SeguridadInformática
¿Por qué estamos aquí?
Delitos cibrenéticos “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora sobrepasa el valor del tráfico de drogas a nivel mundial” “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora sobrepasa el valor del tráfico de drogas a nivel mundial” (2007)David DeWalt, CEO de McAffe
Tipos de incidentes 2008 (%)
Tipos de incidentes 2010 (%)
Tecnologías usadas 2008
Tecnologías usadas 2010
Presupuesto seguridad (% de TI)
Ambiente MUCHO más peligroso! CERT 2002
La seguridad incomoda!
Comodidad vs Seguridad Comodidad Seguridad
Algunas definiciones
SEGURIDAD Cualidad de seguro Seguro: Libre y exento de todo peligro, daño o riesgo PROTEGIDO
Conocimiento Información ISO/IEC 27002:2005 “Un activo que, al igual que cualquier otro activo importante del negocio, es esencial y por lo tanto está sujeto a ser protegido” “Un activo que, al igual que cualquier otro activo importante del negocio, es esencial y por lo tanto está sujeto a ser protegido” Information technology — Security techniques — Code of practice for information security management
Protección de información (datos) Sin importar el formato o el almacenamiento Seguridad Informática
“Seguridad de la información es la protección de la información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.” “Seguridad de la información es la protección de la información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.” ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management
Seguridad computacional Criptografía Programas Sistemas operativos Redes Bases de datos Procedimientos y políticas Protección de información en sistemas computacionales
Metas de la seguridad
Confidencialidad Solo personas autorizadas tienen acceso a los recursos de un sistema Acceso incluye lectura, impresión, conocimiento de existencis, etc. Partes pequeñas de información también son importantes
Integridad La información puede ser modificada sólo de manera autorizada Depende mucho de las políticas del sistema Información Precisa, exacta, no modificada o modificada sólo por gentes o procesos autorizados y de manera aceptable
Disponibilidad Los servicios y los datos son accesibles a los usuarios autorizados cuando lo necesitan Tiempo adecuado
Metas de la seguridad ConfidencialidadIntegridad Disponibilidad SEGURO
Componentes de la Seguridad Alfredo Aranguren, CISSP, CISA, CISM
Cisco Tendencias que afectan la seguridad Asuntos legales y privacidad – Demandas y requisitos federales Acceso inalámbrico – Muchos usuarios, muchos dispositivos La necesidad de velocidad – Soluciones de software no “escalan” bien Escasez de personal de TI – Soluciones externas
Términos Riesgo → Proximidad de un daño Vulnerabilidad → debilidad Amenaza → daño potencial Control → Protección
Vulnerabilidad, amenaza, control Una amenaza es bloqueada controlando una vulnerabilidad Ataque: Explotación de una vulnerabilidad
Vulnerabilidades Hardware Software Medios de almacenamiento Datos Procedimientos y políticas Redes Servidores Personas
Riesgo Evaluar activos Identificar, caracterizar y evaluar amenzas Evaluar vulnerabilidades de activos críticos Determinar el riesgo – Consecuencias posibles de ciertos ataques sobre ciertos activos (Impacto) Identificar maneras de reducir el riesgo Priorizar medidas para reducir el riesgo ISO Risk Assesment Process
Administración del riesgo Frecuencia Severidad REDUCIRLO TRANSFERIRLO EVITARLO ASUMIRLO
Administración del Riesgo Activos negocio Activos negocio Riesgo Amenazas Impacto negocio Impacto negocio Vulnerabilidades internas y externas Vulnerabilidades internas y externas Controles
Nivel De Riesgo Cálculo del riesgo Riesgo = Probabilidad de ataque * Impacto “The purpose of risk management is to change the future, not to explain the past” The book of risk, Dan Borge Impacto al negocio Probabilidad de ataque ROI Conexión Productividad
Proceso (gobierno)
Cubo de McCumber
Proceso (gobierno) Objetivo del sistema Políticas (normas, directrices) Procedimientos Y prácticas Concientización Sistema Seguro Auditoría
Tipos de vulnerabilidades Físicas – Falta de protección (candados, alarmas, TV, etc.) – Ambiente no adecuado (clima) Lógicas – Sistemas, errores (bugs, buffer overflow, etc.) Humanas – Falta de entrenamiento (contraseñas, introducción de datos, etc.) – Enfermedades
Top 10 en servidores Instalaciones con mala configuración (default) Sistemas no actualizados (parches) Autenticación pobre Contraseñas débiles Cuentas default Exceso de privilegios en los usuarios Protección no adecuada de archivos Supervisión de sistemas no adecuada (logs) Respaldos (estrategia) Seguridad física débil Gartner 2006
Amenazas Una amenza explota una vulnerabilidad Humanas – Maliciosas Personas externas (piratas informáticos) Personas internas (empleados descontentos) – No maliciosas Empleados ignorantes Desastres naturales – Inundaciones, incendios, terremotos, huracanes
Impactos (dimensiones) Reputación – Imagen (pérdida de clientes) Financiero – Incremento en costos operativos – Pérdida de ingresos – Multas por SLA Productividad – Desempeño de los procesos Legales y regulatorios – Privacidad de datos
Controles Tecnología Política Proceso Procedimiento Contrarresta una amenaza Disminuye riesgo asociado a un activo
Métodos de control Controles técnicos – Protecciones que se incluyen en hardware y software Controles no técnicos – Controles gerenciales y operativos – Políticas de seguridad – Procedimientos operativos – Seguridad del personal, física y ambiental
Tipos de controles Controles tecnológicos – Controles físicos Edificios, CCTV, bardas, etc. – Controles lógicos Sistemas, redes, etc. Controles normativos – Políticas – Procedimientos Controles humanos – Personal – Entrenamiento
Tipos de controles (físicos) Disuasivos – Bardas, señales de aviso, guardias, perros Para retardos – Cerraduras, Controles de acceso Detección de intrusos – Externos, internos, CCTV Respuesta – Procedimiento de emergencia, policía, bomberos
Tipos de controles (funcionalidaad) Preventivos Detectivos Correctivos Disuasivos Recuperación Compensatorios
Principio de protección adecuada Los recursos de cómputo deben ser protegidos solamente hasta que pierdan su valor El nivel de protección debe ser consistente con su valor Seguridad absoluta → Precio infinito
Principio de más fácil penetración El eslabón más débil Intruso utilizará cualquier medio disponible La penetración no será necesariamente por el medio más obvio Tampoco será por el punto con defensa más sólida
Seguridad por niveles (Defense in depth) Defensa por capas No un solo punto de defensa “infalible” Esquema de la cebolla (onion)
Seguridad Informática
Seguridad de la información El problema no es solamente tecnológico. – El ser humano es el eslabón más débil La información se debe proteger sin importar el formato – digital, impresa, verbal, almacenada, destruida, procesada, perdida, etc.