1 El análisis de riesgos, base de la gestión de la Seguridad de la Información
Conceptos básicos
3 “Seguridad Informática es un proceso continuo, donde la condición de los controles de la institución es un indicador de su postura de seguridad” FFIEC Information Security IT Examination Handbook, Diciembre de 2002 La inseguridad es una propiedad inherente a los recursos informáticos, la gestión es la única forma de medirla y aminorarla Seguridad de la información?
Seguridad de la informacion? No se podrá entender la seguridad informática como un concepto cerrado consecuencia de la aplicación mecánica de una serie de métodos Es un proceso que se puede ver comprometido en cualquier momento de la forma menos sospechada
Impacto Financiero de un incidente Una empresa que factura 4000M mensuales factura 1000M semanales, entonces factura diariamente 200M en promedio Cuanto le cuesta a la organización no tener sistema durante dos dias? EJ: Un gusano entra por el firewall y aprovechando una vulnerabilidad del servidor web toma control de este, de paso infecta (copia el gusano) los 600 PCs MS Windows XP que no tienen suplementos a la fecha
Que variables se afectan en un incidente? Confidencialidad: El aprovechamiento de una vulnerabilidad deja al atacante con permisos de administrador sobre el servidor web del ejemplo anterior Integridad: El servidor web es modificado o alterado por un usuario no autorizado Disponibilidad: Los PCs de la red, el firewall y el servidor web no son accesibles por los elementos autorizados
7 Propiedades de un sistema Confidencialidad: Los recursos del sistema solo pueden ser accedidos por los elementos autorizados Integridad: Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados Disponibilidad: Los recursos del sistema deben permanecer accesibles a los elementos autorizados
8 Tipos de ataques Modificacion: Webdefacement Fabricacion: Insertar nuevo usuario Interceptacion: Key loggers (spyware), Sniffers Interrupcion: DoS (Denegacion de servicios) ej: Snork, smurf
9 Que atacan? Propiedades ______________ Confidencialidad Integridad Disponibilidad Ataques _______________ Modificacion: webdefacement Fabricacion: Insertar nuevo usuario Interceptacion: Key loggers Interrupcion: Dos
10 No se requieren grandes habilidades técnicas para “hackear” Habilidades Requeridas Sofisticacion del Ataque Sofisticacion del Ataque Worms PasswordGuessing Self-ReplicatingCode PasswordCracking Exploiting Known Vulnerabilities DisablingAudits Backdoors HijackingSessions Sweepers StealthDiagnostics Sniffers Satan PacketSpoofing Central Exploit Repository StackOverflw Back Orifice NMAP MacroVirus IcmpTunneling HIGHLOW HIGHHIGH LOWLOWLOWLOW
No importa el sistema operativo
Entonces que debo proteger? El concepto de seguridad lleva asociado otro que le da sentido: !!! El VALOR !!! Solo se debe proteger aquello que creemos que tiene un valor importante para la organización
Porque lo que no se mide no se administra y lo que no se administra no se mejora… Por que gestionar los riesgos?
Modelo de Seguridad Informática Los riesgos nunca se eliminan se gestionan De los riesgos se desprende que los problemas de seguridad no son únicamente de índole tecnológica por ello nunca se eliminan
Modelo de Seguridad Informática En consecuencia la organización debe entender la seguridad como un proceso que nunca termina
Modelo de Seguridad Informática El objetivo primordial de los SGSI es salvaguardar la información Para empezar la organización debe identificar que “activos de información” deben ser protegidos y en que grado
Que es la metodología PDCA o PHVA? PHVA, nos indica Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo hasta disminuir los riesgos PLANIFICAR PLAN HACER DO VERIFICAR CHECK ACTUAR ACT MEJORAS CONTINUAS
PLANIFICAR: Establecer el contexto En este nivel se crean las Políticas de seguridad Se describe el alcance del SGSI Se hace análisis de riesgos Selección de controles Estado de aplicabilidad
HACER: Implementar el sistema Implementar el sistema de gestión de seguridad de la información Implementar el plan de riesgos Implementar los controles
VERIFICAR: Monitorea y revisa Monitorea las actividades Revisa Hace auditorias internas
ACTUAR: Mantenimiento y mejora Implementa mejoras Acciones preventivas Acciones correctivas
Análisis de riesgos
Análisis de riesgos según la norma ISO IEC 27002:2005 (antes 17799) Según la norma ISO/IEC la primera fuente para que una organización identifique sus necesidades de seguridad es la valoración de sus riesgos
Puntos críticos (1 de 2) 1. Identificación de activos y asignación de sus respectivos valores 2. Identificación de amenazas a los activos y valoración de sus probabilidades 3. Identificación de vulnerabilidades y valorarlas
Puntos críticos (2 de 2) 4.Identificación de los controles que se tengan implementados 5.Valoración del riesgo global resultante de los puntos anteriores
Que es análisis de riesgos? Es la consideración sistemática de: El daño probable que puede causar en el negocio un fallo en la seguridad, teniendo en cuenta las consecuencias potenciales de una pérdida de confidencialidad, integridad, disponibilidad de la información
Que es análisis de riesgos? (1 de 2) Un proceso de análisis de riesgos detallado, implica la identificación y valoración de los activos, la evaluación de las amenazas, las vulnerabilidades de los activos frente a las amenazas, la estimación del impacto y la valoración de los riesgos
Que es análisis de riesgos? (2 de 2) La fase siguiente al análisis de riesgos es la gestión de los riesgos detectados, que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la dirección
Estructura metodologica que se podría seguir Los elementos implicados en la seguridad son: Inventario de Activos Amenazas Vulnerabilidades Impactos Riesgos
Inventario de activos (1 de 2) En este inventario se identificará claramente su propietario y su valor para la organización, así como su localización actual (muy importante cuando se intente recuperar por pérdida o daño)
Inventario de activos (2 de 2) Desde el punto de vista de la gestión de la seguridad informática un inventario de activos ayudará a proteger adecuadamente los activos de la organización
Amenazas (1 de 4) Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos
Amenazas (2 de 4) La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados. Es decir, hace pasar el activo de un estado inicial anterior conocido a otro posterior, que puede ser no deseable
Amenazas (3 de 4) Los activos están expuestos a muchas clases de amenazas, las cuales pueden explotar sus vulnerabilidades
Amenazas (4 de 4) Los controles de seguridad que se implementen se seleccionarán teniendo en cuenta las vulnerabilidades, no las amenazas
Vulnerabilidades (1 de 4) La vulnerabilidad de un activo es la posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo
Vulnerabilidades (2 de 4) También se le conoce a la vulnerabilidad como una debilidad, como un agujero, como una falla o error en la seguridad del sistema de información
Vulnerabilidades (3 de 4) En sí misma no causa daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo
Vulnerabilidades (4 de 4) Se trata de una propiedad de la relación entre un activo y una amenaza, que si no se gestiona adecuadamente permitirá a la amenaza materializarse
Impacto (1 de 2) Es la consecuencia sobre un activo de la materialización de una amenaza
Impacto (2 de 2) El impacto mide la diferencia entre el estado de seguridad de un activo antes y después de la materialización sobre él de una amenaza
Riesgo (1 de 2) Es la posibilidad de que se produzca un impacto sobre algún activo
Riesgo (2 de 2) El control del riesgo como resultado del análisis de riesgos, es un proceso complejo que parte de la determinación de los activos y las amenazas y prosigue con la estimación de las vulnerabilidades y los impactos
Costo de equilibrio
Magerit (1 de 4) Una metodología exitosa muy probada es la creada por el “Consejo Superior de Informática” de España sobre el Análisis y Gestión de Riesgos de los sistemas de Información
Magerit (2 de 4) Es la mas compleja de las metodologías pero es la que mas llega a la junta directiva, pues muestra los activos con valores
Magerit (3 de 4)
Magerit ( 4 de 4)
Conclusiones (1 de 2) Se recomienda seguir la norma internacional ISO/IEC (certificables) O como mínimo seguir las recomendaciones ISO/IEC (mejores practicas)
Conclusiones (2 de 2) Considera la organización como un todo Tiene en cuenta todos los posibles aspectos que se pueden ver afectados ante los posibles incidentes que se pueden producir
Bibliografía Ziegler, Robert. Linux Firewalls. 2nd ed New Riders Publishing. Ziegler, Robert. Linux Firewalls. 2nd ed New Riders Publishing. Harrison, Richard. The Antivirus Defense-in-Depth Guide Microsoft Corporation. Harrison, Richard. The Antivirus Defense-in-Depth Guide Microsoft Corporation. Tabacman, Eduardo. Elementos de Seguridad Informática VIRUSPROT.COM. Tabacman, Eduardo. Elementos de Seguridad Informática VIRUSPROT.COM IATF. Defense in Depth. Release IATF. Defense in Depth. Release McGuiness, Todd. Defense In Depth. Version 1.2E SANS Institute. McGuiness, Todd. Defense In Depth. Version 1.2E SANS Institute. Cole, Krutz, Conley James. Network Security Bible. 1st ed Wiley Publishing. Cole, Krutz, Conley James. Network Security Bible. 1st ed Wiley Publishing.