SISTEMAS DE GESTÓN DE SEGURIDAD DE LA

INFORMACIÓN

Expositor: Mg. Ing. Miguel Robles-Recavarren Benites M_roblesrecavarren@hotmail.com

Contenido Estado del Arte.

Introducción a la Seguridad en TI.

Definiciones Básicas.

Plan de Seguridad de la Información (PSI).

Principios.

Consideraciones.

Tipos de Seguridad.

Plan de Contingencias (PCN).

Seguridad en Internet.

Metodologías para la elaboración del PCN y PSI.

ESTADO DEL ARTE

Innovación

Estado del Arte

Competencia Global

Manejo del

Cambio

Poder de Negociación

Ventaja Competitiva

Negocios

Internacionales

Recursos y

Utilidad

Velocidad en

Los Servicios

Negocios

Organizaciones

Instituciones

Personas Valor Generado

Estado del Arte

EMPRESA ESTRATEGIAS DE NEGOCIOS

OBJETIVOS ESTRATÉGICOS

DEL NEGOCIO

Reingeniería de procesos Reestructuración Organización horizontal Manejo de personas Procesamiento distribuido Dimensionamiento correcto Benchmarking Offshoring Outsourcing E-business SCM – BI - CRM

Introducción a la Seguridad en TI

Introducción

PROCESOS DE

NEGOCIOS TECNOLOGÍA DE

LA INFORMACIÓN

SEGURIDAD

DE TI GESTIÓN DE

SEGURIDAD

Identificación de Amenazas

Tipos de Amenazas

Amenazas a Instalaciones

Amenazas Sociales

Vulnerabilidades

Tipos de

Vulnerabilidades

Seguridad de los recursos humanos

Seguridad física y ambiental

Co

ntr

ol d

e

Acceso

El modelo de la administración de los recursos e información.

Ventaja competitiva.

Entorno

Entorno

Plan de negocio estratégico

Inteligencia de negocio

Vicepresidente de finanzas

Vicepresidente de manufactura

DI

DE

Vicepresidente de recursos humanos

Vicepresidente de mercadotecnia

Plan específico para los recursos de información

Comité Directivo del SIA

Política y estándares

Centros de información

Instalación de computo central

Áreas del usuario

Usuarios Finales

Usuarios

Recursos de información

Introducción

“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por el”

Gene Spafford

Mitos de Seguridad

El Sistema puede llegar al 100% de seguridad.

Mi red no es lo suficientemente atractiva para ser tomada en cuenta.

Nadie pensara que mi clave de acceso es sencilla.

Linux es más seguro que Windows.

Si mi servidor de correos tiene antivirus, mi estación no lo necesita.

Definiciones Básicas

Tecnología de la Información

Conjunto de ciencias relacionadas con los

Sistemas y la Informática que constituyen el

elemento indispensable para el desarrollo de

la humanidad y la generación sostenida de

puestos de trabajo.

Términos y Definiciones

ACTIVO: Algo que presenta valor para la

organización.

DISPONIBILIDAD: Garantizar que los

usuarios autorizados tengan acceso a la

información y activos asociados cuando sea

necesario.

CONFIDENCIALIDAD: Garantizar que la

información sea accesible únicamente para

quienes tengan acceso autorizado.

Términos y Definiciones

SEGURIDAD DE LA INFORMACIÓN: Preservar

la confidencialidad, integridad y

disponibilidad de la información; además,

también pueden ser involucradas otras

características como la autenticación,

responsabilidad, no-repudio y fiabilidad.

Términos y Definiciones

EVENTO DE LA SEGURIDAD DE LA

INFORMACIÓN: Ocurrencia identificada en un

sistema, servicio o red indicando una posible

brecha de la política de seguridad de la

información o falla de las salvaguardas o una

situación desconocida previa que puede ser

relevante. .

Términos y Definiciones

INCIDENTE DE LA SEGURIDAD DE LA

INFORMACIÓN: Una serie de eventos no

deseados que tienen una probabilidad

significativa de comprometer operaciones del

negocio y amenazar la seguridad de la

información.

Términos y Definiciones

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN - ISMS: Es la parte del

Sistema Integral de Gestión, basado en un

enfoque del riesgo del negocio para

establecer, implementar, operar, monitorear,

revisar, mantener y mejorar la seguridad de

la información.

El sistema de gestión incluye la estructura

organizacional, políticas, actividades de planificación,

responsabilidades, prácticas, procedimientos,

procesos y recursos.

Términos y Definiciones

INTEGRIDAD: Salvaguardar la exactitud e

integridad de la información y activos

asociados.

RIESGO RESIDUAL: Riesgo remanente

después de un tratamiento del riesgo.

ACEPTACIÓN DEL RIESGO: Decisión de

aceptar el riesgo.

ANÁLISIS DEL RIESGO: Uso sistemático de

información para identificar amenazas y

estimular el riesgo.

Términos y Definiciones

ESTIMACIÓN DEL RIESGO: Proceso total de

análisis y evaluación del riesgo.

EVALUACIÓN DEL RIESGO: Proceso de

comparación del riesgo estimado frente al

criterio de riesgo para determinar el

significado del riesgo.

GESTIÓN DEL RIESGO: Actividades

coordinadas para dirigir y controlar el riesgo

en una organización.

Términos y Definiciones

TRATAMIENTO DEL RIESGO: Proceso de

Selección e implementación de controles para

minimizar el riesgo.

DECLARACIÓN DE APLICABILIDAD:

Documento que describe los objetivos de

control y los controles que son relevantes y

aplicables al ISMS de la organización.

Algunos artículos:

www.diarioti.com

Repercusión de las infracciones de seguridad

Pérdida de

beneficios

Deterioro de la confianza del inversionista

Perjuicio de la

reputación

Pérdida o compromiso

de la seguridad de los datos

Interrupción de los procesos empresariales

Deterioro de la confianza del

cliente Consecuencias

legales

QUÉ BUSCA LA SEGURIDAD?

Proteger Derechos

El derecho a la privacidad

El derecho a estar informados

Proteger activos

Información

Equipos ( Sistemas, Redes,

computadoras)

Reforzar las reglas

Leyes, Políticas y Procedimientos

VIDEO: PRIVACIDAD EN INTERNET

BRUSELAS - BÉLGICA

Sistema Nacional de Informática

IMPLEMENTACIÓN DE LA NORMA TÉCNICA

PERUANA “NTP-ISO/IEC 27001:2008 EDI

TECNOLOGÍA DE LA INFORMACIÓN.

TÉCNICAS DE SEGURIDAD. SISTEMAS DE

GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN. REQUISITOS”.

Aspectos críticos de la seguridad

Arquitectura

Segura

de IT

Kerberos

Personas Developer

USER

Backup

El riesgo está en función del valor del activo de la información, la magnitud de la amenaza y

las vulnerabilidades existentes MEDIDAS

33

2/18/2014

Entre mediados de Abril y Junio del 2007, un gran número de servidores Web fueron infectados. Se asumió que la causa fue un fallo común afectando servidores Apache e IIS o un error de configuración en el proveedor de servicios.

En Junio del 2007, mas de 10,000 sitios fueron afectados, de los cuales, 80% estuvieron en Italia. Mas de 80,000 sistemas fueron infectados.

Tan pronto como los usuarios visitaban el sitio, estos eran direccionado silenciosamente a un servidor que contenía la pagina PHP de una herramienta llamada MPack.

Estando en esta página, varios ataques diseñados para aprovechar las fallas de seguridad del navegador del usuario (Firefox, IE, Opera, etc.) se aplicaban.

Esta forma de ataque se hizo común en el 2008

The Italian Mpack Job

Seguridad de SI

Seguridad de la información debe ser elemento integral de la empresa.

Fases del Proceso:

* Identificación de riesgos.

* Plan de Seguridad.

* Infraestructura.

* Mantenimiento y Coste

Valor de la Información

El principal bien de las empresas es la

información la cual hay que proteger en la

medida que su pérdida afecte a la empresa u

organización.

En el valor de la información entra a tallar el

flujo de la misma.

Si el bien fluye de un lado a otro, el camino

que recorre también debe ser protegido y el

medio de transporte lógico debe ser seguro.

Tipo de Información según Empresa

Empresa Privada Empresa Gubernamental

Pública

Sensible

Privada

Confidencial

No Clasificada

Sensitiva pero no Clasificada

Confidencial

Secreta

Top Secret

The National Strategy for Homeland Security of the United

States

Video Microsoft

Taller 1: Trabajo en Grupo

a. Proponer soluciones de manejo de la

información.

b. Proponer soluciones de integración de procesos.

Eje

Y

Ciclo de Vida

Empresa

Crediticio

Mercado

Operativo

HuelgasCatástrofe

Terrorismo

Robo

$

AÑO

PERDIDA ESPERADA

PROVISIONADO

PERDIDA INESPERADA

TIEMPO (años)

PerdidasCatastróficas

$

NORMA BASILEA II

Riesgo

Riesgos

RIESGOS EN ORGANIZACIONES FINANCIERAS

¿Cuánto dinero se ha perdido?, El mensaje entre líneas …

NORMAS

ORGANIZACIÓN

(PERSONAS)

METODOLOGÍAS

OBJETIVOS DE CONTROL

PROCEDIMIENTOS DE CONTROL

TECNOLOGÍA DE LA SEGURIDAD

HERRAMIENTAS

FACTORES DE LA CONTRAMEDIDA

HARDWARE

SOFTWARE

INFORMÁTICA

USUARIOS

FUNCIONES

PROCEDIMIENTOS

PLANES

ESTÁNDARES

POLÍTICAS

OBJETIVO:

POLÍTICAS DE SEGURIDAD

El objetivo de una política de seguridad es el de

comunicar a toda una organización que la

información que posee la empresa es muy valiosa y

es responsabilidad y compromiso de todos los

trabajadores resguardarla y en caso de compartirla

deben tener en cuentan los riesgos que puedan

ocurrir si esta información cae en manos no

autorizadas.

POLÍTICAS DE SEGURIDAD

Buena Política :

Una buena política de seguridad proporcionará a la

empresa la base para que diseñe un eficaz sistema de

seguridad.

Problemas de Seguridad

Problemas

Estructurales : 1. ORGANIGRAMA Y FUNCIONES.

2. CANALES DE COMUNICACIÓN.

3. RECURSOS ASIGNADOS.

Problemas en el

planeamiento : 1. FALTA DE COHERENCIA.

2. DIRECTRICES HETEROGÉNEAS.

3. FALTA DE DEFINICIÓN DE FUNCIONES.

4. NO SE DEFINEN NORMAS NI

PROCEDIMIENTOS DE SEGURIDAD.

5. DIFICULTAD EN JUSTIFICAR RECURSOS.

Problemas de Seguridad

El problema

tecnológico : 1. LA TECNOLOGÍA NO ES LA PANACEA.

2. LAS HERRAMIENTAS NO CUBREN TODAS LAS

NECESIDADES.

3. EXCESIVA CONFIANZA.

Problemas de Seguridad

Modelos de Políticas de Seguridad

• Política Individual.

• Política General Plana.

• Política de Tres Capas.

• Modelo ISO 17799.

Esquema de Desarrollo de una Política de Seguridad

Identificar requerimientos técnicos y

Administrativos de la organización

Definir políticas

individuales

Definir políticas

generales

Definir estándares,

guidelines

Definir procedimientos

Evaluación

¿Necesitan

Corrección?

Replanteamiento

Presentación final Aprobación por la

Alta dirección

¿Qué es un Plan de Seguridad de la Información (PSI)?

P S I

Estrategia planificada de acciones y proyectos para la protección de: información (D/B), sistemas de información (SW-IS) e infraestructura física (HW-TIC).

Demostrar cómo una estrategia integrada de Seguridad de la Información puede contribuir de manera efectiva al logro de los objetivos de Negocio de su empresa.

Objetivo

Objetivo

Consolidación de:

- Confidencialidad

- Integridad y autenticidad

- Disponibilidad

- No repudio

Si se cumplen estos puntos, diremos en general que los datos están protegidos y seguros.

Medidas y sus objetivos

Una serie de niveles de control.

- La falla de un nivel será “absorbida” por las otras.

- Reducir el impacto global al mínimo.

Objetivos

- Disuadir

- Detectar

- Minimizar el impacto de pérdida o desastre

- Investigar

- Recuperar

Entender la defensa a profundidad

Utilizar un enfoque dividido por etapas:

Aumentar la detección de riesgo de un agresor

Reduce la posibilidad de éxito de un agresor

Políticas de seguridad, procedimientos y educación Políticas, procedimientos y conciencia

Protecciones, seguros, dispositivos de seguimiento

Seguridad física

Fortalecimiento de la aplicación Aplicación

Fortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría

Host

Segmentos de red, NIDS Red interna

Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentena Perímetro

Contraseñas fuertes, ACLs, estrategia de respaldo y restauración Datos

Arquitectura General de Seguridad

ATAQUES DIRIGIDOS

VIDEO: CONTROL DE ACCESOS

Protección de la capa perimetral

La protección del perímetro de la red incluye:

Socio de negocios

Oficina sucursal

Red

inalámbrica

LAN

Usuario

remoto

Internet

Oficina principal

LAN

Servicios de Internet Servicios de Internet

LAN

Firewalls

Bloquear puertos de comunicación

Traducción de puerto y dirección IP

Redes privadas virtuales (VPNs)

Protocolos de túnel

Cuarentena de la VPN

Riesgo de la capa interna de la red

Acceso no autorizado a

sistemas

Acceso a todo el tráfico de la red

Acceso no autorizado a redes virtuales

Puertos de comunicación inesperados

Examinar paquetes de la

red

Ejemplo 1: Análisis de Riesgo Academia PAMER

Tipos de Seguridad

Seguridad

Física

Seguridad

Lógica

Seguridad Física

Ubicación física y disposición del centro de TI

Consideraciones:

- Características del equipo

- Valor del equipo

- Importancia del equipo

Lugar mas conservador y clandestino

- Lejos del tránsito terrestre y aéreo.

- Lejos de elementos electrónicos

Radares (5 volts / metro)

Microondas

Riesgos por ubicación Nivel

Actividad Al Me Ba So

Acceso a Máquinas G M P P

Acceso de elementos de

trabajo G M I P

Carga del suelo G M P I

Filtraciones de agua G P P P

Inundación I P M G

Sabotaje P G G P

Al = Alto

Me = Medio

Ba = Bajo

So = Sótano

G = Grave

M = Mediano

P = Poco

I = Inexistente

FILTRACIONES EN LA PARED

Instalaciones Físicas del Centro de TI

Factores inherentes a la localidad: - Naturales Hundimiento del piso Temperatura Sismos - Servicios Líneas Telefónicas Instalaciones Eléctricas Antenas de Comunicación - Seguridad Lugares desolados o desprotegidos Fuentes de incendios Inundaciones

Instalaciones Físicas del Centro de TI

Factores inherentes al centro de TI: - Piso falso Sellado hermético Nivelado topográfico Tierra física (aterrizado) Cableado cubierto Aprox. 40 cm. - Cableado De alto y bajo voltaje Cables de Telecomunicaciones Cables de señales para monitores

Cableado Estructurado

FALTA DE CANALETAS

CABLEADO DE RED EN DESORDEN

Switch de 8 puertos

Instalaciones Físicas del Centro de TI

- Paredes y techos Pintura plástica lavable Falso (amarres del plafón) La altura neta: 2.70 a 3.30 mts. - Puertas de acceso Puertas de doble hoja de 1.50 cm. Salida de emergencia Dimensiones máximas del equipo - Iluminación Generadores fuera de la sala. La alimentación de la iluminación diferente

al del equipo. El 25% debe ser de emergencia conectado

al UPS.

Instalaciones Físicas del Centro de TI

- Filtros * 99% de eficiencia sobre partículas de 3

micrones * Si existen otros contaminantes seleccionar

filtros adecuados * Aire de renovación y ventilación tratado

previamente: Temperatura Humedad - Vibración Equipos antivibraciones - Ductos Lisos y sin desprendimiento de partículas

Control de acceso físico

Estructura y disposición del área de recepción.

- Identificación del personal y visitantes.

- Recursos magnéticos.

- Vidrio reforzado.

Acceso de terceras personas

- De mantenimiento del aire acondicionado y cómputo.

- De limpieza.

- Identificación plenamente.

Instalaciones Físicas del Centro de TI

Acondicionamiento del local

- Necesidades de espacio Especificaciones técnicas del equipo Áreas de cintas, discos, archivos Evitar áreas con formas extrañas Preferentemente rectangulares Consideraciones a futuro - Distribución en planta Planos civiles y arquitectónicos Hidráulicos Sanitario Planta Teléfono Memoria de Cálculo Seguridad Energía Eléctrica

Control de acceso físico

Identificación del personal

- Algo que sea portátil.

- Algo que se sabe.

- Alguna característica física especial.

Guardias y escoltas especiales

Registro de firmas de entrada y salida

Puertas con chapas de control electrónico

Tarjetas de acceso y gafetes de identificación

Biometría

Entrada de dos puertas

Alarmas contra robos

Trituradores de papel

Aire acondicionado

Riesgos

- Mal funcionamiento del AC ocasiona que el equipo de cómputo sea apagado.

- La instalación del AC es una fuente de incendios.

Prevenciones

- Instalar AC de respaldo.

- Extintores y detectores de humo.

- Alarmas de temperatura y humedad.

Aire acondicionado

Capacidad del equipo de AC

- Disipación térmica de las máquinas y del personal

- Pérdidas por puertas y ventanas

- El AC debe ser independiente del aire general

- Conectarse directamente al generador de electricidad

Distribución del aire en la sala

- Distribución por techo

- Distribución por piso falso

- Distribución por dos canales

Instalación eléctrica

Corriente regulada

Sistemas de corriente interrumpida

- Regular la corriente eléctrica

- Proporcionar energía eléctrica continua

- Tipos de sistemas

Básico

Completo

Redundante

Instalación eléctrica

Plantas generadoras de energía

- Clasificación

Gas

Diesel

Gasolina

Sistemas de conexión de tierra

Impacto de la Energía Eléctrica en la TI

DISTURBIOS DE LA

ENERGÍA

ELÉCTRICA

EQUIPO QUE BRINDA LA PROTECCIÓN

SUPRES.

PICOS

ESTAB.

VOLTAJE

ACONDIC

LINEA

EQUIPO

APS

EQUIPO

SPS

EQUIPO

UPS

Picos de Voltaje y

Efectos Transitorios X X X X

Sobretensión o

Sobrevoltaje X X X X X

Micro Cortes de

Energía X X

Armónicos de

Corriente X X X

Ruido Eléctrico en

Modo Común X X

Ruido Eléctrico en

Modo Normal X X

Interferencias EM y de

RF X X X

Descargas Eléctricas

Atmosféricas X X

Cortes de Energía ó

Apagones X X X

Protección, detección y extinción de incendios

Consideraciones sobresalientes

- Paredes de material incombustible

- Techo resistente al fuego

- Canales y aislantes resistentes al fuego

- Sala y áreas de almacenamiento impermeables

- Sistema de drenaje en el piso firme

- Detectores de fuego alejados del AC

- Alarmas de incendios conectado al general

Protección, detección y extinción de incendios

Tipo de Extintor Tipo de Material

H2O CO2 Espuma Polvo seco

Seco E Luego

agua

E Luego agua

Líquidos Si E E E

Eléctrico NU E NO SI

NU = No usar

E = Excelente

GABINETE CERCA DE MATERIAL INFLAMABLE

Mantenimiento

Propio o externo

Equipo informático

- Electricidad, agua, AC, etc.

Refleja las actividades disciplinarias

Falta provoca una fractura en la seguridad

Taller 2: Trabajo Grupal a. Establezca una lista de 10 activos en su empresa. b. Determine para cada activo sus debilidades y amenazas a los que están expuestos. c. Establezca el nivel de impacto de la amenaza sobre el activo.

Seguridad Lógica

Causas de inseguridad

La deficiencia en los equipos respectivos de

soporte

La “inteligencia” social

El espionaje industrial

La deficiente administración de una red

Los virus

Fallos en la seguridad de

programas

Los vándalos informáticos

Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Amenazas

Violación de la privacidad de los empleados

Fraudes informáticos

Destrucción de equipamiento

Captura de PC desde el exterior Violación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

Virus Mails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresos Propiedad de la información

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social

Más Amenazas!!

Programador de aplicaciones. * Programación de aplicaciones

que se comportan de modo contrario a la especificación.

Terminales * Localizadas en un entorno inseguro

Terminales de usuarios * Identificación fraudulenta. * Fuga ilegal de información autorizada.

Programador de Sistemas • Desviación de los

mecanismos de seguridad. • Inhabilitación de los

mecanismos de seguridad. • Instalación de un sistema

inseguro.

Entorno externo • Desastres naturales. • Ataques mal

intencionados. • Acceso no autorizado al

centro de computo.

Operador • Duplicación de informes

confidenciales. • Inicio de un sistema

inseguro. • Robo de un material

confidencial.

Autorización • Especificación

incorrecta de la política de seguridad.

Radiación

Base de datos

Reglas de Acceso

Base de Datos • Acceso no

autorizado. • Copia. • Robo.

Hardware • Falla de los mecanismos

de protección. • Fuga de la información.

Software de sistemas • Falla de los mecanismos

de protección. • Fuga de información.

PROCESADOR Diafonía

Derivación

113

El Mercado negro mantiene el robo de identidad Crimeware/Author Description Listed Price

FTP Checker Tool for automating FTP account validation (username/password) from a predefined list.

$15

IcePack

(by IDT Group) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites.

Advanced administrator interface.

$40 to $400

Limbo V1.7 (December 2006)

Grabber: tool for collecting banking information 1,000 wmz (see note)

MPack

(by DreamCoders Team) V0.99 (August 2007)

Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites.

$700

Nuclear Grabber

(by Corpse) V5 (February 2007)

Improved version of Haxdoor without a backdoor. Universal kit for creating tools to capture targeted banking data. Able to intercept and retransmit authentic transactions on the fly between the bank and its client. Addition of new fields to fill out, management of checkboxes and option lists, virtual keyboards, etc. Data transmitted to the bank is also sent to a collection site.

$3,000 (October 2005)

$100 (July 2007)

Pinch

(originally by Coban2k) V2.99 (March 2007)

Trojan designed to steal information sent by various office tools, such as RDP (Remote Desktop Protocol) clients and messaging tools (The Bat!, Outlook, etc.). Guaranteed non-detection.

$30

Update: $5

Management help tool: $100

Power Grabber

(by privat.inattack.ru) v1.8 (March 2007)

Grabber: tool for collecting banking information. Works with many banking organizations, as well as PayPal, eBay, e-gold, etc.

$700

Add $30 for anti-virus protection.

Web-Attacker

(from inet-lux.com) Application installed on a web server to allow malicious software to be implanted on remote systems by means of exploits. Redirection is done using hidden IFRAME tags, most commonly on compromised legitimate sites. Technical support available.

$25 to $300 (July 2006)

Approx. $17

Note: wmz is the symbol for one of the electronic money units used by WebMoney (1$US = 1wmz).

114

2/18/2014

Código malicioso estilo parasito regresa. La vieja escuela!!!

115

La producción de Malware alcanza proporciones epidémicas

0

100000

200000

300000

400000

500000

600000

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

Count Estimation

TEMAS DE PROGRAMACIÓN DE FRAUDE

Técnica de programación

Definición

Virus

Instrucciones secretas dentro de programas (o datos) que se ejecutan inocentemente durante tareas ordinarias. Las instrucciones secretas talvez obstruyan o alteren los datos, además de diseminarse dentro o entre sistemas computarizados.

Gusanos Un programa que se duplica por sí solo y penetra a un sistema computarizado válido. Tal vez dentro de una red, penetrando en todas las computadoras conectadas.

Caballo de Troya

Un programa ilegal, contenido dentro de otro programa que “está latente” hasta que ocurra algún evento específico, desatando luego la activación del programa ilegal y la producción de daños.

Rebanada de salami Un programa diseñado para extraer pequeñas cantidades de dinero de varias transacciones grandes, de manera que la cantidad extraída no se manifieste con facilidad.

Super zapping Un método consistente en utilizar un programa “zap” de utilería que puede desviar controles para modificar programas o datos.

Puerta trasera Una técnica que permite entrar el código de un programa, posibilitando insertar instrucciones adicionales.

VIDEO DELITOS INFORMÁTICOS EN

PERÚ

118

Tendencias del Delito Informático

Móvil

Social

Rootkits

Parásitos

Estrategias de Defensa

Detección

Limitación

Recuperación

Corrección

Tipos de evaluaciones de seguridad

Exploraciones de vulnerabilidades:

Se enfoca en las debilidades conocidas

Se puede automatizar

No requiere experiencia necesariamente

Pruebas de penetración: Se enfoca en las debilidades conocidas y desconocidas

Requiere probadores altamente capacitados

Lleva una carga legal tremenda en ciertos países/organizaciones

Auditoría en la seguridad de informática: Se enfoca en las políticas y procedimientos de seguridad

Se utiliza para proporcionar evidencia para las normas de la industria

Situación Actual

Internet

RED

RED

PC’s

Usuarios

Cosapi

DMZ BVL

SMS 8340

Websense

Enterprise

Red Admin.

Re

d 0

1

Red 02

LA

N C

OS

AP

I

ISS Proventia 3200Consola

Antivirus

Servidores

BVL

Red Capacittaciones

Re

d 0

3

ISS Proventia 4200

Prevenciòn de intrusos

Firewall

Checkpoint

Situación Sugerida

CRIPTOLOGÍA

Interés en el delito informático

El delito informático parece ser un “buen negocio “: - Objeto pequeño: la información esta almacenada en “contenedores pequeños”: no es necesario un camion para robar el banco, joyas, dinero,… - Contacto físico : no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del delincuente - Alto valor : el objeto codiciado tiene un alto valor. El contenido (los datos) vale mucho más que el soporte que los almacena (disquete, disco compacto,…). Única solución: el uso de Políticas de seguridad

125

Bajo riesgo + Gran recompensa

+ Oportunidad =

Más seguro que el crimen tradicional

Prueba rápida:

¿Cuál es el principio criminal?

Triángulo de Debilidades

Interrupción

( perdida)

Interceptación

( acceso)

Modificación

( cambio)

Generación

( perdida)

Los datos serán la

parte más vulnerable

del sistema

DATOS

HD SW

Ejemplos de ataques

Interrupción (denegar servicio)

Interceptación (robo)

Modificación (falsificación)

Interrupción (borrado)

Interceptación (copia)

SKIMMING

Video: Visa

MODELOS DE CYBER CRIMEN: BOTNETS

Comprender los tiempos de las

vulnerabilidades

Producto

enviado Vulnerabilidad

descubierta Actualización

disponible

Actualización

implementada

por el cliente

Vulnerabilidad

presentada

La mayoría de los

ataques ocurren

aquí

En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a

una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son

finalmente recogidos en un servidor ubicado en Taiwán.

¿Cómo estamos en Latinoamérica?

Certificaciones de Seguridad

Certified Information Systems Security Professionals (CISSP).

Certified Information Security Manager (CISM).

Certified Information Systems Auditor (CISA).

SANS Global Information Assurance Certifications (GIAC).

Federal Information Systems Controls Audit Manual (FISCAM).

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Control Interno y Auditoria

CONTROL INTERNO

INFORMATICO

AUDITOR INFORMÁTICO

Similitudes

Conocimientos especializados en Tecnología de la Información.

Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.

Diferencias

Análisis de los controles en el día a día. Análisis de un momento informático determinado.

Informa a la Dirección del Departamento de Informática.

Informa a la Dirección General de la Organización.

Sólo personal interno. Personal interno y/o externo.

El alcance de sus funciones es únicamente sobre el Departamento de Informática

Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.

Entender los componentes de la auditorías de seguridad de informática

Proceso

Tecnología

Implementación

Documentación

Operaciones

Empezar con la política

Integrar el proceso

Aplicar tecnología

Modelo de

política de

seguridad

Política

Implementar una auditoría de seguridad

de informática Comparar cada área contra estándares y mejores prácticas

Política de seguridad Procedimientos documentados

Operaciones

Lo qué debe hacer Lo qué dice que hace Lo qué realmente hace

Estrategias Básicas de Auditoría y Valoración

Lineamientos Básicos.

Seguridad Basada en el Tiempo (TBS):

P > E D + R = E

P: Protección medida en el tiempo

D: Detección medida en el tiempo

R: Reacción medida en el tiempo

E: Exposición medida en el tiempo

Nueva Ley de Delitos Informáticos

ADMINISTRACIÓN DEL RIESGO Y ANÁLISIS DE COSTO - BENEFICIO

Comparar los enfoques con la administración de riesgos

Muchas organizaciones se han enfocado en la administración

de riesgos de seguridad al adoptar lo siguiente:

La adopción de un proceso que reduce el riesgo de nuevas vulnerabilidades en su organización

Enfoque

proactivo

Un proceso que responde a los eventos de seguridad conforme ocurren

Enfoque

reactivo

Comparar los enfoques con la priorización de riesgos

Enfoque Beneficios Inconvenientes

Cuantitativo

Riesgos priorizados por su impacto financiero; activos priorizados por sus valores financieros

Los resultados facilitan la administración de riesgos por el retorno sobre la inversión en seguridad

Los resultados se pueden expresar con una terminología administrativa

Los valores del impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes

Requieren mucho tiempo

Puede ser demasiado costoso

Cualitativo

Permite tener una visibilidad y comprensión de los niveles de riesgos

Es más sencillo llegar a un consenso

No es necesario cuantificar la frecuencia de las amenazas

No es necesario determinar los valores financieros de los activos

Granularidad insuficiente entre los riesgos importantes

Dificultad para justificar la inversión en el control debido a que no existe una base para un análisis costo-beneficio

Los resultados dependen de la calidad del equipo de administración de riesgos que se haya creado

Administración del Riesgo

Identifica las amenazas y permite seleccionar las medidas de seguridad de costo adecuado.

Análisis de la Administración del Riesgo: Pérdida Esperada = P1 x P2 x L P1 = Probabilidad de ataque P2 = Probabilidad de éxito del ataque L = Pérdida si el ataque tiene éxito

Paso 1. Valoración de Activos Determinar el valor y la importancia de los activos tales como los datos, el

hardware, el software y la redes

Paso 2. Vulnerabilidad de los Activos Registrar las debilidades en el sistema de protección actual con respecto a

todas las amenazas potenciales.

Paso 3. Análisis de Perdidas Evaluar la probabilidad de daño y especificar las pérdidas tangibles e

intangibles que puedan originarse.

Paso 4. Análisis de Protección Proporcionar una descripción de los controles disponibles que deben

considerarse, su probabilidad de defensa exitosa y su costos.

Paso 5. Análisis de costo-beneficio Comparar los costos y los beneficios. Considerar la probabilidad que ocurran

daños y la protección exitosa de esos daños. Por último, decidir cuáles controles instalar.

El proceso de administración del riesgo

EVALUACIÓN DE ACTIVOS

Proceso de administración de riesgos de seguridad de Microsoft

Realizar un soporte basado en decisiones

2 Implementar los controles

3

Medir la efectividad del programa

4 Evaluar los riesgos

1

Mitigación

¿Qué está reduciendo el

riesgo?

Comunicar el riesgo

Declaración de riesgo

Impacto

¿Cuál es el impacto al negocio?

Probabilidad

¿Cuán probable es la amenaza dados los

controles?

Activo

¿Qué intenta proteger?

Amenaza

¿Qué teme que suceda?

Vulnerabilidad

¿Cómo puede ocurrir la

amenaza?

Ejemplo 2: Análisis de Riesgo SUNARP Huancayo

Provee principios y técnicas que facilitan la

investigación y persecución de ofensas catalogadas como criminales.

Implica la aplicación de la ciencia al campo legal. Cualquier principio científico o técnica puede ser aplicada

para: o Identificar,

o Recuperar,

o Reconstruir y

o Analizar evidencia durante un investigación de un crimen.

Aplicando métodos científicos los especialistas forenses pueden analizar la evidencia para:

o Crear hipótesis, efectuar pruebas para verificar dichas hipótesis, generando posibilidades claras sobre lo que ocurrió.

Informática Forense

Víctima Sospechoso

Escena crimen

Evidencia

Física

Principio de Intercambio de Locard. En CASEY.2000.

Pág.4

Informática Forense

Plan de Contingencia (Continuidad del Negocio – PCN)

Definición

Conjunto de procedimientos de recuperación

Acciones contemplan:

- Antes

- Durante

- Después

Reducir las pérdidas

Control preventivo

Objetivos

Mantener al organismo y sus actividades operando en una situación de desastre.

Las pérdidas provocan:

- Pérdidas financieras directas

- Pérdidas de la producción

- Pérdidas financieras indirectas

- Pérdidas de clientes

- Costos extras para apoyo

- Costo de compensación

- Perdidas de control

- Información errónea o incompleta

- Bases pobres para la toma de decisiones

P C N Partes de un PCN:

Evaluación del riesgo.

Determinación de alternativas de

recuperación.

Implementación del plan de recuperación.

Validación del plan de recuperación.

Información

Tecnología

Telecomunicaciones

Procesos

Personas

Instalaciones

Recursos Críticos

Factores Críticos de Éxito - FCE

Identificación de los procesos críticos del negocio

Dependencia de la TI

Gestión de riesgos adecuados

Calificación y cuantificación del impacto tangible e intangible

Aplicabilidad y viabilidad de las estrategias de recuperación

Factores Críticos de Éxito - FCE

Participación multidisciplinaria

Retroalimentación - actualización

Documentación de los procesos, operaciones y funciones

Personal capacitado

Metodologías para la Elaboración del PCN y del PSI

Metodologías para la Elaboración del PCN y del PSI

ESTÁNDAR INTERNACIONAL ISO 17799 / BS7799

ESTÁNDAR INTERNACIONAL ISO 17799:2005

ESTÁNDAR INTERNACIONAL ISO 27001:2005

ESTÁNDAR INTERNACIONAL AS/NZS 4360:1999

ITIL – INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY

COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECNOLOGY

Estructura Piramidal ISO 17799

El ISO 27001:2005 esta basado en el enfoque de procesos, siendo muy compatible con el ISO 9001:2000.

ISO 27001:2005

El modelo obliga a la empresa a establecer el alcance que tendrá en la empresa (que procesos abarcará). Cada empresa estratégicamente debe establecer el alcance que crea conveniente deba tener el modelo.

Actualmente existen unas 1200 empresas certificadas con el modelo a nivel internacional.

ISO/IEC 27001:2005 especifica los requisitos para establecer, implantar, operar, monitorizar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información documentado en relación al contexto de la organización y sus riesgos.

ISO 27001:2005

2 Hacer

3 Revisar

4 Actuar

Seguridad de

Información

Administrada

Requerimientos

y Expectativas

de la Seguridad

de Información

1

Planificar

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

Planificar.

Definir el enfoque de evaluación del riesgo de la

organización.

Establecer metodología de cálculo del riesgo.

Establecer criterios de aceptación del riesgo y

niveles de aceptación del mismo.

Identificar los riesgos asociados al alcance

establecido.

Analizar y evaluar los riesgos encontrados.

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

Planificar.

Identificar y evaluar las opciones de tratamiento de los riesgos.

Aplicar controles.

Aceptarlo de acuerdo a los criterios de aceptación.

Evitarlo.

Transferirlo.

Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.

Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.

Preparar el Enunciado de Aplicabilidad.

1

Planificar

3

Revisar

4

Actuar

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

2

Hacer

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo Hacer.

Plan de tratamiento del riesgo.

Implementar el plan de tratamiento del riesgo.

Implementar controles seleccionados.

Definir la medición de la efectividad de los controles a través de indicadores de gestión.

Implementar programas de capacitación.

Manejar las operaciones y recursos del SGSI.

Implementar procedimientos de detección y respuesta a incidentes de seguridad.

1

Planificar

4

Actuar

2

Hacer

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

3

Revisar

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

Revisar.

Procedimientos de monitoreo y revisión para:

Detectar oportunamente los errores.

Identificar los incidentes y violaciones de

seguridad.

Determinar la eficacia del SGSI.

Detectar eventos de seguridad antes que se

conviertan en incidentes de seguridad.

Determinar efectividad de las acciones

correctivas tomadas para resolver una

violación de seguridad.

Realizar revisiones periódicas.

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

Revisar.

Medición de la efectividad de los controles.

Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.

Realizar auditorías internas al SGSI.

Realizar revisiones gerenciales.

Actualizar los planes de seguridad a partir de resultados del monitoreo.

Registrar las acciones y eventos con impacto sobre el SGSI.

1

Planificar

3

Revisar

2

Hacer

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

4

Actuar

Gestión Seguridad Información

ISO-27001:2005. Modelo Preventivo

Actuar.

Implementar las mejoras identificadas en el SGSI.

Aplicar acciones correctivas y preventivas de seguridad al SGSI.

Comunicar los resultados y acciones a las partes interesadas.

Asegurar que las mejoras logren sus objetivos señalados.

Cadena de actuaciones

ISO17799

Communications

and

Operations

Management

Organizational

Security

Security Policy

Asset

Classification

and

Control

Business

Continuity

Management

Access Control

Physical

and

Environmental

Security

Personnel

Security

Systems

Development

and

Maintenance

Compliance

COBiT

Monitor

and

Support

Acquire

and

Implement

Plan

and

Organize

Define

and

Support

COSO

Monitoring

Internal

Environment

Risk

Assessment

Control

Activities

Information

and

Communications

ITIL

ICT Infrastructure

Management

Service

Delivery /

Support

Business

Perspective

Planning to

Implement

Service

Management

Application

Management

Security

Management

Objective

Setting

Risk

Response

Event

Identification

Estandares de seguridad IT

Recursos de TI Datos, Aplicaciones

Tecnología, Instalaciones,

Recurso Humano

Req. Información

Efectividad, Eficiencia, Confidencialidad, Integridad,

Disponibilidad, Cumplimiento, Confiabilidad

CobiT

Objetivos del Negocio

Planeación y Organización

Adquisición e Implementación

Seguimiento

Prestación de Servicio y Soporte

1. Seguimiento de los procesos

2. Evaluar lo adecuado del control Interno

3. Obtener aseguramiento inndependiente

4. Proveer una auditoría independiente

1. Identificación de soluciones

2. Adquisición y mantenimiento de SW aplicativo

3. Adquisición y mantenimiento de arquitectura TI

4. Desarrollo y mantenimiento de Procedimientos

de TI

5. Instalación y Acreditación de sistemas

6. Administración de Cambios

IT. Governance 1. Definir un plan estratégico de TI

2. Definir la arquitectura de información

3. Determinar la dirección tecnológica

4. Definir la organización y relaciones de TI

5. Manejo de la inversión en TI

6. Comunicación de la directrices Gerenciales

7. Administración del Recurso Humano

8. Asegurar el cumplir requerimientos externos

9. Evaluación de Riesgos

10. Administración de Proyectos

11. Administración de Calidad

1.Definición del nivel de servicio

2.Admistración del servicio de terceros

3.Admon de la capacidad y el desempeño

4.Asegurar el servicio continuo

5.Garantizar la seguridad del sistema

6.Identificación y asignación de costos

7.Capacitación de usuarios

8.Soporte a los clientes de TI

9.Admistración de la configuración

10.Administración de problemas e incidentes

11.Administración de datos

12.Administración de Instalaciones

13.Administración de Operaciones

CONCLUSIÓN

CONCLUSIÓN

1. Impacto creciente de la tecnología

de información en los procesos de

negocio.

2. Grandes cambios en los controles

de procesos de TI.

CONCLUSIÓN

3. La productividad y supervivencia de

una organización depende cada vez en

mayor grado, del funcionamiento

ininterrumpido de los sistemas de

tecnología informática.

4. Transformación de todo el entorno

como un proceso crítico adicional.

CONCLUSIÓN

5. Todas las empresas sufren el

impacto de los nuevos escenarios

de riesgo.

6. Es importante contar con un

marco de referencia metodológico

que agilice el proceso de gestión

de seguridad de TI.

GRACIAS