Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

Módulos  Introducción  Principios de seguridad  Tecnologías de seguridad  Redes inalámbricas y usuarios móviles  Entorno del comercio-e  Implantación de programas de seguridad  Perspectivas sociales y futuras  Referencias

Módulo Implantación de programas de seguridad  Planificación del proceso  Establecer un programa de seguridad  Avalar el margen de vulnerabilidad (“Security assessment”)  Administradores de servicios de seguridad (“Managed security services”)  Respuesta y recuperación  Seguridad en el Web e Internet

Seguridad de sistemas Planificación del proceso Proceso de seguridad Avalúo Adoptar políticas Adiestrar Auditar programa Implantar el programa

Seguridad de sistemas Planificación del proceso FASE PlanificarCorregirActualizarUtilizar Recopilar Avalúo de sistemas y servicios en uso Avalúo nuevos sistemas Verificar uso continuo Adoptar Políticas Información Seguridad Revisar procesos DRP Probar procesos Revisar políticas Implantar Parchar sistemas críticos Nuevos sistemas seguridad y Cambios procesos Actualizar versiones de sistemas Adiestrar Desarrollar y ofrecer talleres con regularidad Auditar Itinerario verificar procesos y políticas

Implantación de un Programa de seguridad 1. Identificar personal responsable (CERT) 2. Establecer y documentar procesos críticos 3. Definir requerimientos para incrementar seguridad (CSO y RO) 4. Comunicar y diseminar programa de seguridad 5. Auditar y fiscalizar implantación

Implantación de un Programa de seguridad 1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Comité de emergencias (“Corporate Emergency Response Team”) Integrar personal de IT Integrar personal de las áreas críticas Integrar personal de seguridad organización Consultores o personal de emergencias externo

Implantación de un Programa de seguridad 2. Establecer y documentar procesos críticos: Avalúo de riesgos potenciales y priorización Clasificación de los records o archivos de información (físicos y electrónicos) Determinar fuentes de posible riesgo y medidas de seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser atendidos por el programa de seguridad Definir los niveles de acceso y controles:  Procesos para administrar el acceso de usuarios, acorde a su desempeño o necesidad (Roles – facilita “scalability”)  Establecer controles (centralizado-descentralizado)  Adoptar políticas para implantar los controles negociados Implantación técnica y asignación de recursos (TIP)

Implantación de un Programa de seguridad 3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Proponer soluciones que contraresten o minimizen los riesgos ponderados Centrarse en recursos críticos y riesgos probables Evaluar “best practices” Negociar plan de acción y pasos a seguir Definir medidas para evaluar implantación exitosa

Implantación de un Programa de seguridad 4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensión y del impacto potencial de los riesgos (“awareness program”) Educar sobre cómo su comportamiento es afectado por las políticas y procedimientos de seguridad vigentes o propuestas Integrar diversos mecanismos de difusión:  Talleres o conferencias  Folletos  Páginas de WEB Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribución del proyecto

Implantación de un Programa de seguridad 5. Auditar y fiscalizar (“monitor”) Probar o validar el programa continuamente:  Integrar las herramientas y técnologías recientes  Identificar cambios o amenazas y reaccionar con agilidad Configuración y Control Escudriñar y vigilar intrusos o acceso indebido Responder ágilmente a los incidentes reportados Analizar los datos referentes a eventos o incidentes de violación (“Forensics”) Notificar y cuantificar la ejecución del programa

Avalar el margen de vulnerabilidad (“Security assessment”)  Descripción del proceso  Plan de evaluación  Tipos de prueba  Revisión del programa de seguridad  Auditoría de seguridad  Avalúo de riesgos

Avalar el margen de vulnerabilidad (“Security assessment”)  ¿En qué consiste? “Determinar dónde estamos y dónde debemos estar”  ¿Cuáles pasos debo seguir? Recopilar políticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (“best practices”) Comparar realidad operacional contra objetivos

Avalar el margen de vulnerabilidad (“Security assessment”)  ¿Por qué hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el perímetro de seguridad institucional Identificar los principales aspectos de seguridad que ameritan proyectos particulares Revisar y actualizar las políticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de adiestramientos sobre seguridad Determinar las áreas de mayor riesgo para avalar los planes de BCP y DRP

Avalar el margen de vulnerabilidad (“Security assessment”)  ¿Quién debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la división de seguridad Nuestros proveedores de HW/SW/OS Consultores externos

Avalar el margen de vulnerabilidad (“Security assessment”)  Áreas a examinar: Sistemas Red(es) Organización  Tipos de prueba: Pruebas de penetración Pruebas de vulnerabilidad

Avalar el margen de vulnerabilidad (“Security assessment”)  Objetivos de las pruebas de penetración: Detectar ataques o posibles ataques Prevenir ataques Detectar violación a políticas y procedimientos Hacer cumplir políticas y procedimientos Detectar huecos en conexiones Operacionalizar políticas sobre conexión Recopilar evidencia

Avalar el margen de vulnerabilidad (“Security assessment”)  Pruebas de vulnerabilidad (“vulnerability test”): Automáticas –  mediante escudriñadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio  Verificadores de conexiones piratas (fax/modem, WLan) Manuales –  Experto verifica las listas, clasifica las deficiencias o posibles deficiencias  Explora otras opciones menos obvias

Avalar el margen de vulnerabilidad (“Security assessment”)  Pruebas de intrusión: “Stealth scans” – Identifican huecos en sistemas “Port Scans” “Trojan scans”  Pruebas de vulnerabilidad: “File snooping” “Compromised systems”

Avalar el margen de vulnerabilidad (“Security assessment”)  Frecuencia del proceso: Anualmente como mínimo Depende del tipo y proporción de presencia WEB  Inversión en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daños  Resultados del proceso: Medidas de seguridad adicionales o más robustas Revisión y actualización de las políticas y procedimientos

Avalar el margen de vulnerabilidad (“Security assessment”)  Ejercicios:  “Web page defacement” – Web server protegido por FW y todo tráfico bloqueado excepto P80  Tráfico inexplicablemente voluminoso – servidor de Web/FTP indica uso intenso de discos  Archivos modificados por desconocido – cambios en archivos encontrados por “integrity checker”  Servicio no autorizado en sistema interno – se encuentra un servicio nuevo en el servidor  Usuario activa servicios Web en su máquina  Desaparece el “systems log” – se encuentra en “hidden folder” un proceso de actualización desconocido.

Avalar el margen de vulnerabilidad (“Security assessment”)  Ejercicios:  Red lenta por tráfico conflictivo  Alarma de ataque a un router  Servidor de correo lento y con volumen excesivo  Alarma de ataque a la red  Amenaza a un ejecutivo de extorsión con sistemas

Respuesta y recuperación (“Response and Recovery”)  Respuesta a incidentes  Continuidad en operaciones  CERT

Respuesta y recuperación (“Response and Recovery”)  Enfoques pasivos de respuesta: Recoger información y notificar para acción a autoridad correspondiente Obviar – confianza en nivel de seguridad operacional o por abandono Levantar bitácoras o recoger información en servidores dedicados Notificar – personal de seguridad de acuerdo a la severidad del incidente

Respuesta y recuperación (“Response and Recovery”)  Enfoques activos de respuesta: Actuar rápidamente evitando afectar operaciones o aislar usuarios válidos. Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o permanentemente Engañar al posible atacante haciéndole creer que no ha sido descubierto (“Honey pots”)

Respuesta y recuperación (“Response and Recovery”)  Respuesta a incidentes: Penetración, intrusión o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activación de procedimiento para confrontarlo  Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evidencia y documentar hallazgos Integrar nivel gerencial adecuado Proteger la organización

Respuesta y recuperación (“Response and Recovery”)  Establecer parámetros: Definir número de conexiones esperado Sensibilidad de los sensores automáticos Velocidad de respuesta de la red Vulnerabilidades conocidas Peritaje del personal técnico Peritaje de usuarios Consecuencias de falsas alarmas Consecuencias de incidentes no detectados

Respuesta y recuperación (“Response and Recovery”)  Revisión del programa de seguridad: Corregir brechas reveladas por auditorías o por informes de programas integrados Armonizar con los cambios en el entorno:  Tecnológico  Operacional/procesal  Legal Divulgar modificaciones a la comunidad

Respuesta y recuperación (“Response and Recovery”)  Riesgos: Amenazas que atentan contra la vulnerabilidad en seguridad de la organización o sus recursos.  Elementos del riesgo: Agentes – quienes originan la amenaza Eventos – tipo de acción o suceso Objeto o blanco – servicios de seguridad  Dimensión del riesgo: Costo o impacto Probabilidad de ocurrencia: “best/worst/most likely” Medidas para afrontar o compensar

Respuesta y recuperación (“Response and Recovery”)  Plan de Continuidad de Operaciones (BCP): Herramienta para anticipar riesgos, su impacto y definir pasos a seguir para mantener o restaurar las operaciones críticas en su nivel operacional adecuado.  Plan de Recuperación de Desastres (DRP): Bosquejo documental detallando los pasos en la secuencia adecuada para restaurar operaciones basadas en sistemas de información.

Respuesta y recuperación (“Response and Recovery”)  Componentes y etapas del BCP: Evaluación y minimización de riesgos Analisis y cuantificación de impacto(s) Formulación de estrategias Identificación de solución(es) de emergencia Desarrollo, implantación y pruebas Divulgación y adiestramiento Relaciones públicas y manejo de crisis Actualización y mantenimiento

Respuesta y recuperación (“Response and Recovery”)  Componentes del DRP: Descripción de sistemas de información críticos Identificación de bancos de datos críticos Descripción de procesos de resguardo Descripción de procesos de recuperación Escenarios primarios cubiertos Soluciones alternas priorizadas y convenios Equipos de trabajo y recursos externos Actualización, pruebas o simulacros

Respuesta y recuperación (“Response and Recovery”)  Proceso operar escenario desastre: Acaece evento catastrófico o extraordinario Respuesta o reacción inmediata Resumir operaciones críticas ASAP Recuperar otras funciones no inmediatas Restaurar operaciones normales

Respuesta y recuperación (“Response and Recovery”)  “Computer Emergency Response Team” Organización creada por CMU para responder a escenarios de ataque contra sus sistemas. Actualmente es modelo para una red internacional de centros que proveen respaldo y publican información sobre eventos de riesgo.  CERT Equipo de trabajo institucional para asumir responsabilidad directa del proceso de reaccionar ágilmente a incidentes o eventos de riesgo.

Respuesta y recuperación (“Response and Recovery”)  ¿Quiénes deben integrar el CERT? CIO CSO Network manager Sistems manager Technical support for critical equipment/services RO for critical functional/service areas Physical security manager/officer Public relations representative

Administradores de servicios de seguridad (“Managed security services”)  Descripción de MSS  ¿Por qué contratar fuera?  ¿Cuánto debe contratarse fuera?  ¿Qué debe asegurarse fuera?  Proceso de selección de un proveedor

Administradores de servicios de seguridad (“Managed security services”)  ¿En qué consiste la administración de servicios de seguridad? Administrar Firewalls Autenticar usuarios Establecer y administrar VPN’s Implantar y mantener filtros de contenido Detectar intrusos Escudriñar virus Colaborar en reaccionar a eventos de penetración

Administradores de servicios de seguridad (“Managed security services”)  ¿Por qué contratar terceros? Costo total de operación menor Personal técnico capacitado escaso Inversión de tiempo y esfuerzo en operar proceso continuo Reducción de riesgos al integrar peritos Necesidad de adiestramiento continuo Tamaño de la organización y volumen

Administradores de servicios de seguridad (“Managed security services”)  ¿Cuánto debe contratarse a terceros? El mínimo necesario.  ¿Qué debe contratarse a terceros? Respaldo técnico Respaldo operacional Respaldo para recuperación  Criterios de contratación: Servicios vs. necesidades “Service level agreements Infraestructura del SOC Referencias

Seguridad en el Web e Internet  Políticas y procedimientos básicos  Diseño de la(s) aplicación(es)  Diseño de la infraestructura  Operación de seguridad  Integración de las partes

Seguridad en el Web e Internet  Políticas básicas: Uso y protección de tecnología y recursos Uso de Internet y de correo electrónico Manejo de cuentas y claves de acceso de usuarios Servicios autorizados y no autorizados Protección de la confidencialidad, integridad y privacidad de la información Derechos de propiedad industrial e individual Prohibiciones relativas a la responsabilidad legal  Procedimientos mínimos: Administración de sistemas Configuración y copias de resguardo Metodologías o estándares de diseño

Seguridad en el Web e Internet  Desarrollo de políticas o procedimientos: Revisar modelos o “best practices” Definir qué es importante para la organización Determinar comportamiento aceptable Identificar las partes (“stakeholders”) Formular bosquejo Desarrollar e implantar Allegar adeptos Divulgar Emplearla adecuadamente

Seguridad en el Web e Internet  Diseño de la(s) aplicación(es): Integración de requerimientos de autenticación Integración de seguridad Jerarquía o niveles de autorización Tipos de permiso o privilegios Tracto de transacciones Registro de sesiones Validación de insumo Recuperación o restauración en caso de errores

Seguridad en el Web e Internet  Diseño y mantenimiento de la infraestructura: Niveles de Firewalls Ubicación en DMZ Segmentación de “clusters” Conexividad entre segmentos y servidores Integración de VPN’s y VLAN’s Configuración y actualización de los sistemas operativos Documentación, implantación y fiscalización de cambios

Preguntas

Referencias  Tanenbaum, Computer Networks  Maiwald, Network Security  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  Gast, Seven security problems of Wireless  Wireless Privacy: An Oxymoron (April 26, 2001)  Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002)  Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003)  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)