La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados.

Publicada porLeonor Mirando Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados."— Transcripción de la presentación:

1

2 Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

3 Módulos  Introducción  Principios de seguridad  Tecnologías de seguridad  Redes inalámbricas y usuarios móviles  Entorno del comercio-e  Implantación de programas de seguridad  Perspectivas sociales y futuras  Referencias

4 Módulo Implantación de programas de seguridad  Planificación del proceso  Establecer un programa de seguridad  Avalar el margen de vulnerabilidad (“Security assessment”)  Administradores de servicios de seguridad (“Managed security services”)  Respuesta y recuperación  Seguridad en el Web e Internet

5 Seguridad de sistemas Planificación del proceso Proceso de seguridad Avalúo Adoptar políticas Adiestrar Auditar programa Implantar el programa

6 Seguridad de sistemas Planificación del proceso FASE PlanificarCorregirActualizarUtilizar Recopilar Avalúo de sistemas y servicios en uso Avalúo nuevos sistemas Verificar uso continuo Adoptar Políticas Información Seguridad Revisar procesos DRP Probar procesos Revisar políticas Implantar Parchar sistemas críticos Nuevos sistemas seguridad y Cambios procesos Actualizar versiones de sistemas Adiestrar Desarrollar y ofrecer talleres con regularidad Auditar Itinerario verificar procesos y políticas

7 Implantación de un Programa de seguridad 1. Identificar personal responsable (CERT) 2. Establecer y documentar procesos críticos 3. Definir requerimientos para incrementar seguridad (CSO y RO) 4. Comunicar y diseminar programa de seguridad 5. Auditar y fiscalizar implantación

8 Implantación de un Programa de seguridad 1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Comité de emergencias (“Corporate Emergency Response Team”) Integrar personal de IT Integrar personal de las áreas críticas Integrar personal de seguridad organización Consultores o personal de emergencias externo

9 Implantación de un Programa de seguridad 2. Establecer y documentar procesos críticos: Avalúo de riesgos potenciales y priorización Clasificación de los records o archivos de información (físicos y electrónicos) Determinar fuentes de posible riesgo y medidas de seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser atendidos por el programa de seguridad Definir los niveles de acceso y controles:  Procesos para administrar el acceso de usuarios, acorde a su desempeño o necesidad (Roles – facilita “scalability”)  Establecer controles (centralizado-descentralizado)  Adoptar políticas para implantar los controles negociados Implantación técnica y asignación de recursos (TIP)

10 Implantación de un Programa de seguridad 3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Proponer soluciones que contraresten o minimizen los riesgos ponderados Centrarse en recursos críticos y riesgos probables Evaluar “best practices” Negociar plan de acción y pasos a seguir Definir medidas para evaluar implantación exitosa

11 Implantación de un Programa de seguridad 4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensión y del impacto potencial de los riesgos (“awareness program”) Educar sobre cómo su comportamiento es afectado por las políticas y procedimientos de seguridad vigentes o propuestas Integrar diversos mecanismos de difusión:  Talleres o conferencias  Folletos  Páginas de WEB Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribución del proyecto

12 Implantación de un Programa de seguridad 5. Auditar y fiscalizar (“monitor”) Probar o validar el programa continuamente:  Integrar las herramientas y técnologías recientes  Identificar cambios o amenazas y reaccionar con agilidad Configuración y Control Escudriñar y vigilar intrusos o acceso indebido Responder ágilmente a los incidentes reportados Analizar los datos referentes a eventos o incidentes de violación (“Forensics”) Notificar y cuantificar la ejecución del programa

13 Avalar el margen de vulnerabilidad (“Security assessment”)  Descripción del proceso  Plan de evaluación  Tipos de prueba  Revisión del programa de seguridad  Auditoría de seguridad  Avalúo de riesgos

14 Avalar el margen de vulnerabilidad (“Security assessment”)  ¿En qué consiste? “Determinar dónde estamos y dónde debemos estar”  ¿Cuáles pasos debo seguir? Recopilar políticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (“best practices”) Comparar realidad operacional contra objetivos

15 Avalar el margen de vulnerabilidad (“Security assessment”)  ¿Por qué hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el perímetro de seguridad institucional Identificar los principales aspectos de seguridad que ameritan proyectos particulares Revisar y actualizar las políticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de adiestramientos sobre seguridad Determinar las áreas de mayor riesgo para avalar los planes de BCP y DRP

16 Avalar el margen de vulnerabilidad (“Security assessment”)  ¿Quién debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la división de seguridad Nuestros proveedores de HW/SW/OS Consultores externos

17 Avalar el margen de vulnerabilidad (“Security assessment”)  Áreas a examinar: Sistemas Red(es) Organización  Tipos de prueba: Pruebas de penetración Pruebas de vulnerabilidad

18 Avalar el margen de vulnerabilidad (“Security assessment”)  Objetivos de las pruebas de penetración: Detectar ataques o posibles ataques Prevenir ataques Detectar violación a políticas y procedimientos Hacer cumplir políticas y procedimientos Detectar huecos en conexiones Operacionalizar políticas sobre conexión Recopilar evidencia

19 Avalar el margen de vulnerabilidad (“Security assessment”)  Pruebas de vulnerabilidad (“vulnerability test”): Automáticas –  mediante escudriñadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio  Verificadores de conexiones piratas (fax/modem, WLan) Manuales –  Experto verifica las listas, clasifica las deficiencias o posibles deficiencias  Explora otras opciones menos obvias

20 Avalar el margen de vulnerabilidad (“Security assessment”)  Pruebas de intrusión: “Stealth scans” – Identifican huecos en sistemas “Port Scans” “Trojan scans”  Pruebas de vulnerabilidad: “File snooping” “Compromised systems”

21 Avalar el margen de vulnerabilidad (“Security assessment”)  Frecuencia del proceso: Anualmente como mínimo Depende del tipo y proporción de presencia WEB  Inversión en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daños  Resultados del proceso: Medidas de seguridad adicionales o más robustas Revisión y actualización de las políticas y procedimientos

22 Avalar el margen de vulnerabilidad (“Security assessment”)  Ejercicios:  “Web page defacement” – Web server protegido por FW y todo tráfico bloqueado excepto P80  Tráfico inexplicablemente voluminoso – servidor de Web/FTP indica uso intenso de discos  Archivos modificados por desconocido – cambios en archivos encontrados por “integrity checker”  Servicio no autorizado en sistema interno – se encuentra un servicio nuevo en el servidor  Usuario activa servicios Web en su máquina  Desaparece el “systems log” – se encuentra en “hidden folder” un proceso de actualización desconocido.

23 Avalar el margen de vulnerabilidad (“Security assessment”)  Ejercicios:  Red lenta por tráfico conflictivo  Alarma de ataque a un router  Servidor de correo lento y con volumen excesivo  Alarma de ataque a la red  Amenaza a un ejecutivo de extorsión con sistemas

24 Respuesta y recuperación (“Response and Recovery”)  Respuesta a incidentes  Continuidad en operaciones  CERT

25 Respuesta y recuperación (“Response and Recovery”)  Enfoques pasivos de respuesta: Recoger información y notificar para acción a autoridad correspondiente Obviar – confianza en nivel de seguridad operacional o por abandono Levantar bitácoras o recoger información en servidores dedicados Notificar – personal de seguridad de acuerdo a la severidad del incidente

26 Respuesta y recuperación (“Response and Recovery”)  Enfoques activos de respuesta: Actuar rápidamente evitando afectar operaciones o aislar usuarios válidos. Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o permanentemente Engañar al posible atacante haciéndole creer que no ha sido descubierto (“Honey pots”)

27 Respuesta y recuperación (“Response and Recovery”)  Respuesta a incidentes: Penetración, intrusión o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activación de procedimiento para confrontarlo  Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evidencia y documentar hallazgos Integrar nivel gerencial adecuado Proteger la organización

28 Respuesta y recuperación (“Response and Recovery”)  Establecer parámetros: Definir número de conexiones esperado Sensibilidad de los sensores automáticos Velocidad de respuesta de la red Vulnerabilidades conocidas Peritaje del personal técnico Peritaje de usuarios Consecuencias de falsas alarmas Consecuencias de incidentes no detectados

29 Respuesta y recuperación (“Response and Recovery”)  Revisión del programa de seguridad: Corregir brechas reveladas por auditorías o por informes de programas integrados Armonizar con los cambios en el entorno:  Tecnológico  Operacional/procesal  Legal Divulgar modificaciones a la comunidad

30 Respuesta y recuperación (“Response and Recovery”)  Riesgos: Amenazas que atentan contra la vulnerabilidad en seguridad de la organización o sus recursos.  Elementos del riesgo: Agentes – quienes originan la amenaza Eventos – tipo de acción o suceso Objeto o blanco – servicios de seguridad  Dimensión del riesgo: Costo o impacto Probabilidad de ocurrencia: “best/worst/most likely” Medidas para afrontar o compensar

31 Respuesta y recuperación (“Response and Recovery”)  Plan de Continuidad de Operaciones (BCP): Herramienta para anticipar riesgos, su impacto y definir pasos a seguir para mantener o restaurar las operaciones críticas en su nivel operacional adecuado.  Plan de Recuperación de Desastres (DRP): Bosquejo documental detallando los pasos en la secuencia adecuada para restaurar operaciones basadas en sistemas de información.

32 Respuesta y recuperación (“Response and Recovery”)  Componentes y etapas del BCP: Evaluación y minimización de riesgos Analisis y cuantificación de impacto(s) Formulación de estrategias Identificación de solución(es) de emergencia Desarrollo, implantación y pruebas Divulgación y adiestramiento Relaciones públicas y manejo de crisis Actualización y mantenimiento

33 Respuesta y recuperación (“Response and Recovery”)  Componentes del DRP: Descripción de sistemas de información críticos Identificación de bancos de datos críticos Descripción de procesos de resguardo Descripción de procesos de recuperación Escenarios primarios cubiertos Soluciones alternas priorizadas y convenios Equipos de trabajo y recursos externos Actualización, pruebas o simulacros

34 Respuesta y recuperación (“Response and Recovery”)  Proceso operar escenario desastre: Acaece evento catastrófico o extraordinario Respuesta o reacción inmediata Resumir operaciones críticas ASAP Recuperar otras funciones no inmediatas Restaurar operaciones normales

35 Respuesta y recuperación (“Response and Recovery”)  “Computer Emergency Response Team” Organización creada por CMU para responder a escenarios de ataque contra sus sistemas. Actualmente es modelo para una red internacional de centros que proveen respaldo y publican información sobre eventos de riesgo.  CERT Equipo de trabajo institucional para asumir responsabilidad directa del proceso de reaccionar ágilmente a incidentes o eventos de riesgo.

36 Respuesta y recuperación (“Response and Recovery”)  ¿Quiénes deben integrar el CERT? CIO CSO Network manager Sistems manager Technical support for critical equipment/services RO for critical functional/service areas Physical security manager/officer Public relations representative

37 Administradores de servicios de seguridad (“Managed security services”)  Descripción de MSS  ¿Por qué contratar fuera?  ¿Cuánto debe contratarse fuera?  ¿Qué debe asegurarse fuera?  Proceso de selección de un proveedor

38 Administradores de servicios de seguridad (“Managed security services”)  ¿En qué consiste la administración de servicios de seguridad? Administrar Firewalls Autenticar usuarios Establecer y administrar VPN’s Implantar y mantener filtros de contenido Detectar intrusos Escudriñar virus Colaborar en reaccionar a eventos de penetración

39 Administradores de servicios de seguridad (“Managed security services”)  ¿Por qué contratar terceros? Costo total de operación menor Personal técnico capacitado escaso Inversión de tiempo y esfuerzo en operar proceso continuo Reducción de riesgos al integrar peritos Necesidad de adiestramiento continuo Tamaño de la organización y volumen

40 Administradores de servicios de seguridad (“Managed security services”)  ¿Cuánto debe contratarse a terceros? El mínimo necesario.  ¿Qué debe contratarse a terceros? Respaldo técnico Respaldo operacional Respaldo para recuperación  Criterios de contratación: Servicios vs. necesidades “Service level agreements Infraestructura del SOC Referencias

41 Seguridad en el Web e Internet  Políticas y procedimientos básicos  Diseño de la(s) aplicación(es)  Diseño de la infraestructura  Operación de seguridad  Integración de las partes

42 Seguridad en el Web e Internet  Políticas básicas: Uso y protección de tecnología y recursos Uso de Internet y de correo electrónico Manejo de cuentas y claves de acceso de usuarios Servicios autorizados y no autorizados Protección de la confidencialidad, integridad y privacidad de la información Derechos de propiedad industrial e individual Prohibiciones relativas a la responsabilidad legal  Procedimientos mínimos: Administración de sistemas Configuración y copias de resguardo Metodologías o estándares de diseño

43 Seguridad en el Web e Internet  Desarrollo de políticas o procedimientos: Revisar modelos o “best practices” Definir qué es importante para la organización Determinar comportamiento aceptable Identificar las partes (“stakeholders”) Formular bosquejo Desarrollar e implantar Allegar adeptos Divulgar Emplearla adecuadamente

44 Seguridad en el Web e Internet  Diseño de la(s) aplicación(es): Integración de requerimientos de autenticación Integración de seguridad Jerarquía o niveles de autorización Tipos de permiso o privilegios Tracto de transacciones Registro de sesiones Validación de insumo Recuperación o restauración en caso de errores

45 Seguridad en el Web e Internet  Diseño y mantenimiento de la infraestructura: Niveles de Firewalls Ubicación en DMZ Segmentación de “clusters” Conexividad entre segmentos y servidores Integración de VPN’s y VLAN’s Configuración y actualización de los sistemas operativos Documentación, implantación y fiscalización de cambios

46 Preguntas

47 Referencias  Tanenbaum, Computer Networks  Maiwald, Network Security  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  Gast, Seven security problems of 802.11 Wireless  www.80211-planet.com: Wireless Privacy: An Oxymoron (April 26, 2001) www.80211-planet.com  Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002)  Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003)  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)

Descargar ppt "Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados."

Presentaciones similares

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.

Equipo 2. Políticas, normativas, procedimientos. Controles técnicos: Cortafuegos. Antivirus. Analizadores de vulnerabilidades. Sistemas de detección.
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Administración de redes

Administración de redes
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.

Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google