Arquitectura de Seguridad Informatica · Enfoque de seguridad en las tecnologías de información...

Arquitectura de SeguridadInformatica

DeLima Marsh, 11 de junio de 2003DeLima Marsh, 11 de junio de 2003Medellín, ColombiaMedellín, Colombia

AGENDAAGENDA

PARTE I1. La seguridad como un área del proceso administrativo2. Enfoque de seguridad en las tecnologías de información (TI)3. Arquitectura de Seguridad de la Información 4. Estandarización: BS-77996. Conclusiones

PARTE II1. Entendiendo las TI: Modelo TCP/IP2. Integrando elementos tecnológicos en la organización3. Irrumpiendo en las redes corporativas

La información es la base La información es la base fundamental de la comunicación, fundamental de la comunicación, la cual es el elemento principal la cual es el elemento principal para la evolución empresarial para la evolución empresarial

IN FORMACIONIN FORMACION

AREAS FU N CION ALES D E LAAREAS FU N CION ALES D E LA

EMP RESAEMP RESA

● TécnicaTécnica● ComercialComercial● FinancieraFinanciera● ContableContable● SeguridadSeguridad● AdministrativaAdministrativa

““S eguridad significa salvaguardar S eguridad significa salvaguardar propiedades y personas contra el robo, propiedades y personas contra el robo, fuego, inundación, contrarrestar fuego, inundación, contrarrestar huelgas y felonías, y de form a am plia huelgas y felonías, y de form a am plia todos los disturbios sociales que todos los disturbios sociales que puedan poner en peligro el progreso e puedan poner en peligro el progreso e incluso la vida del negocio. S on todas incluso la vida del negocio. S on todas las m edidas para conferir la requerida las m edidas para conferir la requerida paz y t ranquilidad al personal"paz y t ranquilidad al personal"

Henry FayolHenry Fayol

La seguridad informática es La seguridad informática es el área que se encarga de el área que se encarga de brindarle características de brindarle características de confidencialidad, confidencialidad, autenticidad, integridad y autenticidad, integridad y disponibilidad a nuestra disponibilidad a nuestra informacióninformación

SEGU RID AD IN FORMATICASEGU RID AD IN FORMATICA

ConfidencialidadConfidencialidad

AutenticidadAutenticidad

IntegridadIntegridad

DisponibilidadDisponibilidad

CON CEP TOSCON CEP TOS DE SEGURIDAD DE SEGURIDAD

CON FID EN CIALID ADCON FID EN CIALID AD

AU TEN TICID ADAU TEN TICID AD

IN TEGRID ADIN TEGRID AD

D ISP ON IB ILID ADD ISP ON IB ILID AD

Acceso a la informaciónAcceso a la información

InterconectividadInterconectividad

ProductividadProductividadAmenazas digitalesAmenazas digitales

SEGU RID AD D E LASEGU RID AD D E LA

IN FORMACIONIN FORMACION

Prevalencia de un mundo en Prevalencia de un mundo en red interconectadored interconectado

Disponibilidad de herramientas Disponibilidad de herramientas que permiten explotación de que permiten explotación de vulnerabilidadesvulnerabilidades

¿¿P OR QU E AHORAP OR QU E AHORA??

““Debe ser difícil lograr Debe ser difícil lograr con fidencialidad, con fidencialidad, au ten t icidad, in tegridad au ten t icidad, in tegridad y dispon ibilidad cuando y dispon ibilidad cuando no se t iene claro qué es no se t iene claro qué es lo que se qu iere proteger lo que se qu iere proteger y con tra qué o qu ién se y con tra qué o qu ién se debe proteger”debe proteger”

Andrés RoldánChief Security Officer, Fluidsignal Group

¿Qué podría pasar?¿Qué podría pasar?

ID EN TIFICACION D E RIESGOSID EN TIFICACION D E RIESGOS

Si pasara, ¿qué tan Si pasara, ¿qué tan malo sería?malo sería?


¿Qué tan frecuentemente ¿Qué tan frecuentemente podría pasar?podría pasar?


¿Qué tan correctas son ¿Qué tan correctas son las respuestas a las tres las respuestas a las tres preguntas anteriores?preguntas anteriores?


Buena identificación de riesgosBuena identificación de riesgos

Adecuada selección de Adecuada selección de mecanismos de protecciónmecanismos de protección

ID EN TIFICACION D E MED ID ASID EN TIFICACION D E MED ID AS

D E SEGU RID ADD E SEGU RID AD

Mala identificación de riesgos Mala identificación de riesgos

Falsa sensación de seguridadFalsa sensación de seguridad



¿Qué puede hacerse?¿Qué puede hacerse?

¿Cuánto cuesta hacerlo?¿Cuánto cuesta hacerlo?

¿Los beneficios superan los costos?¿Los beneficios superan los costos?



ARQUITECTURA DE SEGURIDAD

DE LA INFORMACIÓN

● Análisis de Riesgo● Infraestructura● Políticas, Estándares y Procedimientos● Capacitación● Conformidad

ARQU ITECTU RA D E SEGU RID ADARQU ITECTU RA D E SEGU RID AD

D E LA IN FORMACIOND E LA IN FORMACION

¿Comó lograrla?A . S . I .

¿Cómo estandarizarla?BS-7799

Análisis de Riesgo (i)

Todo lo que pueda afectar el logro de los objetivos del negocio y la ejecución de sus estrategias

RIESGORIESGO

Objetivos

● Educar● Identificar

● Fortalezas● Controles● Debilidades● Amenazas

AN ALISIS D E RIESGOAN ALISIS D E RIESGO

Periódicamente...

● Requerimientos y prioridades del negocio● Nuevas amenazas y vulnerabilidades● Verificar que los controles sean efectivos


OCTAVE

Identificar elementos organizacionales y tecnológicos para construir las necesidades de seguridad de la Información


OCTAVE¿Por qué?

Los análisis de riesgos eran tan buenos como los expertos los realizaran y no necesariamente adecuados a las necesidades de cada organización


OCTAVEHistoria

● DoD (Department of Defense)● SEI (Carnegie Mellon University)● Programa de Supervivencia para los Sistemas de Red


OCTAVEComponentes del Riesgo

● Recursos● Amenazas● Vulnerabilidades


OCTAVEOrganización

● Fases● Procesos● Actividades● Entradas● Salidas


OCTAVEFases

● Construcción de Requisitos de Seguridad Corporativos● Identificación de Vulnerabilidades de la Infraestructura● Desarrollo de la Estrategia de Administración del Riesgo


OCTAVEConstrucción de Requisitos de Seguridad Corporativos (Fase 1)

● Identificación de:● Recursos Claves● Valor● Amenazas● Indicadores de Riesgo


OCTAVEConstrucción de Requisitosde Seguridad Corporativos (Fase 1)

● Identificación del Conocimiento Corporativo● Identificación del Conocimiento Operativo● Identificación del Conocimiento del Personal● Establecimiento de Requisitos de Seguridad Corporativos


OCTAVEIdentificación de Vulnerabilidades de la Infraestructura (Fase 2)

● Asignación de los Recursos de Alta Prioridad a la Infraestructura de Información● Evaluación de Vulnerabilidades de la Infraestructura


OCTAVEDesarrollo de la Estrategia deProtección (Fase 3)

● Realización del Análisis de Riesgo Multidimensional (Atributos del Riesgo, Área de Riesgo Aplicable)● Desarrollar la Estrategia de Protección


Fases

● VSAN: Valoración de Seguridad de Alto Nivel● VSA: Valoración de Seguridad de Aplicaciones● VSR: Valoración de Seguridad de Redes● VSS: Valoración de Seguridad de Servidores● VST: Valoración de Seguridad de Telecomunicaciones


VSAN● Función de seguridad● Plan de seguridad● Políticas, estándares y procedimientos● BIA, BCP (11), DRP● Clasificación de recursos (5)● Inventario de recursos (5)● Plan de capacidad


VSAN● Programa de antivirus● Seguridad en los PC● Seguridad física y ambiental. Mantenimiento de los recursos computacionales ● Gestión de problemas● Monitoreo● Contratos


VSA● Ambiente operativo● Desarrollo (10)● Mecanismos de autenticación e integridad● Bases de datos


VSR● Ambiente operativo● Administración● Control de acceso (9)● Terceras partes● Respaldo y recuperación


VSS● Configuración● Usuarios y grupos● Control de contraseñas● Acceso remoto● Redes● Respaldo y recuperación


VST● Tecnología● Administración● Revision técnica


Organización e

Infraestructura

● Comité Ejecutivo de Seguridad● Gerente de Información● Gerente Financiero● Oficial de Seguridad● Equipo de Seguridad● Terceras partes

ORGAN IZACION D EORGAN IZACION D E

LA SEGU RID AD (4)LA SEGU RID AD (4)

● Administradores de red y aplicaciones● Recursos humanos● Consejeros legales● Help Desk● Usuarios finales



● Matriz propietario/recurso● Metodología de Clasificación (5)● Segregación de responsabilidades



●Firewall●Detector de Intrusos●HoneyPot●VPN●PKI

IN FRAESTRU CTU RAIN FRAESTRU CTU RA

Seguridad física (7)● Vigilancia del perímetro● Controles de entrada● UPS● Cableado

IN FRAESTRU CTU RAIN FRAESTRU CTU RA

Políticas, Estándares y

Procedimientos

La seguridad que puede ser alcanzada

técnicamente es limitada y debe ser

soportada con administración y procedimientos

apropiados

● ¿Qué?● ¿Quién?● ¿Por qué?

● Mecanismo de comunicación● Claras y concisas● Bases para las acciones disciplinarias

P OLITICAS (3)P OLITICAS (3)

Los usuarios deben cambiar sus contraseñas periódicamente

P OLITICAS (3)P OLITICAS (3)

● ¿Dónde?● ¿Cuándo?● ¿Cómo?

● Transferencia de conocimiento● Mejores prácticas● No son revisados a nivel ejecutivo

P ROCED IMIEN TOSP ROCED IMIEN TOS

● ¿Cómo se cambian las contraseñas?● ¿Cómo se asignan contraseñas para nuevos usuarios?


● Convenciones acordadas● Operar uniformemente● Definen unas expectativas mínimas● Administración eficiente● Mejores prácticas de la industria

ESTAN D ARESESTAN D ARES

Los usuarios normales deben cambiar las contraseñas cada 90 días y los usuarios administradores cada 30 días


Capacitación

Objetivos

● Conocer las responsabilidades ● Conocer el valor de la seguridad de la información● Conocer las posibles violaciones de seguridad y a quién contactar

CAP ACITACIONCAP ACITACION

Quiénes

● Empleados● Ejecutivos● Administradores de sistemas● Oficiales de seguridad

CAP ACITACIONCAP ACITACION

Conformidad (12)

Garantizar que lo definido esté siendo ejecutado en la realidad

CON FORMID AD (12)CON FORMID AD (12)

Verificar● Integridad de las cuentas● Integridad del respaldo● Atributos de archivos● Rendimiento● Auditoría del sistema● Parámetros de login● Test de penetración● Auditoría de código fuente

CON FORMID AD (12)CON FORMID AD (12)

¿Cómo dar a mis clientes y socios comerciales la confianza necesaria para facilitar la realización de negocios?

N ORMAS IN TERN ACION ALESN ORMAS IN TERN ACION ALES

BS7799


BS7799Organización

● Parte 1: BS7799-1 Código de Practicas● Parte 2: BS7799-2 Especificación del Sistema de Administración de Seguridad de la Información (ISMS)


BS7799Historia

● ¿Quién? UK Department of Trade and Industry● ¿Cuando?

● 1995 y 1998● 1999 y 2002● 2000 (ISO/IEC)


BS7799-1Organización

● 10 Categorías● 127 Controles de Seguridad

Énfasis

● No hay que implementar todos los Controles● Análisis de Riesgo


BS7799-1Categorías

● Políticas de Seguridad● Seguridad de la Organización● Clasificación y Control de Recursos● Seguridad del Personal● Seguridad Física y Ambiental● Comunicación y Administración de Operaciones


BS7799-1Categorías

● Control de Acceso● Desarrollo y Mantenimiento de Software● Administración de la Continuidad del Negocio● Conformidad


BS7799-2

Cómo construir, operar, mantener y mejorar un Sistema de Administración de la Seguridad de la Información



● Definir el ámbito ¿Qué quiero proteger?● Definir la política ¿Cuál es el riesgo aceptable?● Análisis de riesgo ¿Cuál es mi nivel actual de riesgo?● Administración del riesgo ¿Qué acepto, prevengo o transfiero?



● Seleccionar controles ¿Cómo prevenir?● Declaración de Aplicabilidad ¿Por qué se escogieron o no determinados controles?


BS7799-2Requisitos de Documentación

● Compromisos de la Gerencia● Recursos● Planes de Capacitación● Auditoria Interna● Mejora Continua● Acciones Preventivas y Correctivas


BS7799-2Certificación

● Roles● Cuerpo de Certificación

● BSI Assesment Services● Det Norske Veritas

● Organización● Tiempo

● 10 Meses


BS7799-2Empresas Certificadas

● Mexico: 2● Brazil: 2● Inglaterra: 93● India: 13● Alemania: 8● Japon: 40● Estados Unidos: 3● China: 3● COLOMBIA: 0


BS7799Riesgos de Mercado

¿Qué sucede si sus competidores están más avanzados que usted?


BS7799Beneficios

● Utilidades● Satisfacción del Cliente● Imagen● Demostración de Seguridad● Reconocimiento Internacional


BS7799Opciones

● Ignorarla● Comenzar el camino...


● Conocer el riesgo● Falta de recursos● Sistemas heterogéneos● Operaciones independientes● Fomento de la confianza● Terceras partes● Cambio de tecnología

FACTORES CLAVE D EFACTORES CLAVE D E

EXITOEXITO

● Reflejar los objetivos del negocio● Consistencia con la cultura organizacional● Marketing efectivo de la seguridad● Capacitación a todos

FACTORES CLAVE D EFACTORES CLAVE D E

EXITOEXITO

● La seguridad no es un asunto meramente técnico ● Los ejecutivos deben conocer los riesgos● Las implementaciones no deben realizarse arbitrariamente● Existen estándares internacionales que apoyan el proceso

CON CLU SION ESCON CLU SION ES

DESMITIFICANDO LOS DESMITIFICANDO LOS DICHOS POPULARES...DICHOS POPULARES...

““Noso t r os n o som os u n ob je t iv o Noso t r os n o som os u n ob je t iv o

p ar a lo s h ack e r s , a q u ié n le v a p ar a lo s h ack e r s , a q u ié n le v a

in t e r e sar e n t r a r a n u e s t r o s in t e r e sar e n t r a r a n u e s t r o s

s i s t e m as”s is t e m as”

91% de los participantes de la de CSI/FBI (Computer 91% de los participantes de la de CSI/FBI (Computer Crime Survey) fueron atacados en los primeros 12 meses Crime Survey) fueron atacados en los primeros 12 meses de estar conectados.de estar conectados.

Mito # 1:Mito # 1:

““La m ay or ía d e a t aq u e s in v o lu cr an La m ay or ía d e a t aq u e s in v o lu cr an

u su ar io s in t e r n os”u su ar io s in t e r n os”

Mito # 2:Mito # 2:

Esto solía ser cierto, pero en los últimos 24 meses este Esto solía ser cierto, pero en los últimos 24 meses este comportamiento ha cambiado; sólo el 30% de los ataques comportamiento ha cambiado; sólo el 30% de los ataques ahora corresponden a usuarios en la red local.ahora corresponden a usuarios en la red local.

““Nu e s t r a r e d e s se gu r a p or q u e Nu e s t r a r e d e s se gu r a p or q u e

t e n e m os u n fi r e w a ll”t e n e m os u n fi r e w a ll”

Mito # 3:Mito # 3:

90% de los encuestados tenían un firewall debidamente 90% de los encuestados tenían un firewall debidamente configurado pero aun así se presentaron problemas de configurado pero aun así se presentaron problemas de seguridad.seguridad.

““Es t am os se gu r os . Has t a e l Es t am os se gu r os . Has t a e l

m om e n t o n ad ie h a e n t r ad o e n m om e n t o n ad ie h a e n t r ad o e n

n u e s t r o s s is t e m as”n u e s t r o s s is t e m as”

Mito # 4:Mito # 4:

La mayoría de veces puede tardar meses o años detectar La mayoría de veces puede tardar meses o años detectar un acceso no autorizado. Muchos casos pueden pasar sin un acceso no autorizado. Muchos casos pueden pasar sin ser detectados gracias a débiles esquemas de seguridad.ser detectados gracias a débiles esquemas de seguridad.

Aplicación

Transporte

Presentación

Enlace

Sesión

Red

Físico Cables, conectores, voltaje, velocidad de datos.

Provee transferencia confiable de datos; direccionamiento físico, topología de red, notificaciónde error, control de flujo.

Provee conectividad y selección de enrutamiento.

Aspectos de transporte entre computadores, confiabilidad en transporte de datos, establece, mantiene y termina circuitos virtuales.

Establece, mantiene y termina sesiones entre aplicaciones

Asegura que los datos son leíbles para el sistema que recibe; formato de datos; estructura de datos;negocia sintaxis de datos para la capa de aplicación.

Provee servicios de red al proceso de aplicacióncomo e-mail, transferencia de archivos, emulación de terminal, etc.

MOD ELO TCP /IP *MOD ELO TCP /IP *

* Ésta tabla representa el modelo OSI

CAMPOS DE APLICACIÓNCAMPOS DE APLICACIÓNSeguridad

In form ática

Factor HumanoRecursos técnicos Mixtos

Actualización de vulnerabilidades

Firewall – VPN Router – Proxy

Antivirus

Criptografía

Programación

Políticas de seguridad

Análisis de registros

Copias de seguridad – backups

Auditorías internas y externas

Plan de contingencia

Informática forenseIDS y Honeypot

Reconocimiento del sistemaReconocimiento del sistema

Identificación de serviciosIdentificación de servicios

Explotación de vulnerabilidadesExplotación de vulnerabilidades

Diseño del diagrama de redDiseño del diagrama de red

P ASOS P ARA ATACAR U NP ASOS P ARA ATACAR U N

SISTEMA (O AU D ITARLO)SISTEMA (O AU D ITARLO)

La interceptación e insertación de tráficoLa interceptación e insertación de tráfico

SniffingSniffing

Man-in-the-middleMan-in-the-middle

Cambio e imposición de enrutamientoCambio e imposición de enrutamiento

DoS: Denegación de ServicioDoS: Denegación de Servicio

Escalación de privilegiosEscalación de privilegios

TIP OS D E ATAQU ETIP OS D E ATAQU E

No deje comida afuera

Tape las entradas que permitan acceso a su casa

No deje lugares donde se puedan hacer nidos

Ponga trampas

Chequee las trampas

No use mata ratas "a la loca" por todos lados

¡Compre un gato!

LAS 7 REGLAS CON TRA LALAS 7 REGLAS CON TRA LA

IN VASION D E RATASIN VASION D E RATAS

No provea acceso en línea a archivos críticos

Cierre los "huecos" que puedan dar acceso a su

sistema

No permita que se hagan "nidos" en su sistema

Ponga trampas para detectar intrusos

Monitoree los logs de sus herramientas de seguridad

Aprenda usted mismo de seguridad

¡Llame a Fluidsignal Group!

LAS 7 REGLAS P ARA LALAS 7 REGLAS P ARA LA

SEGU RID AD D E SU S SISTEMASSEGU RID AD D E SU S SISTEMAS

GRACIAS...

Luis Bustamantehttp://people.fluidsignal.com/[email protected]

Juan Rafael Álvarezhttp://people.fluidsignal.com/[email protected]

Fluidsignal Group S.A.http://www.fluidsignal.com

Arquitectura de Seguridad Informatica · Enfoque de seguridad en las tecnologías de información...

Documents

Transcript of Arquitectura de Seguridad Informatica · Enfoque de seguridad en las tecnologías de información...