La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Resumen Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados.

Publicada porManolita Orrantia Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Resumen Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados."— Transcripción de la presentación:

1 Gestión de Identidad y Acceso de Usuarios: Por qué el hacker NO es su peor enemigo

2 Resumen Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados son responsables de la mayor parte de violaciones de seguridad de la red. Mientras muchos adminstradores de sistemas se preocupan de hackers foráneos, los usuarios internos constituyen la verdadera amenaza de la que debieran preocuparse. Permisos de acceso inapropiados y la falta de una arquitectura de gestión de identidad crean un ambiente donde el hacker no es tema, pero los usuarios internos tienen acceso ilimitado. El propósito de esta presentación es mostar: - Cuál es la percepción de la seguridad en la economía interconectada de hoy; - Cómo identificar soluciones tecnológicas para proteger a su empresa y salvaguardar información de personas, tanto dentro como fuera de la red, y mantener un ambiente laboral abierto.

3 Agenda Revisaremos los siguientes temas:
El ambiente actual de seguridad informática Identificar las causas de los riesgos reales de seguridad de información Olvidar a Kevin Mitnick y darse cuenta del problema real de abuso interno de los sistemas

4 Puntos Clave a Recordar
La seguridad no es software o hardware, sino personas, políticas y procesos. Aunque la mayoría de los ataques proviene del exterior, los más dañinos se originan dentro de la organización.

5 El Estado Actual de la Seguridad Informática Empresarial

6 La Tecnología Cambió Conocemos los riesgos, hemos visto los gráficos y estadísticas Encuestas y estudios CSI, Gartner, E&Y, PwC, Information Week, US GAO, etc. reafirman la conclusión que las amenazas están aumentando, y los ataques vienen de adentro. Internet ha transformado la infraestructura de las TI La gran mayoría de las empresas cuentan con algún tipo de conexión pública externa La conectividad a través de Internet, intranets, extranets, WAN y VPN ofrecen múltiples beneficios, pero también conllevan riesgos de seguridad El lenguaje de Internet es TCP/IP. Pero la seguridad no fue incorporada a TCP/IP hasta la versión 6 <1998> Considerando que más del 95% de Internet usa TCP/IP v4, fue construido con y corre sobre una infraestructura insegura

7 El Ambiente Actual de Seguridad Informática
Las redes corporativas son complejas en extremo, y continúan creciendo en complejidad. Consideremos un departamento informático típico y sumemos sus: Proveedores de hardware Topologías y protocolos de red Sistemas operativos; Bases de datos y software estándar Aplicaciones desarrolladas a medida Empleados, consultores, contratistas y socios de negocio Tratemos de integrarlas en forma segura Si la seguridad no fue considerada en la arquitectura original del sistema, ¿cómo esperamos que la seguridad informática sea efectiva? Se está invertiendo más en seguridad de sistemas informáticos Pero los sistemas se tornan más complejos, y los sistemas complejos son mucho más difíciles de asegurar.

8 La Realidad Todas las redes corporativas tienen firewalls
Algunos firewalls son poco más que un mecanismo para frenar el desempeño de la red Los cortafuegos son una efectiva herramienta de seguridad alrededor del perímetro de la red – pero qué pasa con el tráfico dentro de la red, cómo se protege? El daño significativo es ocasionado por usuarios con acceso a la red Los externos haquean páginas web y causan daño vandálico; los internos: Roban secretos industriales, venden información confidencial, I+D, adquisiciones, info de recursos humanos y demás propiedad intelectual Cuentan con el tiempo y confianza interna para acceder y revisar sistemas

9 Abuso de Usuarios Internos
La distribución incontrolada de información, combinado con una infraestructura que permite el acceso no gestionado a la información creo múltiples oportunidades para abuso A veces es más fácil transferir múltiples gigas de información de una red corporativa que obtener un nuevo cartucho de toner para la impresora La mayoría de los ataques a las redes vienen de afuera Pero los más dañinos son originados de adentro

10 Tim Lloyd/Omega Engineering
Historias de Horror Tim Lloyd/Omega Engineering Borró decenas de megabytes de información de producción, ingeniería y manufactura Hasta el día de hoy, Omega aún no se ha recuperado de este incidente ocurrido en 1996 Lecciones aprendidas: Falta de controles y chequeos, separación de roles, manejo inadecuado de empleado deshonesto. NetSupport Gerente de ventas ofreció vender la lista de clientes a dos competidores de la empresa Lecciones aprendidas : Control de acceso, monitoreo de acciones de empleados Robert Hanssen/FBI Vendió documentos clasificados, detalles sobre fuentes de inteligencia americana y operaciones de espionaje electrónico por $1,5 millones Lecciones aprendidas : Falta de controles y chequeos, separación de roles. La gerencia del FBI no consideró una amenaza interna hasta que ya se había causado daño importante.

11 Historias de Horror Milo Nimori
Director de Seguridad del Barnes Bank of Utah Miembro del comité de seguridad de la Asociación de Banqueros de Utah Asaltó numerosos bancos en Salt Lake City

12 Como olvidar a Kevin Mitnick o Dejemos de Vivir en el Pasado

13 Por 10 puntos, ¿quién es Kevin Mitnick?
Control de Seguridad #1 Por un punto, ¿cuál es el origen del nombre Giga (Giga Information Group)? Gideon Gartner Por 10 puntos, ¿quién es Kevin Mitnick? Criminal computacional, famoso hacker Por 100 puntos, nombre un producto de Checkpoint Systems Checkpoint Systems fabrica productos de protección y seguimiento para la industria retail. NYSE: CKP Check Point Software Technologies es una empresa de software de seguridad Internet. NASDAQ: CHKP

14 Control de Seguridad #2 Por 1000 puntos, ¿quiénes son las personas en su organización que representan una amenaza directa a la seguridad, tecnología, relaciones públicas, productividad y utilidades de su empresa? Si no sabe, o no tiene un perfil del tipo de estos usuarios, está garantizado que su empresa será víctima de algún tipo de crimen informático

15 La Obsesión con el Hacker
Los medios, e incluso muchos profesionales de seguridad, están obsesionados con el trístemente célebre hacker Kevin Mitnick. Pero mientras las empresas y los medios están ocupados preocupándose por casos como Mitnick, se vuelven complacientes respecto a la verdadera amenaza a la seguridad de la información: los usuarios internos Si bien genera más empatía y autoestima pensar en hackers en países lejanos accesando nuestros sistemas en la mitad de la noche, la realidad es que la mayor parte de los compromisos a la información son causados por usuarios internos durante el horario hábil de trabajo.

16 La Obsesión con el Hacker
Los medios dan una vitrina desmedida a los incidentes de seguridad Piensan que los hackers son todos genios La mayoría sabe ejecutar scripts y son genios en bajar cosas de la red Ignoran los verdaderos problemas y se concentran en lo glamoroso que genera ratings y vende diarios Fue el New York Times que hizo de Kevin Mitnick un hacker célebre Hackers no han causado la muerte de ninguna empresa; los ataques de usuarios internos en cambio sí

17 Abuso Interno

18 Abuso Interno Uno no puede pensar que las amenazas del mundo físico no se traspasan al mundo digital El robo es un problema gigantesco en la industria del retail Un problema aún más grande es el hurto por parte de empleados El espionaje corporativo es un tremendo problema en las industrias farmacéuticas y de manufactura Un problema mayor es el uso indebido de información propietaria por parte de empleados Tras cada caso de espionaje corporativo hay abuso interno Como promedio, el usario autorizado a la red puede acceder 20 – 50 veces más recursos de los que requieren para ejecutar su labor. Este nivel de acceso abierto a las redes, combinado con seguridad no (o mal) implementada, es la razón por la cual usuarios internos son responsables por la mayoría de incidentes de seguridad en la red

19 Abuso Interno El 70 % de los incidentes de seguridad que arrojan pérdidas a la empresa (en contraste a aquellos que “sólo” son molestos) involucran a usuarios internos. Las empresas deben encontrar el punto de equilibrio entre acceso interno libre y una seguridad asfixiante que perjudica el negocio. Este equilibrio se puede lograr implementando políticas basadas en “necesidad de saber”. Arquitecturas centralizadas de gestión de acceso deben ser usadas para otorgar acceso a servidores y bases de datos sólo a aquellos empleados que lo requieren por motivos legítimos de trabajo. “Herramientas de auditoría y reporte deben ser usadas para revisar acciones de escalamiento de acceso” High – Profile Thefts Show Insiders Do the Most Damage, John Pescatore, Gartner “Montañas de dinero se gastan en corta-fuegos, software anti-virus y sistemas de detección de intrusos para detener los ataques en la puerta de entrada. Pero son los empleados de las empresas los que representan una amenaza mayor a las empresas, sus datos y bienes.” CSI: Examining threats from inside the firewall

20 Abuso Interno Lectura o copia no autorizada, divulgación de información sensitiva Ejecución de ataques de denegación de servicio Infección de virus, gusanos u otros programas malignos en sus sistemas Destrucción o corrupción de data (intencional o por error) Exposición de información sensitiva debido a mal etiquetado o manejo de impresiones

21 Todos estos temas deben ser manejandos proactivamente
¿Por Qué Ocurre Esto? Reducciones Corporativas/Downsizing “Ira del Ex –” es un tema candente para psicólogos industriales Sueldos estancados Promociones no recibidas Discriminación/abuso sexual o NSE ¿Qué ocurre cuando encuentran nuevo trabajo? ¿Qué pasa si el nuevo empleador es competencia? Todos estos temas deben ser manejandos proactivamente

22 El Foco El foco debe estar sobre las verdaderas amenazas: Prepararse para el 99% del lo real, y no el 1% de lo teórico Tomar decisiones racionales y prácticas No dejarse influenciar por reportes alarmistas

23 La mayoría de la gente no entiende la naturaleza del riesgo
Análisis de Riesgo La mayoría de la gente no entiende la naturaleza del riesgo La seguridad informática funciona en un vacío si no cuenta con análisis de riesgo. Debe ser ejecutada en el contexto de gestión de riesgo No se puede eliminar el riesgo...sólo se gestiona. De la misma manera, no se puede eliminar el crimen, sólo se gestiona. Una evaluación y análisis de riesgo efectivas aseguran que estamos preocupados de los temas importantes Si bien la mayoría de las amenazas son internas, no olvidar que el personal interno es nuestro mayor aliado

24 Una estrategia efectiva de gestión de riesgo involucra dos fases:
Gestión del Riesgo Una gestión efectiva de riesgo reduce el riesgo de abuso de sistemas y ayuda en detectar y documentar eventuales casos de fraude Una estrategia efectiva de gestión de riesgo involucra dos fases: Identificar y resolver debilidades de seguridad: Monitorear sistemas informáticos en busca de vulnerabilidades Desarrollar sistemas “duros” Implantar políticas de uso permitido Programa contínuos de capacitación Implantar resguardos o detectar ataques: Controles de Acceso (monitores de control de acceso, políticas de autorización, etc.) Filtros (firewalls, filtros web) Detección de mal uso (logs de auditoría, detección automática, monitoreo de sistemas, protecciones anti-virus y anti-spyware)

25 Comportamiento Humano Limitaciones Técnicas Gestión de seguridad
Factores de Riesgo Comportamiento Humano Limitaciones Técnicas Gestión de seguridad Seguridad Informática aún se encuentra en pañales Falta de experiencia de mundo entre profesionales de seguridad informática

26 El Ser Humano como Factor de Riesgo
Ingenuidad Chat Active X La Tecla Delete Windows Explorer Negligencia Errores involuntarios Ataques maliciosos de haqueo Venganza Riesgo de personas maltratadas Codicio Riesgo de aquellos de trabajan demasiado, reciben muy poco y en general sienten que merecen más

27 Factores Técnicos de Riesgo
Bugs y puertas traseras Funcionalidad de seguridad insuficiente Seguridad física Cada sistema operativo en red: NetWare, Windows NT/2000/XP, Linux, y Unix; el cimiento de la arquitectura de seguridad debe ser el fierro

28 Factores de Riesgo en Gestión de Seguridad
En general, las empresas adolecen de: Conocimiento y capacitación técnica Conocimiento y capacitación en seguridad Seguridad como fundamento Awareness Políticas y procedimientos Falta de tiempo y recursos apropiados Información Control y administración centralizados

29 Gestión de Identidad y Control de Acceso El pilar de la seguridad informática

30 El derecho de usar o acceder a un objeto en un sistema
Control de Acceso El derecho de usar o acceder a un objeto en un sistema Necesitamos control de acceso por las mismas razones que tenemos candados y chapas en nuestras casas y autos El acceso a menudo se controla mediante un Access Control List (ACL), una tabla que indica al SO que derechos de acceso cada usuario tiene a un objeto determinado El ACL a menudo tiene diferentes implementaciones en cada SO El ACL contiene un registro por cada usuario del sistema, con los privilegios de acceso. Los privilegios más comunes son lectura de un archivo (o directorio), escritura de archivo, y ejecución de archivos. En general, el administrador del sistema o el dueño del objeto controlan el ACL del objeto.

31 Gestión de indentidad es una extensión de autenticación
Gestión de Identidad Problema – Tantos sistemas y redes, con tantas cuentas de usuarios. Es imposible de controlar sin alguna herramienta de software Gestión de indentidad es una extensión de autenticación CA define la gestión de identidad como la administración de usuarios y su acceso seguro a los sistemas de la corporación Se logra a través de provisionamiento, SSO (Single Sign-on), autenticación y directorios Por ejemplo: eTrust Identity and Access Control Management Suite Otras soluciones: Netegrity, Oblix, Access360/Tivoli

32 Cambiar el Foco de Seguridad Informática al Interior de la Empresa

33 Foco Interno de Seguridad Informática
Considerando todo los factores de riesgo mencionados, para que la seguridad informática sea efectiva debe tener la misma visibilidad y prioridad corporativa que políticas de acoso sexual Políticas de acoso sexual se definen como consecuencia del alto nivel de riesgo a la organización en caso de acción judicial No obsesionarse con hackers remotos, preocuparse de las amenazas locales Reconocer que la seguridad informática es un proceso No hay seguridad mágica

34 Políticas y procedimientos deben ser revisados y actualizados
Controles Información confidencial debe ser identificada, priorizada y sus derechos de acceso controlados Políticas y procedimientos deben ser revisados y actualizados Tales controles deben ser implentados usando software adecuado Monitoreo en tiempo real y mecanismos de bloqueo Definición de política “tolerancia cero” y documentación de violaciones Apoyo de gerencia general, legal y teconología

35 Controles Exigir inducción en seguridad para nuevas contrataciones Establecer programa de alerta y vigilancia Verificación de antecedentes de empleados con acceso a información sensitiva Establecer mecanismo confiable para asignar acceso a información corporativa Determinar, basado en función laboral, quien requiere acceso a que recursos corporativos, y cual es la justificación de este acceso

36 Controles Exigir a empleados y contratistas firmar NDA en su fecha de contratación Sofware: HIDS, NIDS, Silent Runner Cuentas vencidas deben ser desactivadas y eliminadas Cuando empleados temporeros dejan la empresa, deshabilitar y eliminar sus cuentas de acceso en forma inmediata Como parte de la política de seguridad informática, dejar constancia que el uso de los sistemas y red corporativa son sujetos a monitoreo Nunca suponer que la información detrás del cortafuego está protegida

37 CERT Guide to System and Network Security Practices – Julia Allen
Referencias Security Engineering: A Guide to Building Dependable Distributed Systems – Ross Anderson Secrets and Lies: Digital Security in a Networked World - Bruce Schneider CERT Guide to System and Network Security Practices – Julia Allen The Art of Deception: Controlling the Human Element of Security – Kevin Mitnick The Insider Threat to US Government Information Systems -99.pdf The Insider Threat – Terrance Roebuck roebuck/threats. HTML

38 Conclusiones y Soluciones

39 Conclusiones La gran mayoría del crimen informático se realiza por usuarios internos autorizados No se deje llevar por la fascinación mediática con los hackers y su “visión” de seguridad Conozca al enemigo, sus capacidades y debilidades La única manera de tener éxito es a través de la formulación e implantación de una estrategia defensiva completa de seguridad informática

Descargar ppt "Resumen Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados."

Presentaciones similares

Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
“Seguridad Informática Mitos y Realidades”

“Seguridad Informática Mitos y Realidades”
Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Firewalls COMP 417.

Firewalls COMP 417.
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
A través de estos simples pasos logrará identificar si su empresa necesita un nuevo equipo.

A través de estos simples pasos logrará identificar si su empresa necesita un nuevo equipo.
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.

Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
CÓDIGO DE ÉTICA CORPORATIVO ,,, PRIVACIDAD

CÓDIGO DE ÉTICA CORPORATIVO ,,, PRIVACIDAD
CÓDIGO ÉTICO CORPORATIVO

CÓDIGO ÉTICO CORPORATIVO
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
Soluciones en la nube, decisiones aterrizadas

Soluciones en la nube, decisiones aterrizadas

Presentaciones similares

Anuncios Google