ADMINISTRACION SEGURIDAD INFORMATICA 16/04/2017
Arquitectura de Sistemas con aseguramiento Pruebas de Vulnerabilidad Autenticación Antivirus Clientes Externos Clientes Moviles Clientes Internos CLIENTES Encripción Encripción ACL´s TRANSPORTE Checksum Red LAN / WAN Monitoreo Pruebas de Vulnerabilidad Administración Firewall Autorización Interfaces Auditabilidad Calculos Motor de Ejecución Reglas del Negocio Encripción APLICACIONES Reglas de Seguridad Antivirus Monitoreo BASES de DATOS (Logicas) Servidor de Seguridad DataWarehouse Correo, etc. Transaccionales Configuraciones Log´s 16/04/2017 Areas encargadas de toda la Seguridad Informática
Enfoque de la seguridad Enfocadas en la seguridad de las Aplicaciones Aplicación Enfocadas en la seguridad y uso de mejores prácticas a nivel de Sistema Operativo o Plataforma Enfocadas en la integridad y aseguramiento de las Bases de Datos Base de Datos Sistema Operativo / Plataforma Telecomunicaciones Enfocadas en la seguridad y uso de mejores prácticas a nivel de Dispositivos de Red 16/04/2017
Gestión de la Seguridad informatica Estándares Productos desplegados Desarrollos propios Políticas de seguridad Gestión de actualizaciones Gestión de cambios Prevención de riesgos Auditorias Procesos Tecnología Personas Concienciación Formación 16/04/2017
LAN/WAN ERP Security PKI Criptografia Extranet Intranet Antecedentes M-banking seguro Vídeo Conferencia Extranet E-mail Integrated Communications ERP Smart Cards Voice Outsource SVPN Security PKI Network Services Desktop Refresh Data Management Firewall Switches e Hubs ISO17799 Legacy-to-Web Software Standards Protocolos LAN/WAN Intranet Database Directory Document Management Knowledge Hubs Servidores Treinamento On-Line 16/04/2017 Cambio de Cultura
Seguridad Introducción Los recursos informáticos están sujetos a amenazas generadas por diferentes tipos de riesgos a los que están expuestos. Es necesario implementar controles para prevenir, detectar o corregir los ataques de las amenazas para mitigar o disminuir los riesgos. La seguridad involucra el establecimiento de un sistema de control para proporcionar confidencialidad, integridad y disponibilidad de la información. 1 16/04/2017
Areas de ataque a recursos informaticos Ataques a S.O Ataques de Correo Ataques a servicios Gusanos Nuestros Recursos Aplicaciones, Datos, Comunicaciones, Propiedad Intelectual, Documentos Confidenciales Ataques a aplicaciones Ataques de Virus Dispositivos de Red Spyware Fuerza Bruta Denegación de Servicios Accesos Remotos 16/04/2017
Infraestructura tecnológica Oficinas Interno Externo Usuario remoto Portátiles Internet RED WAN Hand Helds Smart Phones BD Móviles Interfases Server PCs Server BD 16/04/2017
Repercusiones de la transgresión de seguridad Pérdida de beneficios Perjuicio de la reputación Pérdida o compromiso de seguridad de los datos Deterioro de la confianza del inversor Deterioro de la confianza del cliente Interrupción de los procesos empresariales Consecuencias legales 16/04/2017
Modelos de ataques Correos o adjuntos Maliciosos Contenido Web Malicioso Ataques dirigidos a Puertos Ataques a desborde de Buffers 16/04/2017
Construcción de un ambiente seguro Emprender en forma modular el paso a paso para la construcción de un ambiente seguro 7 Proceso de Mejoramiento Contínuo 6 Auditorias Periódicas 5 Automatizacion de las soluciones 4 Concientizacion y entrenamiento 3 Soluciones informaticas 2 Políticas y Estructura 1 Auditoria Levantamiento de informacion 16/04/2017
Seguridad en la firma Digital Alice Bob texto plano texto plano texto plano Bob chequea La firma firma firmado Llave pública de Alice Llave privada de Alice 16/04/2017
Arquitetura tecnologica NT/W2K/UNIX SAP Web Farm SIEBEL MS-Exchange Controle de Acesso na Web Top Secret Administração de perfis de Auto-atendimento GUI Totalmente Funcional Rede Interna Usuário Final Internet Cliente GUI Admin Auto-atendimento na Reconfiguração de senha Entrada Automatizada Administração Delegada Peoplesoft Usuário Final Arbor Intranet 16/04/2017
Agentes de Ataque a Empresas Usuario Remoto Potencialmente Infectado Usuario Local Potencialmente Infectado 16/04/2017
16/04/2017
Compromiso del nivel de seguridad física Dañar el hardware Ver, cambiar o quitar archivos Quitar hardware Instalar código malintencionado 16/04/2017
Descripción del ambiente Socio comercial Servicios Internet LAN Oficina principal LAN Servicios Internet Internet Los perímetros de red incluyen conexiones a: Sucursal Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet Usuario remoto Red inalámbrica LAN 16/04/2017
Compromiso de seguridad del ambiente Socio comercial Servicios Internet LAN Oficina principal LAN Servicios Internet Internet El compromiso de seguridad en el perímetro de red puede resultar en: Sucursal Ataque a la red corporativa Ataque a los usuarios remotos Ataque desde un socio comercial Ataque desde una sucursal Ataque a servicios Internet Ataque desde Internet Usuario remoto Red inalámbrica LAN 16/04/2017
Aseguramiento del ambiente informatico Socio comercial Servicios Internet LAN Oficina principal LAN Servicios Internet Internet La protección del perímetro de red incluye: Sucursal Servidores de seguridad Bloqueo de puertos de comunicación Traducción de direcciones IP y puertos Redes privadas virtuales Protocolos de túnel Cuarentena en VPN Usuario remoto Red inalámbrica LAN 16/04/2017
Compromiso de seguridad del ambiente interno Acceso no autorizado a los sistemas Puertos de comunicación inesperados Acceso no autorizado a redes inalámbricas Rastreo de paquetes desde la red Acceso a todo el tráfico de red 16/04/2017
Principios de la Seguridad Principios básicos: Confidencialidad Integridad Disponibilidad Auditabilidad Mecanismos aplicados: Autenticación Autorización Administración No repudiación Control de acceso Encripción Políticas 16/04/2017
Mecanismo: Autorización Administración de recursos Periféricos Directorios, etc. Archivos Operaciones Perfiles Niveles de Sensibilidad ACL’s Horarios y holgura Privilegios 16/04/2017
Mecanismo: Administración Políticas Usuarios autorizados Relación entre usuarios y recursos 16/04/2017
Mecanismo: Auditabilidad y Registro Verificación de reglas de autenticación y autorización Monitoreo de pistas Ocasional Periódico Permanente Alertas 16/04/2017
2 Objetivos Identificación y autenticación de los usuarios. Diseñar controles de acceso y estándares que permitan el uso racional de los recursos informáticos al igual que la integridad de la información, buscando: Identificación y autenticación de los usuarios. Autorización de acceso a la información. Encriptado de los datos confidenciales. Backups automatizados y confiables. Estimular y facilitar la creación de una cultura de seguridad en informática. Garantizar la adecuada protección fisica de los recursos informáticos. 2 16/04/2017
Objetivos Identificar el nivel de sensibilidad de la información y establecer responsabilidades por su manejo. Informar a los empleados de las politicas de seguridad. Definir los requerimientos mínimos de seguridad, de acuerdo con la sensibilidad de la información involucrada. Definir atributos de seguridad para la información, los cuales se deben preservar cuando se comparta la información con otras entidades. Garantizar la continuidad de las operaciones, ante una situación crítica de suspensión del servicio informático. 3 16/04/2017
Objetivos Maximizar el valor estratégico del sistema de información sosteniendo los esquemas de autorización y seguridad en permanente operación, siguiendo y analizando las conductas seguidas por los usuarios. Asignar claramente las responsabilidades en caso de usos inaceptables o no autorizados. Promover medidas de seguridad en busca de mantener la integridad del sistema de información. Asegurar que los usuarios autorizados y las demás personas involucradas con el manejo de la seguridad tienen conocimiento sobre las normas legales que afectan el tipo de información manejada. 4 16/04/2017
Roles y Responsabilidades Dirección de Sistema Desarrolladores Soporte Seguridad Informática Administración del Sistema Operación Usuarios Jefes de Area Entidades Externas Administrador de la Base de Datos Director del Centro de Computo Dirección Nacional, Oficinas o Sucursales Administrador de la red 5 16/04/2017
Políticas Generales Fortalecer la formación del empleado en materia de seguridad informática. Establecer programas de inducción para los empleados. Establecer la función de administración de seguridad en informática. Garantizar que el Sistema Operativo, las Aplicaciones, las Bases de Datos y las comunicaciones con los que se trabaja ofrezcan los estándares de seguridad aceptables. 7 16/04/2017
Políticas Generales Proteger los recursos informáticos mediante medidas de seguridad física. Limitar el uso de los recursos informáticos a los usuarios autorizados. Mantener un inventario de hardware y software instalado en los diferentes equipos. Desarrollar o adquirir un software que detecte o evite instalación de software no autorizado. Delimitar responsabilidades y funciones. Revisar periódicamente el ambiente de seguridad informática. 8 16/04/2017
9 Normas de Seguridad 5.1 Ambiente Organizacional 5.2 Seguridad Física 5.3 Seguridad Lógica 5.3.1 Sistema Operativo 5.3.2 Base de Datos 5.3.3 Aplicación 9 16/04/2017
Normas de Seguridad Ambiente Organizacional Las Políticas de seguridad deben ser difundidas y apoyadas por las altas directivas. La seguridad debe entenderse como un conjunto homogéneo y coordinado de medidas aplicables a toda la organización. Composición y responsabilidades de funcionarios de sistemas Manejo adecuado de políticas de personal Evaluación de los usuarios Revisión del cumplimiento de la normatividad interna Políticas de mantenimiento de los equipos del sistema Identificación de los equipos informáticos y pólizas de seguridad Panorama o mapa de riesgos de la organización. 10 16/04/2017
Normas de Seguridad Seguridad Fisica Acceso Físico a Formatos especiales Acceso Físico a los Recursos Informaticos Acceso al Centro de Computo Acceso a Reportes y Medios Magnéticos Acceso Remoto Demarcación Física de Zonas Salas de computo o centros de procesamiento de datos Seguras 11 16/04/2017
Normas de Seguridad Seguridad Fisica Espacios de Servicios Almacenamiento de Respaldos Magnéticos Respaldo Eléctrico Acceso a Zonas Restringidas Prevención de Contingencias 12 16/04/2017
Normas de Seguridad Seguridad Lógica Control de Acceso al Sistema. Acceso a Datos en Producción Uso de Contraseñas Estaciones de Trabajo Movimiento de personal Excepciones a las Normas Seguridad en las Actualizaciones Entrenamiento a los Empleados 13 16/04/2017
Normas de Seguridad Seguridad Logica Departamento de Sistemas Software y Datos Nuevas Aplicaciones Manejo de Cuentas Inactivas Acceso de los usuarios Acceso de Agentes Externos Recuperación de Desastres Backup 14 16/04/2017
15 Barreras de Seguridad 6.1 Sistema Operativo 6.2 Base de Datos 6.3 Aplicación 6.4 Comunicaciones 15 16/04/2017
Barreras de Seguridad Sistema Operativo 6.2 Base de Datos 6.3 Aplicacion 16 16/04/2017
Barreras de Seguridad Base de Datos 6.1 Sistema Operativo 6.2 Base de Datos 6.3 Aplicación 17 16/04/2017
Aplicación Objetivo General Adquirir un software o desarrollar un Sistema de Información, que permita la administración de la seguridad del Sistema de manera centralizada, garantizando confidencialidad, integridad de los datos, oportunidad, disponibilidad, consistencia, control, auditoria. Este software o desarrollo debe ser la base para el manejo de la seguridad al nivel de todos los futuros desarrollos 18 16/04/2017
Aplicación Objetivos Específicos Adquirir o desarrollar una herramienta de manejo intuitivo y de tecnología abierta Centralizar y controlar administración de usuarios Registro de las transacciones de cada usuarios Sistema eficiente de control y creación de usuarios. Chequear y registrar los mas recientes ingresos por usuario, dar de baja cuentas no usadas durante un determinado período de tiempo 19 16/04/2017
Aplicación Objetivos Específicos Proveer un sistema de Monitoreo, auditoría y evaluación para problemas de seguridad. Controlar el acceso por perfiles de usuario. Diseñar controles para la creación de las contraseñas Restricción de acceso en tres niveles Generar procesos de cambio regular de contraseñas y anexo de rutinas de verificación de su complejidad. Registrar log de accesos y eventos sobre opciones y procesos críticos 20 16/04/2017
Aplicación Admón. de Contraseñas Aplicación de políticas y estándares de contraseñas. Manejo de Cuentas Viejas y Expiración Escaneo de intentos de login fallidos Sincronización de las contraseñas Detectar contraseñas cambiadas por vías diferentes. Registro de información de cambios encontraseñas. Utilización de las fechas de expiración de las cuentas Manejo de cuentas inactivas o sin uso 21 16/04/2017
Aplicación Auditoria Información de usuarios ejecutando la aplicación Tiempo de conexión de los usuarios activos Registro de las actividades. Para accesos no autorizados posibilidad de rastrear como fue habilitado para tal acceso Registro de intentos de uso de privilegios del sistema, sentencias SQL u operaciones sobre objetos. Registro no solo de las ventanas alteradas sino de las campos específicos al igual que el anterior valor Alerta en tiempo real a personal clave sobre la alteración de campos altamente sensitivos. 22 16/04/2017
Aplicación admón. de Políticas Verificación de usuarios no autorizados con acceso a información critica Registro de quienes poseen los mas altos privilegios Registro de información o procesos accesible por fuera de la aplicación Verificación de usuarios y los roles. Eliminación o bloqueo temporal de Usuarios. Auditoría sobre los accesos a las opciones. Auditoría sobre la ejecución de procesos críticos. Opción de revocar los privilegios detectados como no autorizados 23 16/04/2017