CONCEPTOS BASICOS DE SEGURIDAD

Introducción Las comunicaciones y redes han dado una gran cantidad de nuevas alternativas de ataque, enriqueciendo aún más el concepto de “vulnerabilidad de un sistema o una red”. Otro factor es que las computadoras abarcan cada vez más factores de nuestras vidas, y también actividades vitales, por ejemplo asistiendo al control aéreo, marcapasos, etc.

Introducción Seguridad abarca acceso restringido a recursos del sistema, especialmente a los datos. Dentro de ese acceso restringido está el adecuado uso de la información según cada usuario y su rol dentro de la organización. Incluye seguridad física, de archivos, de acceso, de correos, de BDs, etc. También se incluye el hecho de que un SW haga lo que se pretende que haga y nada más...

Diseña normas, procedimientos, métodos y técnicas Introducción Diseña normas, procedimientos, métodos y técnicas Asegurar confidencialidad, integridad y disponibilidad

Introducción Sin seguridad Falta de privacidad Falta de integridad Alteraciones, pérdidas, modificaciones Fraudes, robos, caos Inseguridad Desconfianza

Requerimientos mínimos de un sistema de seguridad Reconocimiento Integridad Aislamiento Auditabilidad Controlabilidad Adaptabilidad Recuperación Administración y custodia

Conceptos y cuestiones básicos Sistema aislado Compartir vs proteger Amabilidad --- Vulnerabilidad ¿? Nivel de seguridad: depende de los valores a proteger Administradores del sistema Auditores Logs

Requisitos de seguridad Hay que definir qué significa que un sistema sea seguro Esto se hace mediante una lista de requisitos expresados sin ambigüedades De estos requisitos en general se desprenden las especificaciones de los aspectos de seguridad de las aplicaciones, del manejo de información clasificada, de la seguridad en la operativa diaria de una organización (y cómo afecta sus sistemas), etc.

Controles Como parte de la seguridad de operación es importante diseñar y aplicar mecanismos de cierres, auditorías, controles, en gral. sin previo aviso y sin publicar sus detalles, y por supuesto ejecutados por un grupo diferente del de operación. Esto es complicado en organizaciones pequeñas y con escasa cultura de seguridad.

Supervisión de amenazas Se usa para proteger algunos recursos vitales o altamente clasificados. El usuario que quiere acceder al mismo lo hace pero a través del sistema operativo, y el mismo puede conceder/denegar acceso, y en caso de concederlo es un programa del SO quien ejecuta y luego pasa los resultados al usuario. Un ejemplo de esta técnica es lo que se usa cuando un usuario cambia su contraseña. El acceso/denegación genera logs que deben ser constantemente monitoreados.

Clases de Intrusos Clase A Nuevos que experimentan, ensayan, juegan 80% Clase B Se interesan, les gusta profundizan en sus conocimientos 12% Clase C Saben , conocen tienen claro lo que quieren y sus objetivos 5% Clase D Definitivamente conocen de vulnerabilidades y están en permanente búsqueda de ellas 3%

Tipos de Amenazas FISICAS HUMANAS Maliciosas Internas Externas No Maliciosas Empleados sin Competencias o perfiles Instalaciones Redes Adecuaciones Incendios Terremotos Inundaciones VIDEO

Física Protección del centro de computo o data center contra: Incendios Material Inflamable o combustible Lejos de fuentes de calor Sistema de refrigeración Pisos y techos falsos Temperatura max 18 °C Humedad 65% Extintores clase C

Seguridad Física Inundaciones Invasión de agua por exceso de escurrimientos, debido a falta de drenajes adecuados , o presencia de tuberías defectuosas

Seguridad Física Terremotos Se debe asegurar todos los elementos posibles, no debe existir ningún riesgo de caídas de objetos sobre los servidores o racks

Instalaciones eléctricas Seguridad Física Instalaciones eléctricas Cumplimiento de la Norma Retie NTC 2050 (Código eléctrico colombiano). Carga y balanceo de los circuitos Puesta a tierra Protecciones Ups, Regulador Normas cableado estructurado (EIA/TIA 568B)

Normas cableado estructurado Organismos y Normas • TIA: Telecommunications Industry Association. • ISO: International Standards Organization. Organización no gubernamental creada en 1947 a nivel Mundial, de cuerpos de normas nacionales, con más de 140 países. • IEEE: Instituto de Ingenieros Eléctricos y de Electrónica. Principalmente responsable por las especificaciones de redes de área local como 802.3 Ethernet,802.5 Token Ring, ATM y

Normas cableado estructurado ANSI/TIA/EIA-568-B – Cableado de Telecomunicaciones en Edificios Comerciales. (Cómo instalar el Cableado) TIA/EIA 568-B1 Requerimientos generales TIA/EIA 568-B2 Componentes de cableado mediante par trenzado balanceado TIA/EIA 568-B3 Componentes de cableado Fibra óptica 􀂃 ANSI/TIA/EIA-569-A – Normas de Recorridos y Espacios de Telecomunicaciones en Edificios Comerciales (Cómo enrutar el cableado)

Seguridad Física Accesos no autorizados Registro de accesos Controles como: Tarjetas de identificación, Sistemas biométricos. Circuito cerrado

Todo lo que no esta permitido debe estar prohibido Clases de seguridad Lógica Aplicación de barreras y procedimientos que resguarden el acceso a los datos de forma digital. Todo lo que no esta permitido debe estar prohibido

Identificación y autenticación Seguridad Lógica Identificación y autenticación Usuario y password (seguros y fuertes) Llave o tarjeta Componentes biométricos (nuevas tecnologías) Debe aplicarse por acceso ( S.O, BD, Aplicaciones etc) No olvidar la administración de usuarios .

Seguridad Lógica Roles: Perfil de usuario que puede o no hacer Transacciones: Nivel de autorización (clave adicional). Limitación de los servicios: Numero de licencias disponibles (DoS) Modalidad de acceso a archivos (R,W,X) Restricciones de tiempo (S.O, proxy) Encriptación Firmas digitales (ley 527 de1.999)

Seguridad Lógica Listas de control de acceso (Acls): Verificar, consultar, administrar Firewalls (hardware o software) filtrado de información. Antivirus, antispam, antimalware, antispayware (anti keylogger, rootkit, bakcdoor)

Estándares de Seguridad British Code of Practice BS-7799 & ISO 270 Certificación y código de buenas practicas 10 módulos, 27 objetivos y 127 controles Control Objectives for Information and Technology Framework (COBIT) Planeación y Organización, Adquisición e implementación, Liberación y soporte, Monitoreo. Common Criteria – Seguridad para la adquisición de eq. Cómputo. Nfpa 1600

Estándares de Seguridad The Rainbow Series – Orange Book Los S.O. a incluyen los niveles de seguridad (D – A1) D-Ningún nivel de protección C1- Protección discrecional C2- Protección de acceso controlado B1-Seguridad etiquetada B2-Proteccion estructurada B3-Dominios de seguridad A- Protección verificada

Mitos “Mi antivirus está al día, así que no puede entrar ningún virus.” “Tengo un firewall, así que no corro peligro.” “Uso dos antivirus a la vez, ¿qué puede salir mal?” “Mi PC no le interesa a nadie, no hay peligro.” “Mi backup está al día, así que si pasa algo, puedo restaurar el sistema.” “Nunca dejo mi mail en ningún sitio ni estoy registrado en páginas Web, así que es imposible que me roben la dirección.”

Mitos 8. “Tengo todos los parches de Windows instalados, no puede pasar nada.” 9. “No abro ningún adjunto, los virus no pueden entrar.” 10. “Mi Equipo tiene GNU/Linux y no soy vulnerable”

NORMAS DE SEGURIDAD INFORMATICA FASES DE DESARROLLO DE UNA POLITICA

Políticas de Seguridad Pasos en el desarrollo Determinar qué es lo que se va a proteger Determinar quién tiene y quien no tiene acceso y a qué nivel Determinar cómo va a funcionar la protección Crear unas políticas por escrito Implementar y mantener dichas políticas La seguridad absoluta es imposible

GRACIAS