SEGURIDAD EN SISTEMAS DE INFORMACIÓN

C A R M E N R . C I N T R Ó N F E R R E R - 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

INTRODUCCIÓN

¿Por qué estoy en este seminario?

¿Cuál es el interés de Sagrado?

¿Qué pueden aportar las tecnologías de información en la protección de Sagrado?

¿Qué debo contribuir para lograrlo?

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

INTRODUCCIÓN

Administro, custodio y/o utilizo recursos

Contribuyo al manejo efectivo de riesgos

Colaboro en implantar: Visión (Cultura Corporativa de Seguridad) Políticas, procedimientos y estándares Controles objetivos, uniformes y continuos Registro de vulnerabilidades y/o incidentes Generar informes Anticipar escenarios Facilitar la recuperación o restauración

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

EJERCICIO 1INCIDENTES COMO LOS OCURRIDOS EN:

¿Podrían ocurrir en Puerto Rico?

¿Podrían ocurrir en Sagrado?

¿Se pueden evitar? ¿Reducir su impacto?C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

Evento Tipo de evento Escenarios

NASA (Houston)

Virginia TechAlabama University

TJ Max

Administración de VeteranosNew Orleáns

Haití/Chile

WikiLeaks

EJERCICIO 1 - RIESGOS

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

Riesgo = (Amenaza*Vulnerabilidad/Estrategias o Medidas)*Valor

• Vulnerabilidades prevenibles

• Amenazas previsibles

• Intención anticipable

• ¿Cultura de seguridad?

MÓDULOINTRODUCCIÓN - TIPOS DE ATAQUES

Físicos: Vandalismo Robo Interceptación

Comunicación: Impostura Adulteración de tráfico, mensajes Fisgonear (“Eavesdropping”)

Penetración: Escáners Negación de Servicios (DoS) Código malicioso (virus)

Ingeniería social: Robo de claves (“passwords”) Robo de información Abrir documentos (“attachments”)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

MÓDULOINTRODUCCIÓN - TIPO DE ATACANTES

“Hackers”: Intencionales Técnicos excepcionales Empleo de rutinas

(“scripts”) “Crackers” “White hackers” Agrupaciones

Virus: Codificadores Distribuidores “Script Kiddies”

Criminales: Robo de identidad Extorsión Robo de propiedad:

intelectual industrial

Empleados: Sabotaje Oportunidad (valores) Consultores y contratistas

Terrorismo cibernético: Ataca infraestructuras Actuación concertada (gob/ind)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

MÓDULOINTRODUCCIÓN - RESPUESTA

Compromiso Gerencial: Alta gerencia debe asignar alta prioridad Asignar recursos requeridos Integrar a las operaciones diarias Poner en vigor (“enforce”) medidas

Enfoque integral: Considerar todas las áreas de riesgo Identificar todas las vulnerabilidades posibles Establecer múltiples niveles de protección Auditar y fiscalizar continuamente

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

CONCEPTOS BÁSICOS

Recursos de información (def)

Seguridad (def)

Riesgos (clasif)

Arquitectura de seguridad (modelo)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

RECURSOS DE INFORMACIÓN(DEFINICIÓN)

Personal técnico y su conocimientoEquipo de tecnología informática

Hardware Software Network

Depósitos de datos/información o conocimiento Procedimientos apoyados mediante tecnología Infraestructura de comunicación y conexiónOtras tecnologías asociada *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(DEFINICIÓN)

Conjunto de medidas

Adoptadas para prevenir o limitar: el uso o acceso indebido la adulteración, eliminación o divulgación

De los activos informáticos críticos

De una organización

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(OBJETIVOS)

Confidencialidad Impedir el acceso no autorizado

Integridad Evitar la contaminación o modificación indebida

Disponibilidad Permitir el acceso autorizado

Validación (“Non Repudiation”) Evitar el que se repudien mensajes o actos Asegurar que éstos se mantengan íntegros

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(ETAPAS O NIVELES)

Física

Comunicación (interceptación)

Tecnología informática (“reliable”)

Perfil del usuario (criterios para acceso)

Redes (confiabilidad)

Recursos de Información*

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

¿Conoces los riesgos?

¿Puedes identificarlos?

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(RIESGOS TÍPICOS)

Uso indebidoAmenazas internasAmenazas externasFallas en la infraestructura:

Hardware Software Network Conexión

*

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

RIESGOS DE SEGURIDAD - USO INDEBIDO

Abuso de privilegiosAcceder y/o adulterar:

Datos Documentos/información Procesos

Modificar privilegios de acceso o seguridadIntentos de lograr acceso a:

Servicios Servidores Aplicaciones Bancos de datos no disponibles

Divulgar datos/documentos/información confidencial o protegida *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

RIESGOS DE SEGURIDAD – AMENAZAS INTERNAS

Empleados: Involuntariamente (error o negligencia) Intencionalmente (disgustados,

despedidos) Empleados comprometidos (informantes)

Ex- empleadosContratistas, temporeros, otrosAsociados:

Clientes Proveedores o “business partners”

*

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

RIESGOS DE SEGURIDAD - AMENAZAS EXTERNAS

Código malignoVirus, worms, logic bombs, spam, spyware, bots

Violadores cibernéticos Hackers/Crackers

Ingeniería social Social engineering

Pérdida de credibilidad Brand equity

Adulterar la sede virtual Graffiti

Interrupción de servicios Denial of service: Dummy transactions that overload target server Packet flooding Distributed DoS *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MODELO DE SEGURIDAD

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

MODELO DE SEGURIDAD - CULTURA DE SEGURIDAD

Comprende: Gente Procedimientos y Tecnologías

Promueve cambio en actitudes: Reactiva @ proactiva Proactiva @ predictiva

Planifica para que los activos de información: Estén acequibles Se integren a las funciones del negocio Respalden el desarrollo de nuevos productos/procesos Estén protegidos (minimizar los riesgos que afrontan)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MODELO DE SEGURIDADESTRATEGIAS DE SEGURIDAD

Tecnologías de seguridad: Firewalls y sistemas de monitoreo Antivirus & protección contra malware

Políticas y procedimientos: Uso de las tecnologías de información Identificación y Claves de acceso Protección de datos y confidencialidad de documentos Copias de resguardo Configuración de sistemas Investigación de personal

Plan de concienciación (“Awareness”)Equipo de respuesta a emergencias (CERT/CSIRT)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MODELO DE SEGURIDADPRINCIPIOS DE UNA CULTURA DE SEGURIDAD

Es responsabilidad gerencial proteger los activos informáticos de la organización.

El acceso se basa en necesidad: Persona Accede Información Cuando la necesita

La protección se enfoca por nivelesLas estrategias de mitigación está basadas en

costo efectividadLos procesos propenden a la confiabilidad

(“reliability”) y replicaciónHay consecuencias asociadas al incumplimiento

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MODELO DE SEGURIDAD - GESTIÓN GERENCIAL

Proteger los activos de informaciónGarantizar (CIA):

Confidencialidad Integridad Disponibilidad

Asegurar los activos de información (“Information Assurance”)

Facilitar continuidad de operacionesCumplimiento con legislación aplicable

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MANEJO D

E RIE

SGOS

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

MECANISMOS DE PROTECCIÓN - RIESGOS Y AMENAZAS

Intencionales: Empleados o contratistas Hacer daño, afectar imagen o interumpir operaciones Beneficio o lucro personal Represalia

Negligencia: Ignorancia Uso indebido Falta de adiestramiento Falta de actualización o protección Falta de mantenimiento Falta de fiscalización monitoring

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

Naturales: Fuego Terremoto Inundaciones o filtraciones Tormentas o tornados

Accidentales (Incidentes fuera de nuestro control, o actos sin intención): Interrupción o desconexión de servicios Desaparición o destrucción de archivos

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MECANISMOS DE PROTECCIÓN - RIESGOS Y AMENAZAS

RIESGOS Y AMENAZAS - INHERENTES A LA TECNOLOGÍA

Fallos en Hardware debidos a: Diseño Construcción Instalación Desgaste natural

Fallos en Software: Diseño Errores de programación Instalación o integración Uso indebido

Fallos en la red: Diseño Arquitectura Errores de programación, Instalación o integración y

Uso indebido

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

RIESGOS Y AMENAZAS - EXTERNOS A LA ORGANIZACIÓN

Delitos: Vandalismo Robo/hurto Apropiación ilegal Vigilancia electrónica “Computer tresspass”

Hackers/Crackers ataque intencional para incursionar:

Redes Servidores Dispositivos Computadoras

Virus: Programas que se propagan para afectar:

Servidores o computadoras Borrar archivos o colmar la memoria (RAM/Discos)

Antivirus y Bloqueadores de virus

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

¿CUÁNTO

S RIE

SGOS

CONOCES?

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

Spyware (CompTiA A+)

Trojans & Worms

Bots

Phishing

IdTheft

Steganography

P2P

PDF

EXE

Social Engineering

Facebook & Google

Film downloading

Music/Film sharing

Online Piracy – IP

Web cams

Extorsion

Notebooks & laptops

Cellular phones (Malware)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

ESCENARIOS

EJERCICIO 2

1. Identifique algunos riesgos de seguridad asociados a las Tecnologías de información

2. Clasifique y ordene los riesgos a base de probabilidad del evento y a base del impacto

3. Provea recomendaciones para evitar el evento y/o atenuar su impacto

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

EJERCICIO 2 RIESGOS TECNOLOGÍAS DE INFORMACIÓN

Riesgo Probabilidad

Recomendación

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

Identificar y valorar activos informáticosIdentificar posibles riesgosIdentificar áreas de vulnerabilidadEstimar riesgos reales Calcular posible impactoIdentificar medidas de protecciónEstimar posible reducción en impactoDeterminar riesgos a cubrir y riesgos asumirRevisar las medidas de protección según

respuesta a incidentes acaecidos

EJERCICIO 2 RIESGOS TECNOLOGÍAS DE INFORMACIÓN

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

Factores Riesgo A Riesgo B Riesgo C Riesgo D

Costo de ataque exitoso $500K $10K $100K $10K

Probabilidad ocurra 80% 20% 5% 70%

Severidad del impacto $400K $2K $5K $7K

Costo medida correctiva $100K $3K $2K $20K

Valor de proteger $300K ($1K) $3K ($13K)

¿Aplico medida?

Prioridad

Tomado de: Panko, Corporate and Computer Security, Fig. 1-9, p.36

EJERCICIO 2 RIESGOS TECNOLOGÍAS DE INFORMACIÓN

MECANISMOS D

E

PROTE

CCIÓN

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

TECNOLOGÍA DE REDESMECANISMOS DE PROTECCIÓN

Riesgos y amenazasTecnologías de seguridad:

¿Para qué? ¿Cómo? Otras consideraciones

Mecanismos de protección Control y Claves de Acceso “passwords” Copias de resguardo Servicios de batería (“UPS”) Sistemas sin interrupción (“Fault tolerant”)

Herramientas tecnológicas

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(VALIDACIÓN DE ACCESO)

“Validación intenta asegurar que logran acceso quienes deben tener derecho para las funciones o

los procesos autorizados.”

Autenticar

Autorizar

Acceder

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(AUTENTICAR)

“Autenticar implica asegurar que identificamos correctamente a quién solicita acceso, o sea

verificar que realmente es quien asevera ser.”

KerberosTokensBiometricsCertificates *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(AUTORIZAR)

“Autorizar regula para qué se nos permite el acceso. Depende de la(s) función(es) o rol(es) y del nivel

de confianza en la conexión.”

Centralización (“Web single sign-on”)Role based access controlProxies *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(ACCEDER)

“Acceder es permitir llegar hasta los recursos de información protegidos en la confianza que el

autorizado hará un buen uso.”

Balance delicado de riesgosBitácora de transaccionesFiscalización de uso autorizado

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

TECNOLOGÍAS DE SEGURIDAD ¿PARA QUÉ LAS TECNOLOGÍAS DE SEGURIDAD?

Proteger los recursos importantes/sensitivos Imponer controles de acceso, según las políticas

Administrar los roles, según grupos de usuarios

Fiscalizar el acceso y el uso de los recursosPrevenir ataques, interrupciones e intrusosReducir o mitigar el impacto de éstos

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

TECNOLOGÍAS DE SEGURIDAD¿CÓMO INTEGRAR LAS TECNOLOGÍAS DE SEGURIDAD?

Fijar políticas relativas al control de accesoEnumerar recursos críticosPara cada recurso crítico:

Determinar el nivel de sensibilidad Decidir quién debe tener acceso Definir para qué (Roles) debe tener acceso Determinar cómo va a implantarse el control

Planificar cómo integrar esas determinaciones en: Firewall y otras tecnologías de seguridad Auditorías y pruebas internas periódicas

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

TECNOLOGÍAS DE SEGURIDADOTRAS CONSIDERACIONES PARA INTEGRARLAS

Nivel y medio de autenticación: Claves y #’s PIN Tarjetas, Tokens Biométricas

Políticas y controles sobre medios de autenticaciónProcesos de control sobre usuarios privilegiados Control relativo a archivos y algoritmos de cifrado

(“encryption”)Estándares e integración de:

Redes inalámbricas Tecnologías móviles colaboradores (Extranet/EDI/VPN)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MECANISMOS DE PROTECCIÓNCONTROL Y CLAVES DE ACCESO (“PASSWORDS”)

Funciones: Protegen la red al exigir identificación

(autenticación) Protegen de acceso indebido a recursos en de

la red Mantener protegidos por el usuario Almacenar en sitio seguro con acceso limitado Renovar frecuentemente (45-90 días) Combinar 8 caracteres numéricos y

alfanuméricos

Variantes: Individuales Grupales Por dispositivo o recurso

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MECANISMOS DE PROTECCIÓN CONTROL Y CLAVES DE ACCESO (“PASSWORDS”)

Funciones: Controlan acceso a archivos, directorios o dispositivos Identifican tipo de autorizaciones para navegar Identifican tipo de protocolos a utilizar

Tipos de privilegios: “Read” “Execute” “Write” “Delete” “Search” “No Access”

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MECANISMOS DE PROTECCIÓN COPIAS DE RESGUARDO (“BACKUPS”)

Tipos de copias de resguardo: “Full backup” – copia todos los archivos en la red “Selective backup” – copia archivos seleccionados “Incremental backup” – copia archivos modificados

Estrategias de copiar: Funciones críticas Riesgos de pérdida Frecuencia/volumen de cambio en datos

Itinerario de copias de resguardo: Automático/Manual Horario

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

MECANISMOS DE PROTECCIÓN SERVICIOS DE BATERÍA (“UPS”)

Funciones: Provee energía temporera al ocurrir interrupción Evita daños a servidores, conectores y dispositivos en la red El tiempo de operación lo determina la carga y demanda Puede complementarse con planta generadora alterna Protege contra fluctuaciones (“surge/spike”)

Tipos de UPS: “standby” – al notar interrupción provee energía (“delay”) “line-interactive” – acondiciona corriente y se activa con interrupción “online” – continuamente activo y acondiciona corriente (“no delay”)

Programación de administración: Permite fiscalizar operación del UPS Provee respaldo para desactivar automáticamente aplicaciones y

dispositivos

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

EJERCICIO AAA

Integren el grupo y distribuyan roles

Seleccionen la organización a evaluar

Utilicen las listas de cotejo I-IV

Añadan preguntas necesarias para cubrir los tres criterios (AAA), conforme el rol asignado

Resuman sus hallazgos

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(HERRAMIENTAS DE CONTROL)

“Administrar el uso adecuado.”

Políticas de acceso y seguridad

Tecnología para implantar controles

Tecnología para operaciones

Servicios de seguridad

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

POLÍTICAS DE SEGURIDADClasificación de la información: Pública Privada (organización) Particular (privada de clientes o terceros) Confidencial

Políticas para segmentar grupos

Políticas para autenticar usuarios

Procedimientos para manejo de: Configuración y control Medidas aseguren cumplimiento Amenazas o incidentes de riesgo

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

POLÍTICAS DE SEGURIDAD

Importancia de las políticas de seguridad

Necesidad de agrupar tipos de usuarios

Contenido de las políticas de seguridad

Formato de las políticas de seguridad

Implantación y cumplimiento

Responsabilidad

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SANS – Securing the Human (www.securingthehuman.org)

• End User Awareness Training: • Modules 1( You are the target) @ Module 21 (Senior Leadership)• Module 31 (Ethics)• Module 39 (EU Data Protection)• Module 41 (Privacy)

• Developer Awareness Training:• Modules 00 (Introduction) @ Module 09 (Using Known Vulnerable Components)

• Phishing Simulator:

• The Human Phishing Solution

• What is Phishing?

GetSafeOnline (https://www.getsafeonline.org/video) Phishing, Vishing Protect your PC, Protect your ID Safe Social Networkking

*

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓNDIVERSOS ENFOQUES (VÍDEOS)

Conciencia de riesgos y amenazas – A Day in the Life of IT Security

CyberSecurity 101 – NOVA-PBS

CyberSecurity History, Threats and Solutions

Protección de la información

Backups y otros consejos

Correo electrónico y Spam

Cyberbullying & Hate Crimes

Conexiones inalámbricas

Adiestrar empleados y Mantener Área de trabajo *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓNOTROS VÍDEOS

SANS Organization (www.sans.org) OnGuard (http://www.onguardonline.gov/) StaySafeOnline (https://www.staysafeonline.org/)

Business Safe Online – Re:Cyber Implement a Cyber Security Plan

ISC2 Foundation (https://www.isc2cares.org/) IndustryResearch- Global Security Information Studies

Mindful Security (http://mindfulsecurity.com/) Security Innovation (https://

www.securityinnovation.com/index.php)

*

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓNDIVERSOS ENFOQUES (SITES)

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(TECNOLOGÍA PARA IMPLANTAR CONTROLES)

“Control complementa los actos bien intencionados del personal técnico que

considera los recursos informáticos seguros .”

Firewalls

Virtual private networks

Secure sockets layer (SSL/TLS)

Public key infrastructure (PKI) *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(TECNOLOGÍA PARA OPERACIONES)

“Fiscalización complementa las herramientas de control en la protección de los recursos

informáticos.”

Administración de usuarios

Detección de intrusos

Control de propagación de virus

Escudriñar vulnerabilidades *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(SERVICIOS DE SEGURIDAD)

“Control complementa los actos bien intencionados del personal técnico que considera los recursos

informáticos seguros .”

Administración de riesgos

Arquitectura de seguridad

Configuración e implantación

Administrar servicios y tecnología (24x7x365)

Acción(es) de respuesta *

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE LOS RECURSOS DE INFORMACIÓN(REQUERIMIENTOS DE SEGURIDAD MILITAR)

Seguridad por niveles: Clasificación de los documentos y datos:

“Unclassified” “Secret” “Top Secret” “For your eyes only” “Burn before reading”

Segregación de redes: “Non-secure” “Highly secure” “Non connected Black (secret) computer – air gap”

Seguridad Nacional: Alta inversión de recursos frente a riesgos poco probables

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

¿ESTO

Y PR

EPARAD@

?

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

EJERCICIO 3 – NIVEL DE CONCIENCIACIÓN

IDTheft

Laptop

P2P

Social networking

Spam

Spyware

Wireless

7 Practices

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

TECNOLOGÍAS MÓVILES

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

Radio Frequency TrasnmitterRadio Frequency Trasnmitter

Laptop

LaptopLaptop

PDA

PDA

PDA

PDA

Satellite dish

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

TECNOLOGÍA DE REDESREDES INALÁMBRICAS

TECNOLOGÍA DE REDESREDES INALÁMBRICAS

Teléfonos celulares

PDA’s & IPAD’s

Notebooks & Laptops

Unidades portátiles (USB)

Estaciones o periferales (WNIC’s)

Puntos de contacto o conexión (WPA)

Puntos de distribución

Protocolos de comunicación (WAP)

Medios transmisión (GSM/EVDO/3G)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

REDES INALÁMBRICAS(VENTAJAS)

Bajo costo

Fácil instalación de WLAN’s

Fácil ampliación Red alámbrica

Integración de equipo móvil (PDA’s/Celulares)

Amplio acceso y acceso en movimiento

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

REDES INALÁMBRICAS(DESVENTAJAS)

Riesgos de seguridad

Alto costo de administración

Dificultad para regular usuarios/servicios

Capacidad limitada de ancho de banda

Punto de vulnerabilidad - Red alámbrica

Punto de congestión – Red alámbrica

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

¿CÓMO CONTRARRESTAR LOS RIESGOS?

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

SEGURIDAD DE SISTEMAS PLANIFICACIÓN DEL PROCESO

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

Proceso de seguridad

Avalúo

Adoptar políticasAdiestrar

Auditar programa

Implantar el programa

Implantar el ciclo de Seguridad (PPR):

Planificar - (“Planning”)

Proteger - (“Protecting”)

Responder - (“Responding”)

SEGURIDAD DE SISTEMAS RESPUESTA

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SISTEMAS DE SEGURIDAD IMPLANTAR EL CICLO DE SEGURIDAD (PPR)

Planificar: Plan Integral

(sin brechas) Análisis de riesgos:

Enumerar Determinar severidad Determinar impacto $ Priorizar

Adopción de políticas: Tecnologías Procedimientos

Proteger: Implantar mecanismos:

Firewalls Detección de intrusos Fortalecer servidores y otros

Actualizar: Versiones y parchos Ajustar ante nuevos riesgos

Validar: Pruebas y auditorías

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

SEGURIDAD DE SISTEMAS IMPLANTAR EL CICLO DE SEGURIDAD (PPR)Responder: Planificar proceso (CERT) Detección y atención de incidentes:

Proceso a seguir (IDS) Determinación ataque/incidente Descripción/documentación

Contención y recuperación: Detener ataque/incidente Recuperar del impacto/daño(s)

Medidas correctivas y preventivas: Forenses (“Computer forensics”) Procesamiento criminal Medidas disciplinarias a empleados Corregir la vulnerabilidad o áreas de exposición

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

SEGURIDAD DE SISTEMAS - INTEGRACIÓN

Políticas de seguridad (1) Uso de correo electrónico Protección contra virus Control del spam

Procedimientos (2): Configuración servidor Control acceso a cambios Configuración cuentas

Tecnología (3): Servidor seguro Reglas en Firewall Reglas en Proxy Programación

antivirus/antispam

Pruebas de seguridad (4)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

Políticas correo electrónico

Pruebas

Procedimientos

3

Tecnologías

Sistemaseguro

Intento de violentar política de e-correo

Click icon to add picture

¡GRACIA

S POR S

U ATE

NCIÓN!

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 11 - 1 5 , D E R E C H O S R E S E R VA D O S

REFERENCIASPanko, Corporate Computer and Network Security, Prentice

Hall, 2004Tanenbaum, Computer NetworksMaiwald, Network Security, Osborne, 2001Proctor & Byrnes, The secure enterpriseSchenk, Wireless LAN DeploymentGast, Seven security problems of 802.11 WirelessBolles, Wireless (In)security: Are your networks snoop-proof?

(CIO Insight July 2002)Trilling, How to tighten loose security in wireless networks?

(Computerworld Feb.12,2003)daCruz, Safe networking computing (Columbia U., Sep 2001)McHugh,Christie & Allen, The role of intrusion detection

systems (IEEE Software, Sep/Oct 2000)Allen, et als., Improving the security of Networked systems

(STSC Crosstalk Oct, 2000)www.80211-planet.com: Wireless Privacy: An Oxymoron (April

26, 2001)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

REFERENCIAS

SANS Institute - variousEDUCAUSE Evolving Technologies Committee:

Overview of Security (Oct 2002)EDUCAUSE Mid-Atlantic Regional Conference:

Measuring the success of wirelessCERT: Internet Security Issues (May 2000)CERT: Security of the Internet (1997)CERT: Home computing security (2002)CERT: Organized crime and cyber-crime

(2002)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

GLOSARIO DE TÉRMINOSTECNOLOGÍA INALÁMBRICAAccess point (AP/WAP)Bluetooth (Personal wireless LAN)Dynamic frecuency selection/dynamic channel

selection (DFS/DCS)Extensible authentication protocol (EAP)Global system for mobile communications

(GSM)Wireless Access Protocol (WAP)Wireless LAN (WLAN – 802.11x)Wireless Transport layer security (WTLS)Wired equivalent privacy (WEP)Wireless Ethernet compatibility alliance

(WECA)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S

GLOSARIO DE TÉRMINOSTECNOLOGÍA INALÁMBRICA (2)“Spoofing”“Hijacking session”Basic Service Set (BSS)Open systems authentication (OSA)Service set identifier (SSID)Shared key authentication (SKA)Virtual private network (VPN)High Performance Radio LAN (HIPERLAN)Integrity Check Vector (ICV)Initialization Vector (IV)Medium Access Control (MAC)

C A R M E N R . C I N T R Ó N F E R R E R , 2 0 1 1 - 1 5 , D E R E C H O S R E S E R V A D O S