Seguridad de La Informacion ONGEI

Seguridad de la Informacin

SeguridadInformacinDe la

Ing. Max Lazaro Oficina Nacional de Gobierno

Electrnico e Informtica


Nuevos Escenarios


La informacin debe considerarse como un

recurso con el que cuentan las Organizaciones

y por lo tanto tiene valor para stas, al igual

que el resto de los activos, debe estar

debidamente protegida.

Qu se debe asegurar ?


Contra qu se debe proteger la

Informacin ?


Password cracking

Man in the middle

Exploits

Denegacin de servicio

Escalamiento de privilegios

Hacking de Centrales Telefnicas

Keylogging Port scanningInstalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualizacin

Backups inexistentes

ltimos parches no instalados

Amenazas

Violacin de la privacidad de los empleados

Fraudes informticos

Destruccin de equipamiento


Captura de PC desde el exteriorViolacin de contraseas

Interrupcin de los servicios

Intercepcin y modificacin y violacin de e-mails

VirusMails annimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravo de notebooks, palms

empleados deshonestos

Robo de informacin

Destruccin de soportes documentales

Acceso clandestino a redes

Intercepcin de comunicaciones voz y wireless

Acceso indebido a documentos impresosPropiedad de la informacin

Agujeros de seguridad de redes conectadasFalsificacin de informacin

para terceros

Indisponibilidad de informacin clave

Spamming

Ingeniera social

Ms Amenazas!!

Seguridad de la InformacinBOTNETS Facilitando Ataques DDoS

CE

Instalacin del cliente:

Servidor/FW/Switch/Ruteador

Zombies

Extorsionador

Conexin de la

ltima Milla

Ruteador del Borde del ISP

BOTNETs para Rentar!

Un BOTNET est compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central

Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http

Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades ms recientes de los sistemas

Un BOTNET relativamente pequeo con nicamente 1000 zombies puede causar una gran cantidad de daos.

Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer ms de 100MBit/s

El tamao de los ataques est aumentando constantemente!


Por qu aumentan las amenazas ?

Crecimiento exponencial de las Redes y Usuarios Interconectados Dependencia.

Profusin de las BD On-Line

Inmadurez de las Nuevas Tecnologas

Alta disponibilidad de Herramientas Automatizadas de Ataques

Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS)

Tcnicas de Ingeniera Social

Algunas

Causas


Vulnerabilidades

Inadecuado compromiso de la direccin.

Personal inadecuadamente capacitado y concientizado.

Inadecuada asignacin de responsabilidades.

Ausencia de polticas/ procedimientos.

Ausencia de controles

(fsicos/lgicos)

(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.


Qu se debe garantizar ?

Seguridad de la InformacinDimensiones crticas de la informacin

C

I D

Informacin

(dimensiones)

Prevenir

Divulgacinno autorizadade

Activos de Informacin

Prevenir

Cambios no autorizadosen


Prevenir

Destruccinno autorizadade


Secreto impuesto de acuerdo con polticas de seguridad

SINO: Fugas y filtraciones de informacin; accesos no autorizados; prdida de confianza de los dems (incumplimiento de leyes y compromisos)

Validez y Precisin de informacin y sistemas.SINO: Informacin manipulada, incompleta,

corrupta y por lo tanto mal desempeo de funciones

Acceso en tiempo correcto y confiable a datos y recursos.

SINO: Interrupcin de Servicios o Baja Productividad

Informacin

E

D

T

6

+ 5

=

7x24x365

Autenticidad de quien hace uso de datos o

servicios

Trazabilidad del uso de servicios (quin, cundo)

o datos (quien y que hace)

E-commerce

No repudio

(Compromisos)

Confiabilidad


Acciones de la ONGEI


Actualmente la ONGEI apoya a las entidades pblicas en los siguientes principales servicios:

Anlisis de vulnerabilidades de los servidores Web de las Entidades Publicas.

Boletines de Seguridad de la informacin

Boletines de Alertas de Antivirus.

Presentaciones tcnicas sobre seguridad.

Consultoras y apoyo en recomendaciones tcnicas.


Poltica de Seguridad de la

Informacin para el Sector Pblico


Las polticas de seguridad son las reglas y

procedimientos que regulan la forma en que una

organizacin previene, protege y maneja los riesgos de

diferentes daos.

Que se entiende por Politica de Seguridad ?

Si se quiere que las polticas de seguridad sean aceptadas, deben

integrarse a las estrategias del negocio, a su misin y visin,con el propsito de que los que toman las decisiones reconozcan

su importancia e incidencias en las proyecciones y utilidades de la

organizacin.

Como tiene xito una Politica ?


Con fecha 23 de julio del 2004 la PCM a travs

de la ONGEI, dispone el uso obligatorio de la

ISO/IEC

17799:2004 EDI. Tecnologa de la Informacin:

Cdigo de Buenas Prcticas para la Gestin de

Sistema Nacional de Informtica.

Se Actualiz el 25 de Agosto del 2007 con la

ISO/IEC

17799:2007 EDI.


Cuales son los temas o dominios a

considerar dentro de un plan de

Seguridad?


Los 11 dominios de control de ISO 17799 (27002)

1. Poltica de seguridad:

Se necesita una poltica que refleje las expectativas dela organizacin en materia de seguridad, a fin desuministrar administracin con direccin y soporte. Lapoltica tambin se puede utilizar como base para elestudio y evaluacin en curso.

2. Aspectos organizativos para la seguridad:

Sugiere disear una estructura de administracindentro la organizacin, que establezca laresponsabilidad de los grupos en ciertas reas de laseguridad y un proceso para el manejo de respuesta aincidentes.


3. Clasificacin y Control de Activos:

Inventario de los recursos de informacin de laorganizacin y con base en este conocimiento, debeasegurar que se brinde un nivel adecuado deproteccin.

4. Seguridad de Recursos Humanos:

Necesidad de educar e informar a los empleadosactuales y potenciales sobre lo que se espera de ellosen materia de seguridad y asuntos deconfidencialidad. Implementa un plan para reportarlos incidentes.

5. Seguridad fsica y del Entorno:

Responde a la necesidad de proteger las reas, elequipo y los controles generales.


6. Gestin de Comunicaciones y Operaciones: Los objetivos de esta seccin son:

Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin.

Minimizar el riesgo de falla de los sistemas.

Proteger la integridad del software y la informacin.

Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin.

Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte.

Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin.

Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.


7. Control de accesos:

Establece la importancia de monitorear ycontrolar el acceso a la red y los recursos deaplicacin como proteccin contra los abusosinternos e intrusos externos.

8. Adquisicin, Desarrollo y Mantenimiento de los sistemas:

Recuerda que en toda labor de la tecnologa de lainformacin, se debe implementar y mantener laseguridad mediante el uso de controles deseguridad en todas las etapas del proceso.


9. Gestin de Incidentes de la Seguridad de la informacin

Asegurar que los eventos y debilidades en laseguridad de la informacin sean comunicados demanera que permitan una accin correctiva a tiempo.

10. Gestin de Continuidad del Negocio

Aconseja estar preparado para contrarrestar lasinterrupciones en las actividades de la organizacin ypara proteger los procesos importantes de laorganizacin en caso de una falla grave o desastre.

11. Cumplimiento:

Evitar brechas de cualquier ley civil o criminal,estatutos, obligaciones regulatorias o contractuales yde cualquier requerimiento de seguridad.


Los 11 Dominios de la NTP ISO 17799 - 2007

Control de accesos

Gestin de

Activos

Poltica de

seguridad Organizacin de la Seguridad

Seguridad

del personal

Seguridad fsica

y medioambientalGestin de

comunicaciones

y operaciones

Desarrollo y

mantenimiento

Gestin de

la continuidad

Cumplimiento

Informacin

Confidencialidad

disponibilidad

integridadGestin de

incidentes


SGSI

Modelo P-H-V-A

Metodologa de la ISO/IEC

27001


El sistema de gestin de la seguridad de la informacin(SGSI) es la parte del sistema de gestin de la empresa,basado en un enfoque de riesgos del negocio, para:

establecer,

implementar,

operar,

monitorear,

mantener y mejorar la seguridad de la informacin.

Incluye.

Estructura, polticas, actividades, responsabilidades, prcticas,procedimientos, procesos y recursos.

SGSI

Seguridad de la Informacin(Planificar /Hacer /Verificar /Actuar)

El SGSI adopta el siguiente modelo:

PHVA

Planificar

Verificar

Hacer

Actuar

Definir la poltica de

seguridad

Establecer el alcance del SGSI

Realizar los anlisis de riesgos

Seleccionar los controles

Implantar el plan de gestin de

riesgos

Implantar el SGSI

Implantar los controles.

Implantar indicadores.

Revisiones del SGSI por parte de

la Direccin.

Realizar auditoras internas del SGSI

Adoptar acciones correctivas

Adoptar acciones preventivas

Seguridad de la InformacinEstablecer el SGSI (Plan)

Establecer la poltica de seguridad, objetivos, metas, procesos yprocedimientos relevantes para manejar riesgos y mejorar laseguridad de la informacin para generar resultados de acuerdo conuna poltica y objetivos marco de la organizacin.

Definir el alcance del SGSI a la luz de la organizacin.

Definir la Poltica de Seguridad.

Aplicar un enfoque sistmico para evaluar el riesgo.

Seguridad de la InformacinEstablecer el SGSI (Plan)

Identificar y evaluar opciones para tratar el riesgo

Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de control y controles a

implementar.

A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidad

Seguridad de la InformacinImplementar y operar (Do)

Implementar y operar la poltica de seguridad, controles, procesos y

procedimientos.

Implementar plan de tratamiento de riesgos.

Transferir, eliminar, aceptar

Implementar los controles seleccionados.

Mitigar

Aceptar riesgo residual.

Firma de la alta direccin para riesgos que superan el nivel

definido.

Seguridad de la InformacinImplementar y operar (Do)

Implementar medidas para evaluar la eficacia de los controles

Gestionar operaciones y recursos.

Implementar programas de Capacitacin y concientizacin.

Implementar procedimientos y controles de deteccin y respuesta a

incidentes.

Seguridad de la InformacinMonitoreo y Revisin (Check)

Evaluar y medir la performance de los procesos contra la poltica deseguridad, los objetivos y experiencia practica y reportar losresultados a la direccin para su revisin.

Revisar el nivel de riesgo residual aceptable, considerando:

Cambios en la organizacin.

Cambios en la tecnologas.

Cambios en los objetivos del negocio.

Cambios en las amenazas.

Cambios en las condiciones externas (ej. Regulaciones, leyes).

Realizar auditorias internas.

Realizar revisiones por parte de la direccin del SGSI.

Seguridad de la InformacinMonitoreo y Revisin (Check)

Se debe establecer y ejecutar procedimientos de monitoreo para:

Detectar errores.

Identificar ataques a la seguridad fallidos y exitosos.

Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.

Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.

Seguridad de la InformacinMantenimiento y mejora del SGSI (Act)

Tomar acciones correctivas y preventivas, basadas en los

resultados de la revisin de la direccin, para lograr la mejora

continua del SGSI.

Medir el desempeo del SGSI.

Identificar mejoras en el SGSI a fin de implementarlas.

Tomar las acciones apropiadas a implementar en el ciclo en

cuestin (preventivas y correctivas).

Comunicar los resultados y las acciones a emprender, y

consultar con todas las partes involucradas.

Revisar el SGSI donde sea necesario implementando las

acciones seleccionadas.


PECERT


Con fecha 22 de Agosto del 2009, en el diario

oficial el Peruano la Resolucin Ministerial

360-2009-PCM, que crea el Grupo de Trabajo

denominado Coordinadora de Respuestas a

Emergencias en Redes Teleinformticas de la

Administracin Pblica del Per PECERT

La cual permitir generar un marco de trabajo

de cooperacin entre los ministerios del sector

pblico para mejorar los niveles de seguridad de

la informacin en las entidades pblicas.


La norma permitir que:

ONGEI ser un CSIRT de coordinacin

Cada Ministerio creara un CSIRT

operativo.


Portal de Coordinacin de Emergencias en Redes Teleinformticas

http://www.pecert.gob.pe

Seguridad de La Informacion ONGEI

Documents

Transcript of Seguridad de La Informacion ONGEI