Professional Documents
Culture Documents
Al finalizar el captulo, el alumno podr: Interpretar los conceptos bsicos de seguridad informtica e informacin asociada a la realidad actual de la seguridad. Reconocer la importancia de la seguridad y su incidencia en una empresa. Identificar los principales estndares de seguridad existentes y los conceptos principales para cada uno de ellos. Asociar los tipos de polticas existentes y su aplicacin en la organizacin.
Temas: 1. 2. 3. 4. 5. 6. Situacin actual de la seguridad. Valor de la informacin. Anlisis de riesgo. Compromisos de las organizaciones con la seguridad. Seguridad fsica. Polticas de seguridad informtica.
1.
La situacin actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones y stas han notado su importancia dentro de un plan estratgico integral de accin. Asimismo, las prdidas por falta de una accin integral de seguridad se han incrementado y ms an, las concepciones equivocadas del enfoque del tema originan que estas prdidas sean mayores.
1.1
1.1.1. Tipos de ataques experimentados Esta es la encuesta de CSI (Computer Security Institute) sobre los tipos de ataques que han experimentado las empresas americanas durante el periodo 2010 - 2011. Para el 2010, se aadieron dos tipos de incidentes completamente nuevos a la lista: explotacin de navegadores de clientes Web y explotacin de perfil de usuario de la red social. Al mismo tiempo, que se mantuvo Web site defacement como una opcin en la encuesta desde el ao 2004. Hace dos aos, se incrementaron cuatro nuevas categoras para cubrir diversos aspectos de la violacin de los datos: Robo o prdida de datos de clientes de dispositivos mviles. Robo o prdida de informacin de propiedad (intelectual propiedad) de los dispositivos mviles
CIBERTEC
Robo o prdida de datos de clientes de todas las dems fuentes, Robo o prdida de informacin de propiedad de todas las dems fuentes.
Histricamente, los ataques de virus (ltimamente incluidos bajo la rbrica de malware) han encabezado la lista, seguido con el robo del dispositivo porttil o mvil. Estas dos categoras siguen mantenindose como "Ganadores" de este ao. En efecto, mientras que el malware subi unos cuantos puntos, el robo de un ordenador porttil / mvil cay un impresionante 9 %.
Es difcil atribuir las causas directas de este tipo de comportamientos. Sin embargo, parece innegable que, con la excepcin de los ataques de malware, los encuestados estn viendo menos casos. Es importante tener en cuenta, adems, que esto no se limita a los resultados de CSI. Los Informes de Symantec son discutibles cuando los nmeros se dirigen hacia abajo, pero confirman una importante tendencia a la baja. Asimismo, Symantec seala algunas razones que podran explicar la disminucin, sobre todo de articulacin en la idea de que el software bot es cada vez ms sofisticado y que las bots son menos requeridas. En cuanto a las brechas de datos se refiere, el informe de Verizon apoya firmemente la idea de que tales eventos se han reducido. Para empezar, Verizon tuvo una carga de trabajo menor de los casos de violacin confirmada en el 2010. Por ello: La infeccin de malware sigue siendo el ataque ms visto, con 67,1% de casos reportados en el 2010. Los encuestados informaron menos casos de fraude financiero en el 2010 que en aos anteriores; slo el 8,7% dijo que haba visto este tipo de incidentes durante el perodo cubierto (2010 - 2011). El 45,6 % de los encuestados informaron haber sido objeto de, al menos, un ataque durante el 2010.
CIBERTEC
Los encuestados dijeron que los esfuerzos de cumplimiento de la normativa han tenido un efecto positivo en los programas de seguridad. En general, los encuestados no creen que las actividades de los insiders maliciosos represent gran parte de sus prdidas debido a los delitos cibernticos (59,1%) durante el 2010. Un poco ms de la media del grupo (51,1 %) dijo que sus organizaciones no utilizan la nube. El 10%, sin embargo, ha desplegado herramientas especficas de seguridad en la nube. Un hallazgo interesante de este informe, sin embargo, es que las prdidas de datos aument notablemente (de un 12% de la muestra al 24%), lo que sugiere un mayor esfuerzo criminal para robar los registros de datos, pero no sugiere que la actividad delictiva aument o disminuy. Asimismo, se debe mantener una estrecha vigilancia sobre la Web 2.0, lo cual hace referencia al gran movimiento basado en el desarrollo de aplicaciones para navegadores web, cada vez ms sofisticado en servicio. Web site defacement en realidad se redujo de 14% a un 6,7% en el 2010 . La opcin para todos los otros ataques de los sitios Web de cara al pblico, marc un punto de 6 a 7,4%.Hubo una tendencia de Exploit de navegadores web, marcada hacia abajo, por un el 11% a 10,1% en el 2010. Ninguna de estas cifras son elevadas si se compara con malware, pero el grado en que las vulnerabilidades se encuentran y explotan, se est centrando en la web y se refleja en por lo menos, algunos otros estudios del campo. En general, es difcil encontrar estadsticas como stas que midan directamente la frecuencia de ataques en la Web. Sin embargo, hay un fuerte indicio de la medida en que la Web se utiliza como un vector de ataque en el informe de Verizon. Se debe tener en cuenta que el 70% de las violaciones de Verizon son resultado de fuentes externas: 40% como resultado de la piratera, y adems, el 98% de los registros de datos perdidos fueron de los servidores web.
CIBERTEC
Figura 3. Fuente: 2011 CSI Computer Crime & Security Survey (www.gocsi.com) El informe Verizon tambin dice que del 94% de las violaciones de datos donde existe involucrado de alguna manera un malware, en un 20% el malware se instal a travs de un ataque Web. 1.1.2. Acciones tomadas despus de un incidente Como se puede apreciar en las estadsticas presentadas en la figura 3, la mayora de acciones tomadas por los usuarios, luego de un incidente, se centra en poder parchar sus programas y software instalados, as como, instalar software de seguridad adicional en su infraestructura para aumentar la seguridad de sus plataformas.
CIBERTEC
Durante el 2010, el 62,3% de los encuestados arregl el software vulnerable despus de un incidente. Este fue sin duda por debajo de 68,3% del ao pasado, pero mayor respecto a aos anteriores. En trminos generales, muchas de las categoras en esta pregunta se redujeron ligeramente, pero dentro del margen probable de error. Asimismo, hubo un salto significativo en los informes de instalacin de software de seguridad adicional, el aumento del 37,8% del 2009 al 48,6 % en el 2010.. Por primera vez, nos preguntamos si una investigacin forense interna se llev a cabo despus de un ataque y casi la mitad ( 44,2 % ) inform que si haba realizado una. El intento de identificar al autor contina en cada desde el 2008 con un 60%, 37,2% en el 2009, y un 23,9% en el 2010. Parecera que la mitigacin y la recuperacin son prioridades ms altas, que la de tratar de encontrar al culpable y hacer justicia. 1.1.3. Tecnologas de Seguridad implementadas Las empresas estn empleando diferentes tecnologas de Seguridad para mejorar la seguridad de su red y su informacin. Invariablemente, los sistemas antivirus y firewalls han encabezado la lista de los encuestados que comunican su despliegue en ms del 90% de uso en sus organizaciones.
CIBERTEC
Como muestra la figura 4, existen cuatro casos a revisar. Por un lado, el aparente uso de sistemas de deteccin de intrusos se redujo de 72.6% en la encuesta del 2009 a 62,4% en el 2010 Menos sorprendente es el uso de servidores basados en listas de control de acceso (ACL), el cual se redujo de 54,6% en el 2009 al 44% en el 2010. Log Managements cay del 53% a 46,2%, sin embargo, es sorprendente, puesto que el grado de otros estudios muestran la necesidad del uso de monitoreo de registros (log). Adems, el estudio de Verizon encontr que el 86% de las vctimas cuentan con evidencia de ataques en sus archivos de registro (Log). Por otro lado, ese mismo estudio dej en claro que las organizaciones en su mayora no podan mantener la vigilancia de los registros y simplemente, renuncian al monitoreo de registros, al menos con las herramientas actualmente disponibles para ellos, porque no son capaces de clasificar a travs de la cada vez mayor cantidad de volumen de registro diarios. Asimismo, los encuestados reportaron haber usado herramientas especficas de virtualizacin en menos casos, cayendo a un 25,2% este ao. Adems, el ao pasado un 26,2% de los encuestados dijo que utilizaba la biometra, la cual ha descendido a 20,5%.
CIBERTEC
1.2
Los Hacker
El principal problema que tiene la mayora de las personas es su pensamiento acerca de la seguridad, los atacantes y de s mismos. Lo que se debe saber es lo siguiente: Los hackers se encuentran en todos lados. Los hackers no necesariamente son genios. El administrador de seguridad debe desconfiar de todos, incluso de s mismo. El sistema es tan seguro como la competencia de su administrador. Los equipos solo actan segn sean programados.
Para los hackers no existe sistema que no sea atractivo para atacar pues el sistema puede: - Tener informacin valiosa. - Ser utilizado para atacar a otros. - Ser utilizado para almacenar informacin robada.
1.3
Mitos de Seguridad
Existen mitos de seguridad que predominaron durante mucho tiempo que estn siendo dejados de lado. A continuacin, se detallan algunos de ellos. El sistema puede llegar al 100% de seguridad. La seguridad perfecta no existe, puesto que siempre existe un nivel de riesgo residual. Mi red no es lo suficientemente atractiva para ser tomada en cuenta. Como se describi anteriormente, ningn sistema es dejado de lado. Nadie pensar que mi clave de acceso es sencilla. El sentido comn predominante, tambin es utilizado por los atacantes. Linux es ms seguro que Windows. Los sistemas operativos son tan seguros como sus administradores. Si mi servidor de correos tiene antivirus, mi estacin no lo necesita. Los puntos de ataque ahora no slo se dan a travs del correo electrnico sino desde cualquier punto de acceso: Web, Intranet, archivos compartidos, etc.
CIBERTEC
2.
Valor de la Informacin
El principal bien de las empresas es la informacin y por lo tanto, es el principal bien a proteger en la medida que su prdida afecte a la empresa u organizacin. La justificacin de la asignacin de valores a diferentes tipos de datos permite a una empresa medir la cantidad de fondos y los recursos que debe destinarse a la proteccin de cada tipo de datos, ya que no todos stos tienen el mismo valor. Despus de identificar toda la informacin importante, debe ser debidamente clasificada, de acuerdo a su sensibilidad a la prdida, revelacin o falta de disponibilidad, con la finalidad de indicar el nivel de confidencialidad, integridad y disponibilidad, as como, la proteccin que se requiere para cada tipo de conjunto de datos. Una vez que los datos se segmentan de acuerdo a su nivel de sensibilidad, la empresa puede decidir qu controles de seguridad son necesarios para proteger los diferentes tipos de los datos. Esto asegura que los activos de informacin reciban el nivel adecuado de proteccin y las clasificaciones para indicar la prioridad de proteccin de la seguridad. La proteccin y mantenimiento de datos cuesta dinero, pero es importante gastar el dinero por la informacin que realmente necesita proteccin. Cada clasificacin debera tener distintos procedimientos de manejo. Por ejemplo, en una sociedad annima, la informacin confidencial se puede acceder slo por la alta direccin y seleccionar a unos pocos en toda la empresa. Adems, el acceso a la informacin puede requerir dos o ms personas para entrar en sus cdigos de acceso. La auditora puede ser muy detallada y controlar sus resultados todos los das, y copias en papel de la informacin puede guardarse en una caja fuerte. Otra informacin de esta empresa puede ser clasificada como sensible, lo que permite a un grupo de personas para poder verla. Control de acceso a la informacin clasificada como confidencial puede requerir slo un conjunto de credenciales.
CIBERTEC
10
La Auditora sucede, pero slo se revisa semanal, las copias en papel se mantienen en los gabinetes de archivo bloqueado y los datos se pueden borrar con medidas regulares cuando sea el momento para hacerlo. Luego, el resto de la informacin est marcada como pblica. Todos los empleados pueden acceder a l, y hay mtodos especiales de auditora o la destruccin respectiva. La importancia de Clasificar: No toda la informacin tiene el mismo valor o uso No toda la informacin esta sujeta a los mismos riesgos No todo el mundo debe acceder a toda o a la misma informacin. Identificar los costos elevados a la proteccin a travs de un anlisis costo / beneficio.
Beneficios de Clasificar: Permite identificar la informacin importante de la que no lo es. Compromete a la organizacin hacia la seguridad. Ayuda a identificar que control pertenece a que informacin. Es requerimiento de las regulaciones o legislaciones.
2.1.
Mientras que las organizaciones gubernamentales, clasifican la informacin de esta forma. No Clasificada. No tiene referencia clasificada y su uso o divulgacin no afecta a la organizacin. Sensitiva pero no clasificada. Informacin considerada como secreto menor. Por ejemplo: encuestas. Confidencial. Informacin cuya divulgacin podra causar algn dao a la seguridad nacional. Secreta. Informacin cuya divulgacin o modificacin podra causar daos severos a la seguridad nacional. Top Secret. Informacin cuya divulgacin o modificacin podra causar daos excepcionales a la seguridad nacional.
CIBERTEC
11
Un conjunto de clasificacin de uso comn, empleados en el sector comercial se describe a continuacin. Slo para uso oficial. Financieramente sensible. Propietaria. Protege la ventaja competitiva. Privilegiada. Asegura la conformidad con los estndares de negocios y las leyes. Privada. Contiene registros sobre las personas.
2.3
4.
CIBERTEC
12
5.
Indicar los controles de seguridad o mecanismos de proteccin, necesarios para cada nivel de clasificacin. Documentar cualquier excepcin a los puntos de clasificacin anterior. Crear un procedimiento de revisin peridica de la clasificacin y la propiedad. Comunicar cualquier cambio en la custodia de datos. Indicar los procedimientos de desclasificacin de los datos. Integrar estos puntos en el programa de concientizacin de la seguridad para que todos los empleados puedan entender cmo manejar la clasificacin de datos de los diferentes niveles.
6. 7.
8. 9.
Es importante que una vez que la organizacin tiene una comprensin de los diferentes niveles de proteccin que debe ser proporcionada, se pueden desarrollar los niveles de clasificacin que utilizarn. Seguidamente se describen algunas ideas sobre los niveles de clasificacin. Demasiados niveles de clasificacin seran poco prctico y confuso. Pocos niveles de clasificacin pueden dar la percepcin del poco valor que se coloca sobre el proceso y sobre lo que se utilizar. No debe haber ningn solapamiento en las definiciones de criterios entre niveles de clasificacin. Los niveles de clasificacin debe ser desarrollado para los datos y software.
CIBERTEC
13
3.
Anlisis de Riesgo
El anlisis de riesgos es una herramienta que permite identificar, clasificar y valorar los eventos que pueden amenazar la consecucin de los objetivos de la Organizacin y establecer las medidas oportunas para reducir el impacto esperable hasta un nivel tolerable. [ISO27005.08] Para alcanzar el objetivo del anlisis del riesgo se debe: Identificar y clasificar los activos crticos de la organizacin. Determinar a qu amenazas estn expuestos. Determinar que salvaguardas existen y cun eficaces son frente al riesgo. Estimar el impacto. Estimar el riesgo.
3.1
Activos de Informacin
Es aquel bien o servicio tangible o intangible, que genera, procesa o almacena informacin, al cual una organizacin le atribuye un valor y por tanto, requiere una adecuada proteccin y cuidado. Documentos en papel: contratos, guas. Software: aplicativos y software de sistemas. Dispositivos fsicos: computadoras, medios removibles (usb, dvd, etc.) Personas: clientes, personal, etc. Imagen y reputacin de la empresa: marca, logotipo, razn social. Servicios: comunicaciones, internet, energa.
CIBERTEC
14
3.2
Vulnerabilidades y Amenazas
Las amenazas necesitan ser identificadas, clasificadas por categoras y ser medidas segn la posible magnitud de su impacto. Para ello, es necesario recordar lo siguiente. Amenazas: son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Son acciones especficas que aprovechan una vulnerabilidad para crear un problema de seguridad Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Riesgo: es definido como la Probabilidad de que una Amenaza pueda explotar una Vulnerabilidad en particular. De manera cuantitativa, el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado.
Recuerde:
Sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades.
Para identificar las vulnerabilidades y amenazas de los activos, es primordial conocerlos y clasificarlos. Tipos de amenazas. Virus Hacker Usuarios Fuego Empleados Consultores externos Ataques Intrusin
CIBERTEC
15
3.3
3.4.
Resultados del Anlisis de Riesgos Asignacin de valores monetarios a los activos. Lista de todas las posibles y potenciales amenazas. Probabilidades de cantidad de ocurrencias por cada amenaza. Potencial que la organizacin puede aguantar en un lapso de 12 meses, frente a una amenaza. Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
CIBERTEC
16
Manipulacin de Riesgos Existen cuatro acciones bsicas frente a los riesgos: Transferencia Rechazo Reduccin Aceptacin
El nivel de riesgo es funcin de las vulnerabilidades, Amenazas y valor de la Informacin, lo cual puede graficarse como sigue.
3.4.1.
Mtodo de Anlisis de Riesgo Cuantitativo El anlisis de riesgo cuantitativo intenta asignar nmeros reales y significativos para todos los elementos del proceso de anlisis de riesgos. Estos elementos pueden incluir los costos de salvaguardia, el valor del activo, impacto en el negocio, frecuencia de la amenaza, salvaguardar la eficacia, la explotacin de las probabilidades, entre otros. Este tipo de anlisis proporciona porcentajes concretos de probabilidad para determinar la probabilidad de las amenazas.
CIBERTEC
17
Cada elemento dentro del anlisis (valor de los activos, la frecuencia de la amenaza, la gravedad de la vulnerabilidad, daos por impacto, los costos de proteger, salvaguardar la eficacia, la incertidumbre y la probabilidad artculos) se cuantifica y entra en las ecuaciones para determinar los riesgos totales y residuales. El anlisis de riesgos puramente cuantitativo no es posible porque el mtodo intenta cuantificar los elementos cualitativos, y siempre hay incertidumbre en los valores cuantitativos. Ambos enfoques: cuantitativos y cualitativos tienen sus pros y sus contras, y cada uno se aplica apropiadamente a algunas situaciones ms que a otras. Comparacin Cuantitativo vs Cualitativo
3.4.2.
Mtodos Automatizados de Anlisis de Riesgos Recoger todos los datos que necesitan ser utilizados en las ecuaciones de anlisis de riesgos y la correcta interpretacin de los resultados, puede ser abrumador si se hace manualmente. Los datos recogidos pueden ser reutilizados, reduciendo considerablemente el tiempo necesario para realizar los anlisis posteriores. El objetivo de estas herramientas es reducir el esfuerzo manual de estas tareas, realizar clculos rpidamente, estimar las futuras prdidas esperadas y determinar la eficacia y los beneficios de las medidas de seguridad elegida. Este tipo de anlisis, producto de informacin copilada en una base de datos y ejecutada en varios tipos de escenarios con diferentes parmetros, podra dar una visin panormica del resultado esperado ante diferentes amenazas que se puedan presentar. Adems, tambin puede imprimir informes y grficos integrales para presentar a la administracin de la empresa. Pasos de un Anlisis de Riesgos Muchos mtodos y ecuaciones se pueden utilizar cuando se realiza un anlisis cuantitativo de riesgos, y otras muchas variables diferentes se pueden insertar en el proceso.
CIBERTEC
18
Paso 1: Asignar valor a los activos para cada activo. Se debe responder a las siguientes preguntas para determinar su valor. Cul es el valor de este activo para la empresa? Cul es el costo de mantenerlo? Cunto es el beneficio para la empresa? Cunto valdra la pena con la competencia? Cunto es el costo de volver a crear o recuperar? Cunto es el costo de adquirir o desarrollarlo? Cunta responsabilidad le hace frente, si el activo est en peligro?
Paso 2: Estimar la prdida potencial por la amenaza. Se debe responder a las preguntas siguientes. Qu dao fsico puede causar la amenaza y cunto costara? Qu parte de la prdida de la productividad podra causar la amenaza y cunto cuesta? Cul es la prdida de valor si la informacin confidencial se revela? Cul es el costo de la recuperacin de esta amenaza? Cul es la prdida de valor si los dispositivos crticos fallan? Cul es la expectativa de prdida simple (SLE) para cada activo y cada amenaza?
Las preguntas especficas depender del tipo de amenazas en el equipo descubre. Paso 3: Realizar un anlisis de amenazas. Se deben seguir los siguientes pasos para llevar a cabo un anlisis de las amenazas. Recopilar informacin sobre la probabilidad de cada amenaza que tuvo lugar con la gente en cada uno de los departamentos. Examinar los registros del pasado que proporcionan este tipo de datos. Calcular la tasa anual de ocurrencia (ARO) que, en muchas ocasiones, la amenaza puede llevarse a cabo en un perodo de 12 meses.
Paso 4: Obtener el promedio global de prdida anual por amenaza. Para obtener el total de la potencial prdida por la amenaza, se debe hacer lo siguiente. Combinar las posibles prdidas y probabilidades. Calcular la expectativa de prdida anual (ALE) por amenaza, mediante el uso de la informacin calculada en los tres primeros pasos. Elegir las medidas correctivas para contrarrestar cada amenaza. Realizar anlisis costo/beneficio de las medidas correctivas identificadas.
Paso 5: Reducir, transferir, evitar o aceptar el riesgo. Para cada riesgo, se puede elegir la conveniencia de reducir, transferir o aceptar el riesgo. Reducir el riesgo. Los mtodos de reduccin de riesgos, permiten: Instalar controles de seguridad y componentes. Mejorar los procedimientos. Alterar el medio ambiente. Proporcionar los mtodos de deteccin temprana para captar la amenaza tal y como est sucediendo, as como, reducir los posibles daos. Elaborar un plan de contingencia de cmo las empresas pueden continuar si una determinada amenaza se lleva a cabo, para reducir los daos y perjuicios de la amenaza.
CIBERTEC
19
Implementar barreras a la amenaza. Llevar a cabo entrenamiento de seguridad y concientizacin. Transferir del riesgo. Por ejemplo, comprar un seguro para transferir parte del riesgo. Aceptacin del riesgo. Vivir con el riesgo y no gastar ms dinero en la proteccin. Evitar el riesgo. Interrumpir la actividad que est causando el riesgo.
Calculo del Anlisis Cuantitativo Para el clculo cuantitativo del Riesgo, se analizar los conceptos de EF, SLE y ALE. Factor de Exposicin (EF), define el nivel de riesgo de la organizacin. Este es una funcin de las amenazas y vulnerabilidades.
Leyenda:
V = Vulnerabilidades A = Amenazas
Single Loss Expectancy (SLE) es la prdida monetaria esperada cada vez que un riesgo se produce. El factor de exposicin (EF) representa el porcentaje de la prdida que una amenaza podra tener sobre un determinado activo. As, por ejemplo, si un almacn de datos tiene el valor de los activos de $ 150,000, podra estimarse que en caso de incendio se produce, el 25% de la bodega se vera perjudicada (y no ms, a causa de un sistema de rociadores contra incendios y otros controles, proximidad de una estacin de bomberos, etc.), en cuyo caso el SLE es de $ 37.500.
Leyenda: VI = Valor Informacin EF = Factor Exposicin Annualized Loss Expectancy(ALE), el Valor de Prdida anual esperada en que se encuentre la organizacin se obtiene de la siguiente frmula.
Leyenda: ALE = Prdida Anual Esperada VI = Valor de la informacin EF = Factor de Exposicin ARO = Razn de ocurrencia Anual
CIBERTEC
20
La tasa anual de ocurrencia (ARO) es el valor estimado de frecuencia de una amenaza especfica en un plazo de un ao. El rango puede ser de 0,0 (nunca) a 1,0 (una vez al ao) a ms de una (varias veces al ao) y cualquier otro lugar. Por ejemplo, si la probabilidad de una inundacin que tiene lugar en la Mesa, Arizona es una vez en 1.000 aos, el valor de ARO es de 0,001 Por lo tanto, si un incendio tienen lugar dentro de las instalaciones de una empresa de almacenamiento de datos puede causar 37.500 dlares en daos y perjuicios, y la frecuencia (o ARO) de fuego, tiene un ARO valor de 0,1 (lo que indica una vez cada diez aos), entonces el valor de ALE es de $ 3,750 ($ 37,500 x 0.1 = $ 3.750).
CASO DE ESTUDIO Un fabricante de widget (Programas a medida) ha instalado servidores en su nueva red, cambiando su red de un peer-to-peer a una red cliente / servidor. La red consta de 200 usuarios que hacen un promedio de 20 dlares por hora, trabajando en 100 estaciones de trabajo. Anteriormente, ninguno de los puestos de trabajo involucrados en la red, tena software anti-virus instalado en las mquinas, debido a que no haba conexin a Internet, y las estaciones de trabajo no tienen unidades de disco o conexin a Internet, por lo que el riesgo de virus se considera mnimo. Uno de los nuevos servidores proporciona una conexin de banda ancha a Internet, que los empleados pueden ahora utilizar para enviar y recibir correo electrnico, as como, navegar por Internet. Uno de los directores de la empresa ha ledo en una revista de negocios, que varias empresas han manifestado que existe un 80% de probabilidad de que la red se infecte con virus despus de instalar las lneas T1 y otros mtodos de conexin a Internet y que puede tomar ms de tres horas para restaurar los datos que se han daado o destruidos. Los vendedores de software anti-virus han cotizado licencias para todos los servidores y las 100 estaciones de trabajo a un costo de 4.700 dlares por ao. Adems, la compaa ha pedido determinar la prdida anual que se puede esperar de los virus y si es beneficioso en trminos de costo, para la empresa comprar copias con licencia de software anti-virus. A continuacin, responder las siguientes interrogantes. 1. 2. 3. 4. Cul es la tasa anual de ocurrencia (ARO) de este riesgo? Calcular la expectativa de prdida individual (SLE) para este riesgo. Usando la frmula ALE = ARO x SLE, calcular la prdida anual esperada. Determinar si es beneficioso en trminos de valor monetario, comprar el software anti-virus mediante el clculo de cunto dinero se ahorra o se pierde al adquirir el software.
CIBERTEC
21
Los procedimientos: definen el comportamiento de cada uno de los miembros de la organizacin. Comportamiento en el trabajo, estructura de la organizacin, relaciones entre reas, manejo de la informacin, etc. Lo cual puede ser monitoreado en caso que se produzca un evento que afecte al sistema. La Organizacin debe ejecutar los procedimientos de Monitoreo y Revisin para: Detectar inmediatamente errores en los resultados del procedimiento. Identificar inmediatamente intentos de violacin y violaciones de seguridad. Permitir a la direccin, evaluar si los controles de seguridad implementados se estn realizando segn lo esperado. Usar indicadores para prevenir incidentes de seguridad futuros.
El entrenamiento, charlas y seminarios: son importantes en la medida en que el administrador de red tenga sus conocimientos actualizados para poder estar a la par con los atacantes. La investigacin debe ser una norma de conducta constante. El personal entrenado puede responder de manera ms efectiva a eventos hostiles o de cualquier otra ndole. El lder de la empresa debe considerar si su funcin es tan valiosa para ser protegida, solo entonces debe asegurarse que su personal se encuentre en capacidad de protegerlo. Los privilegios: en exceso son, por lo general, solicitados por la alta gerencia para poder tener acceso a recursos a los cuales el resto de usuarios no lo tiene, pero que no tienen nada que ver con la organizacin. Por ejemplo el acceso a servicios de mensajera que la organizacin bloquea.
CIBERTEC
22
5.
Seguridad Fsica
La Seguridad Fsica de las Computadoras y sus Recursos, en la dcada de los 60 y 70 no contaban con grandes mecanismos, ya que las computadoras eran chasis gigantes ubicados en salas de servidores con un grupo de gente que saban como operarlas. Por ello, brindar seguridad a todos estos dispositivos hoy en da, se ha vuelto abrumador para las organizaciones. Los robos internos, los fraudes y los accidentes ocasionan grandes gastos a las organizaciones. Muchas de ellas se respaldan en guardias de seguridad, circuitos cerrados de TVs y cmaras, disponiendo que los usuarios conozcan sobre los riesgos de los recursos de su organizacin. La seguridad fsica es complementada con construcciones, protectores contra incendios e inundaciones, mecanismos anti robo, sistemas de deteccin de intrusos y procedimientos de seguridad que son obligados a cumplir.
CIBERTEC
23
Controles de Seguridad Fsica Controles Administrativos - Construccin - Gerencia de Facilidad de Acceso Controles Personales - Entrenamiento - Procedimientos y respuestas de emergencia Controles Tcnicos - Controles de acceso - Deteccin de intrusos - Alarmas - Monitoreo - Calefaccin, ventilacin y aire acondicionado - Backups - Detectores de fuego Controles Fsicos - Cercado - Cerraduras - Iluminacin - Materiales de construccin
5.2.
5.3.
CIBERTEC
24
- Hardware Muchas organizaciones implementan sitios alternos para ayudar en los procesos de recuperacin despus de un desastre. La distancia entre dos sitios, puede incrementar los costos de transporte del personal, equipamiento y data. Frente a ello, se puede contar con un servicio de redundancia de hardware. (SLAs - Service level agreements). Los vendedores de hardware necesitan asegurar que estos services level proporcionen el nivel necesario de proteccin.
Fuentes de Poder Las fallas elctricas han sido mucho ms devastadoras. Por ello, se han creado sistemas de respaldo elctrico, pero no es solo eso, es necesario contar con un plan ante estos eventos. -
Problemas Elctricos
Problemas de voltaje Ruido Elctrico Puntos e impulsos de voltaje Regulacin del voltaje Apagones
-
Hardware: Existen 3 mtodos de proteccin ante problemas elctricos: UPS Supply Power Uninterrupted Grupos Electrgenos Backup Fuentes de energa
CIBERTEC
25
Definiciones de fuentes elctricas Tierra: ruta que permite que el excesivo voltaje sea disipado. Ruido: generado por interferencias o electromagnetismo. Transitoria del ruido: duracin de la fuente de lnea interrumpida. Energa clara: energa que no est fluctuando.
Acciones Preventivas y Buenas Prcticas 1. Cada dispositivo debe tener un protector de oleada para proteger contra fluctuaciones del voltaje. 2. No tener dispositivos o medias, cerca a las lneas magnticas, conductores de energa o circuitos que crean campos magnticos. 3. Los monitores de lnea de poder deben ser empleados para detectar frecuencias y cambios en las amplitudes de voltajes. 4. UPS o generadores deben ser habilitados como backup de la fuente de poder. 5. Conectar adecuadamente y con los voltajes adecuados, todos los sistemas en una misma lnea.
5.4.
Personal de Trabajo
Muchas compaas cuentan con sistemas de redundancia, de hardware, de sistemas de cableados, ms no cuentan con redundancia para el personal. Para ello se ha venido implementando la rotacin de trabajo, la cual permite que los trabajadores obtengan los conocimientos de la mayora de los sistemas de una organizacin y as, puedan cubrir sus funciones cuando se retiren por vacaciones, descansos o ceses. A continuacin, se indica una lista de controles de personal que afectan a la seguridad fsica de un entorno. Investigacin Pre-Empleo - Chequear las referencias, otros trabajos y la educacin. - Evaluar los caracteres de la persona, a travs de un escenario de diferentes preguntas. - Realizar una investigacin a fondo, si es necesario. - Verificacin de los datos educativos. - Hacer evaluaciones antidrogas.
CIBERTEC
26
Mantenimiento de Empleados - Revisin peridica. - Recomendaciones y actualizacin de supervisores. - Rotacin de trabajo. - Separacin de responsabilidades. - Conocimiento distribuido o control dual (Son requeridas dos o mas personas para realziar una tarea). Post Empleo - Finalizacin de amistades. - Intervenir las salidas. - Bloquear las cuentas. - Cambio de contraseas.
5.5.
CIBERTEC
27
CIBERTEC
28
6.
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con los recursos y servicios informticos. No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Cada PSI es consciente y vigilante del personal, por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa. Las polticas pueden ser de 3 tipos: Reguladoras: son escritas para asegurarse que la organizacin est siguiendo los estndares definidos; son reguladas por la ley. Consultivos: son creadas imponiendo tipos de comportamientos y actividades de los empleados en la organizacin. Informativos: son creadas para informar a los empleados ciertos asuntos de la organizacin. Contiene la interaccin de la organizacin con sus partners, la visin y misin, as como, la estructura de divulgacin general.
6.1.
CIBERTEC
29
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica. Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso.
Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, entre otros.
6.2.
CIBERTEC
30
La definicin de la propia poltica. Una declaracin de la administracin que apoye los principios establecidos y una explicacin de las exigencias de conformidad con relacin a: legislacin y clusulas contractuales; educacin y formacin en seguridad de la informacin; prevencin contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)
Debe contener tambin la atribucin de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestin de los procesos y de la seguridad. No olvidar de que toda documentacin ya existente sobre cmo realizar las tareas debe ser analizada con relacin a los principios de seguridad de la informacin, para aprovechar al mximo las prcticas actuales, evaluar y agregar seguridad a esas tareas. Hacer oficial la poltica
La oficializacin de una poltica tiene como base la aprobacin por parte de la administracin de la organizacin. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes.
2. Etapas de produccin de la poltica: elaborar una poltica es un proceso que exige tiempo e informacin. Es necesario saber cmo se estructura la organizacin y cmo son dirigidos en la actualidad sus procesos. Las polticas son requisitos generalizados que deben ser escritos en papel y comunicados a ciertos grupos de personas dentro y, en algunos casos, fuera de la organizacin. A partir de este reconocimiento, se evala el nivel de seguridad existente para poder despus, detectar los puntos a analizar para que est en conformidad con los estndares de seguridad. El trabajo de produccin se compone por distintas etapas. A continuacin se describen. Objetivos y mbito En este punto debe constar la presentacin del tema de la norma con relacin a sus propsitos y contenidos, buscando identificar resumidamente cules estndares trata de establecer la poltica, adems de la amplitud que tendr en relacin a entornos, individuos, reas y departamentos de la organizacin involucrados. Entrevista Las entrevistas tratan de identificar junto a los usuarios y administradores de la organizacin, las preocupaciones que ellos tienen con los activos, los procesos de negocio, reas o tareas que ejecutan o en la cual participan. Asimismo, tratan de identificar las necesidades de seguridad existentes en la organizacin.
CIBERTEC
31
Investigacin y anlisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organizacin y los que tienen alguna relacin con el proceso de seguridad en lo referente a la reduccin de riesgos, disminucin de trabajo repetido y falta de orientacin. Entre la documentacin existente, se pueden considerar: libros de rutinas, metodologas, polticas de calidad y otras. Reunin de poltica En las reuniones, realizadas con los equipos involucrados en la elaboracin, se levantan y discuten los temas, adems se redactan los prrafos para la composicin de las normas con base en el levantamiento del objetivo y del mbito de la poltica especfica. Glosario de la poltica Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la poltica. As, todos los lectores deben tener el mismo punto de referencia conceptual de trminos. Por lo tanto, se recomienda que la poltica cuente con un glosario donde se especifiquen los trminos y conceptos presentes en toda la poltica de seguridad. Responsabilidades y penalidades Es fundamental identificar a los responsables, por la gestin de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicacin de sanciones resultantes de casos de inconformidad con la poltica elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relacin a las penalidades que sern aplicadas en casos de infraccin de la poltica de seguridad.
CIBERTEC
32
En este modelo, se visualiza que una poltica de seguridad est formada por tres grandes secciones: Directrices Normas Procedimientos e Instrucciones de Trabajo.
Su estructura de sustentacin est formada por tres grandes aspectos: Herramientas, - Cultura organizacional - Monitoreo.
6.4.
Acompaamiento de la Poltica
Una poltica de seguridad para que sea efectiva, necesita contar con elementos indispensables que apoyen este proceso: La cultura organizacional, las herramientas y el monitoreo. Esto involucra la participacin directa y comprometida de las personas, el diseo de planes de capacitacin constante a los usuarios. La disponibilidad de recursos financieros, tcnicos y tecnolgicos es fundamental y sobre todo actividades de control y retroalimentacin que diagnostiquen e identifiquen puntos dbiles para fortalecerlos siguiendo las mejores prcticas. Las organizaciones pueden definir unos mbitos bsicos o esenciales para implementar polticas de seguridad, tales como los que se describen a continuacin. Seguridad fsica: acceso fsico, estructura del edificio, centro de datos. Seguridad de la red corporativa: configuracin de los sistemas operativos, acceso lgico y remoto, autenticacin, Internet, disciplina operativa, gestin de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composicin de claves, seguridad en estaciones de trabajo, formacin y creacin de conciencia. Seguridad de datos: criptografa, clasificacin, privilegios, copias de seguridad y recuperacin, antivirus, plan de contingencia.
CIBERTEC
33
Auditoria de seguridad: anlisis de riesgo, revisiones peridicas, visitas tcnicas, monitoreo y auditoria. Aspectos legales: prcticas personales, contratos y acuerdos comerciales, leyes y reglamentacin gubernamental.
6.5.
CIBERTEC