Seguridad informática

Santiago Cavanna.
CA Argentina, ISSA Argentina.
CISSP – ISC2
GSEC – SANS
Santiago.cavanna@gmail.com
 Agenda

Primera parte ( 30 minutos )

Segunda parte (15 Minutos )

Cuanto necesitamos saber sobre seguridad
informática?

Hackers-firewalls?
Virus-antivirus?
Spyware-antispyware?
Phishing?
Spam-antispam?
Control de contenidos/parental?
Encripcion, certificados y firmas digitales?
Backup, ServicePacks, Hotfix?
Test de intrucion y analisis de
vulnerabilidades?
Autenticacion y control de accesos?
VPN, Wireless, Routers, DNS, IP, FQDN?
Integridad, Privacidad?
 Definiciones mínimas

Redes de comunicación informática

Servidores, servicios y aplicaciones
Aplicaciones cliente-servidor,
Aplicaciones Web.
Puesto de trabajo o PC Hogareña.
Internet y proveedores de Internet
Proveedores de contenido.
Datos e Información
 Diferencias entre hogar-empresa

Sistemas monousuario Sistemas multiusuario

Procesamiento y Sistemas distribuidos
repositorio en el mismo Comunicación entre
“sistema” subsistemas +
Comunicación comunicación
unidireccional al exterior bidireccional al exterior
del sistema del sistema.
Administración de Administración de
identidades inexistentes identidades centralizada.
o mínimas Sistemas de seguridad
Sistemas de seguridad internos, de relación y
internos y de perímetro. perímetro.
Consolidación de todos Segregación de
los roles sobre el mismo funciones y
usuario especialialidades
(perfiles y roles).
 Bits (datos) < Información

Sistemas de información
Personas, Procesos, Tecnologías.
Procesamiento, Transporte,
Almacenamiento.
Dueños, Custodios, Usuarios.

Definición de activos de información.

Información deducida
Información inferida.
 Principios de Seguridad de la
Información

Integridad
Disponibilidad
Confidencialidad
 Principios complementarios

Autenticación
Autorización
Auditoria
No repudio
 Análisis y gestión de riesgo

Análisis de riesgo
Identificación y clasificación de activos
Análisis de vulnerabilidades sobre los activos
informáticos
Análisis de amenazas (impacto y probabilidad)
Análisis de tratamiento del riesgo (actual y futuro
deseado en función de niveles de aceptación de riesgo)
Características de los sistemas de información
Vulnerabilidades
Técnicas, administrativas o de procedimiento.
Amenazas
Declaradas o no declaradas.
Incidentes de seguridad.
Ataques dirigidos
Ataques no dirigidos
Tratamiento del riesgo.
Mitigacion del riesgo.
Transferencia del riesgo
Aceptación del riesgo
Ejemplos de amenazas y su impacto.

No Dirigidos
Virus - Integridad, Disponibilidad
Spyware – Confidencialidad
Spam – Disponibilidad
Dirigidos:
Intrusiones – Disponibilidad, Integridad,
Confidencialidad.
Abuso de privilegios – Integridad,
Confidencialidad.
Robo de equipos, repositorios o sistemas de
información completos.
Incidentes de seguridad informática

Daño directo
Perdida de información.
Perdida de la capacidad de procesar,
comunicar o almacenar información.
Impacto sobre la imagen interna o externa
sobre confiabilidad.
Daño indirecto
Consecuencias legales
Penales
Civiles
Comerciales
Costos (regeneración, recuperación y carga,
resarcimiento a terceros por daños)
Tratamiento del riesgo: Mitigacion

Contramedidas
Administrativas
Políticas de seguridad de la información.
De procedimiento
Normas, estándares, procedimientos.
Tecnológicas.
Gestión de identidades y control de acceso
Gestión de amenazas
Gestión de información de seguridad.
 Mitigacion de riesgo: Tecnológicas
organizaciones
Amenazas contra la integridad.
Controles de acceso basado en perfiles con privilegios limitados, antivirus,
IDS, IPS, Firewalls (local y perímetro), sistemas de control de cambios,
actualizaciones del fabricante y configuraciones basadas en mejores
practicas.
Amenazas contra la Disponibilidad.
Redundancia, Respaldo (backup), análisis de integridad (base de datos),
capacidad para recuperación de servicios en modo contingente (BCP, DRP).
Amenazas contra la confidencialidad.
Controles de acceso basado en perfiles, segregación de funciones, auditoria
y análisis de información de seguridad (quien accedió a que y por que?)
Antivirus, antispyware, control de contenido (trafico saliente de datos).
Firewalls (locales y de perímetro), VPN.
IDS, IPS + Análisis e inventario de software presente en los sistemas.
Encripcion de la informacion en puestos de trabajo y servidores.
Control sobre dispositivos de almacenamiento y respaldo
Caja fuerte para los respaldos
Control sobre uso de dispositivos y medios de grabación (Discos USB, CDs, DVD, Palms,
Tel, Impresoras, etc)
Amenazas mixtas
Control de acceso físico a equipos de procesamiento, almacenamiento o
comunicaciones.
Control sobre la capacidad de inferencia a partir de documentos
intercambiados, impresos, desechados, etc
 Mitigacion riesgo para usuarios
hogareños.
Amenazas contra la integridad.
Elección de un sistema operativo que exija autenticación de
usuarios y acepte múltiples perfiles ( si el equipo es compartido)
Antivirus, antispyware y Firewalls (local, configurado para no
exponer información a Internet), actualizaciones del fabricante
del SO y las aplicaciones.
Amenazas contra la Disponibilidad.
Respaldos periódicos (semanales o mensuales)
Redundancia, Respaldo (backup), análisis de integridad (base de
datos), capacidad para recuperación de servicios en modo
contingente (BCP, DRP).
Amenazas contra la confidencialidad.
Controles de acceso basado en perfiles, segregación de funciones
(usuarios sin privilegio de acceso a información sensible, por
ejemplo, familiares, colegas, empleados, etc)
Antivirus, antispyware.
Firewalls (locales), VPN (si se requiere el acceso a redes
confiables sobre las que habra intercambio de información y
acceso a sistemas cliente-servidor o aplicaciones web de intranet.
Encripcion de información en puesto de trabajo.
Control sobre los respaldos (caja fuerte) y los medios de
almacenamiento de informacion (CDs, DVDs, Discos USB,
Teléfonos, etc.)
Control sobre documentos impresos, documentos desechados.
 Recomendaciones

Pregunte
Cuales son los activos de valor?
Para quien tienen valor?
Que grado de responsabilidad tiene usted sobre ese
activo/valor?
Cuales son las consecuencias de un incidente
de perdida de confidencialidad, integridad o
disponibilidad?
Que tipo de daño directo o indirecto podría derivar de
ese incidente.
Cual es el resultado del análisis de riesgo
sobre esos activos?
 Recomendaciones (cont)

Analice:
El riesgo es aceptable?
quien es responsable por esa
decisión?
Si el riesgo no es aceptable.
¿Cuales son los planes para dar
tratamiento a esos riesgos?
En que tiempo se implementaran
esos planes?
Que pasara mientras tanto?
 Recomendaciones (final)

Tecnologías recomendadas para usuarios.

Antivirus, Antispyware, Antispam (vigentes y actualizados
diariamente)
Personal firewall.
Encriptación de datos. (discos fijos y removibles)
Encriptación de la comunicación (transporte y/o contenido)
Sistema operativo con perfiles restrictivos
Actualizaciones (parches) para Sistema Operativo y todas las aplicaciones.
Backup (y resguardo de los medios de almacenamiento)
Control físico sobre los equipos (bajo llave y con precintos)
Segregación de funciones y espacios de trabajo (si hay varios
usuarios utilizando un mismo sistema)
IDS/IPS (para el caso de usuarios de red) + procedimientos de
respuesta a incidentes.
 Responsabilidades de una
organización en relación a la TI-SI.

Existencia de una política de seguridad

informática.
Donde se indique explícitamente el uso
adecuado de los activos de información y los
sistemas relacionados.
Donde se indique la necesidad, interés y
voluntad de identificar y mitigar los riesgos
sobre los activos de información,
responsabilidades de cada integrante de la
organización y penalidades relacionadas.
Existencia de mecanismos de identificación y
mitigacion de riesgo, control y respuesta
frente a incidentes.
 Pornografia Infantil

Tratamiento desde el Area de

Seguridad Informatica
 Pornografía Infantil: Seguridad
Informática

Aspectos legales.
No serán tratados en esta presentación.
Capacidad tecnológica.
Control de contenido
Sobre el intercambio de información.
Sobre repositorios de datos.
Análisis “forense”
Reconstrucción de una transacción
Tratamiento de evidencias.
Control de Acceso
Sistemas y repositorios
Control de Identidades
Autorización y No repudio.
 Control de contenido

Herramientas con capacidad de filtrado de contenido

En función de su origen.
En función de su categorización.
En función de su contenido explicito.
Herramientas para empresas.
Alineadas con la política de seguridad corporativa
Administradas centralizadamente.
Herramientas para usuarios hogareños.
Alineadas con la necesidad del usuario.
Administradas localmente. (perfiles)
La pornografía recibe un tratamiento diferencial sobre
otros “contenidos” no permitidos dentro de una
organización.
 Control de acceso y uso

Local
Empresas
Acceso a redes
Acceso a sistemas (Operativos y Aplicaciones)
Hogareños
Acceso a sistemas (Operativo y Aplicaciones)
De perímetro
Empresas
Zonas de seguridad (perímetro externo y perímetros
departamentales)
Hogareños
Perímetro externo.
 Análisis Forense

Qué es la Informática Forense?

En el sentido mas estricto, y citando la definición
brindada por el FBI, la Informática Forense es la “Ciencia
de Adquirir, Preservar, Obtener y Presentar datos que
han sido procesados electrónicamente y almacenados en
un medio computacional”.
Desde el punto de vista practico, generalmente la
informática forense basa su trabajo en la investigación
de un sistema computacional, con el objeto de
determinar las causas de un incidente de seguridad
ocurrido con anterioridad.
Es fundamental remarcar que la “Informática Forense”
no aplica sino hasta después de acontecido un incidente.
Metodologia estandar
Identificación
Adquisición
Autenticación
Análisis
Presentación
 Conceptos Importantes

Evidencia
Cualquier información de valor probatorio.
Cualquier tipo de dato digital que pueda ayudar a demostrar que se ha
cometido un ilícito, o bien que permita establecer un vínculo entre el ilícito,
la víctima y el criminal (Frágil / Volátil)
Cadena de Custodia
Seguimiento a dar a la evidencia, con el objeto que esta no vaya a ser
alterada, cambiada o extraviada. (A tal efecto, los indicios deben ser
etiquetados y la persona que lo recibe deberá entregar a cambio una
constancia o cargo). Adicionalmente, la cadena de custodia supone que la
evidencia se mantiene en un lugar seguro al cual solo tiene acceso personal
facultado para ello.
Bitácora / Archivo de Hallazgos
Documento utilizado a efectos de llevar un historial de todas y cada una de
las actividades realizadas durante el proceso de Análisis Forense. (Objetivo:
Caso Reproducible)
Línea de Tiempo
Método de representación gráfica, respecto de los diferentes hechos y
eventos relevantes, asociados con la investigación-Reconstrucción de los
hechos a partir de los atributos de tiempo de los archivos, de forma tal que
los mismos puedan ser correlacionarlos con el objeto de enriquecer la
evidencia.
Imágenes
Imagen o replica exacta de todos los objetos de datos contenidos en los
elementos físicos originales. A menudo referida como copia
bit a bit.
Comprobación de Integridad
Proceso por el cual es posible verificar en cualquier momento, la validez de
la evidencia digital recogida. (Sumas de Control: MD5/SHA)
 Mitos, Prejuicios y suposiciones.

Expectativa de confidencialidad y
anonimato
Eliminación de archivos
Control de contenido
En transporte
En repositorios
Trazabilidad y análisis de causa raíz.
Logs de transacción, cache, archivos
temporales y repositorios secundarios
Hackers y herramientas disponibles en
internet.
Política de disponibilidad publica.
Control de acceso e identidades

Las organizaciones tiene la capacidad de:

Implementar controles de acceso y gerenciar
las identidades!
Guardar registros de accesos y transacciones.
Sancionar a quienes no cumplan las políticas
de seguridad
Las organizaciones tienen obligaciones legales y
regulatorias, para gerenciar correctamente estas
herramientas y la información resultante de las
mismas.
Para protegerse de consecuencias legales
sobre danos a terceros
Para proteger a sus propios empleados
Para proteger el “negocio” de la organización.
 Conclusiones Finales

Actualmente pocas organizaciones alcanzan el

nivel de madurez en términos de seguridad de la
información.

Actualmente pocos usuarios de tecnología son

concientes de las amenazas directas o indirectas
a las que están expuestos o exponen a terceros.

Tecnológicamente existen herramientas y buenas

practicas tanto para el análisis de riesgo como
para la mitigación del mismo.

La tecnología esta tanto al alcance de quienes

tienen intenciones Licitas, como de quienes
tienen intenciones no licitas.

GAP cultural (analfabetismo tecnológico) es uno

de los mayores desafíos de nuestra época.
 Legislaciones vigentes

11723 - Propiedad Intelectual30-sep-1933

25036 - Propiedad Intelectual (Modifica 11723)14-oct-1998
25326 - Habeas Data02-nov-2000
Decreto 165/1994 - Propiedad Intelectual - Proteccion de Software03-feb-1994
Ley 24624 - Presupuesto General de la Administración Nacional 199629-dic-1995
Decisión Administrativa 43/1996 - Uso de Tecnología. Valor Juridico – Reglamentación
07-may-1996
Ley 24766 - Ley de Confidencialidad30-dic-1996
Ley 25506 - Firma Digital14-dic-2001
Decreto 2628/2002 - Reglamentación Firma Digital20-dic-2002
Disposición 5/2002 - Documentación Técnica de la Autoridad Certificante de la ONTI06-
may-2002
Artículo 5 - Constitución Nacional24-jul-2006
Proyecto 5864 Delitos Informáticos10-oct-2006
Decisión Administrativa 6/2007 Firma Digital12-feb-2007
Infraestructura de Firma Digital (Anexo I)12-feb-2007
Res. Nº 81/99 - SFPCreación del ArCERT, Coordinación de Emergencias en Redes
Teleinformáticas de la Administración Pública Argentina.

Dec. Adm. 669/04Política de Seguridad de la Información. Los organismos del Sector Público
Nacional comprendidos en los incisos a) y c) del art.8 de la ley N° 24.156 y sus modificatorias
deberan dictar o adecuar sus politicas de seguridad. Conformacion de Comités de Seguridad de la
Informacion. 
Disp. 6/05 - ONTI Política de Seguridad de la Información Modelo. Aprobación.
Res. 45/05 - SGPPolítica de Seguridad de la Información. Facúltase al Director Nacional
de la ONTI a aprobar la Política de Seguridad de la Información Modelo y dictar las
normas aclaratorias y complementarias que requiera la aplicación de la Dec. Adm. Nº
669/2004.
 Notas y Referencias.

La sección de análisis forense, esta basada en la presentación de Hernán Marcelo Racciatti de la 5ta Jornada ISSA
Argentina de seguridad de la información. http://www.hernanracciatti.com.ar

Fuentes confiables de información sobre legislación y regulaciones.

http://www.segu-info.com.ar/legislacion/
http://infoleg.mecon.gov.ar/basehome/areas_informaticas.htm
http://www.alfa-redi.org/privacidad/legislacion.shtml

•Seguridad para todos: Cruzada contra el fraude informático

•http://www.segu-info.com.ar/cruzada/