparecer porque no tiene tiempo de salir nuevamente al mercado con ciertas expectativas de xito, aunque conserve a todo su personal.
Seguridad Informtica

Ing Robert Puican Gutirrez

TIEMPOS DE RECUPERACIN ANTE DESASTRES

Segn diversos estudios el perodo mximo de inactividad que puede soportar una empresa sin poner en peligro su supervivencia es de:

Sector seguros: Sector fabricacin: Sector industrial: Sector distribucin: Sector financiero:

5,6 das 4,9 das 4,8 das 3,3 das 2,0 das

Si nos han dicho que nuestro banco tiene problemas de seguridad y no podemos mover nuestras cuentas, lo ms seguro es que cambiemos de banco al da siguiente.

Ing Robert Puican Gutirrez

Seguridad Informtica

PRDIDAS POR NO CONTAR CON PLAN ESTRATGICO


Prdida Prdida Prdida Prdida Prdida Prdida Prdida

de clientes.

de imagen.
de ingresos por beneficios.

de ingresos por ventas y cobros.


de ingresos por produccin.

de competitividad en el mercado.
de credibilidad en el sector.
Seguridad Informtica

Ing Robert Puican Gutirrez

MEDIDAS BSICAS ANTE UN DESASTRE

Plan de emergencia

Vidas, heridos, activos, evacuacin personal. Inventariar recursos siniestrados. Evaluar el coste de la inactividad.

Plan de recuperacin

Acciones tendentes a volver a la situacin que exista antes del desastre.

Ing Robert Puican Gutirrez

Seguridad Informtica

ALTERNATIVAS DEL PLAN DE CONTINUIDAD

Instalaciones alternativas

Oficina de servicios propia Acuerdo con empresa vendedora de HW y SW Acuerdo recproco entre dos o ms empresas Arranque en fro: sala vaca propia Arranque en caliente: centro equipado Sistema Up Start: caravana, unidad mvil Sistema Hot Start: centro gemelo

Algunas soluciones pueden resultar de muy alto costo. Su eleccin depender entonces de qu tan crtico sea ese plan de continuidad.

Ing Robert Puican Gutirrez

Seguridad Informtica

Cold site: es una ubicacin que no esta adecuada para operar. Esto significa que deben conseguirse desde muebles hasta computadores para que la operacin pueda iniciar de nuevo. Para este tipo de instalacin, debe realizarse un gran esfuerzo para que sea operable, lo cual se traduce tambin en una cantidad bastante considerable de tiempo. Los Cold sites son la opcin mas econmica de todas.

Ing Robert Puican Gutirrez

Seguridad Informtica

Warm

site: Es una ubicacin que esta tecnolgicamente lista y casi completamente equipada para iniciar operaciones, pudiendo estar completamente operacional en cuestin de horas. Como es de esperarse, esta opcin es mas costosa que un Cold Site.
Seguridad Informtica

Ing Robert Puican Gutirrez

Hot

site: Ubicacin que est completamente lista, pudiendo incluir si se desea hasta personal alterno para que realice las actividades que se suspendieron en el sitio original. Estas instalaciones pueden estar completamente operables en cuestin de segundos o minutos, siendo la opcin mas costosa de todas las disponibles.

Ing Robert Puican Gutirrez

Seguridad Informtica