Unidad II. Gestin de la seguridad

Unidad II. Gestin de la seguridadUTCJSeguridad de la informacinMA. Luis Alberto GardeaAdministracin de riesgos y continuidad de negocioQu es el riesgo?La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generndole prdidas o daos.

Conceptos Claves

ActivosRecursos realcionados con el sistema de informacin necesarios para el correcto funcionamiento de la organizacin

datos hardware software servicios documentos imagen corporativa conocimiento edificios recursos humanos

AmenazasAcciones o situaciones que pueden ocasionar consecuencias negativas en la operatividad de la organizacin

Errores de programacin virus uso inadecuado de software desastres naturales accesos no autorizados facilidad de acceso a las instalaciones, etcVulnerabilidadesstas son ciertas condiciones inherentes a los activos que facilitan que las amenazas se materialicen y llevan a esos activos a ser vulnerables.

Falta de conocimiento del usuario tecnologas inadecuadamente probadas transmisin de datos por redes pblicas, etc.ProbabilidadLa es la posibilidad de materializacin de una amenazaImpactoSon las consecuencias de la ocurrencia de una amenaza.

prdidas econmicas la prdida de confianza (imagen de marca) la reduccin de la eficiencia (productividad) el dao a las personas el perjuicio para el medio ambiente.

Qu es el Anlisis de Riesgos?El Anlisis de Riesgos es una herramienta de diagnstico utilizada para determinar la exposicin de una organizacin a los riesgos. Sus objetivos son:

Identificar los riesgos mediante la identificacin de sus elementos

determinar el riesgo total o exposicin bruta al riesgo, como combinacin de los elementos que lo conforman

determinar el riesgo residual. El Anlisis de riesgo contempla: Identificacion de los activos dentro del alcance, y dueos de esos activos

Identificacion de las amenazas a esos activos

Identificar las vulnerabilidades que podrian ser aprovechadas por las amenazas

Identificar los impactos que las prdidas de confidencialidad, integridad y disponibilidad puedan tener sobre los activosCriterios para evaluar la importancia del riesgo Impacto econmico del riesgo

tiempo de recuperacin de la empresa

posibilidad real de ocurrencia del riesgo

posibilidad de interrumpir las actividades de la empresaTratamiento del riesgo Reduccin del riesgo (Plan de tratamiento del riesgo)

Objetivamente aceptar el riesgo

Transferencia del riesgo

Evitar el riesgo. Riesgo ResidualDespus de implementar las decisiones relacionadas con el tratamiento del riesgo, siempre habr un remanente de ese mismo riesgo. Justamente el riesgo que queda, despus de implementar el plan de tratamiento de riesgo, se denomina riesgo residualEjercicio de Anlisis y evaluacin de riesgosTasacion de los activos de informacinActivos de informacinconfidencialidadintegridaddisponibilidadtotalBases de datos clientes2554Base de datos de ahorros5545Equipo de cmputo1142cmo una prdida o una falla en un determinado activo afecta la confidencialidad, la integridad y la disponibilidad?Activos de informacion y propietariosActivos de informacinPropietarios1. Base de datos ahorrosSistemas2. Servidores de bases de datosSistemasEl propietario de los activos debe ser responsible por definir apropiadamente la clasificacin de seguridad y derechos de acceso a los activos, y establecer los sistemas de control.Mtodo para el clculo del riesgoActivoAmenazaImpacto de la amenazaProbabilidade ocurrenciaMedicin del riesgopriorizacinAMNO53151BDEF4283CJKL3392Este mtodo trata de relacionar los factores del impacto econmico para el clculo del riesgo, trata de relacionar los factores del impacto econmico de la amenazay la probabilidad de ocurrencia de la amenaza.EVALUACIN DEL RIESGORiesgoCriterios para evaluar la importancia del riesgoActivosAmenazasImpacto econmico del riesgoTiempo de recuperacin de la empresaProbabilidad de ocurrencia del riesgoProbabilidad de interrumpir actividades de la empresaTotalAABC14218BDEF214324CGHI143224La evaluacin del riesgo debe poder identificar los niveles de riesgo generalmente aceptables, aquellos riesgos cuyo nivel y estimacin de dao es pequeo para la organizacin y puede aceptarlo como parte de trabajo cotidiano y, en consecuencia, no se requiere mayor accin. Todos los otros riesgos requieren que la empresa tome accin y deben de estar sujetos al tratamiento de riesgos.Plan del tratamiento del riesgoreas ActividadesControlActivoFecha de CulminacinResponsiblePrevencin y recuperacin de desastresGestin de la Continuidad del ServicioVisin General La Gestin de la Continuidad del Servicio se preocupa de impedir que una imprevista y grave interrupcin de los servicios de TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastrficas para el negocio.20Gestin de la Continuidad del ServicioLa estrategia de la Gestin de la Continuidad del Servicio debe combinar equilibradamente procedimientos:

Proactivos: que buscan impedir o minimizar las consecuencias de una grave interrupcin del servicio. Reactivos: cuyo propsito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre. 21Gestion de la Continuidad del ServicioMetas y Objetivos:

Los objetivos principales de la Gestin de la Continuidad de los Servicios TI se resumen en:

Garantizar la pronta recuperacin de los servicios (crticos) TI tras un desastre.

Establecer polticas y procedimientos que eviten, en la medida de lo posible, las perniciosas consecuencias de un desastre o causa de fuerza mayor. 22Gestion de la Continuidad del ServicioMetas y Objetivos:Definir los objetivos del porcentaje de disponibilidad.Objetivo de la Calidad definido en el proceso de aseguramineto de la disponiblidad de los SI

Proponer una solucin para resolver estos objetivos.Manual de Gestion de Fallas

Formalizar los acuerdos y el plan de contingencia.Convenios de Disponibilidad23Gestin de la Continuidad del ServicioLos principales beneficios de una correcta Gestin de la Continuidad del Servicio se resumen en:

Se gestionan adecuadamente los riesgos.

Se reduce el periodo de interrupcin del servicio por causas de fuerza mayor.

Se mejora la confianza en la calidad del servicio entre clientes y usuarios.

Sirve de apoyo al proceso de Gestin de la Continuidad del Negocio.

24Gestion de la Continuidad del ServicioLas principales dificultades a la hora de implementar la Gestin de la Continuidad del Servicio se resumen en:

Puede haber resistencia a realizar inversiones cuya rentabilidad no es inmediata.

No se presupuestan correctamente los costes asociados.

No se asignan los recursos suficientes.

No existe el compromiso suficiente con el proceso dentro de la organizacin y las tareas y actividades correspondientes se demoran perpetuamente para hacer frente a "actividades ms urgentes".

No se realiza un correcto anlisis de riesgos y se obvian amenazas y vulnerabilidades reales.

El personal no esta familiarizado con las acciones y procedimientos a tomar en caso de interrupcin grave de los servicios.

25Gestion de la Continuidad del ServicioLas principales actividades de la Gestin de la Continuidad del Servicio se resumen en:

Establecer las polticas y alcance.

Evaluar el impacto en el negocio de una interrupcin de los servicios TI.

Analizar y prever los riesgos a los que esta expuesto la infraestructura TI.

Establecer las estrategias de continuidad del servicio TI.

Adoptar medidas proactivas de prevencin del riesgo.

Desarrollar los planes de contingencia.

Poner a prueba dichos planes. Formar al personal sobre los procedimientos necesarios para la pronta recuperacin del servicio.

Revisar peridicamente los planes para adaptarlos a las necesidades reales del negocio. 26Gestin de la Continuidad del ServicioPlan de prevencin de riesgosCuyo objetivo principal es el de evitar o minimizar el impacto de un desastre en la infraestructura TI.

Entre las medidas habituales se encuentran:

Almacenamiento de datos distribuidos.

Sistemas de alimentacin elctrica de soporte.

Polticas de back-ups.

Duplicacin de sistemas crticos.

Sistemas de seguridad pasivos

27Gestin de la Continuidad del ServicioPlan de gestin de emergencias

Las crisis suelen provocar "reacciones de pnico" que pueden ser contraproducentes y a veces incluso ms dainas que las provocadas por el incidente que las causo. Por ello es imprescindible que en caso de situacin de emergencia estn claramente determinadas las responsabilidades y funciones del personal as como los protocolos de accin correspondientes. 28Gestin de la Continuidad del ServicioEn principio los planes de gestin de emergencias deben tomar en cuenta aspectos tales como:

Evaluacin del impacto de la contingencia en la infraestructura TI.

Asignacin de funciones de emergencia al personal de servicio TI. Comunicacin a los usuarios y clientes de una grave interrupcin o degradacin del servicio.

Procedimientos de contacto y colaboracin con los proveedores involucrados.

Protocolos para la puesta en marcha del plan de recuperacin correspondiente

29Gestin de la Continuidad del ServicioPlan de recuperacin

Cuando la interrupcin del servicio es inevitable llego el momento de poner en marcha los procedimientos de recuperacin.

El plan de recuperacin debe incluir todo lo necesario para:

Reorganizar al personal involucrado.

Reestablecer los sistemas de hardware y software necesarios.

Recuperar los datos y reiniciar el servicio TI.

30Proteccin de sistemas operativosSegn un estudio realizado por Inteco, 8 de cada 10 equipos se encuentran infectados con algn tipo de cdigo malicioso. Ante estos datos tan alarmantes, se ha elaborado una gua de seguridad para proteger su sistema operativo, estos son:

Instale (y actualice) software antivirus.

Instale las actualizaciones de software:

o Los services packs, que son actualizaciones globales que contienen varioscentenares de pequeas correcciones aportadas al sistema para resolver fallos deseguridad y tambin bugs que no representan necesariamente un riesgo.

o Parches de seguridad (Windows update).- Configure un firewall.- Evite instalar programas desconocidos o poco confiables.- Evite el correo electrnico no deseado (spam).- No abra archivos adjuntos por correo (de remitentes desconocidos) ni por chat.- Navegacin segura.- Ponga contraseas a su computadora.- Detenga los servicios intiles.- Establezca permisos.- Proteja sus servidores:o Certificados de servidor.o Mantenerlos en lugares seguros.o Instalacin del directorio activo (Windows).o Actualizaciones de seguridad al servidor de base de datos.Protocolo ssl y ssl handshakeProtocolo SSL y SSL HandshakeSSL son las siglas en ingls de Secure Socket Layer (en espaol capa de conexin segura). Es un protocolo criptogrfico (un conjunto de reglas a seguir relacionadas a seguridad, aplicando criptografa) empleado para realizar conexiones seguras entre un cliente (como lo es un navegador de Internet) y un servidor (como lo son las computadoras con pginas web).

Este protocolo ha sido sucedido por TLS, que son las siglas en ingls de Transport Layer Security (en espaol seguridad de la capa de transporte). Versiones de TLS tienen un equivalente en SSL, por ejemplo TLS 1.2 corresponde a SSL 3.3; de ah que an sea comn que se refiera a este protocolo como SSL.

Cmo funciona una conexin con SSL, en pocas palabras?De forma bsica, una conexin usando el protocolo SSL funciona de la siguiente forma:

El cliente y el servidor entran en un proceso de negociacin, conocido como handshake (apretn de manos). Este proceso sirve para que se establezca varios parmetros para realizar la conexin de forma segura.

Una vez terminada la negociacin, la conexin segura es establecida.

Usando llaves preestablecidas, se codifica y descodifica todo lo que sea enviado hasta que la conexin se cierre.

SSL handshake

qu es un certificado digital?Un certificado SSL es un certificado digital de seguridad que se utiliza por el protocolo SSL. Este certificado es otorgado por una agencia independiente debidamente autorizada y es enviado por el servidor de la pgina web segura. El navegador de internet recibe e interpreta el contenido de dicho certificado y, al verificar su autenticidad, indica que se est realizando una conexin segura; cada navegador de internet tiene diferentes formas de indicarlo, por ejemplo un candado cerrado.

Prctica. Instalacin de un certificado digital http://www.youtube.com/watch?v=bccjtE20thMReferenciasDiseo De Un Sistema De Gestin De Seguridad De InformacinAlexander (Marcombo-Alfaomega) ISBN: 9586827135. ISBN-13: 97895868271331 edicin (01/01/2007).

http://www.securityartwork.es/