Post on 27-Jul-2022
Seguridad de la Información
(aproximación)René F. Aguirre Quino
Porqué hablar de la Seguridad de la Información?
Porque el negocio se sustenta a partir de la información que maneja.....
Entorno
Sistemas de Información
Estrategia de negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Planificación de Objetivos
Diseño y ejecución de acciones para conseguir objetivo
Control (de resultados de acciones contra objetivos)
Registro de transacciones
Transacciones
ORGANIZACION
CULTURA de la seguridad, responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que el
paciente la tome”
Paso 1: Reconocer los activos de información importantes para la
institución..
• Información propiamente tal : bases de datos, archivos, conocimiento de las personas
• Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos.
• Software: aplicaciones, sistemas operativos, utilitarios.
• Físicos: equipos, edificios, redes• Recursos humanos: empleados internos y
externos• Servicios: electricidad, soporte,
mantención.
Paso 2: Reconocer las Amenazas a que están expuestos...
• Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”.
• Ejemplos: Desastres naturales (terremotos, inundaciones)Errores humanosFallas de Hardware y/o SoftwareFallas de servicios (electricidad)Robo
Paso 3: Reconocer las Vulnerabilidades
• Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza”
• Ejemplos:
Inexistencia de procedimientos de trabajoConcentración de funciones en una sola personaInfraestructura insuficiente
Paso 5: Identificación de Riesgos
• Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo”
• Que debe analizarse?
El impacto (leve ,moderado,grave)La probabilidad (baja, media, alta)
Contexto general de seguridad
Propietariosvaloran
Quieren minimizar
Salvaguardasdefinen
Pueden tener conciencia de
Amenazas
explotanVulnerabilidades
Permiten o facilitan
Daño
RECURSOSQue pueden tener
Reducen
RIESGO
Principales problemas:
• No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades.
• No se puede medir la severidad y la probabilidad de los riesgos.
• Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe.
• Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
Conclusiones (parte 1)
• La Información es uno de los activos mas valiosos de la organización
• Las Políticas de seguridad permiten disminuir los riesgos
• Las políticas de seguridad no abordan sólo aspectos tecnológicos
• El compromiso e involucramiento de todos es la premisa básica para que sea real.
• La seguridad es una inversión y no un gasto.• No existe nada 100% seguro• Exige evaluación permanente.
La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que
permita mantener controlado el RIESGO.
La seguridad Informática, sus problemas y limitaciones
La realidad ….
¿los conocemos?...
¿todos?
La seguridad y sus problemas
• La seguridad “corre” en sentido completamente opuesto a la operación...
Seguridad Operación
Entonces, ¿¿¿mucha o poca seguridad???
La seguridad y sus problemas
La operación vs. el Nivel de SeguridadEstado de EQUILIBRIO
≡ Seguridad en proporción del posible impacto y costo de implantación
≡ Esto es logrado mediante la construcción de una arquitectura de seguridad basada en análisis de riesgos
La seguridad y sus problemas
• Internet es:Cada vez más peligrosa, mas necesaria y más complejaCada vez hay mas proveedores, socios de negocio, clientes, pero tambien, competidores, enemigos y amenazas
• Productos de seguridad orientados a la detecciónRechazan el ataque, oFallan!!!
La seguridad y sus limitaciones
• Demasiados proveedoresDemasiados productosDemasiados serviciosPoca información sólida
• Problemas en el escalamiento y/o comprensión de las necesidades de seguridad
Ya tenemos un firewall!!! o ¿no?
La seguridad y sus limitaciones
El administrador de seguridad debe estar prevenido de todos y cada uno de los ataques y vulnerabilidades, conocidos y desconocidos
Los atacantes SÓLO necesitan explotar UNA vulnerabilidad
Poca gente disponible y especializada
• Pocos proveedores enfocados a la seguridad de la información
Muy pocos con verdadera provisión de Soluciones Integrales, o son productos o serviciosDemasiada improvisaciónOrientados a un área de experiencia
• La seguridad es relativa y dinámica• Lo que hoy puede ser seguro, mañana “seguramente”
no lo será• No existe seguridad a prueba de todo
La seguridad y sus limitaciones
Algunas recomendaciones
• Administre el riesgoTodas las compañías lo hacen en sus procesos de negocioEl de la tecnología de información es uno másSe presentarán fallasEl negocio las puede resistirDebe incluirse en el costo de hacer negocio
• Hay que equilibrar riesgo .vs. costoLa evaluación de esta fórmula debe ser continuaCambia con el tiempo, las condiciones de negocio, la gente, los cambios organizacionales, las fusiones, las alianzas, la tecnología, etc.
Algunas recomendaciones
• Proteja, Detecte y RespondaTodos los productos presentan fallas durante su vida útilTodos los proveedores de servicios cometen errores durante la duración del contratoSus usuarios se equivocan o deciden actuar en contra de las recomendaciones
Hay que monitorearLos monitores deben estar capacitados para tomar acciones que vayan más de allá de hacer sonar una alarma
Algunas recomendaciones
Contrate uno o más Proveedores de Cabecera.
Ellos se dedican a la seguridad, su empresa o institución.
Tienen mas experiencia por el número de clientes con los que trabajan.
Un buen proveedor puede entender, apreciar y actuar de manera efectiva observando la seguridad y sus efectos así como los requerimientos de negocio.
Tipos de Medidas de seguridad
• Preventivas
Limitan la posibilidad de que se concreten las contingencias
• Detectivas
Limitan los efectos de las contingencias presentadas
• Correctivas
Orientadas a recuperar la capacidad de operación normal
Que tipo de controles pueden efectuarse para aumentar la seguridad?
• Acceso Físico• Acceso Lógico
Métodos de control de accesos
• Contraseñas
Características, fuerzas y debilidades• Otros medios de autenticación (biometricas)
Impresiones digitalesMedidas de geometría de mas manosIris del ojo
Backups y recuperación
• Hardware• Software• Algunas preguntas frecuentes
De que dependen?Como se manifiestan?Donde se realizan?Cada cuanto deben realizarse?
Qué es y como contribuye la criptografía a la SI?
• Ininteligibilidad a usuarios no autorizados• Métodos de encriptación
Valiosos para la protección de datos y redesUsan algoritmos matemáticos en función de cadenas validas o passwords
Plan de seguridad - PS
Conjunto de medidas preventivas, detectivas y correctivas destinadas a enfrentar los riesgos a los que están expuestos los activos informáticos de una organizaciónSu objetivo esencial es proteger los activos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad
Plan de contingencias - PC
• Conjunto de procedimientos que luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto
• Es un capitulo del plan de seguridad – Medidas correctivas
• Objetivos esencialesMinimizar el impactoPromover una rápida recuperación de la operatividad
Directivas, procedimientos yprotección del nivel de
concienciación
Directiva de confidencialidad de la información del usuario
Procedimiento de solicitud de dispositivos
Procedimiento de configuración de servidores de seguridad Directiva
de seguridad del acceso físico
Descripción del nivel de seguridadfísica
Compromiso del nivel de seguridadfísica
Instalar código malintencionado
Quitar hardware
Dañar el hardware
Ver, cambiar o quitar archivos
Descripción del nivel perimetral
Internet Sucursales Socios
comerciales Usuarios remotos Redes
inalámbricas Aplicaciones de
Internet
Los perímetros de red incluyen conexiones a:
Socio comercial
Servicios Internet
LAN
Oficina principal
LAN
Servicios Internet
Sucursal
LAN
Red inalámb
rica
Usuario remoto
Internet
Socio comercial
Servicios Internet
LAN
Oficina principal
LAN
Servicios Internet
Sucursal
LAN
Red inalámb
rica
Usuario remoto
Internet
Compromiso de seguridad del nivelde perímetro
Ataque a la red corporativa
Ataque a los usuarios remotos
Ataque desde un socio comercial
Ataque desde una sucursal
Ataque a servicios Internet
Ataque desde Internet
El compromiso de seguridad en el perímetro de red puede resultar en:
Protección del nivel de perímetro
Servidores de seguridad
Bloqueo de puertos de comunicación
Traducción de direcciones IP y puertos
Redes privadas virtuales
Protocolos de túnel
La protección del perímetro de red incluye:
Socio comercial
Servicios Internet
LAN
Oficina principal
LAN
Servicios Internet
Sucursal
LAN
Red inalámb
rica
Usuario remoto
Internet
Descripción del nivel de red interna
Marketing
Recursos humanos
Finanzas
Ventas
Red inalámbrica
Compromiso de seguridad del nivelde red interna
Acceso no autorizado a los sistemas
Rastreo de paquetes desde la
red
Puertos de comunicación inesperados
Acceso a todo
el tráfico de red
Acceso no autorizado a
redes inalámbricas
Descripción del nivel de hostFunción específica de la redConfiguración del sistema operativoEl término ‘host’ se utiliza para hacer referencia a estaciones de trabajo y a servidores
Compromiso de seguridad del nivelde host
Configuración insegura del sistema operativo
Acceso no supervisa
do
Explotación de la
debilidad del sistema
operativo
Distribución de virus
Descripción del nivel de aplicación
Aplicaciones que crean y tienen
acceso a los datos
Aplicaciones de servidor (por ejemplo, Servidor de correo, Servidor de Bases
de Datos)
• Problemas de seguridad específicos de las aplicaciones
• Debe mantenerse la funcionalidad
Compromiso de seguridad del nivelde aplicación
• Pérdida de la aplicación• Ejecución de código malintencionado• Uso extremo de la aplicación• Uso no deseado de las aplicaciones
Descripción del nivel de datos
DocumentosArchivos de directorio
Aplicaciones
Compromiso de seguridad del nivelde datos
DocumentosArchivos de directorio
Aplicaciones
Visualización, cambio o
modificación de la
información
Consulta de los archivos de directorio
Sustitución o modificación de los archivos de
aplicación
Protección en el nivel de seguridadfísica
Cierre las puertas e instale alarmas
Emplee personal de seguridad
Aplique procedimientos de acceso
Supervise el acceso
Limite los dispositivos de entrada de datos
Utilice herramientas de acceso remoto para mejorar la seguridad
Protección en el nivel de red interna
Implemente autenticación mutua
Segmente la red
Cifre las comunicaciones de red
Bloquee los puertos de comunicación
Controle el acceso a los dispositivos de red
Firme los paquetes de red
Implemente autenticación mutua
Protección en el nivel de host
Refuerce la seguridad del sistema operativo
Instale actualizaciones de seguridad
Implemente sistemas de auditoría
Deshabilite o quite los servicios innecesarios
Instale y mantenga software antivirus
Protección en el nivel de aplicación
Habilite únicamente los servicios y funcionalidad requeridos
Configure las opciones de seguridad de las aplicaciones
Instale actualizaciones de seguridad para las aplicaciones
Instale y actualice software antivirus
Ejecute las aplicaciones con el menor privilegio
Protección en el nivel de datos
Cifre los archivos
Limite el acceso a los datos con listas de control de acceso
Mueva los archivos de la ubicación predeterminada
Cree planes de copia de seguridad y recuperación de datos
Proteja los documentos y el correo electrónico
Lista de verificación de respuestas aincidentes
Reconocer que se está produciendo un ataque
Identificar el ataque
Informar del ataque
Contener el ataque
Implementar medidas preventivas
Documentar el ataque
Contención de los efectos de un ataque
Apague los servidores afectados
Quite los equipos afectados de la red
Bloquee el tráfico de red entrante y saliente
Tome medidas de precaución para proteger los equipos cuya seguridad aún no se haya visto comprometida
Conserve las pruebas
Conclusiones
La seguridad No es un Producto, es un Proceso en la Organización.
Se recomienda implementar Estándares de seguridad en la organización.
Las Herramientas de seguridad son solo un elemento en la cadena de la Seguridad de la información
Conclusiones
Las Herramientas de seguridad con una adecuada configuración, nos ayudaran a detectar y mitigar los principales problemas
Algunas herramientas de seguridad deben evolucionar, conforme evoluciona el delito. (AV)
Recomendamos un análisis de riesgos de la información para conocer a fondo los activos a proteger.