La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados.

Publicada porFrancisco José Ramos Carrizo Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados."— Transcripción de la presentación:

1

2 Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados

3 Módulos  Introducción  Principios de seguridad  Tecnologías de seguridad  Redes inalámbricas y usuarios móviles  Entorno del comercio-e  Implantación de programas de seguridad  Perspectivas sociales y futuras  Referencias

4 Módulo Implantación de programas de seguridad  Planificación del proceso  Establecer un programa de seguridad  Avalar el margen de vulnerabilidad (“Security assessment”)  Administradores de servicios de seguridad (“Managed security services”)  Respuesta y recuperación  Seguridad en el Web e Internet

5 Seguridad de sistemas Planificación del proceso Proceso de seguridad Avalúo Adoptar políticas Adiestrar Auditar programa Implantar el programa

6 Seguridad de sistemas Planificación del proceso FASE PlanificarCorregirActualizarUtilizar Recopilar Avalúo de sistemas y servicios en uso Avalúo nuevos sistemas Verificar uso continuo Adoptar Políticas Información Seguridad Revisar procesos DRP Probar procesos Revisar políticas Implantar Parchar sistemas críticos Nuevos sistemas seguridad y Cambios procesos Actualizar versiones de sistemas Adiestrar Desarrollar y ofrecer talleres con regularidad Auditar Itinerario verificar procesos y políticas

7  Manejo de riesgos y planificación de contingencias: Conocer la organización Identificar sus fortalezas y debilidades Identificar posibles área de problema (enemigos) Involucrar sectores – gerenciales y de usuarios Adoptar políticas y procedimientos Asignar recursos Implantar y administrar programa de seguridad Evaluar y mantener el programa Seguridad de sistemas Planificación del proceso

8  Premisas del proceso de Avalúo: Proteger capacidad de hacer negocios Viabilizar operación segura Proteger los bancos de datos Salvaguardar la tecnología y activos informáticos Identificar las principales amenazas Documentar la vulnerabilidad frente a ataques Asegurar se cumpla con leyes y reglamentos Seguridad de sistemas Proceso de avalúo

9  Identificación de riesgos: Categorizar componentes del sistema Inventariar y clasificar activos a proteger Identificar y clasificar tipos de amenazas Parear amenazas con activos  Avalúo de riesgos: Ordenar riesgos a base de valor o impacto Ponderar probabilidad de ataques o de eventos Calcular el riesgo relativo para los activos Revisar tipos de control o medidas que puede adoptar Determinar valor de costo/efectividad Seguridad de sistemas Proceso de avalúo de riesgos

10  Categorización de activos informáticos  Inventario de activos: HW, SW & NW  Valoración operacional: Criticalidad – respaldo operaciones críticas Generan más ingreso o mayor beneficio Costo de reposición Costo de protección Impacto en imagen o en daños a otros Seguridad de sistemas Proceso de avalúo de riesgos

11 Recurso InformáticoClasificaciónSub clasificación PersonalEmpleados Otros Confianza Otros Conocidos Extraños ProcesosProcesos apoyados por la tecnología informática Procesos no apoyados Procesos normales Procesos sensitivos EquipoSistemas Componentes de Red Servidores Periferales Dispositivos de seguridad Intranet Internet

12 Seguridad de sistemas Proceso de avalúo de riesgos Recurso InformáticoCategoríaImpacto en negocio Solicitud de admisión Registro de notas Registro de asistencia Confidencial Alta Crítica Factura Solicitud Asistencia Económica Transacciones de pago Confidencial Crítica Alta Crítica Catálogo electrónico Biblioteca Página Web – USC Público Crítica Depósito políticas y reglamentos Solicitud electrónica de servicios Público – interno Privado Mediana

13  Esquema para clasificar documentos/datos: Corporaciones:  Pública – tanto público externo como interno  Privada – disponible únicamente a público interno  Confidencial (“need to know”) Militares:  Sin clasificar – accequible al público  Sensitiva, sin clasificar (SBU) – su pérdida impacta org.  Confidencial – impacto significativo o daños  Secreta  “Top Secret” Otras opciones:  Pública  Uso oficial  Sensitiva  Clasificada – alto nivel de seguridad Seguridad de sistemas Proceso de avalúo de riesgos

14  Documentación de hallazgos  Adopción de medidas: Políticas Procedimientos Medidas para mitigar impacto de riesgos Medidas para evitar riesgos Medidas para transferir riesgos Seguridad de sistemas Proceso de avalúo de riesgos

15 Implantación de un Programa de seguridad 1. Identificar personal responsable (CERT) 2. Establecer y documentar procesos críticos 3. Definir requerimientos para incrementar seguridad (CSO y RO) 4. Comunicar y diseminar programa de seguridad 5. Auditar y fiscalizar implantación

16 Implantación de un Programa de seguridad 1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Comité de emergencias (“Corporate Emergency Response Team”) Integrar personal de IT Integrar personal de las áreas críticas Integrar personal de seguridad organización Consultores o personal de emergencias externo

17 Implantación de un Programa de seguridad 2. Establecer y documentar procesos críticos: Avalúo de riesgos potenciales y priorización Clasificación de los records o archivos de información (físicos y electrónicos) Determinar fuentes de posible riesgo y medidas de seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser atendidos por el programa de seguridad Definir los niveles de acceso y controles:  Procesos para administrar el acceso de usuarios, acorde a su desempeño o necesidad (Roles – facilita “scalability”)  Establecer controles (centralizado-descentralizado)  Adoptar políticas para implantar los controles negociados Implantación técnica y asignación de recursos (TIP)

18 Implantación de un Programa de seguridad 3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Proponer soluciones que contraresten o minimizen los riesgos ponderados Centrarse en recursos críticos y riesgos probables Evaluar “best practices” Negociar plan de acción y pasos a seguir Definir medidas para evaluar implantación exitosa

19 Implantación de un Programa de seguridad 4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensión y del impacto potencial de los riesgos (“awareness program”) Educar sobre cómo su comportamiento es afectado por las políticas y procedimientos de seguridad vigentes o propuestas Integrar diversos mecanismos de difusión:  Talleres o conferencias  Folletos  Páginas de WEB Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribución del proyecto

20 Implantación de un Programa de seguridad 5. Auditar y fiscalizar (“monitor”) Probar o validar el programa continuamente:  Integrar las herramientas y técnologías recientes  Identificar cambios o amenazas y reaccionar con agilidad Configuración y Control Escudriñar y vigilar intrusos o acceso indebido Responder ágilmente a los incidentes reportados Analizar los datos referentes a eventos o incidentes de violación (“Forensics”) Notificar y cuantificar la ejecución del programa

21 Ejercicio Avalúo de Riesgos  Examine COBIT y contraste con la metodología propuesta  Estudie la metodología presentada en OCTAVE y explique cómo la utilizaría para: Referencia en una auditoría de seguridad Plan de Continuidad del Negocio (BCP) Adiestrar equipo trabajo en Seguridad  ¿Qué otra metodología consideraría?

22 Avalar el margen de vulnerabilidad (“Security assessment”)  Descripción del proceso  Plan de evaluación  Tipos de prueba  Revisión del programa de seguridad  Auditoría de seguridad  Avalúo de riesgos

23 Avalar el margen de vulnerabilidad (“Security assessment”)  ¿En qué consiste? “Determinar dónde estamos y dónde debemos estar”  ¿Cuáles pasos debo seguir? Recopilar políticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (“best practices”) Comparar realidad operacional contra objetivos

24 Avalar el margen de vulnerabilidad (“Security assessment”)  ¿Por qué hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el perímetro de seguridad institucional Identificar los principales aspectos de seguridad que ameritan proyectos particulares Revisar y actualizar las políticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de adiestramientos sobre seguridad Determinar las áreas de mayor riesgo para avalar los planes de BCP y DRP

25 Avalar el margen de vulnerabilidad (“Security assessment”)  ¿Quién debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la división de seguridad Nuestros proveedores de HW/SW/OS Consultores externos

26 Avalar el margen de vulnerabilidad (“Security assessment”)  Áreas a examinar: Sistemas Red(es) Organización  Tipos de prueba: Pruebas de penetración Pruebas de vulnerabilidad

27 Avalar el margen de vulnerabilidad (“Security assessment”)  Objetivos de las pruebas de penetración: Detectar ataques o posibles ataques Prevenir ataques Detectar violación a políticas y procedimientos Hacer cumplir políticas y procedimientos Detectar huecos en conexiones Operacionalizar políticas sobre conexión Recopilar evidencia

28 Avalar el margen de vulnerabilidad (“Security assessment”)  Pruebas de vulnerabilidad (“vulnerability test”): Automáticas –  mediante escudriñadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio  Verificadores de conexiones piratas (fax/modem, WLan) Manuales –  Experto verifica las listas, clasifica las deficiencias o posibles deficiencias  Explora otras opciones menos obvias

29 Avalar el margen de vulnerabilidad (“Security assessment”)  Pruebas de intrusión: “Stealth scans” – Identifican huecos en sistemas “Port Scans” “Trojan scans”  Pruebas de vulnerabilidad: “File snooping” “Compromised systems”

30 Avalar el margen de vulnerabilidad (“Security assessment”)  Frecuencia del proceso: Anualmente como mínimo Depende del tipo y proporción de presencia WEB  Inversión en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daños  Resultados del proceso: Medidas de seguridad adicionales o más robustas Revisión y actualización de las políticas y procedimientos

31 Avalar el margen de vulnerabilidad (“Security assessment”)  Ejercicios:  “Web page defacement” – Web server protegido por FW y todo tráfico bloqueado excepto P80  Tráfico inexplicablemente voluminoso – servidor de Web/FTP indica uso intenso de discos  Archivos modificados por desconocido – cambios en archivos encontrados por “integrity checker”  Servicio no autorizado en sistema interno – se encuentra un servicio nuevo en el servidor  Usuario activa servicios Web en su máquina  Desaparece el “systems log” – se encuentra en “hidden folder” un proceso de actualización desconocido.

32 Avalar el margen de vulnerabilidad (“Security assessment”)  Ejercicios:  Red lenta por tráfico conflictivo  Alarma de ataque a un router  Servidor de correo lento y con volumen excesivo  Alarma de ataque a la red  Amenaza a un ejecutivo de extorsión con sistemas

33 Respuesta y recuperación (“Response and Recovery”)  Respuesta a incidentes  Continuidad en operaciones  CERT

34 Respuesta y recuperación (“Response and Recovery”)  Enfoques pasivos de respuesta: Recoger información y notificar para acción a autoridad correspondiente Obviar – confianza en nivel de seguridad operacional o por abandono Levantar bitácoras o recoger información en servidores dedicados Notificar – personal de seguridad de acuerdo a la severidad del incidente

35 Respuesta y recuperación (“Response and Recovery”)  Enfoques activos de respuesta: Actuar rápidamente evitando afectar operaciones o aislar usuarios válidos. Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o permanentemente Engañar al posible atacante haciéndole creer que no ha sido descubierto (“Honey pots”)

36 Respuesta y recuperación (“Response and Recovery”)  Respuesta a incidentes: Penetración, intrusión o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activación de procedimiento para confrontarlo  Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evidencia y documentar hallazgos Integrar nivel gerencial adecuado Proteger la organización

37 Respuesta y recuperación (“Response and Recovery”)  Establecer parámetros: Definir número de conexiones esperado Sensibilidad de los sensores automáticos Velocidad de respuesta de la red Vulnerabilidades conocidas Peritaje del personal técnico Peritaje de usuarios Consecuencias de falsas alarmas Consecuencias de incidentes no detectados

38 Respuesta y recuperación (“Response and Recovery”)  Revisión del programa de seguridad: Corregir brechas reveladas por auditorías o por informes de programas integrados Armonizar con los cambios en el entorno:  Tecnológico  Operacional/procesal  Legal Divulgar modificaciones a la comunidad

39 Respuesta y recuperación (“Response and Recovery”)  Riesgos: Amenazas que atentan contra la vulnerabilidad en seguridad de la organización o sus recursos.  Elementos del riesgo: Agentes – quienes originan la amenaza Eventos – tipo de acción o suceso Objeto o blanco – servicios de seguridad  Dimensión del riesgo: Costo o impacto Probabilidad de ocurrencia: “best/worst/most likely” Medidas para afrontar o compensar

40 Respuesta y recuperación (“Response and Recovery”)  Plan de Continuidad de Operaciones (BCP): Herramienta para anticipar riesgos, su impacto y definir pasos a seguir para mantener o restaurar las operaciones críticas en su nivel operacional adecuado.  Plan de Recuperación de Desastres (DRP): Bosquejo documental detallando los pasos en la secuencia adecuada para restaurar operaciones basadas en sistemas de información.

41 Respuesta y recuperación (“Response and Recovery”)  Componentes y etapas del BCP: Evaluación y minimización de riesgos Analisis y cuantificación de impacto(s) Formulación de estrategias Identificación de solución(es) de emergencia Desarrollo, implantación y pruebas Divulgación y adiestramiento Relaciones públicas y manejo de crisis Actualización y mantenimiento

42 Respuesta y recuperación (“Response and Recovery”)  Componentes del DRP: Descripción de sistemas de información críticos Identificación de bancos de datos críticos Descripción de procesos de resguardo Descripción de procesos de recuperación Escenarios primarios cubiertos Soluciones alternas priorizadas y convenios Equipos de trabajo y recursos externos Actualización, pruebas o simulacros

43 Respuesta y recuperación (“Response and Recovery”)  Proceso operar escenario desastre: Acaece evento catastrófico o extraordinario Respuesta o reacción inmediata Resumir operaciones críticas ASAP Recuperar otras funciones no inmediatas Restaurar operaciones normales

44 Respuesta y recuperación (“Response and Recovery”)  “Computer Emergency Response Team” Organización creada por CMU para responder a escenarios de ataque contra sus sistemas. Actualmente es modelo para una red internacional de centros que proveen respaldo y publican información sobre eventos de riesgo.  CERT Equipo de trabajo institucional para asumir responsabilidad directa del proceso de reaccionar ágilmente a incidentes o eventos de riesgo.

45 Respuesta y recuperación (“Response and Recovery”)  ¿Quiénes deben integrar el CERT? CIO CSO Network manager Sistems manager Technical support for critical equipment/services RO for critical functional/service areas Physical security manager/officer Public relations representative

46 Administradores de servicios de seguridad (“Managed security services”)  Descripción de MSS  ¿Por qué contratar fuera?  ¿Cuánto debe contratarse fuera?  ¿Qué debe asegurarse fuera?  Proceso de selección de un proveedor

47 Administradores de servicios de seguridad (“Managed security services”)  ¿En qué consiste la administración de servicios de seguridad? Administrar Firewalls Autenticar usuarios Establecer y administrar VPN’s Implantar y mantener filtros de contenido Detectar intrusos Escudriñar virus Colaborar en reaccionar a eventos de penetración

48 Administradores de servicios de seguridad (“Managed security services”)  ¿Por qué contratar terceros? Costo total de operación menor Personal técnico capacitado escaso Inversión de tiempo y esfuerzo en operar proceso continuo Reducción de riesgos al integrar peritos Necesidad de adiestramiento continuo Tamaño de la organización y volumen

49 Administradores de servicios de seguridad (“Managed security services”)  ¿Cuánto debe contratarse a terceros? El mínimo necesario.  ¿Qué debe contratarse a terceros? Respaldo técnico Respaldo operacional Respaldo para recuperación  Criterios de contratación: Servicios vs. necesidades “Service level agreements Infraestructura del SOC Referencias

50 Seguridad en el Web e Internet  Políticas y procedimientos básicos  Diseño de la(s) aplicación(es)  Diseño de la infraestructura  Operación de seguridad  Integración de las partes

51 Seguridad en el Web e Internet  Políticas básicas: Uso y protección de tecnología y recursos Uso de Internet y de correo electrónico Manejo de cuentas y claves de acceso de usuarios Servicios autorizados y no autorizados Protección de la confidencialidad, integridad y privacidad de la información Derechos de propiedad industrial e individual Prohibiciones relativas a la responsabilidad legal  Procedimientos mínimos: Administración de sistemas Configuración y copias de resguardo Metodologías o estándares de diseño

52 Seguridad en el Web e Internet  Desarrollo de políticas o procedimientos: Revisar modelos o “best practices” Definir qué es importante para la organización Determinar comportamiento aceptable Identificar las partes (“stakeholders”) Formular bosquejo Desarrollar e implantar Allegar adeptos Divulgar Emplearla adecuadamente

53 Seguridad en el Web e Internet  Diseño de la(s) aplicación(es): Integración de requerimientos de autenticación Integración de seguridad Jerarquía o niveles de autorización Tipos de permiso o privilegios Tracto de transacciones Registro de sesiones Validación de insumo Recuperación o restauración en caso de errores

54 Seguridad en el Web e Internet  Diseño y mantenimiento de la infraestructura: Niveles de Firewalls Ubicación en DMZ Segmentación de “clusters” Conexividad entre segmentos y servidores Integración de VPN’s y VLAN’s Configuración y actualización de los sistemas operativos Documentación, implantación y fiscalización de cambios

55 Ejercicio Políticas y procedimientos  Enumere las políticas que debe adoptar una organización en seguridad y describa su contenido mínimo.  ¿Qué procedimientos son clave para: Anticipar un posible ataque? Mantener operaciones mínimas en caso de una interrupción no anticipable? Recuperarse de un desastre natural o extraordinario?  ¿Cómo aplicaría sus recomendaciones ante la crisis que afecta al Gobierno del ELA?

56 Preguntas

57 Referencias  Tanenbaum, Computer Networks  Maiwald, Network Security  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  Gast, Seven security problems of 802.11 Wireless  www.80211-planet.com: Wireless Privacy: An Oxymoron (April 26, 2001) www.80211-planet.com  Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002)  Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003)  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)

Descargar ppt "Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2006, Derechos Reservados."

Presentaciones similares

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.

COSO I y COSO II.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.

Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Guía para la evaluación de seguridad en un sistema

Guía para la evaluación de seguridad en un sistema
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.

Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google