23

Caso Práctico

Seguridad para las Tecnologías de la Información

Robert English

Internet es considerado como una herramienta eficiente y económica para distribuir información, productosy servicios. Sin embargo, por sus características, Internet puede considerarse también un ambiente hostil paratrabajar. Por ello resulta necesario proteger los sistemas, la información y los servicios frente a posibles ataquesque pudiesen resultar, finalmente, en la pérdida de la confidencialidad, la integridad o la disponibilidad deéstos.

Los pasos para implementar el concepto de seguridad en las tecnologías de la información se puedenresumir en:

1. Considerar los requisitos de seguridad: Entre los principales elementos que están involucrados en elconcepto de seguridad se cuentan la confidencialidad, la no repudiación, la integridad, la autenticación, elcontrol de acceso y la disponibilidad.

2. Aplicar métodos y tecnologías conocidas: Evaluar marcos, políticas y estándares, gestión de riesgo deseguridad, impacto en la privacidad, definición de herramientas a usar (firewalls y gateways, servidores deautenticación, tecnología de encriptación, entre otros).

3. Realizar el análisis de amenazas y riesgos que permitan elegir las alternativas de seguridad, así como eldiseño del modelo de seguridad más eficientes y menos costosos.

4. Implementar las soluciones de seguridad que involucren y protejan todo el ciclo de operación de lastecnologías de la información, así como los procesos técnicos y administrativos.

5. Realizar estudios de impacto, donde se evalúe y confirme la protección de la data y sistemas.

Entre los beneficios de implementar el concepto de seguridad en las tecnologías de la información tenemosque ésta, definitivamente, facilita los negocios electrónicos, estandariza las transacciones electrónicas(mediante una Public Key Infrastructure), impulsa la transferencia de información entre partes que nomantienen una relación de negocios establecida, protege la información y activos de las empresas (tales comosecretos empresariales o propiedad intelectual), permite mantener una posición competitiva en el mercado,entre muchos otros.

El riesgo de no tomar en cuenta la seguridad en la aplicación de tecnologías de la información puederesultar en la alteración de la información, sin que se advierta, falta de seguridad para saber con quién estoymanteniendo comunicación y el riesgo de exponer información sensible a ser revelada. Como consecuencia deesto, se reduciría las oportunidades para realizar negocios, lo que a su vez, no permitirá el desarrollo ampliodel Internet.

25

Sesión 1

SEGURIDAD IT (ITS)

Caso de Negocios

Robert A. English

Director Administrativo, ITS & Privacidad

Cinnabar Networks Inc.

Cinnabar Net works Inc.

È ObjetivosÈ Definición de ITSÈ El Problema de NegociosÈ Por qué aplicar ITSÈ Cómo procederÈ Un enfoque de Infraestructura y sus

BeneficiosÈ El riesgo de no hacer nada

Esquema de la Presentación

Objetivos

È Definir Seguridad IT (ITS)

È Apreciar la necesidad de seguridad en las

operaciones de comercio electrónico

È Identificar los requerimientos de seguridad,

beneficios y limitaciones de una solución de

infraestructura

Session 1

IT SECURITY (ITS)

The Business Case

Robert A. English

Managing Principal, ITS & Privacy

Cinnabar Networks Inc.

Cinnabar Net works Inc.

È ObjectivesÈ Definition of ITSÈ The Business ProblemÈWhy Apply ITSÈ How to proceedÈ An Infrastructure Approach & BenefitsÈ The Risk of Doing Nothing

Presentation Outline

Objectives

È To define IT Security (ITS)

È To appreciate the need for security in electronic

business operations

È To identify security requirements and benefits and

limitations of an infrastructure solution

26

Sistemasatos

Servicios

IntegridadConfidencialidad

Disponibilidad

Definició n: Seguridad deSistemas Holistica

Protecció n de

Contra laperdida de

La protección de sistemas, datos y servicios contra amenazas accidentales y deliberadas que pudieran resultar en la pérdida de confidencialidad, integridad y

disponibilidad….un tema muy amplio y complejo

Scope - Definitionof ITS

È The protection of systems, data and servicesfrom accidental and deliberate threats thatcould result in the loss of confidentiality,integrity and availability

….... a very broad and complex issue

Alcance - Definiciónde ITS

È La protección de sistemas, datos y servicios

contra amenazas accidentales y deliberadas

que pudieran resultar en una pérdida de

confidencialidad, integridad y disponibilidad.

….... un tema muy amplio y complejo

Systemsata

Services

IntegrityConfidentiality

Availability

Definition: SystemSecurity Holistic

Protection of

Against loss of

The protection of systems, data and services from accidental and deliberate threats that could result in the loss of confidentiality, integrity and availability

….a very broad & complex issue

Definition:BalancedSecurity

È Practiced from a system perspective over thecomplete life cycle (planning, implementation& operational)

È IT security is balanced with physical &personnel security…..

Definición: SeguridadEquilibrada

È Se practica desde una perspectiva de sístema

durante todo el ciclo de vida (planificación,

implementación y operacional)

È La seguridad IT se compara a la seguridad física

y personal…..

27

El Desafio de Negocios

È ¿Cómo trabajar con seguridad en un

ambiente hostil?

 entender el problema

 identificar las soluciones prácticas

 implementar y monitorear

The Business Opportunity

È IT is the basis for new paradigms of e-business and e-government

È The Internet is seen as an efficient &inexpensive means of distributinginformation, products & services

The Business Challenge

È How to work safely in a hostile

environment?

 understand the problem

 identify the practical solutions

 implement and monitor

Approach• Product• 1st Principles• Best Practice

Requirements Analysis &Business Case

EnvironmentalAnalysis• Governance• Legal• Legislative• Accountability• Outsourcing• Threat Risk Factors• Bias• Culture

BusinessEnvironment

Strategic& Business

Plans

IM/IT/ITSPolicies &

Plans

Project Management - Change Management - Communications

UpdatePolicies Develop

SecurityArchi-tecture

Principles

DevelopCertification

Approach

Privacy• Impact Assessment• Code

ITSecurity

Plan

Threat/RiskAssessment• Threat Vulnerability• Safeguard Identification• Recommend- ations

Design• Infra- structure• Directory

PKI Infrastructure& Application• Due Diligence Testing

Acquisition• Evaluation Criteria• Technical Specification• Procurement Planning

ApplicationDesign &Development• Integration• Conformance Testing

Operations• New Apps Design & Integration• Change(s)• TRA Update• Security Profile Maintenance• Penetration Testing• Audit• CA Services

Implementation• Installation• Cut Over• Support

COMPREHENSIVE INFORMATION TECHNOLOGY SECURITY

SOLUTIONS

AuditRequirements

Product• Selection• Validation

TechnicalAssessment

SecurityMechanisms

Test & Acceptance

Planning

La Oportunidad deNegocios

È La IT es la base para los nuevos paradigmas

de comercio electrónico y gobierno

electrónico

È Internet es vista como un medio eficiente y

económico de distribuir información,

productos y servicios

Enfoque• Producto• 1eros Principios• Mejor Práctica

Análisis de Requerimien-tos y Caso de

Negocios

Análisis Ambiental• Gobernancia• Legal• Legislativo• Responsabilidad• Tercerización• Factores de Riesgo y Amenaza• Parcialización• Cultura

Ambiente deNegocios

PlanesEstratégicos

y de Negocios

Politicas yPlanes

IM/IT/ITS

Administración de Proyecto – Administración del Cambio - Communicaciones

PolíticasActualizadas Desarrollo

PrincipiosArquitectura

deSeguridad

Desarrollo deEnfoque de

Certificación

Privacidad• Evaluación de Impactos• Código

Plan deSeguridad

TI

Evaluación deAmenazas/Riesgos• Vulnerabili-

dad a las Amenazas• Identificación de Salvaguar-

das• Recomenda-

ciones

Diseño• Infra- estructura• Directorio

Infraestructura & Aplicación de PKI• Pruebas de

DiligenciaDebida

Adquisición• Criterios de Evaluación• Especificación Técnica• Planificación de Compras

Diseño &Desarrollo de Aplicación• Integración• Prueba de Conformidad

Operaciones• Diseño & Integración

de nuevasaplicaciones

• Cambio(s)• Actualización

de TRA • Mantenimiento del Perfil de Seguridad• Pruebas de Penetración• Auditoría• Servicios CA

Implementación• Instalación• Cut Over• Soporte

SOLUCIONES INTEGRALES DE SEGURIDAD DE TECNOLOGIA DE LA

INFORMACION

Requerimientos de Auditoria

Producto• Selección• Validación

Evaluación Técnica

Mecanismos deSeguridad

Planificación de Pruebas y Aceptación

28

El Problema de Negocios

È La orientación de las amenazas ha

cambiado de lo militar y diplomático a lo

económico y tecnológico

È El espionaje industrial ha estado en

aumento desde 1983 y continua sin abatir

(Ejemplo: Ottawa Business Journal --Sept 99 )

Environmental Assessment

ÈIncreased access (Internetworking)

ÈExpanded use of intranets and extranetsincreases vulnerability to illegal access andcomputer crime

ÈComputer power, new technology andinterconnection of networks pose a more seriousproblem

The Business Problem

È The threat orientation has changed frommilitary & diplomatic to economic andtechnological

È Industrial espionage has been on theincrease since 1983 and it continuesunabated

(Example: Ottawa Business Journal --Sept 99 )

The Business ProblemTechnologies Targeted

Technologies Targeted byCategory

Computer21%

Communications23%

Laser5%

Other23%

Biotechnology10%

Nuclear8%

Aerospace10%

Export Control: computers & communications switchesSept 13/99 Ottawa Business Journal

Evaluaciones Ambientales

ÈMayor acceso (Internetworking)

ÈEl uso expandido de intranets y extranets

aumenta la vulnerabilidad en cuanto a acceso

ilegal y delitos con computadoras

ÈLa potencia de las computadoras, la nueva

tecnología y la interconección de redes

plantean un problema más serio

El Problema de Negocios-Tecnologías Objetivo

Tecnologías Objetivo por

Categoría

Computa

ción

21%

Comunicaciones

23%

Laser

5%

Otras

23%

Biotecnología

10%

Nuclear

8%

Aeroespacial

10%

Control de Exportaciones: conmutadores para computadoras y comunicaciones

Sept 13/99 Ottawa Business Journal

29

El Problema de NegociosConfirmado

È Encuesta ICSA a 745 organizaciones

 Principales preocupaciones de seguridad

¸ hackers/crackers

¸ evitar códigos falsos

¸ acceso remoto seguro

¸ un sólo sign-on

¸ seguridad de correo electrónico

The Business ProblemConfirmed

È 1999 Information Security Industry Survey(ICSA) of 745 organizations

 E-business - growth in outside attacks

 1997 to 1998 has seen 92% increase inunauthorized accesses

The Business ProblemConfirmed

È ICSA Survey of 745 organizations

 Biggest security concerns

¸ hackers/crackers

¸ preventing malicious codes

¸ secure remote access

¸ single sign-on

¸ e-mail security

The Business Problem

È ICSA Survey of 745 organizations Security product purchasing trends (change:

1998 to 1999)

¸ firewalls ( 5th to 1st)

¸ access controls (3rd to 2nd)

¸ client server (6th to 3rd)

¸ LAN/WAN security (7th to 4th)

¸ Web security (10th to 5th)

El Problema de NegociosConfirmado

È 1999 - Encuesta a la Industria de Seguridad de la

Información (ICSA) a 745 organizaciones

 Comercio electrónico - aumento en ataques externos

 Entre 1997 y 1998 se ha visto un incremento del 92%en accesos no autorizados

El Problema de Negocios

È Encuesta ICSA a 745 organizaciones

 Tendencias en la compra de productos de

seguridad (cambio: 1998 a 1999)

¸ firewalls ( 5to al 1ero)

¸ Controles de acceso (3ero al 2do)

¸ Servidor de cliente (6to al 3ero)

¸ Seguridad LAN/WAN (7to al 4to)

¸ Seguridad Web (10mo al 5to)

30

È Para satisfacer los acuerdos y expectativas

de los socios comerciales

Por qué aplicar ITS(Continuación)

Why Apply ITS

È Protection of corporate information assets;including business secrets and intellectualproperty

È Maintenance of competitive position

È Maintenance of client confidence

È Mandated….corporate policy

È Meeting trading partner agreements andexpectations

Why Apply ITS (Cont’d)

How To ProceedTechnical Assessment

È Consider current security needs access control

 confidentiality

 non-repudiation

 integrity

 authentication

Por qué aplicar ITS

È Protección de los activos de informacióncorporativa; incluyendo secretos comerciales ypropiedad intelectual

È Mantenimiento de una posición competitiva

È Mantenimiento de la confianza de los clientes

È Política corporativa ….obligatoria

Cómo llevar a cabo unaEvaluación Técnica

È Considerar las necesidades actuales de

seguridad

 control de acceso

 confidentialidad

 no-repudio

 integridad

 autenticación

31

Cómo Manejar los Riesgospara la Seguridad

È Considerar enfoques y tecnologías

conocidas

 Marcos de seguridad, políticas y normas

 Manejo de riesgos para la seguridad

 Evaluaciones del impacto a la privacidad

 firewalls y gateways

 Servidores de autenticación seguros

 criptografía (encripción y firmas digitales)

Cómo proceder

È Construir una Arquitectura I & IT con ITS

como una arquitectura componente

È Desarrollar una estrategia ITS para toda la

empresa para encontrar economía y

eficiencia en IM/IT

Cómo proceder

È Buscar un proveedor de solución total

È Considerar una solución de infraestructura

È Implementar servicios y soluciones que

 cubran todo el ciclo de vida de los sistemas IT

 cubran tanto los desafíos administrativos como

los técnicos

How To ProceedSecurity Risk Management

È Consider known approaches & technology security frameworks, policy & standards

 security risk management

 privacy impact assessments

 firewalls & gateways

 secure authentication servers

 cryptography (encryption & digital signatures)

How To Proceed

È Complete an I & IT Architecture with ITSas a component architecture

È Develop an enterprise wide ITS strategy tofind economies and efficiencies in IM/IT

How to Proceed

È Look for a total solution provider

È Consider an infrastructure solution

È Implement services and solutions that cover the full life cycle for IT systems

 cover both administrative & technicalchallenges

32

Cómo proceder

È Caso de negocios y análisis de factibilidad sobre la

adopción de un enfoque de tecnología PKI

È Considerar qué es lo que los clientes y socios están

haciendo; ¿ son la interoperabilidad o certificación

cruzada un problema?

Cómo proceder

È Desarrollar políticas y prácticas de certificación

PKI

È Desarrollar un análisis de amenazas y riesgos para

asegurar altrernativas de diseño costo-efectivas y

selección de salvaguardas

Cómo proceder

È Realizar estudios de gobernancia IT para

encontrar eficiencias de administración

interna y ampliar los acuerdos para incluir a

los socios externos

È Realizar evaluaciones del impacto a la

privacidad para confirmar la protección de

datos cuando se introducen nuevas

tecnologías

How to Proceed

È Business case & feasibility analysis of adopting aPKI technology approach

È Consider what clients and partners are doing; isinteroperability or cross-certification an issue?

How to Proceed

È Develop PKI certificate policies & practices

È Complete a Threat and risk assessment to ensurecost-effective design alternatives & safeguardselection

How to Proceed

È Conduct ITS Governance studies to findinternal management efficiencies and toextend arrangements to include outsidepartners

È Conduct privacy impact assessments toconfirm data protection where newtechnologies are being introduced

33

Un Enfoque deInfraestructura

È Definir una Infraestructura de Clave Pública

 Permite transacciones electrónicas seguras e

intercambio de información sensible mediante

el uso de claves criptográficas y certificados

Un Enfoque deInfraestructura

È ¿ Servicios de Seguridad prestados por una PKI?

 Proceso de Autoridad de Certificación

 Administración de Claves

 Encripción

 Control de acceso

 No-repudio

 Firmas digitales

Un Enfoque deInfraestructura

 Proporciona un alto nivel de confianza en que:

¸ las claves privadas se mantengan seguras;

¸ los vínculos entre claves públicas y privadas

específicas sean confiables

¸ las partes que tienen las claves pública/privada sean

quien dicen ser

¸ Exista confianza y responsabilidad

An Infrastructure Approach

È Defining a Public Key Infrastructure

 Enables secure electronic transactions and

exchange of sensitive information through the

use of cryptographic keys and certificates

An Infrastructure Approach

È Security services provided by a PKI?

 Certification Authority Process

 Key Management

 Encryption

 Access control

 Non-repudiation

 Digital signatures

An InfrastructureApproach

 Provides a high degree of confidence that:¸ private keys are kept secure;

¸ linkages between specific private and public keys aretrustworthy

¸ parties holding public/private key pairs are who theysay they are

¸ trust & accountability exist

34

Un Enfoque deInfraestructura

Autoridad deCertificación (CA)

Confianza entre tres partes

ConfianzaConfianza

AliceAlice BobBob

Tenedores de Certificados

Confianza entre tres partes – La Confianza se establece mediante la confianza en una Autoridad de Certificación Común

Un Enfoque de Infraestructura

Confianza entre tres partes

Autoridades de

Certificación

ConfianzaConfianza

AliceAlice BobBob

Tenedores de

Certificados

Certificación cruzada

Confianza

Trust is Established Through Trust between theTrust is Established Through Trust between the

OrganizationsOrganizations

Certificaciones Cruzadas: La confianza se establece mediantela confianza entre Organizaciones

BNSCanada Post

Beneficios de una Solución deInfraestructura

Á Un facilitador para llevar a cabo

negocios electronicamente, facilita las

transacciones de negocios bajo normas

legalmente aceptadas (Infraestructura

de Clave Pública)

An InfrastructureApproach

CertificationCertification

Authority (CA)Authority (CA)

Third-party TrustThird-party Trust

TrustTrustTrustTrust

AliceAlice BobBob

CertificateCertificate

HoldersHolders

Third Party Trust - Trust is Established Through Trust in a Common Certificate Authority

An InfrastructureApproach

Third-party TrustThird-party Trust

Certification

Authorities

TrustTrustTrustTrust

AliceAlice BobBob

CertificateCertificate

HoldersHolders

Cross-CertificationCross-Certification

TrustTrust

Trust is Established Through Trust between theTrust is Established Through Trust between the

OrganizationsOrganizations

Cross-certifications: Trust is Established Through TrustBetween Organizations

BNSCanada Post

Benefits Of AnInfrastructure Solution

È An enabler to conducting businesselectronically; facilitates businesstransactions under commonly accepted legalstandards (Public Key Infrastructure)

35

Benefits Of AnInfrastructure Solution

È Retention of market share--security is marketed asa value added service (Bank of Nova Scotia)

È A vital element of national electronic commerce(E - business)

Beneficios de una Soluciónde Infraestructura

üRetención de la participación en el mercado - la

seguridad se comercializa como un servicio de

valor añadido (Bank of Nova Scotia)

üUn elemento vital del comercio electrónico

nacional (E - business)

Benefits Of AnInfrastructure Solution

È Ensures the security of electronictransactions in a virtual world and

È Exchange of sensitive information betweenparties that do not have an establishedbusiness relationship

Beneficios de una Soluciónde Infraestructura

È Asegura transacciones electrónicas seguras

en un mundo virtual y

È El intercambio de información sensible

entre partes que no tiene una relación de

negocios establecida

The Risk of doingNothing

È Electronic transactions could be alteredwithout a trace

È There is no trusted way to identify who iscommunicating electronically

È The advantage of the internet cannot befully realized

El riesgo de no hacernada

È Las transacciones electrónicas pueden ser

alteradas sin rastro

È No hay forma confiable de identificar quién

se está comunicando elctronicamente

È No se puede aprovechar plenamente la

ventaja del Internet

36

The Risk of DoingNothing

È There is a risk of exposing sensitiveinformation

È Electronic business opportunities will beconstrained

El riesgo de no hacernada

È Hay riesgo de exponer información sensible

È Las oportunidades de comercio electrónico

se verán limitadas

Discussion/Questions

È Issues is information considered a valuable asset?

 is the threat understood/accepted?

 is security treated as a life cycle issue?

 are the benefits & limitations of infrastructuresolutions understood?

 are I & IT architectures understood?

Discusión/Preguntas

È Temas

 ¿se considera que la información es un activo

valioso?

 ¿se acepta/entiende la amenaza?

 ¿se trata la seguridad como un asunto a lo largo

de todo el ciclo de vida?

 ¿se entienden los beneficios y limitaciones de las

soluciones de infraestructura?

 ¿se entienden las arquitecturas I & IT?