Portada

Daniel Fernández Bledadfernandez@isecauditors.com

SEGURIDAD EN LA PYME

20 de Noviembre de 2003

2ContenidosÍndice

• Introducción a la Seguridad Informática

• Informática en la empresa

• La seguridad informática

• Origen de los ataques

• Tipos de ataques

• Métodos de Protección

• Capas de la Seguridad Corporativa

• Arquitectura de Red

• Elementos de Protección

• Routers / Firewalls

• IDS / IPS / ADS

• Sistemas Antispam (SpamAssasin)

• Métodos de Protección

• Usuarios y Formación

• Firewalls Personales

• Antivirus de Cliente

• Política de Seguridad

• Planes de Contingencia y Continuidad

• Soluciones

3Introducción a la Seguridad InformáticaInformática en la empresa

• La inclusión de los ordenadores, las redes y el uso de Internet para poder desarrollar cualquier tipo de negocio ha crecido exponencialmente.

• En los últimos cuatro años, la empresa que no está conectada a Internet para el acceso a información, no emplea correo electrónico para intercambiar información o no tiene una web para ofrecer sus productos o servicios es una rareza.

• Esto a supuesto cambios muy importantes en la forma de ver la informática.

• La informática e Internet son necesarias para la continuidad del negocio debido a la competitividad que se consigue con su uso.

Fecha Servidores Dominios WebSites WHR(%)jul-01 126,000,000 30,000,000 28.200,00 22.0jul-98 37,000,000 4,300,000 4,270,000 12.0jul-97 19,540,000 1,301,000 1,200,000 6.2

jul-96 12,881,000 488,000 300 2.3jul-95 6,642,000 120,000 25 0.4jul-94 3,212,000 46,000 3 0.1

jul-93 1,776,000 26,000 150 0.01jul-92 992 16,300 50 0.005jul-89 130 3,900 -jul-81 2101969 4

4Introducción a la Seguridad InformáticaLa seguridad informática (I)

• El activo principal a proteger es la información que contienen los equipos informáticos:

“La información es un bien que, que como otros importantes bienes de empresa, tiene un valor para la organización y consecuentemente necesita ser protegida adecuadamente. La Seguridad de la Información protege la información frente a un amplio rango de peligros, para asegurar la continuidad de la empresa y minimizar daños en esta, además de maximizar el intercambio de oportunidades de negocios e inversiones.” (ISO/IEC 17799)

• Cuando se habla de seguridad informática nos referimos a:

Integridad: La integridad en los datos o sistemas de información hace referencia a que los datos o sistemas no sean modificados.

Confidencialidad: Se refiere a la privacidad de los datos. Qué estos solamente sean accesibles por las personas que tienen permiso para hacerlo.

Disponibilidad: Disponibilidad tanto de los datos como de los sistemas. Es la posibilidad de poder acceder a ellos cuando se necesiten.

5Introducción a la Seguridad InformáticaLa seguridad informática (II)

• ¿Debemos aplicar medidas de seguridad para proteger esta información?

“La Seguridad de la Información se logra por la implementación de medidas de control, las cuales pueden ser políticas, prácticas, procedimientos, estructuras organizacionales y procedimientos del software. Estas medidas tienen que ser establecidas para asegurar que se logran objetivos específicos en la seguridad de la organización.” (ISO/IEC 17799)

• Ejemplos de ataques que se pueden sufrir para cada uno de los puntos anteriores:

Integridad: Sabotaje sobre los sistemas de información o sabotaje al modificar valores en documentos vitales.

Confidencialidad: Espionaje industrial, robo de información.

Disponibilidad: Ataques de Denegación de Servicio, en los que se inutilicen servicios críticos para el funcionamiento de la empresa o servicios que estén ofreciendo a sus clientes o proveedores.

6Introducción a la Seguridad InformáticaOrigen de los ataques (I)

1999

27%

73%

2002 1

34%

66%

InternosExternos

InternosEmpleados descontentos.Empleados curiosos.Personal externo.

Externos Ataques aleatorios (61% 2, 80-90% 3).Competencia.Ex – empleados.

1 The Register (28-10-2002)2 Riptech, Inc. Wall Street Journal (28-1-2002)3 National Swedish Council for Crime Prevention (2002)

ORIGEN (HACKING INTERNO VS HACKING EXTERNO)

7Introducción a la Seguridad InformáticaOrigen de los ataques (II)

DMZ a

RSCS TR RDT D CDTALK / DATA

TALK

Modems

PDA's/Palms

Firewall

Correo

Teletrabajadores

Trabajador Hacker

Web

DNS

ServidoresInternos

Internet

RS CS TR RD TD CDTALK / DATATALK

Hub

Sniffi

ng

POWERF AULT DA TA ALAR M

Remote Access Server(RAS)

Intranet

P O WE R FA UL T D A T A A L A RM

WirelessAccess PointsHacker

AntenaWireles

HackerInternet

VPN

Intranet

8Introducción a la Seguridad InformáticaTipos de ataques

• Intrusiones: Vulnerabilidades -> Aumento de Gusanos Configuraciones defectuosas Arquitecturas defectuosas

• Ataques internos: Privilegios incorrectos Cuotas no adecuadas (ancho banda, espacio en disco,etc.) Sniffing

• Correo / Navegación web: Virus Troyanos Spam

• DoS/DDoS/DRDoS

• Ingeniería Social

• Password cracking

• Wardialing: Modem RAS PBX

• Accesos Privilegiados: VPNs

• Wireless Attacks

• Ataques Físicos

9Introducción a la Seguridad InformáticaLa inseguridad en cifras (I)

“Es fácil ser Hacker”

Vulnerabilidades publicadas

0

500

1000

1500

2000

2500

3000

3500

4000

4500

1997 1998 1999 2000 2001 2002 2003(1Q-3Q)

Incidentes de Seguridad

0

20000

40000

60000

80000

100000

120000

140000

1997 1998 1999 2000 2001 2002 2003 (1Q-3Q)

• Los ordenadores están interconectados, no hay equipos aislados, sea con cables o sin ellos.

• El delito electrónico deja pocas huellas y resulta costoso su investigación (Informática Forense).

• La información para ser “Hacker” es pública y accesible a todo el mundo. Ser destructivo es fácil.

• Sigue estando de moda ser “Hacker”.

LOS INCIDENTES Y VULNERABILIDES CRECEN EXPONENCIALMENTE

10Introducción a la Seguridad InformáticaLa inseguridad en cifras (II)

PÉRDIDAS MULTIMILLONARIAS

Origen del suceso%

empresas sufrieron

# Sucesos Pérdidas ($) % Pérdidas

Denegación de Servicio 42% 111 65.643.300 32,8%Fraude 15% 61 10.186.400 5,1%Sucesos con Portátiles 59% 250 6.830.500 3,4%Acceso interno no autorizado 45% 72 406.300 0,2%Virus 82% 254 27.382.340 13,7%Mal uso interno de la red 80% 180 11.767.200 5,9%Robo Información 21% 61 70.195.900 35,0%Intrusiones / Sabotaje 78% 121 7.902.900 3,9%

CSI/FBI Computer Crime and Security Survey (2003)

11Introducción a la Seguridad InformáticaCSO

• CSO o Chief Security Officer es la nueva figura que está apareciendo en las grandes compañías.

• Esta nueva figura no depende del departamento de sistemas sino que depende directamente de dirección general.

• Su responsabilidad es la seguridad en las comunicaciones y en los sistemas de la empresa, desarrollando principalmente las siguientes funciones:

Proteger los sistemas informáticos ante posibles amenazas.

Desarrollar, implantar y mantener la Política de Seguridad de la empresa.

Participar en los proyectos de la empresa aportando consideraciones de seguridad.

Monitorización de la red y sistemas de la empresa.

12Introducción a la Seguridad InformáticaConclusiones

• El uso de Internet ha sufrido un crecimiento exponencial los últimos 10 años.

• Actualmente las empresas tienen una clara dependencia con sus Sistemas de Información y con Internet para el desarrollo de su negocio.

• La Información es el activo más importante a proteger incluidos los propios Sistemas de Información.

• Existen multitud de vías de ataque a las empresas y cada nueva tecnología añade nuevas implicaciones en cuestiones de seguridad.

• Los ataques y vulnerabilidades crecen año tras año.

• Es necesario definir la figura de un responsable de seguridad (CSO) con capacidad de toma de decisiones en la protección de los Sistemas de Información.

13Métodos de ProtecciónÍndice

• Capas de la Seguridad Corporativa

• Arquitectura de red

• Elementos de Protección Routers/Firewalls:

IDS / IPS / ADS

Securización de servidores

Antivirus de Servidor

Sistemas Anti-Spam

• Seguridad en las aplicaciones

• Seguridad en los Sistemas Operativos

• Seguridad a nivel de usuario / empleado

Lector de Correo

Navegador Web

Firewalls personales

Antivirus de cliente

• Política de Seguridad• Planes de Contingencia / Continuidad

14Métodos de ProtecciónIntroducción

• La seguridad es un proceso.

• Es importante actuar siempre de forma proactiva y no reactiva.

• Es necesaria una política de seguridad en la empresa respaldada por dirección.

• La política de seguridad establece las directrices de la empresa:

Necesidades de seguridad.

Recursos asignados.

Prioridades.

Procedimientos de seguridad.

etc.

• Planes de contingencia.

• Recuperación ante desastre.

15Métodos de ProtecciónCapas Seguridad Corporativa

Arquitectura de Red

Aplicacionesde ServidorSistemas

Operativos

Sistemas deProtección

Política de Seguridad

Usuarios

16Métodos de ProtecciónArquitectura de Red (I)

• Antes de implantar una red hay que diseñarla.• Durante el diseño se ha de tener en cuenta la seguridad.• La red tiene que cubrir estos aspectos:

Escalabilidad:• Capacidad de crecer con la propia empresa.• Adopción de nuevas necesidades de forma simple.

Fiabilidad:• Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas.• Disposición de mecanismos de recuperación ante problemas graves.

Ubicación óptima de los servidores:• Protección física de servidores.• Situación en diferentes condiciones de los servidores.

Accesos controlados a la red.• Controlar TODOS los accesos a la red corporativa:

Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc.

17Métodos de ProtecciónArquitectura de Red (II)

ASPECTOS EN UNA RED SEGURA (I)

• Una arquitectura de red segura vendrá dada por aquel esquema de red donde se han incluido medidas de seguridad para proteger las máquinas que en ella se encuentran así como los datos que estas almacenan.

• Razones para incluir seguridad en el diseño de una red informática: No debe ser únicamente funcional.

Por ella circulan todos los datos de la empresa, incluidos los críticos.

Es la vía de entrada y salida a Internet.

• Objetivos de incluir seguridad directamente en la red:

En caso de ataque, la posibilidad de explotar deficiencias de la red sea mínima.

En caso de intrusión, la capacidad de penetrar a la red interna sea mínima.

En caso de acceso a la red interna, los servidores internos estén protegidos.

En cualquiera de los casos, podamos evitar, detectar e interrumpir los ataques o intrusiones.

18Métodos de ProtecciónArquitectura de Red (III)

ASPECTOS EN UNA RED SEGURA (II)

• Servidores internos dispuestos en la situación más adecuada.

• Electrónica de red apropiada para cada segmento.

• Sistemas de protección perimetral (routers, firewalls) en el lugar más efectivo.

• Conexión con otras sedes, teletrabajadores o colaboradores externos tratadas de forma especial en los sistemas de protección.

• Sistemas de Detección de Intrusiones o de Anomalías con políticas adecuadas.

• Redes inalámbricas tratadas como puntos calientes.

• Dispositivos móviles protegidos y localizados.

• Limitar los protocolos en la red.

• Emplear los Sistemas Operativos (Windows, Linux, UNIX,...) y Aplicaciones (SQLServer, mysql, DB2, ...) más adecuadas a la seguridad requerida en cada caso.

19Métodos de ProtecciónArquitectura de Red (IV)

20Métodos de ProtecciónElementos de protección

• La primera medida de protección es la propia arquitectura de red de la empresa.

Red interna separada de la red pública (DMZ - Demilitarized Zone).

Acceso a Internet desde la red interna mediante NAT.

• Es necesario disponer de dispositivos de protección en el perímetro de la empresa (seguridad perimetral - entre Internet y la red de la empresa):

Firewall o Cortafuegos.

Software de Antivirus.

Sistemas de detección de Intrusos (IDS).

• Los propios sistemas accesibles desde Internet son elementos de protección: Fortaleza de las contraseñas.

Deshabilitación de servicios innecesarios.

Hardening de sistemas.

21Métodos de ProtecciónRouters /Firewalls

• Router / Firewall: Software / Dispositivo de red que filtra el tráfico que entra o sale de la red.

Filtra en función de unas reglas en las que se indica el tipo de tráfico permitido y el que no.

Existen también firewalls personales que se instalan en los PCs personales.

Se dividen en:

• Screening routers: Filtran por dirección de origen y destinatario y por servicio que utilizan.

• Stateful inspection filters: En el filtrado tienen en cuenta el estado de la comunicación. Más evolucionados que los anteriores.

Se pueden emplear en pequeñas y grandes redes:

• Un firewall NO es una solución para grandes empresas.

• Existen soluciones de firewall de todo tipo de coste/rendimiento.

• La premisa es elegir el equipo más adecuado a las necesidades.

22Métodos de ProtecciónIDS / IPS / ADS

• IDS (Intrusion Detection System) / IPS (Intrusion Prevention System): Software / Dispositivo que analiza el tráfico que circula por la red.

Parten de una serie de patrones de ataques conocidos que intentan identificar en el tráfico de analizan.

Si identifican un ataque pueden actuar en consecuencia (bloquear al atacante, avisar por mail al administrador de sistemas, etc.).

Requieren una base de datos que se actualice de ataques “habituales” y no son capaces de detectar ataques nuevos no registrados.

• ADS (Anomaly Detection System):

Software / Dispositivo que analiza el tráfico que circula por la red.

Parten de una serie de comportamientos habituales en la red para identificar aquellos que no son normales o se desvían de un comportamiento normal y pueden identificar un ataque o mal uso de la red.

Si identifican un ataque pueden actuar en consecuencia (bloquear al atacante, avisar por mail al administrador de sistemas, etc.).

Pueden adaptarse o “aprender” dependiendo del tráfico determinado como falso positivo pero no necesitan un conocimiento previo de ataques “habituales”.

23Métodos de ProtecciónAntivirus

• Antivirus: Detecta la presencia o llegada de virus/gusanos/código malicioso.

La detección la realizan a partir de las “firmas” de los virus o por el comportamiento de los programas.

Actualmente la infección vírica se realiza a través de los correos electrónicos.

¿Dónde se sitúan los sistemas antivirus?:

• A nivel de gateway o servidor de correo.

• A nivel de cliente en los PCs de los usuarios.

• La tendencia actual es fusionar los anteriores sistemas anteriores en uno.

24Métodos de ProtecciónSistemas AntiSpam (I)

• Sistemas Anti-spam: Algunas estadísticas determinan que la mitad del correo está siendo spam.

El spam tiene efectos directos sobre las empresas:

• Sobrecarga los servidores y las redes.

• Ocupa espacio malgastado.

• Hace perder el tiempo a sus destinatarios

Los métodos actuales de sistemas anti-spam funcionan bastante bien.

Los spammers se adelantan a estas técnicas con métodos de evasión.

25Métodos de ProtecciónSistemas AntiSpam (II)

• La mayoría del correo no deseado emplea técnicas publicitarias muy particulares y fáciles de identificar:

Diferente tamaños de letra

Diferentes colores en los textos

Frases o palabras en mayúculas

Texto diciendo que eso no es spam

Dando direcciones de correo que no coinciden con el origen del mail.

etc.

• Pero con pericia, todo es evitable:

Ofuscación:“e5t0 e5 Un +ext0”

etc.

26Métodos de ProtecciónSpamAssassin (I)

> SPAM: -------------------- Start SpamAssassin results ----------------------> SPAM: This mail is probably spam. The original message has been altered> SPAM: so you can recognise or block similar unwanted mail in future.> SPAM: See http://spamassassin.org/tag/ for more details.> SPAM: > SPAM: Content analysis details: (24.90 hits, 5 required)> SPAM: MIME_ODD_CASE (2.4 points) MiME-Version header (oddly capitalized)> SPAM: NO_REAL_NAME (1.3 points) From: does not include a real name> SPAM: NO_COST (1.0 points) BODY: No such thing as a free lunch (3)> SPAM: SUBJ_REMOVE (0.7 points) BODY: List removal information> SPAM: [score: 33]> SPAM: HTML_FONT_COLOR_YELLOW (0.4 points) BODY: HTML font color is yellow> SPAM: HTML_FONT_COLOR_CYAN (0.4 points) BODY: HTML font color is cyan....> SPAM: MISSING_OUTLOOK_NAME (1.1 points) Message looks like Outlook, but isn't> SPAM: CTYPE_JUST_HTML (0.4 points) HTML-only mail, with no text version> SPAM: -------------------- End of SpamAssassin results ---------------------

• Solución OpenSource muy eficiente para la eliminación de correo no deseado.

• Emplea métodos heurísticos y bayesianos para “suponer” y “aprender” a identificar qué es spam.

• Ejemplo de puntuación de spam por SpamAssassin:

27Métodos de ProtecciónSpamAssassin (II)

AREA LOCALIZACION DESCRIPCIÓN DEL TEST NOMBRE DEL TEST PUNTUACIONES POR DEFECTO

TEST (local, net, w ith bayes, w ith bayes+net)

header MiME-Version header (oddly capitalized) MIME_ODD_CASE 2.900 2.800 2.800 2.700

header From: does not include a real name NO_REAL_NAME 0.339 0.285 0.339 0.160

header From: ends in numbers FROM_ENDS_IN_NUMS 0.999 0.869 0.677 0.994

header Subject contains "FREE" in CAPS SUBJ_FREE_CAP 0.395 0.070 0 0

header From: contains numbers mixed in with letters FROM_HAS_MIXED_NUMS 0.100 0.304 0.100 0.259

body Claims compliance with Senate Bill 1618 BILL_1618 0.248 0.319 2.696 2.699

body No such thing as a free lunch (3) NO_COST 0.692 1.001 0.741 1.671

body Claims compliance with spam regulations SECTION_301 0 0.454 0 0

body List removal information REMOVE_SUBJ 0.343 0.054 0 0.355

body List removal information SUBJ_REMOVE 1

....

body es Dice cumplir con la ley LEY_ORGANICA_ES 2.0

body es NOS CHILLAN PARA DECIR QUE ES GRATIS GRATIS_ES 1.4

header es Publicidad por e-mail OFERTA_ES 1

....

• Reglas de Filtrado heurísticas en SpamAssassin:

28Métodos de ProtecciónAplicaciones

• Aspectos a tener en cuenta: Configuración de las Aplicaciones

Actualizaciones

Aplicaciones Propietarias

Registros (Logs)

29Métodos de ProtecciónAplicaciones: Configuración

Instalar + Funcionar SEGURIDAD = Securizar + Instalar• Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.:

Vulnerabilidades. Información sobre el sistema. Información sobre la aplicación. Información sobre la configuración.

• Las opciones por defecto no ofrecen los rendimientos óptimos.

• Las aplicaciones de servidor deben ser securizadas.

• Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.

30Métodos de ProtecciónAplicaciones: Actualizaciones

• Actualizar día a día.

• Conocer al día las actualizaciones que nos interesan.Subscripciones a listas de correo, foros, IRC, news:

• Oficiales:VulnerabilidadesFabricantes

• Underground / Hacking:Vulnerabilidades no publicadas

• Asegurarse que los parches son legítimos. Emplear fuentes fidedignas cuando se realizan updates. Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc.

• Instalar sólo aquello con lo que nuestro sistema se beneficie. Reducción del daño colateral en el parcheado.

31Métodos de ProtecciónAplicaciones Propietarias

• Las aplicaciones propietarias Internet/Intranet/Extranet pueden tener vulnerabilidades de igual forma que las comerciales.

• Los programadores no tienen conocimientos de seguridad. Programadores + Analistas Seguridad Auditar Aplicaciones.

• Las aplicaciones son vulnerables a gran cantidad de ataques: SQL Injection. Cross Site Scripting. Ejecución de comandos de SO. URL Unicode/Codificadas. Manipulación de cookies, formularios, cabeceras HTTP y URL. Password cracking, evasión de autenticaciones, robo/reciclado de sesiones. Extracción de información de comentarios, mensajes de error, cache, histórico, etc. Cuentas por defecto, vulnerabilidades publicadas.

• Uso de una metodología que cubre todos estos aspectos (OWASP).

32Métodos de ProtecciónAplicaciones: Registros/Log

• Es necesario activar las opciones de registro de las aplicaciones críticas.

• Deben realizarse revisiones periódicas de los registros.

• Debe existir personal cualificado para realizar estos análisis.

• Existen herramientas para facilitar el análisis de estos logs off-line.

• Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas.

33Métodos de ProtecciónSistemas Operativos

Instalar + Funcionar SEGURIDAD = Securizar + Instalar• Puertos / Servicios

Cualquier puerto abierto es una puerta de entrada:• Cerrar puertos no usados.• Emplear protección para los puertos usados (p.e. filtraje por IPs).

• Permisos a usuarios y grupos Conceder los permisos adecuados en detalle a cada recurso. Usuarios por defecto.

• Accounting Activación de los logs del sistema y revisarlos periódicamente.

• Logins / Passwords Contraseñas (robustez, protección) Cuentas por defecto

34Métodos de ProtecciónServicios en Windows

35Métodos de ProtecciónServicios en Linux

36Métodos de ProtecciónUsuarios

• Los usuarios o empleados son un punto muy importante en la seguridad corporativa.

• Pero es necesario proporcionarles una formación a dos niveles:

Formación en seguridad a nivel de usuario.

• Concienciación.

• Seguridad en el correo electrónico.

• Seguridad en la navegación web.

Formación en herramientas de protección a nivel de usuario.

• Herramientas de protección a nivel de usuario:

Firewalls personales.

Antivirus de cliente.

37Métodos de ProtecciónFormación: Correo

• El correo electrónico es el principal punto de entrada de virus en la empresas.

• Los empleados han de conocer y seguir una serie de buenas conductas en la utilización del correo electrónico corporativo:

Uso adecuado de los recursos de la empresa.

Analizar antes de abrir todos los correos electrónicos recibidos.

Sospechar de mensajes inesperados, incluso si provienen de algún conocido (los virus utilizan la libreta electrónica de las máquinas infectadas para enviarse a otras direcciones y tratar de contagiar otras máquinas).

No abrir archivos ejecutables adjuntos a correos electrónicos a menos que se estuviera esperando expresamente el archivo adjunto.

No abrir ningún archivo con doble extensión adjuntado a correos electrónicos (se puede configurar el sistema para que muestre las extensiones de todos los archivos).

38Métodos de ProtecciónFormación: Navegación Web

• La navegación web es la otra puerta de entrada principal de virus en las empresas.

• Hay que ser conscientes de los riesgos que conlleva navegar por Internet, y tomar las debidas precauciones:

Uso adecuado de los recursos de la empresa.

No descargar ni instalar ningún programa de Internet sin la autorización del departamento de sistemas.

Sospechar de Controles ActiveX y applets de Java que requieran de autorización para instalarse.

Desactivar a nivel de navegador las opciones de autocompletar nombre y contraseñas en formularios web.

39Métodos de ProtecciónFirewalls Personales

• Los Firewalls personales nos protegen de:

Ataques o accesos ilícitos de otras redes (o la red interna).

Ataques a través de conexiones temporales (VPNs, modem, wireless, etc.)

• Protegen al resto de ordenadores y nos alertan de accesos de programas en nuestro equipo a la red: Troyanos, spyware, sistemas de actualización automática, etc.

• Pueden ser una buena solución en redes con conexiones de bajo coste que no ofrecen servicios al exterior (sin servidores web, de correo, dns, etc.).

• Son imprescindibles en equipos móviles.

• Los Sistemas Operativos aportan filtros de protección que se aproximan a los firewalls personales, pero requieren ser configurados y muchas veces ni se conocen.

40Métodos de ProtecciónFirewalls Personales: Windows

41Métodos de ProtecciónFirewalls Personales: Windows

42Métodos de ProtecciónFirewalls Personales: Linux

43Métodos de ProtecciónAntivirus de cliente (I)

• Los antivirus de cliente nos protegen de:

Virus, gusanos o troyanos que lleguen anexados a correos electrónicos.

Código malicioso que intente acceder a nuestra máquina a través de unidades compartidas, puertos abiertos, etc.

Infecciones víricas a través de disquetes, CDROMs, etc.

• Es inútil tener un antivirus sin actualizar.

• La actualización del las firmas que detectan los virus tendría que ser diaria.

• Es importante activar el análisis de la totalidad de correos electrónicos recibidos y emitidos, independientemente de las extensiones de los archivos anexados que contengan.

44Métodos de ProtecciónAntivirus de cliente (II)

45Métodos de ProtecciónPolítica de Seguridad (I)

• ¿Qué es?Define las directrices en cuanto a seguridad de la empresa.

• ¿Qué puntos debe tratar?1.- Objetivo, ámbito y motivación.2.- Aplicabilidad y responsabilidades.3.- Seguridad Lógica.

3.1.- Seguridad de software.3.2.- Desarrollo de software y control de cambios.3.3.- Seguridad de la Información.3.4.- Seguridad en las comunicaciones.

4.- Gestión de la seguridad.4.1.- Administración de la seguridad.4.2.- Seguridad del personal.4.3.- Estructura y organización.

5.- Seguridad física.5.1.- Acceso físico.5.2.- Ubicación y construcción de instalaciones informáticas.

46Métodos de ProtecciónPolítica de Seguridad (II)

• Finalidad de la Política de Seguridad: Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores. Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo).

• ¿Cómo hacerla conocer? Dividir en grupos según la necesidad. Definir los medios de difusión en función de la audiencia (presentaciones, videos, pósters, etc.).

• ¿Consecuencias de una mala difusión? La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad por parte de los empleados.

• Virus / Troyanos• Suplantación de personalidad (mail, teléfono, etc.)• News• Passwords• Hoax• Fugas inconscientes de información

47Métodos de ProtecciónPlanes de Contingencia/Continuidad

• ¿Por qué debemos hacer un Plan de Contingencias?

Cuando ocurre un Desastre (Terremoto, Fuego, Inundación, Tornado, etc.) debemos reducir el impacto financiero y operacional del Negocio y estar bien preparados para lo que pudiera ocurrir en una catástrofe de gran magnitud; pero no necesariamente debe ser de gran magnitud; sino que debemos prever situaciones que ocurren esporádicamente.

Un Plan de Contingencias Tecnológico debe tener en cuenta qué efectos pueden influir directamente sobre la continuidad del funcionamiento de los equipamientos técnicos y plantear soluciones a estos casos concretos.

• Definición de Plan de Continuidad de Negocio:

Un Plan de Continuidad de Negocio (Business Continuity Plan) contempla acciones precisas que van orientadas a recuperar las Funciones Críticas del Negocio en el menor tiempo posible, cuando ocurre una contingencia No Planeada y que afecta directamente a las operaciones del Negocio.

48Métodos de ProtecciónConclusiones

• Existen multitud de Sistemas de Protección: Routers, Firewalls, IDS/ADS, Antivirus de servidor, Sistemas Antispam, Firewalls personales, Antivirus de cliente, etc. pero...

su utilización o no, su disposición concreta en los sistemas o la red, las necesidades concretas en seguridad, los costes asumibles en seguridad

serán particulares de cada caso en particular y nunca debe generalizarse.

• También es necesario conocer profundamente los Sistemas Operativos, las Aplicaciones y el hardware para disponer de un sistema seguro.

• Es recomendable combinar diferentes sistemas de protección corporativa y personal para proteger en todos los niveles.

• Los usuarios deben tener un mínimo de conocimientos en seguridad e inseguridad, y deben adquirirse a través de la formación adecuada.

• Es necesario contemplar la mejor y la peor situación y disponer dePolítica de Seguridad, Contingencias y Continuidad.

49SolucionesSeguridad Global

• Seguridad Global = Soluciones Globales.Las soluciones, al igual que la seguridad, han de ser globales.

• Análisis Global = Auditorías de Seguridad.Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad.

• Seguridad Permanente = Auditorías Periódicas.Las Seguridad es un proceso continuo.

• Conciencia de la Seguridad = Formación adecuada.La formación del personal técnico y de los empleados reduce gastos.

50SolucionesPYMES (I)

Las PYMES necesitan Soluciones Globales...

• Estudio de las necesidades de seguridad de la empresa:

– Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc.

– Propuestas de diseños posibles, con equipamientos distintos y costes adaptados:• Existen muchos productos en el mercado.• Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa.• Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso.

• Instalación y configuración de las soluciones escogidas.

51SolucionesPYMES (II)

• Auditoría específica para PYMES:– Test de Antivirus.– Configuración de seguridad de los Navegadores Web.– Detección de vulnerabilidades de los sistemas expuestos a Internet.– Test de Firewall/Router.– Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de

Aplicaciones no Corporativas, etc.– Test del Servidor de Correo.– Test de seguridad de los sistemas de la DMZ. – Test de integración entre los existentes y los nuevos sistemas de la DMZ.

• La Auditoría permite detectar y eliminar problemas existentes de seguridad:

– Configuraciones defectuosas de los sistemas existentes.– Vulnerabilidades no parcheadas de los sistemas.– Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router.– Configuraciones incorrectas o no optimas de Antivirus.– Configuraciones inseguras de los navegadores web.

• Formación al personal técnico y no técnico.

52SolucionesAuditorías de Seguridad

• Análisis global de la seguridad:– Analizan los distintos puntos de entrada a la red.– Analizan la protección existente en los servidores y entre subredes.– Visión externa, objetiva y real de la seguridad de la empresa.– Aportan soluciones a los problemas de seguridad encontrados.

• Ámbitos de las Auditorías:– Internet (Test de Intrusión):

• Se exponen máquinas a Internet. • Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet)

– DMZ:• Qué capacidad de defensa tiene la red interna desde la DMZ. • En la DMZ pueden existir recursos no visibles desde Internet con deficiencias de seguridad.• En la DMZ pueden existir recursos que no deben ser accesibles desde la Intranet.

– Auditorías Internas:• En la red interna hay servidores y datos críticos.• Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos.• Se deben revisar desde la arquitectura de red hasta las políticas de seguridad.• Revisión completa de los Sistemas de Información y todo lo que ellos implican.

53SolucionesTest de Intrusión

• La importancia de seguir una metodología (OSSTM)– Estándar abierto– ISO 17799 / BS7799

• Una Auditoría NO es un escaneo automático de vulnerabilidades.– Sondeo de red.– Escáner de puertos, identificación de servicios

y sistemas operativos.– Test Automático de Vulnerabilidades– Password Cracking.– Document Grinding.– Test de Antivirus.– Test de Firewall y ACLs.– Test de Medidas de Contención.– Revisión de la Política de Privacidad.– Test de los sistemas de confianza.– Test y verificación Manual de vulnerabilidades.– Test de Aplicaciones no Corporativas.– Test del Sistema de Detección de Intrusos (IDS).– Test de Denegación de Servicio– Test de Aplicaciones Corporativas.– Test de Ingeniería Social.

Red

Puntos de entrada en la red

Falsos Positivos

Deficiencias de Seguridad

Gravedad de la Deficiencia

54SolucionesAuditorías Periódicas

• La seguridad es un proceso continuo.– La seguridad se degrada con el tiempo:

• Nuevos servicios.• Nuevas máquinas.• Aparición de nuevos bugs en las aplicaciones.• Rotación del personal.

Degradación de la Seguridad

0%

10%20%

30%

40%

50%60%

70%80%

90%

100%

1 31 61 91 121 151 181 211 241

Días

Niv

el d

e S

egur

idad

tras

una

Aud

itoría

Pla

tino

Sistemaminimamentecambiante

Sistemamedianamentecambiante

Sistemaaltamentecambiante

55SolucionesFormación

• Cuando hablamos de seguridad, nada puede quedar en el aire:– Una formación técnica para mantener los equipamientos:

• Formación para el mantenimiento y configuración de nuevos equipamientos de seguridad (firewalls, routers, antivirus, sistemas de backup, monitorización, etc.)

• Formación para la gestión de sus servidores web, de correo, etc.– Una formación de seguridad a los usuarios reduce problemas recurrentes:

• Formación para el uso seguro de Internet (navegación segura, posibles peligros, etc).• Uso seguro del correo.• Políticas de contraseñas.• etc.

• El 58% de los Administradores de Sistemas piensa que sus propios departamentos son una de las principales brechas de seguridad de sus compañías (The Register UK, 28/10/2002).

• El 67% siente que carece de la adecuada experiencia o conocimientos para tratar los problemas de seguridad que deben tratar (The Register UK, 28/10/2002).

56SolucionesAlertas de Seguridad

Objetivos: • Que los sistemas no tengan vulnerabilidades con las que ser atacados.• Conocer las notificaciones de alertas que implican los sistemas operativos, aplicaciones o hardware que se usan en la empresa.• Permitir que los administradores de sistemas no tengan que revisar dirariamente montones de información que no es aplicable a nuestros sistemas.

Método:• Mediante alertas en castellano enviadas por correo electrónico firmado.• Se envían únicamente las alertas que realmente me afectan.

Características:• Reducción del tiempo que los administradores de sistemas invierten para saber las vulnerabilidades que afectan a sus sistemas: 42% pierde más de 2 horas al día, el 18% más de 6 horas.• Obtención de información resumida de la mayor cantidad de fuentes posible: fabricantes, foros de seguridad, foros underground, etc.

57SolucionesGestión Remota de Seguridad

Objetivos: • Que los sistemas estén actualizados por expertos en seguridad.

• Que los sistemas estén securizados y optimizados para conseguir mayor seguridad y rendimiento.

• Que en caso de intrusión expertos puedan valorar el alcance de la intrusión y en ese caso, corregir el sistema a la normalidad.

Método:• Actualización periódica de los sistemas.

• Control de los sistemas para garantizar su seguridad.

Características:• Se libera al responsable de sistemas de las tareas relacionadas con la seguridad.

• Gran capacidad y velocidad de reacción frente a la aparición de problemas de seguridad.

58SolucionesAdaptación LOPD/LSSICE

Objetivo: • Cumplimiento de la legislación vigente en cuanto a protección de datos personales.

Características LOPD:• Legitimación de los datos

• Medidas de seguridad

• Legalización de los ficheros

• Revisión de las Medidas Técnicas

Características LSSICE:• Alta de Dominios en el Registro

• Revisión y adecuación de los contratos

• Adecuación de la operativa on-line

• Comunicaciones comerciales

• Cruce de LSSICE con la LOPD

59Conclusiones

• La seguridad de la empresa no empieza en el firewall y acaba en el antivirus, existen niveles entre ellos, anteriores y posteriores.

• La seguridad debe tratarse desde todos los puntos de vista de la empresa.

• Debemos ser proactivos: actuar tras un ataque SIEMPRE tiene un coste mayor y tiempo de inactividad innecesario.

• Es necesario evaluar periódicamente el nivel de protección de nuestra red mediante Auditorías de Seguridad y gestionar los recursos al día mediante una correcta Gestión de Seguridad de Sistemas.

• Existen servicios de Seguridad que cubren las necesidades de las PYMES. Internet Security Auditors conoce estas necesidades.

ContraPortada

Daniel Fernández Bledadfernandez@isecauditors.com

SEGURIDAD EN LA PYME

20 de Noviembre de 2003

Gracias por su atención