SeguridadInformática. ¿Por qué estamos aquí? Delitos cibrenéticos “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora.

Presentación del tema: "SeguridadInformática. ¿Por qué estamos aquí? Delitos cibrenéticos “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora."— Transcripción de la presentación:

1 SeguridadInformática

2 ¿Por qué estamos aquí?

3

4 Delitos cibrenéticos “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora sobrepasa el valor del tráfico de drogas a nivel mundial” “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora sobrepasa el valor del tráfico de drogas a nivel mundial” (2007)David DeWalt, CEO de McAffe

5

6 Tipos de incidentes 2008 (%)

7

8 Tipos de incidentes 2010 (%)

9

10 Tecnologías usadas 2008

11

12 Tecnologías usadas 2010

13 Presupuesto seguridad (% de TI)

14 Ambiente MUCHO más peligroso! CERT 2002

15 La seguridad incomoda!

16 Comodidad vs Seguridad Comodidad Seguridad

17 Algunas definiciones

18 SEGURIDAD Cualidad de seguro Seguro:  Libre y exento de todo peligro, daño o riesgo PROTEGIDO

19 Conocimiento Información ISO/IEC 27002:2005 “Un activo que, al igual que cualquier otro activo importante del negocio, es esencial y por lo tanto está sujeto a ser protegido” “Un activo que, al igual que cualquier otro activo importante del negocio, es esencial y por lo tanto está sujeto a ser protegido” Information technology — Security techniques — Code of practice for information security management

20 Protección de información (datos) Sin importar el formato o el almacenamiento Seguridad Informática

21 “Seguridad de la información es la protección de la información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.” “Seguridad de la información es la protección de la información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.” ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management

22 Seguridad computacional Criptografía Programas Sistemas operativos Redes Bases de datos Procedimientos y políticas Protección de información en sistemas computacionales

23 Metas de la seguridad

24 Confidencialidad Solo personas autorizadas tienen acceso a los recursos de un sistema  Acceso incluye lectura, impresión, conocimiento de existencis, etc.  Partes pequeñas de información también son importantes

25 Integridad La información puede ser modificada sólo de manera autorizada  Depende mucho de las políticas del sistema Información  Precisa, exacta, no modificada o modificada sólo por gentes o procesos autorizados y de manera aceptable

26 Disponibilidad Los servicios y los datos son accesibles a los usuarios autorizados cuando lo necesitan Tiempo adecuado

27 Metas de la seguridad ConfidencialidadIntegridad Disponibilidad SEGURO

28 Componentes de la Seguridad Alfredo Aranguren, CISSP, CISA, CISM

29 Cisco Tendencias que afectan la seguridad Asuntos legales y privacidad – Demandas y requisitos federales Acceso inalámbrico – Muchos usuarios, muchos dispositivos La necesidad de velocidad – Soluciones de software no “escalan” bien Escasez de personal de TI – Soluciones externas

30 Términos Riesgo → Proximidad de un daño Vulnerabilidad → debilidad Amenaza → daño potencial Control → Protección

31 Vulnerabilidad, amenaza, control Una amenaza es bloqueada controlando una vulnerabilidad Ataque: Explotación de una vulnerabilidad

32 Vulnerabilidades Hardware Software Medios de almacenamiento Datos Procedimientos y políticas Redes Servidores Personas

33 Riesgo Evaluar activos Identificar, caracterizar y evaluar amenzas Evaluar vulnerabilidades de activos críticos Determinar el riesgo – Consecuencias posibles de ciertos ataques sobre ciertos activos (Impacto) Identificar maneras de reducir el riesgo Priorizar medidas para reducir el riesgo ISO 31000 Risk Assesment Process

34 Administración del riesgo Frecuencia Severidad REDUCIRLO TRANSFERIRLO EVITARLO ASUMIRLO

35 Administración del Riesgo Activos negocio Activos negocio Riesgo Amenazas Impacto negocio Impacto negocio Vulnerabilidades internas y externas Vulnerabilidades internas y externas Controles

36 Nivel De Riesgo Cálculo del riesgo Riesgo = Probabilidad de ataque * Impacto “The purpose of risk management is to change the future, not to explain the past” The book of risk, Dan Borge Impacto al negocio Probabilidad de ataque ROI Conexión Productividad

37 Proceso (gobierno)

38 Cubo de McCumber

39 Proceso (gobierno) Objetivo del sistema Políticas (normas, directrices) Procedimientos Y prácticas Concientización Sistema Seguro Auditoría

40 Tipos de vulnerabilidades Físicas – Falta de protección (candados, alarmas, TV, etc.) – Ambiente no adecuado (clima) Lógicas – Sistemas, errores (bugs, buffer overflow, etc.) Humanas – Falta de entrenamiento (contraseñas, introducción de datos, etc.) – Enfermedades

41 Top 10 en servidores Instalaciones con mala configuración (default) Sistemas no actualizados (parches) Autenticación pobre Contraseñas débiles Cuentas default Exceso de privilegios en los usuarios Protección no adecuada de archivos Supervisión de sistemas no adecuada (logs) Respaldos (estrategia) Seguridad física débil Gartner 2006

42 Amenazas Una amenza explota una vulnerabilidad Humanas – Maliciosas Personas externas (piratas informáticos) Personas internas (empleados descontentos) – No maliciosas Empleados ignorantes Desastres naturales – Inundaciones, incendios, terremotos, huracanes

43 Impactos (dimensiones) Reputación – Imagen (pérdida de clientes) Financiero – Incremento en costos operativos – Pérdida de ingresos – Multas por SLA Productividad – Desempeño de los procesos Legales y regulatorios – Privacidad de datos

44 Controles Tecnología Política Proceso Procedimiento Contrarresta una amenaza Disminuye riesgo asociado a un activo

45 Métodos de control Controles técnicos – Protecciones que se incluyen en hardware y software Controles no técnicos – Controles gerenciales y operativos – Políticas de seguridad – Procedimientos operativos – Seguridad del personal, física y ambiental

46 Tipos de controles Controles tecnológicos – Controles físicos Edificios, CCTV, bardas, etc. – Controles lógicos Sistemas, redes, etc. Controles normativos – Políticas – Procedimientos Controles humanos – Personal – Entrenamiento

47 Tipos de controles (físicos) Disuasivos – Bardas, señales de aviso, guardias, perros Para retardos – Cerraduras, Controles de acceso Detección de intrusos – Externos, internos, CCTV Respuesta – Procedimiento de emergencia, policía, bomberos

48 Tipos de controles (funcionalidaad) Preventivos Detectivos Correctivos Disuasivos Recuperación Compensatorios

49

50

51 Principio de protección adecuada Los recursos de cómputo deben ser protegidos solamente hasta que pierdan su valor El nivel de protección debe ser consistente con su valor Seguridad absoluta → Precio infinito

52 Principio de más fácil penetración El eslabón más débil Intruso utilizará cualquier medio disponible La penetración no será necesariamente por el medio más obvio Tampoco será por el punto con defensa más sólida

53 Seguridad por niveles (Defense in depth) Defensa por capas No un solo punto de defensa “infalible” Esquema de la cebolla (onion)

54 Seguridad Informática

55 Seguridad de la información El problema no es solamente tecnológico. – El ser humano es el eslabón más débil La información se debe proteger sin importar el formato – digital, impresa, verbal, almacenada, destruida, procesada, perdida, etc.