Sensibilizacin en Seguridad Informtica Septiembre 2003
Sensibilizacin en Seguridad Informtica
Septiembre 2003 Enrique Witte Consultor ArCERT Coordinacin de Emergencias en Redes Teleinformticas Oficina Nacional del Tecnologas Informticas Subsecretara de la Gestin Pblica. Jefatura de Gabinete de Ministros.
ewitte@arcert.gov.ar - http://www.arcert.gov.ar Sensibilizacin en Seguridad Informtica Septiembre 2003 Siendo que la informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida. :: Qu se debe asegurar ? Sensibilizacin en Seguridad Informtica Septiembre 2003 La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc. :: Contra qu se debe proteger la Informacin ? Sensibilizacin en Seguridad Informtica Septiembre 2003
Confidencialidad: Se garantiza que la informacin es accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: Se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados con la misma toda vez que se requiera. :: Qu se debe garantizar ? Sensibilizacin en Seguridad Informtica Septiembre 2003 Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad. :: Por qu aumentan las amenazas ? Sensibilizacin en Seguridad Informtica Septiembre 2003 :: Por qu aumentan las amenazas ? Crecimiento exponencial de las Redes y Usuarios Interconectados Profusin de las BD On-Line Inmadurez de las Nuevas Tecnologas Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS) Tcnicas de Ingeniera Social Algunas Causas Sensibilizacin en Seguridad Informtica Septiembre 2003 Accidentes: Averas, Catstrofes, Interrupciones, ... Errores: de Uso, Diseo, Control, .... Intencionales Presenciales: Atentado con acceso fsico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicacin :: Cules son las amenazas ? Sensibilizacin en Seguridad Informtica Septiembre 2003 Interceptacin pasiva de la informacin (amenaza a la CONFIDENCIALIDAD). Corrupcin o destruccin de la informacin (amenaza a la INTEGRIDAD). Suplantacin de origen (amenaza a la AUTENTICACIN).
:: Amenazas Intencionales Remotas Sensibilizacin en Seguridad Informtica Septiembre 2003 Las tres primeras tecnologas de proteccin ms utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%) Los ataques ms comunes durante el ltimo ao fueron los virus informticos (27%) y el spammimg de correo electrnico (17%) seguido de cerca (con un 10%) por los ataques de denegacin de servicio y el robo de notebook. 1 :: Cmo resolver el desafo de la Seguridad Informtica ? El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas disponibles Fuente: Centro de Investigacin en Seguridad Informtica Argentina Sensibilizacin en Seguridad Informtica Septiembre 2003 SOBIG.F Segn Trend Micro, en los ltimos 7 das se infectaron 124.410 equipos en el mundo. Se dan todo tipo de cifras pero, evidentemente, estas son solo estimaciones pues, como siempre, nadie puede saber exactamente cuantas mquinas se han infectado y cuantos usuarios se han perjudicado por las tcnicas de spam que utiliza el virus. :: Ejemplo de problemas de Gerenciamiento ... I El virus, desde el punto de vista tcnico no contiene grandes novedades Incorpora archivos adjuntos de formato .PIF y .SCR, que son los que producen la infeccin al abrirse Sensibilizacin en Seguridad Informtica Septiembre 2003 SOBIG.F Todo esto provoca varias reflexiones: 1. Hoy en da, segn diversas encuestas publicadas, la gran mayora de las organizaciones cuentan con herramientas antivirus y existe la facilidad de actualizarlas va Internet 2. Dadas las proporciones del caso, todos los medios han difundido cantidades de mensajes y de alertas. Todos los Directores de TIs, Administradores de Red y dems responsables de sistemas informticos han tenido informacin profusa, donde se indicaba que lo ms peligroso era abrir los archivos adjuntos .PIF y .SCR . :: Ejemplo de problemas de Gerenciamiento ...II Sensibilizacin en Seguridad Informtica Septiembre 2003 SOBIG.F O sea, existan 3 medios importantes para evitar las infecciones masivas que se han producido:
:: Ejemplo de problemas de Gerenciamiento ...III Evidentemente esto no se ha hecho masivamente permitiendo, as, la rpida propagacin del virus y la pregunta que surge es Por qu? Por falta de informacin? Por falta de medios?... a)Bloquear la entrada de estos archivos a las Redes. b)Actualizar rpidamente sus antivirus. c)Emitir inmediatamente las directivas necesarias para que ningn usuario bajo su control activara los mismos. (o ya lo deberan saber ?) Sensibilizacin en Seguridad Informtica Septiembre 2003 :: Hasta ac .... Proteccin de la Informacin Confidencialidad Integridad Disponibilidad Amenazas Internas Externas Gerenciar Seguridad Informtica Sensibilizacin en Seguridad Informtica Septiembre 2003 PRESUPUESTO Presupuestos pesificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir La reduccin de inversin en TI en la Organizacin genera riesgos de Seguridad Informtica La reduccin de inversin en TI de clientes, proveedores y aliados, genera riesgos de Seguridad Informtica :: Pero tenemos mas ... Sensibilizacin en Seguridad Informtica Septiembre 2003
Redes nicas Concentracin de Servicios Telefnicos y Datos Problemas de Confidencialidad y Disponibilidad
:: Informtica y Comunicaciones = Sistema de Seguridad Sensibilizacin en Seguridad Informtica Septiembre 2003
Presentacin de Aspectos Legales :: Aspecto Legal Sensibilizacin en Seguridad Informtica Septiembre 2003 :: Seguimos con Seguridad Informtica .... Sensibilizacin en Seguridad Informtica Septiembre 2003 :: El xito de un Sistema de Seguridad Informtica ... Gerenciamiento Diseo y Controles Equilibrio Seguridad y Operatividad Ecuacin Econmica de Inversin en TI Ecuacin de Riesgo Organizacional Reingeniera Sensibilizacin en Seguridad Informtica Septiembre 2003 Apoyo de la Alta Gerencia RRHH con conocimientos y experiencia RRHH capacitados para el da a da Recursos Econmicos Tiempo :: Requerimiento bsico Sensibilizacin en Seguridad Informtica Septiembre 2003 Anlisis de Riesgos Se considera Riesgo Informtico, a todo factor que pueda generar una disminucin en: Confidencialidad Disponibilidad - Integridad Determina la probabilidad de ocurrencia Determina el impacto potencial :: Estructura de Seguridad Anlisis de Riesgos Sensibilizacin en Seguridad Informtica Septiembre 2003 :: Anlisis de Riesgos Modelo de Gestin Activos Amenazas Impactos Vulnerabilidades Riesgos Funcin Correctiva Reduce Funcin Preventiva Reduce Sensibilizacin en Seguridad Informtica Septiembre 2003 Poltica de Seguridad Conjunto de Normas y Procedimientos documentados y comunicados, que tienen por objetivo minimizar los riesgos informticos mas probables :: Estructura de Seguridad Poltica de Seguridad Involucra Uso de herramientas Cumplimiento de Tareas por parte de personas Sensibilizacin en Seguridad Informtica Septiembre 2003 Conjunto de Normas y Procedimientos documentados y comunicados, cuyo objetivo es recuperar operatividad mnima en un lapso adecuado a la misin del sistema afectado, ante emergencias generadas por los riesgos informticos :: Estructura de Seguridad Plan de Contingencias Involucra Uso de herramientas Cumplimiento de Tareas por parte de personas Sensibilizacin en Seguridad Informtica Septiembre 2003
Auditora Informtica Interna capacitada Equipo de Control por Oposicin Formalizado Outsourcing de Auditora :: Control por Oposicin Sensibilizacin en Seguridad Informtica Septiembre 2003
Copias de Resguardo Control de Acceso Encriptacin Antivirus Barreras de Proteccin Sistemas de Deteccin de Intrusiones :: Herramientas Sensibilizacin en Seguridad Informtica Septiembre 2003
NORMA ISO/IRAM 17799 :: Uso de Estndares Sensibilizacin en Seguridad Informtica Septiembre 2003
Estndares Internacionales
- Norma basada en la BS 7799 - Homologada por el IRAM :: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 ORGANIZACION DE LA SEGURIDAD Infraestructura de la Seguridad de la Informacin Seguridad del Acceso de terceros Servicios provistos por otras Organizaciones CLASIFICACION Y CONTROL DE BIENES Responsabilidad de los Bienes Clasificacin de la Informacin :: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 SEGURIDAD DEL PERSONAL Seguridad en la definicin y la dotacin de tareas Capacitacin del usuario Respuesta a incidentes y mal funcionamiento de la Seguridad SEGURIDAD FISICA Y AMBIENTAL reas Seguras Seguridad de los Equipos Controles generales :: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES Procedimientos operativos y responsabilidades Planificacin y aceptacin del Sistema Proteccin contra el software maligno Tares de acondicionamiento Administracin de la red Intercambio de informacin y software
:: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 CONTROL DE ACCESO Requisitos de la Organizacin para el control de acceso Administracin del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras mviles y trabajo a distancia :: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS Requisitos de Seguridad de los Sistemas Seguridad de los Sistemas de Aplicacin Controles Criptogrficos Seguridad de los archivos del Sistema Seguridad de los procesos de desarrollo y soporte
:: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION Aspectos de la direccin de continuidad de la Organizacin CUMPLIMIENTO Cumplimiento con los requisitos legales Revisin de la Poltica de seguridad y del Cumplimiento Tcnico Consideracin de las Auditoras del Sistema :: Norma ISO/IRAM 17.799 Sensibilizacin en Seguridad Informtica Septiembre 2003 Este material podr obtenerlo en http://www.arcert.gov.ar/ en la Seccin Novedades Tambin encontrar all un documento completo con el resumen de las principales Normas Legales vigentes referidas a la Seguridad Informtica :: Fin de la presentacin