Está en la página 1de 31

PROTEGIENDO LA INFORMACION DE SU EMPRESA

Agenda:
Introduccin a la seguridad Informtica Conceptos bsicos Situacin actual Vulnerabilidades consecuencias tendencias Que hacer? Algunos pasos hacia la seguridad de la informacin e-Seguridad Elementos bsicos y efectos Efectos reales sobre la empresa

Conectado o desconectado?
No podemos aceptar esa afirmacin popular que dice que el computador ms seguro ... A pesar de todas las amenazas del entorno que, como veremos, sern muchas y variadas.

... es aquel que est apagado y, por tanto, desconectado de la red.

Conciencia de las debilidades?


Internas o Externas amenazas

La seguridad informtica ser un motivo de preocupacin. ... y las empresas, organismos y particulares comienzan a tener verdadera conciencia de su importancia.
4

Conceptos bsicos de Seguridad Informtica.

El mundo de la seguridad Informtica:


Administracin Seguridad Firewall y admon Auditora y Administracin de administracin de de riesgos fsica de la conectividad la continuidad del logs negocio Cifrado y administracin de llaves Respuesta a incidentes y administracin de Administracin crisis Confidencialidad Disponibilidad de passwords Autenticacin y control de acceso Registro y administracin de certificados Seguridad del personal Monitoreo y deteccin de intrusos

Integridad

Prevencin y deteccin de virus


Pruebas de penetracin
5

Arquitectura de seguridad

Administracin de la infraestructura de seguridad

Conceptos bsicos de Seguridad Informtica.

La seguridad Informtica preserva:


Confidencialidad Integridad Disponibilidad Auditabilidad Rastreabilidad

A travs de servicios:
Control de acceso Cifrado/descifrado Autenticacin Polticas Procedimientos Conciencia Planificacin Entrenamiento
6

Que se traducen en: Certificados, Firmas digitales, algoritmos de ciifrado/descifrado, etc.

Conceptos bsicos de Seguridad Informtica


Problemas: Falta de conciencia de los usuarios finales Presupuesto Falta de apoyo de la alta gerencia Falta de entrenamiento Responsabilidades no claras Falta de herramientas Complejidad tcnica Falta de estndares Falta de personal de seguridad competente Aspectos legales

Fuente: Infosecurity news


7

Conceptos bsicos de Seguridad Informtica


Porqu es importante la seguridad informtica:
Informacin es un recurso esencial para todos las organizaciones Compartir informacin es una prctica comn hoy y continua incrementandose La informacin es uno de los principales activos de la organizacin La disponibilidad, integridad y confidencialidad de la informacin puede ser crtica para el xito de la organizacin Provee nuevas oportunidades de negocio Asegura lealtad de los clientes Se percibe como un valor agregado ??

Conceptos bsicos de Seguridad Informtica

El nuevo rol de la seguridad informtica:


Afecta a todos de manera permanente Promueve en vez de inhibir nuevas tecnologas Se centra en proteger flujos en lugar de stocks informacin Parte integral de cualquier negocio (requerimiento) Mejora la imagen Las tecnologas de seguridad pueden transformar su negocio

Situacin Actual
SOCIOS RED COMPARTIDA SITIOS ADMINISTRADOS POR OTRAS COMPAIAS PERIMETRO SEGURIDAD DE LA COMPAIA

REDES OTRAS COMPAAS

USUARIOS - COMPUTADORES
ACCESO REMOTO

FUERA DE CONTROL
10

Problemas de la situacin actual:

Inexistencia de fronteras fsicas. Protocolo de comunicaciones TCP/IP. Gran cantidad de hackers. Anonimato en Internet. Informacin fluye en claro. Errores en el diseo de los programas. En general, sensacin de inseguridad en el uso de internet

11

Principales vulnerabilidades en internet.


Control inadecuado de acceso a routers. Puntos de accesos remoto sin debida proteccin. Cuentas de usuarios con privilegios excesivos. Vulnerabilidades en aplicaciones. Falta de polticas de seguridad. Excesivos mecanismos de control de acceso. Falta de capacitacin Mala calidad de paswords. Mantener servicios innecesarios activos. Fuga de informacin por SNMP, SMTP, Netbios, DNS. Capacidades inadecuadas o inexistentes de logging, monitoreo y reaccin ante incidentes.
12

Soluciones Tecnolgicas.
Gran variedad de productos tales como PKI, SSL, VPN, cortafuegos, IDS, etc. Parches de seguridad (los que se preocupan), con algunas vulnerabilidades an. Metodologas y modelos de control (COSO-CobIT).

13

La realidad en algunas estadsticas.....

50000 45000 40000 35000 30000 25000 20000 15000 10000 5000 0
19 88 19 90 19 95 19 98 19 99 20 00 20 01

Numero de incidentes

Fuente: Computer Emergency Response Team, Diciembre 2001.

14

La realidad en algunas estadsticas.....


Otros Seguridad 5% Fsica 4% Codigo malicioso 26%

Denegacin de servicio 20%

Exploits 20% Perdida Privacidad 25%

Fuente: Computer Emergency Response Team, Diciembre 2001.

15

Consecuencias:
Robo. Dinero, informacin empresarial relevante para el

negocio, propiedad intelectual, recursos digitales, etc.

Prdida de productividad. Corrupcin de datos, gastos extras para recuperarSE de


emergencias imprevistas.

Prdidas indirectas. Dao de imagen corporativa, prdida de confianza, etc. Exposicin legal. Incumplimiento de contratos, incumplimiento de compromisos
de confidencialidad, actividad ilegal de usuarios en los sistemas.

16

Tendencias.
Crecimiento explosivo de internet, millones de dispositivos conectados en forma permanente. Poca claridad en las fronteras de las empresas, proveedores, clientes, impulsado por nuevos modelos de negocios. El apuro de las empresas por lanzar productos al mercado sacrificar su calidad y seguridad.

17

Por dnde empezamos?

El fundamento de una buena seguridad reside en conocer la sensibilidad y/o criticidad de los Activos que se desean proteger: Clasificacin de Informacin. Anlisis de Riesgos

18

Clasificacin de Informacin
Niveles de valoracin (Confidencial, interno, pblico). Activos fsicos y lgicos Ejemplos: Nmeros de tarjetas de crdito (BD) Planos de una constructora (CAD) Resultados clnicos de un paciente (aplicacin vertical) Portal transaccional (html) Transacciones contables (sistema contable, mdulo de un ERP, etc.) Remuneraciones (aplicacin o mdulo de un ERP)
19

Anlisis de Riesgos
El objetivo principal de realizar un estudio de anlisis de riesgos es determinar el mximo nivel permitido de riesgos que una organizacin est dispuesta ha soportar, as como determinar los controles pertinentes para proteger los recursos de las amenazas y vulnerabilidades existentes. Es una tcnica que se utiliza para determinar el nivel de proteccin requerido para aplicaciones, sistemas, localidades fsicas y cualquier recurso de la empresa, previniendo la ocurrencia de amenazas. Es un estudio sistemtico de las amenazas potenciales a los sistemas y a la informacin, que afectan la confidencialidad, integridad y disponibilidad de la informacin.

20

Riesgo
En el contexto anterior, el riesgo cuenta con los siguientes elementos: Vulnerabilidad y amenaza Impacto en los recursos Probabilidad de ocurrencia de las amenazas (combinacin de la probabilidad y frecuencia de ocurrencia).

Procesos

Infraestructura

Personas Tecnologa Estrategia

21

Tipos de controles
En cada dimensin existen controles: Amenazas Vulnerabilidad Incidente Dao

Preventivos Detectivos Correctivos

22

Ejemplos de controles
Renovacin peridica de passwords Detector de intrusos Antivirus Bitcora de acceso al site Mails cifrados VPNs Dar mantenimiento preventivo a los servidores. Estar dado de alta en las listas de mail, para conocer los nuevos bugs detectados. Actualizacin de los sistemas operativos. Depuracin constante de los servidores.

23

ALGUNOS PASOS EN LA SEGURIDAD DE LA INFORMACION

24

Economa de la informacin? (New Economy)


No se trata de tecnologa o mejoras marginales de la productividad de procesos ya establecidos de negocios o administrativos. Se trata de las nuevas herramientas que posibilitan nuevos modelos de negocios, estructuras industriales y formas de organizacin. Tecnologas de la informacin Revolucin o Evolucin de las e ?

25

Elementos Esenciales de Seguridad (ampliado al e-Security)


Asegura la confianza total Elimina la negacin de una transaccin vlida Protege los datos de cambios no autorizados Provee la base subyacente a toda la e-Security
26

Protege datos contra observacin no autorizada


Verifica la identidad de usuarios

Elementos de la seguridad informtica (1)

Confidencialidad
Los componentes del sistema son accesibles slo por los usuarios autorizados.

Integridad
Los componentes del sistema slo pueden ser creados y modificados por los usuarios autorizados.

Disponibilidad
Los usuarios deben tener disponibles todos los componentes del sistema cuando as lo deseen.
27

Elementos de la seguridad informtica (2) No Repudio


Este trmino se ha introducido en los ltimos aos como una caracterstica ms de los elementos que conforman la seguridad en un sistema informtico. Est asociado a la aceptacin de un protocolo de comunicacin entre emisor y receptor (cliente y servidor) normalmente a travs del intercambio de sendos certificados digitales. Se habla entonces de No Repudio de Origen y No Repudio de Destino, forzando a que se cumplan todas las operaciones por ambas partes en una comunicacin.
28

Amenazas del sistema


Las amenazas afectan principalmente al Hardware, al Software y a los Datos. Estas se deben a fenmenos de:
Interrupcin Interceptacin Modificacin Generacin

Flujo Normal

Interrupcin

Interceptacin

Modificacin

Generacin

29

El tringulo de debilidades
Interrupcin (prdida) Interceptacin (acceso) Modificacin (cambio) Generacin (alteracin)

Los datos sern la parte ms vulnerable del sistema.

DATOS SW
Modificacin (falsificacin) Interrupcin (borrado) Interceptacin (copia)

HW
Interrupcin (denegar servicio) Interceptacin (robo)

30

Efectos reales:
Proteccin datos personales Ley 19.628. Propiedad Intelectual Ley 17.336. Figuras Penales Ley 19.223. Documento y firma electrnica Ley 19.799. SBIF

Captulo 1-7 Transferencia Electrnica de Informacin y Fondos....Requisitos que deben cumplir los sistemas utilizados....perfil de seguridad Captulo 1-13 Clasificacin gestin y Solvencia ....Administracin Riesgo Operacional y Tecnolgico ...continuidad operacional Aplicacin Ley 19.812 Informacin sobre deudores........medidas para el resguerdo de datos.

31

También podría gustarte