La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Administración de la Seguridad M.C. Juan Carlos Olivares Rojas Septiembre 2009.

Publicada porPatricia Revuelta Gómez Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Administración de la Seguridad M.C. Juan Carlos Olivares Rojas Septiembre 2009."— Transcripción de la presentación:

1 Administración de la Seguridad M.C. Juan Carlos Olivares Rojas Septiembre 2009

2 Agenda La vulnerabilidad Las amenazas Los riesgos Los ataques Los recursos a proteger Control de acceso Detección de intrusos Detección de código malicioso Auditorias de seguridad

3 Síntomas de Riesgo Un síntoma es la salida de una función normal que indica una posible anormalidad. Un síntoma es subjetivo, es observado por el paciente y no medible Los síntomas pueden ser crónicos, retardados o esporádicos. Se pueden mejorar o empeorar. Un signo es notificado por otras personas

4 Administración de Riesgos La administración de riesgos es una etapa crucial para el aseguramiento de los activos de información. La administración de riesgos incluye la detección de riesgos y el control de los mismos. ¿Qué es el riesgo? Es la probabilidad de que una actividad no deseada ocurra.

5 Administración del Riesgo Todas las actividades tienen riesgo. No existe una actividad 100% ni 0% riesgosa.

6 La vulnerabilidad Es un factor interno caracterizado por un hueco de seguridad (una debilidad del sistema) que puede ser aprovechada por una amenaza. Las vulnerabilidades deben ser los elementos que deban atender los controles de seguridad para asegurar a los activos de información.

7 Las amenazas Son factores externos que pueden aprovechar las vulnerabilidades de un sistema para exponer a un activo de información. Las amenazas son más difíciles de prevenir dado que ya no podemos anticiparnos del todo. Los controles tienden a minimizar las amenazas y vulnerabilidades.

8 Los ataques Se dan cuando se combina una amenaza con una vulnerabilidad. Los ataques son cuantificados al impacto que pueden producir, generalmente expresados en dinero. El impacto puede darse por ejemplo al no tener un recurso disponible causando pérdidas económicas al no poder trabajar o bien un daño de imagen social.

9 Administración del Riesgo ¿Cuál es la probabilida d de que este evento ocurra?

10 Los riesgos Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendría el activo de materializarse dicha amenaza. Los riesgos generalmente son calculados a nivel estadístico como el número de frecuencia en que ha ocurrido un evento contra el número total de eventos disponibles.

11 Evaluación del Riesgo Existen muchas metodologías para calcular el riesgo. Todas ellas dependen de los usuarios. Los riesgos se calculan en tres niveles: alto, medio y bajo. Los riesgos son calculados por dimensiones como impacto y frecuencia de ocurrencia.

12 Evaluación del Riesgo

13 Modelado de Riesgos Riesgo Vulnerabilidades Amenazas Controles Requerimientos de seguridad Valor del activo Activos Protección contra Explotan Reduce Aumenta Establece Aumenta Exponen Tiene Aumenta Implementan Impacto en la organización

14 Modelado de Riesgos Deben intervenir además del personal de seguridad, los dueños, custodios y usuarios de los activos de información. Existen dos tipos de análisis de riesgo: Existen dos tipos de análisis de riesgos: Cualitativo y cuantitativo.

15 Modelado de Riesgos CuantitativoCualitativo Ventajas  Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros.  Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad.  Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales)  La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.  Permite la visibilidad y la comprensión de la clasificación de riesgos.  Resulta más fácil lograr el consenso.  No es necesario cuantificar la frecuencia de las amenazas.  No es necesario determinar los valores financieros de los activos.  Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.

16 Modelado de Riesgos CuantitativoCualitativo Desventajas  Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes.  Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo.  Los cálculos pueden ser complejos y lentos.  Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas.  El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.  No hay una distinción suficiente entre los riesgos importantes.  Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio.  Los resultados dependen de la calidad del equipo que este trabajando en el proceso.

17 Matriz de Riesgos NivelDefinición de Ocurrencia AltoLa amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen esta vulnerabilidad son inefectivos. MedioLa amenaza tiene probabilidad de ocurrencia, pero los controles actuales pueden impedir que se explote dicha vulnerabilidad. BajoLa amenaza es de muy baja probabilidad o los controles existentes evitan que suceda.

18 Matriz de Riesgos Magnitud del ImpactoDefinición del Impacto AltoSi se explota la vulnerabilidad: 1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa 2.Se ve afectada la misión, reputación o interés de la empresa 3.Existen pérdidas humanas o lesiones mayores MedioSi se explota la vulnerabilidad: 1.Puede resultar en la pérdida monetaria de activos o recursos 2.puede violar o impedir la misión, reputación o interés de la empresa 3.Puede resultar en una lesión BajoSi se explota la vulnerabilidad: 1.Puede resultar en la pérdida de algunos recursos o activos 2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa

19 Matriz de Riesgos Nivel de RiesgoImpactoVulnerabilidad Muy AltoAlto Medio AltoMedioAlto MedioAltoBajo Medio Bajo MedioBajoAlto MedioBajoMedio Bajo

20 Matriz de Riesgos WEB Server Acceso no autorizado BAMSe puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo. Front END Server Falla de HardwareMAAPuede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio. WEB Server Negación de Servicio AAMAPuede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros y de imagen

21 Reglas del Negocio 21 Ejemplos más estructurados: Reglas de Operación - 24x7 monitoreo y atención a fallas - Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones - Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT - Filtrado esta dentro de la solución de los switches de Cache - Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto. - Solamente el dueño (administrador) de la cuenta puede pedir cambios - Soporte por medio del centro de atención para clientes de Internet Dial-Up Atención a Clientes - Facturación plana, adicional a la cuota de Dial-Up - Puede ofrecerse un mes de prueba gratis - Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación Facturación - Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto) - No requiere configuración del lado del cliente - Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera. Entrega de Servicios

22 Simuladores de Riesgo Seguros de Vida: 194.224.248.32/simuladores/ * Simuladores de Negocios: http://www.gameonsoftware.com/index.htm http://www.beer-war.com/ *http://www.beer-war.com/ http://www.riskybusiness.com/

23 Pasos Recomendados en una Estrategia de Seguridad

24 Evaluación de Activos

25 Caso 1 El Hospital “Santa Cecilia”, el cual cuenta con más de 100 años de operación en la ciudad de Monterrey. Cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar. Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel.

26 Caso 1 El Hospital cuenta con más de 300 equipos de cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central. Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes.

27 Caso 1 Hace cinco años el hospital se conectó a Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores. Existen canales de comunicación tales como el correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos).

28 Caso 1 A mediados del año pasado lanzó su portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor. Dentro de los planes de expansión, el hospital está considerando asociarse con la Clínica Mayo con el fin de transferir tecnología y establecer acuerdos de investigación.

29 Caso 1 Actualmente el Hospital cuenta con un Centro de Investigación líder a nivel mundial en Neurocirugía y cuenta con dos investigadores que han ganado premios Nobel por las investigaciones realizadas en este campo. Esto le ha dado una ventaja competitiva a este hospital. En los próximos meses se empezará a realizar un reemplazo de equipo de cómputo y se necesita tomar una decisión sobre como disponer del equipo viejo.

30 Actividad 1 En base al caso anterior realizar un análisis de riesgo. Se deberá utilizar la metodología anteriormente descrita. Para cada activo de información presentar posibles controles a implementar para mitigar. Existen metodologías más robustas y complejas como Cobra para la administración del riesgo.

31 Los recursos a proteger Los recursos a proteger son muy variados. El análisis de riesgos es una herramienta que nos va a permitir tomar mejores decisiones sobre que activos de información se deben de proteger y en que orden. En algunas ocasiones se revisa el control interno de la organización para determinar el valor de sus activos.

32 Control de acceso Es una tecnología, política, proceso o procedimiento que contrarresta una amenaza y por consecuencia mitiga los riesgos asociados a un activo. Los controles de acceso se encargan de asegurar que los activos de información los utilicen quien debe de utilizarlos. Nótese que no se valida su correcto funcionamiento.

33 Controles de A. ISO 27000 A.11.1 Business requirement for access control. Objetivo: una política de control de acceso debe ser establecida, documentada y revisada en base a los requerimientos de negocio. A.11.2 User access management Los temas que se norman en términos generales son: Habilitación de cuentas y registro de usuarios, mediante un proceso formal y expedito que incluya: altas, bajas, suspensiones y cambios de los mismos…

34 Controles de Acceso A.11.3 User responsibilities Objetivo: Prevenir acceso no autorizado y evitar comprometer o el robo de información: Uso de contraseñas, se deben seguir las mejores prácticas en la selección y uso de contraseñas. Escritorio limpio y equipo no atendido, los usuarios deben guardar en forma segura la información crítica del negocio que esté en cualquiera de sus.

35 Control de Acceso A.11.5 Operating system access control Los accesos específicos a los sistemas operativos de la infraestructura de TI deben ser controlados por procedimientos de identificación y autenticación robustos, se debe minimizar el desplegar una vez que los usuarios tienen acceso a estos sistemas información del tipo y versión del sistema operativo para evitar brindar información innecesaria…

36 Control de Acceso A.11.6 Application and information access control: El acceso a la información y sistemas de información ya sea por usuarios o personal de soporte debe ser restringido de acuerdo con el proceso de asignación de privilegios. La infraestructura de cómputo de los sistemas de información con información sensitiva debe ser separada para evitar accesos no autorizados. Se debe limitar y registrar el número de intentos fallidos de conexión de los usuarios de los sistemas de información.

37 Base Line Un base line es un conjunto de reglas establecidas que forman una base de normas o prácticas sobre un proceso o sistema. Estas normas o prácticas son establecidas normalmente como una base de comparación entre organizaciones o empresas para verificar un nivel de cumplimiento.

38 Base Line Para poder establecer un base line, se requieren varios elementos: basarse en algunos estándares internacionales o mejores prácticas, normas publicadas por algunas organizaciones reconocidas internacionalmente y experiencias obtenidas por la práctica en las organizaciones.

39 Base Line Establecer un base line en seguridad de información, requiere mucha experiencia y madurez, no es muy práctico solo “copiar” base line de otras organizaciones dado que cada organización es diferente, tiene necesidades diferentes de acuerdo a sus niveles de madurez y necesidades. Generalmente están listados en orden de importancia aunque pueden no serlo.

40 Base Line Control Acceso Para cada activo de información y sistema de información debe existir una bitácora externa al mismo para el registro de usuarios autorizados para acceder a los mismos. Debe establecerse procedimientos para verificar que el nivel de acceso concedido es apropiado para el propósito de negocio y que sea consistente con la directriz de control de accesos

41 Base Line Control de Acceso El procedimiento de creación de usuarios debe indicar como se otorga la autorización requerida antes de otorgar el acceso solicitado. El formato de solicitud de autorización para dar de alta o modificación de un usuario a un activo con los siguientes campos: –Nombre del usuario –Sistema o aplicación al cual requiere acceso, revocación o modificación.

42 Base Line Control de Acceso –Organización a la que pertenece –Privilegios solicitados –Gerencia que solicita el acceso El usuario final que se le brinda el acceso debe recibir una notificación con el permiso otorgado, privilegios y responsabilidades asociadas a la cuenta o en su defecto la razón por la que fue denegado el acceso

43 Base Line Control de Acceso Se debe asegurar no proporcionar accesos hasta no completar los procedimientos de autorización establecidos. Se debe mantener un registro formal de todas las personas registradas con derecho a usar los activos de información o sistemas de información.

44 Base Line Control de Acceso La autorización del acceso al sistema debe realizarse por el administrador de a cargo de la custodia del activo de información o sistema de información y debe registrarse en la bitácora de usuarios autorizados La bitácora de registro de usuarios debe tener al menos los siguientes campos: –Nombre usuario –Organización a la que pertenece –Identificador del usuario en el sistema

45 Base Line Control de Acceso –Grupo al que pertenece (en caso que los privilegios se administren por grupo) –Rol del usuario en el sistema: Administrador, Desarrollador de software, Operador de respaldo, etc. –Usuario de aplicación –Privilegios otorgados en el sistema o aplicación –Fecha en que fueron otorgados –Estado actual del usuario –Fecha del último cambio en los accesos –Persona que autorizó la creación de usuario y los privilegios otorgados

46 Base Line Control de Acceso En el caso que un activo de información o sistema de información se entregue en custodia a una determinada organización se debe firmar una carta responsiva en la cual acepta la responsabilidad de la custodia del activo de información así como de las operaciones autorizadas a ejecutar

47 Base Line Control de Acceso La organización usuaria debe notificar al custodio del activo de información o del sistema de información cuando un usuario haya cambiado de rol o haya salido de la compañía para la revocación inmediata del acceso. Se debe remover inmediatamente los derechos de acceso cambiado de área de trabajo o abandonado la organización.

48 Base Line Control de Acceso Se debe de verificar periódicamente las cuentas de los usuarios y remover aquellos identificadores de usuarios que resulten redundantes. Métricas: Número de Altas y Bajas de usuarios Número de autorizaciones para dar de alta o modificación de un usuario a un activo de información Número de usuarios con acceso permitido.

49 Detección de intrusos La detección de intrusos es una actividad díficil de llevarse acabo. Se puede realizar la detección de intrusos con herramientas como la auditoria, los controles de acceso entre otras. Más que la detección nos interesa el aseguramiento del activo.

50 Detección de código malicioso La detección de código malicioso también es una actividad complicada de llevar acabo dado que no tenemos la certeza de las actividades que va a realizar un software hasta que este se ejecuta. Basándose en ese principio nuestra seguridad está condicionada a los efectos visibles (patrones o firmas) que se presenten y aun conociéndolos no tenemos la certeza absoluta que pueda ser malicioso.

51 Ejercicio de Análisis de Riesgos Resolver los siguientes problemas por parejas, realizar una exposición en la que se de solución al problema. ¿Qué métricas permitirían ver que tan efectivo es el control implementado? Entrega próximo sábado.

52 Ejercicio 2 Entre los incidentes más recientes en el Hospital Santa Cecilia se cuentan los siguientes: Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.

53 Ejercicio 2 Se han reportado clientes del hospital notificando la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo. Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.

54 Ejercicio 2 Existe software no licenciado instalado en los equipos del hospital. Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes. Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.

55 Ejercicio 2 Se han detectado accesos no autorizados a los sistemas. ¿Qué eventos de los explicados en la sesión han afectado al hospital? ¿Con base en tu experiencia que harías para corregir esta situación?

56 Ejercicio 3 Identifica qué principio y activo es el más importante para cada una de las siguientes organizaciones. Justifica tu respuesta. Secretaría de Hacienda Ejército Empresa farmacéutica Amazon.com Sistema de Escolar de una Universidad

57 Ejercicio 3 Sistema de emergencias telefónica 066 Su equipo de cómputo personal. Banco Carrier de telecomunicaciones. Coca Cola.

58 Ejercicio 4 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

59 Ejercicio 4 Esta empresa ha experimentado desde hace meses ciertos incidentes en materia de seguridad de información, que a continuación se describen: Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).

60 Ejercicio 4 La tecnología para proteger la seguridad de información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías. El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:

61 Ejercicio 4 Acceso no autorizado a la información de los clientes. Software malicioso que afecte a los principales sistemas de la empresa Denegación de servicios a su portal de Internet

62 Ejercicio 4 A partir del caso anterior, escriba un reporte donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos. De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso.

63 Ejercicio 5 La empresa Alfa-2030 ha decidido iniciar con un programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.

64 Ejercicio 5 Lo primero que la dirección general le ha solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.

65 Ejercicio 5 Escribe un reporte con está política especifica con un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones: Antecedentes Objetivo Cuerpo del documento Responsabilidades Definición de términos

66 Ejercicio 6 La empresa Alfa-2030 ha estado trabajando en los últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.

67 Ejercicio 6 El Director general ha solicitado realizar un plan de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet. Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):

68 Ejercicio 6 Procedimientos de respaldos de Información Procedimientos de control de acceso lógico a la información Procedimientos de control de cambios Procedimientos de control de software malicioso

69 Ejercicio 7 EL Hospital “El Milagro” ha estado desarrollando actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos. EL director en una entrevista mencionó lo siguiente (en resumen):

70 Ejercicio 7 El área de seguridad depende del área de redes Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad. Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.

71 Ejercicio 7 El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado. Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados. Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.

72 Ejercicio 7 El encargado de redes batalla mucho para que le apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico. Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.

73 Ejercicio 7 De manera adicional se deben realizar las siguientes actividades: Visión de seguridad de información (a 5 años) Misión de seguridad de información Que dimensión será la más relevante en un Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación) Establecer 5 objetivos de seguridad de información.

74 Ejercicio 8 Retomando el caso del Hospital Santa Cecilia y de acuerdo a la información proporcionada en el mismo realiza lo siguiente: Escribe una política de seguridad corporativa (Máximo tres párrafos). Identifica tres políticas específicas que consideras deben de desarrollarse.

75 Ejercicio 8 Lista tres recomendaciones que harías a los empleados del hospital en cuanto a: Respaldo de información Correo electrónico Manejo de usuarios y contraseñas Uso de equipo de cómputo.

76 Ejercicio 9 El proveedor de servicios de Internet Inter-Fly, el cual cuenta con más de 10 años de operación en las tres principales ciudades: México, Monterrey y Guadalajara. Ofrece servicios de Internet dedicados de alta capacidad a empresas grandes y medianas.

77 Ejercicio 9 Hace aproximadamente un año implementó un sistema para presentar las facturas de los clientes en línea, el tráfico cursado por día y la opción de pagar las facturas mediante tarjetas de crédito corporativas y/o transferencias electrónicas. La empresa cuenta con una granja de servidores Web los cuales presentan el portal hacia los clientes y atienden sus peticiones.

78 Ejercicio 9 Los servidores Web se conectan hacia un sistema de base de datos configurados en alta disponibilidad los cuales almacenan las facturas, los registros, las transacciones, las consultas, los datos completos de los clientes, los números de las tarjetas de crédito y los números de cuentas de cheques de los clientes. Adicionalmente cuentan con switches, enrutadores, cortafuegos y otros elementos de protección para garantizar la seguridad del servicio.

79 Ejercicio 9 La operación del proveedor de servicios de Internet es centralizada y no considera ningún tipo de redundancia geográfica. La empresa no cuenta con un programa o modelo de seguridad de información corporativo pero esta en sus planes estratégicos para el próximo año. La seguridad de la empresa se basa en operadores y administradores de equipos y servidores los cuales manejan la seguridad de los mismos.

80 Ejercicio 9 Inter-Fly ha decidido implementar muchos de sus servicios a sus clientes vía Internet, necesitan saber que elementos de seguridad necesita implementar en su red local.

81 Ejercicio 10 La Universidad “Valle del Norte”, la cual cuenta con más de 100 años de operación en la ciudad de Monterrey. Cuenta con 10 campus en diversas ciudades de la República. Esta Universidad ha dedicado muchos recursos en sus sistemas de administración escolar, administración financiera y plataforma de cursos en línea.

82 Ejercicio 10 Cuenta con más 3,000 equipos de cómputo conectados a través de sus redes locales, los cuales mantienen estrecha comunicación con equipos centrales. Así mismo maneja conexiones con otras Universidades que tienen centros de investigación.

83 Ejercicio 10 El rector de la Universidad ha llamado a un grupo de expertos de Seguridad de Información para obtener consejos debido a que se han presentado ciertos incidentes “penosos” como alteración indebida de calificaciones y cursos en línea, ataques al portal de cursos en línea, epidemias de virus en algunos sistemas como el financiero, pérdida de información en los sistemas debido a problemas de hardware, los sistemas de inscripciones de han caído en la última inscripción, etc.

84 Ejercicio 10 En una entrevista con el director de Informática se pudo visualizar ciertas problemáticas generales como son: Al parecer cuentan con redes locales muy extensas o con una deficiente segmentación. No cuentan con una estructura de firewalls para proteger sus redes de Internet ni para uso interno.

85 Ejercicio 10 No cuenta con sistemas de antivirus debidamente actualizados. No han tenido tiempo para desarrollar los procedimientos operativos más importantes para el día a día. No existe una política de uso de recursos computacionales (se detectan acceso a sitios inmorales).

86 Ejercicio 10 No cuentan con una plataforma ni procesos robustos de controles de acceso. Han instalado redes inalámbricas en forma descontrolada. Ha habido robo de laptops a alumnos y a profesores dentro de la Universidad.

87 Ejercicio 10 Los equipos de las salas de alumnos son continuamente des-configurados. Hay quejas de falta de capacidad en el sitio central así como en sus comunicaciones. Para cada incidente de seguridad proponer mecanismos de control que ayuden a evitar el riesgo.

88 Auditorias de seguridad La auditoria es la evaluación de una persona, sistema, proceso, proyecto o producto. La auditoría se utiliza como mecanismo de control para logar el aseguramiento de la calidad. La auditoría se centra en verificar y validar el control interno de una organización. En cuestión de seguridad es lo mismo.

89 Auditorías de Seguridad La auditoría describe como se hacen las cosas, no tanto su existencia. Por ejemplo al auditar una base de datos se está validando el uso de la base de datos y no su existencia. La auditoría es todo un proceso de verificación de lo que se dice ser con lo que se tiene. Las auditorías pueden ser generales o técnicas

90 Auditoría de Seguridad La auditoría de seguridad es una auditoria técnica. Se recomienda que sea una auditoria de control superior (externa) aunque es deseable que se haga de manera interna para control interno. La auditoría en general y la especializada en seguridad debe de realizarse en los procesos de negocios de las organizaciones.

91 Auditorías de Seguridad ¿Qué es lo que se audita? Activos de información y la información misma respecto a como se usa y que se cumplan las políticas de seguridad.

92 Auditorías de Seguridad

93 El proceso de auditoria finaliza con un reporte en el cual se indican los hallazgos encontrados y la evidencia que confirma dichos hallazgos. Si no se tiene evidencia sustantiva no se puede sustentar ninguna opinión profesional. Con la evidencia recabada se debe de poder reconstruir la instantánea de lo evaluado.

94 Auditorías de Seguridad Para realizar auditorías de seguridad se requiere previamente realizar planeación. Sino se tiene un plan de auditorías no se puede garantizar que es seguro. Se pueden utilizar herramientas de análisis de vulnerabilidades para revisar posibles activos. Es más recomendable utilizar versiones propias de análisis de vulnerabilidades.

95 Auditorías de Seguridad Se pueden realizar a través de forma manual o auxiliándose de alguna herramienta actualizada. Los auditores no solucionan los problemas encontrados, sólo los reportan de la misma forma que en desarrollo de software un tester prueba no codifica.

96 Ejemplo de Auditoría ¿Qué hace el siguiente pseudocódigo? W, X, Y, Z: real READ W, X Z = 1 While (z > 0.01) do Y = X – (((X*X) – W)/ (2*X)) Z = abs(X – Y) X = Y End While Print X

97 Referencias Senft, S. And Gallegos, F. (2008) Information Technology Control and Audit, Third Edition, CRC Press, United States Hall, H, Information Auditing, School of Computing, Napier University, 2009. Boiko, UW iSchool, Information Audits, ischool.washington.edu, 2009.

98 ¿Preguntas?

Descargar ppt "Administración de la Seguridad M.C. Juan Carlos Olivares Rojas Septiembre 2009."

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Sistema Organizacional en línea para Administradores y Gerentes de Proyecto Gerente Contratista ConsultorCliente EnVivo Punto central de Coordinación de.

Sistema Organizacional en línea para Administradores y Gerentes de Proyecto Gerente Contratista ConsultorCliente EnVivo Punto central de Coordinación de.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
EVALUACION DEL PERSONAL

EVALUACION DEL PERSONAL
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
PRODUCTO NO CONFORME.

PRODUCTO NO CONFORME.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
JURISWEB DPESLP.

JURISWEB DPESLP.
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Guía para la evaluación de seguridad en un sistema

Guía para la evaluación de seguridad en un sistema
Administración de redes

Administración de redes
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Seguridad Informática

Seguridad Informática

Presentaciones similares

Anuncios Google