AO DE LA INTEGRACIN NACIONAL Y EL RECONOCIMIENTO DE NUESTRA DIVERSIDAD

CTP COMPUTACIN E INFORMTICA

UNIDAD DIDCTICA: SEGURIDAD INFORMTICA

DOCENTE: ING. SIST. LIZTH CAMPOS CRISPIN

Algunas Definiciones
La Seguridad tiene que ver con la proteccin de objetos de valor.
La Seguridad en Sistemas se enfoca en proteger objetos de valor dentro de un sistema informtico (informacin y servicios). Al igual que la seguridad en el mundo real, la seguridad en sistemas provee distintos tipos y grados de la misma.

Seguridad en Crisis?
Todos los das se ven fallas de seguridad...
Dnde?

Medios amarillistas (TV, Web) Listas de correo, libros!

Por qu? .. Si existe mucha experiencia en el campo. En general se debe a pobres diseos y falta de dinero invertido en seguridad por parte de las compaas. Sin embargo esto est cambiando.......

Seguridad: Lnea de Tiempo

Los ataques comenzaron en la dcada del '50. Los primeros atacantes eran personas cercanas a los sistemas ( y hoy?.......). 1960 HW de proteccin de memoria: VM. 1962 Mecanismos de control de acceso a los archivos. 1967 Funciones One-Way (passwords). 1968 Seguridad en kernels (Multics). 1969-89 ARPANET (Admin. Centralizada), Intemet TCP/IP en 1977.

Seguridad: Lnea de Tiempo (2)

1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa en mails, 1976 Criptografia de clave pblica y firma digital. 1978 RSA (clave pblica). 1978 Estudio de contraseas (inteligente). 1978 Primer protocolo de e-cash. 1983 DNS distribuido (vulnerable al spoofing). 1984 Los Virus empiezan a investigarse. 1985 Esquemas de contraseas avanzados. 1988 Intemet Worm (6000 computadoras (10% Intemet)). 1988 Autentificacin distribuida (Kerberos). 1989 Pretty Good Privacy (PGP) y Privacy Enhanced Mail (PEM).

Seguridad: Lnea de Tiempo (3)

1990 Remailers annimos. 1993 Spooling, sniffing, firewalls. 1994 SSL v 1.0 (Netscape). 1996 Java (Web hacking), 1997 DNSSec. 1998 Programas de barrido de redes. 1998 Ipsec. 1999 Primer ataque DDoS. 2000 I LoveYou (VBscript) (.5 a 8 millones de infecciones). B02k. 2001 Red Code, Nimbda (infeccin de servidores MS IIS). 2002 Mas I-Worms (en general explotan fallas en Intemet Explorer).

Introduccin a la Seguridad
Seguridad en una Organizacin
Antao: Fsica Administrativa Hoy: Computadoras - necesidad de herramientas que protejan la informacin. Ej.: time-sharing, redes, dial-up. Esta coleccin de herramientas diseadas para este fin y para dificultar la vida del hacker conforman la Seguridad en Sistemas

Introduccin a la Seguridad
El otro gran cambio: sistemas distribuidos y redes para transportar datos (tty-user y maq.- maq.).

Seguridad en Redes
No hay un lmite claro entre estas dos formas de seguridad: Seguridad en Sistemas y Seguridad en Redes pues todos los sistemas actuales son distribuidos por naturaleza.

Objetivos de la Seguridad de Datos

(Relativos a entidades no autorizadas) Privacidad: no accesible Permanente: no borrable, no editable. Confiable: que los cambios puedan detectarse. Pero los datos deben ser accesibles a personas autorizadas! (Probablemente sobre una red, posiblemente sobre la Intemet).

Aspectos de Seguridad
Ataque (Seguridad): cualquier accin que comprometa la seguridad de la informacin perteneciente a una organizacin.
Mecanismo de Seguridad: mecanismo diseado para prevenir, detectar o recuperarse de un ataque. Servicio de Seguridad: servicio que mejora la seguridad en un sistema de procesamiento de datos y la trasferencia de estos datos. Hace uso de uno o ms mecanismos de seguridad.

Instrucciones
1. Lograr acceso (no autorizado) a cierta informacin. 2. Hacerse pasar por alguien ms para evitar responsabilidad. 3. Afirmar haber recibido informacin de otro usuario que el hacker cre. ( P.e., atribucin fraudulenta de responsabilidad). 4. Afirmar haber enviado a un receptor (en un dada fecha) informacin que nunca fue enviada (o que fue enviada en otro momento). 5. No aceptar haber recibido informacin que en realidad si fue recibida, o decir que lleg en otro momento. 6. Aumentar la capacidad del cheater (mayor acceso, origen, etc.). 7. Modificar (sin tener la autoridad) las "capacidades" de otros para aumentar, restringir, agregar, borrar, etc. su nivel, 8. Ocultar cierta informacin dentro de otra informacin (abierta).

Instrucciones
9. Entrometerse (oculto) en la comunicacin de otros usuarios. 10. Saber quin y cuando accedi alguien a cierta informacin. 11. Acusar a un protocolo de integridad revelando informacin que se supone el cheater no debera conocer. 12. Cambiar el comportamiento de algn SW, usualmente agregando funciones ocultas. 13. Sabotear un protocolo causando fallas (aparentes) en el sistema, 14. Evitar que los usuarios puedan comunicarse. Tal vez provocando 15. fallas atribuibles a problemas en la red, otros usuarios, etc.

Poblacin de Riesgos
Defensa Aerea. Aviones de pasajeros (WTC). Sistemas de Armas (Arg!). Bancos. Energia elctrica. Control de trnsito (peajes). E-mails. Historias Clinicas (medicina). TV/Radio. Ascensores. Trenes. Registros policacos. Impuestos. Notas (Warning). BurgerKing. Otros.

Algunos de estos crmenes son TERRORISTAS

Ataques: Categoras
1. Interrupcin
Ataque a la Disponibilidad. 2. Intercepcin

Ataque a la Confidencialidad.
3. Modificacin Ataque a la Integridad.

4. Fabricacin
Ataque a la Autenticidad.

Flujo Normal de la Informacin

Fuente

Destino

Durante un Flujo Normal de la informacin, la transferencia (de un archivo, regin de memoria, cte.) se hace desde el fuente hacia el destino (otro archivo, memoria, etc.).

Interrupcin

Fuente

Destino

Algo de "valor" en el sistema es destruido o se vuelve no disponible. (Ataque a la Disponibilidad). Ejemplos: destruccin de HW, cortado de una lnea de comunicacin, deshabilitacin de un FS (umount).

Intercepcin

Fuente

Destino

Alguien no autorizado gana acceso sobre algo de valor (Ataque a la Confidencialidad). El "no-autorizado" puede ser una persona, una mquina o un programa. Ejemplos: captura de informacin en una red, o una copia no autorizada de archivos.

Modificacin

Fuente

Destino

Alguien (o algo) no solo gana acceso sino que tambin modifica contenido.(Ataque a la Integridad). Ejemplos: cambiar valores en un archivo, alterando un programa para que se comporte diferente, o modificando un mensaje transmitido en una red.

Fabricacin

Fuente

Destino

Alguien (o algo) inserta objetos falsos en el sistema. (Ataque a la Autenticidad). Ejemplos: insercin de msgs espreos en una red o insercin de registros falsos en un archivo.

Ataques Pasivos
Eavesdrop ("escuchar" sin que el que habla se entere) o monitoreo de transmisiones. Objetivo: obtener informacin transmitida. Dos tipos: Liberacin de Contenidos: conversacin telefnica, email o informacin confidencial. Anlisis de Trfico: el atacante puede mediante anlisis de la comunicacin (patrones, long., etc.) tratar de adivinar la naturaleza de la comunicacin. Ej: si se usa encriptacin dbil. Dificiles de detectar pues no se altera informacin. nfasis en prevencin ms que en deteccin.

Ataques Activos
Involucra la modificacin de datos a la introduccin de informacin falsa. Cuatro tipos: Masquerade: cuando una entidad se hace pasar por otra. Generalmente involucra uno de los siguientes tipos de ataques activos. Repeticin (Replay): involucra la captura pasiva de informacin y la subsecuente retransmisin para lograr un efecto no autorizado. Modificacin de mensajes: cuando el atacante gana acceso a algo de valor y lo modifica, retrasa o reordena. Denegacin de Servicio (DoS): previene o inhibe el uso normal de cierto servicio de comunicacin. Ej: supresin de mensajes hacia Pepe.

nfasis en deteccin y recuperacin.

Servicios (Grfico Objetivos)

Confidencialidad

Integridad

Disponibilidad

Seguridad: Servicios (ISO)

Confidencialidad: proteccin (de ataques pasivos) sobre la info transmitida. Privacidad. Ej: mensajes entre dos personas.

Autentificacin: asegurar que la comunicacin sea autntica. Ej: email recibido por un usuario o comunicacin terminal-server.

Integridad: asegurar que los mensajes recibidos sean iguales a los enviados (modificacin de mensajes y DoS (a vece)). Adems de detectar estos ataques activos puede participar en la recuperacin.

Seguridad: Servicios (ISO)

No Repudio: evita que el emisor o el receptor niegue la ocurrencia de un mensaje ("yo no fui").

Control de Aceso: es la capacidad de limitar y controlar el acceso a un sistema. Previene uso inapropiado de recursos.

Disponibilidad: una variedad de ataques pueden ser causantes de prdida parcial o total de la disponibilidad. Algunos pueden prevenirse con autentificacin/encriptacin o seguridad fisica.

Mtodos de Defensa
Controles de Software. Ej: acceso limitado a bases de datos, proteger a un usuario de otro (Sistema Operativo). Controles de Hardware. Ej: smartcards. Encriptacin. Polticas. Ej: cambio frecuente de contraseas. Educacin. Auditoras. Deteccin de intrusos. Controles fsicos. Amenazas/Defensa
Amenazas/Defensa: Bucle Infinito

Auditoria de Sistemas de Informacin

Tecnologas de la Informacin

RIESGOS

Auditoria de Sistemas de Informacin

Presin para incroporar tecnologa en estrategias empresariales Aumento de la complejidad de los entornos de TI Infraestructuras TI fragmentadas Brecha de comunicacin entre directivos y gerentes TI Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos Costes de TI fuera de control Productividad y ROI marginales sobre inversiones en TI

Frustracin por parte de los usuarios, dando lugar a soluciones ad-hoc

Inflexibilidad organizacional

ITGI (2004)

Auditoria de Sistemas de Informacin

Dependencia creciente de la informacin y los sistemas que la gestionan Vulnerabilidades crecientes y amplio espectro de amenazas Escalado y coste de las inversiones actuales y futuras de la informacin y los sistemas de informacin Necesidad de cumplir con leyes y regulaciones

Potencial de las TI para cambiar espectacularmente las organizaciones y las prcticas empresariales, crear nuevas oportunidades y reducir costes
Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar

ITGI (2004)

Auditoria de Sistemas de Informacin

El IT Governance Institute fue fundado en 1998 para desarrollar normativas de direccin y control de la tecnologa de la informacin en las empresas. Un Gobierno TI(Tecnologas de la Informacin) eficaz permite asegurar que las TI soportarn los objetivos de negocio, optimizando la inversin empresarial en TI y gestionando adecuadamente los riesgos y oportunidades relacionados con las TI. El TI Governance Institute desarroll el sistema de Objetivos de control de informacin y tecnologas relacionadas (CobiT) y ofrece casos de investigacin y estudio originales para ayudar a lderes empresariales y directivos en sus responsabilidades de gobierno de las TI.

ITGI (2004)

Auditoria de Sistemas de Informacin

Gestin de los SI

Control y evaluacin de esta gestin

Auditoria de Sistemas de Informacin

Para asegurar que las
TI proporcionan valor
Coste, tiempo, funcionalidad esperados

TI no proporcionan sorpresas
Riesgos mitigados

TI contribuyen al negocio
Nuevas oportunidades e innovaciones en productos, procesos y servicios

la direccin necesita tener las TI bajo control

Auditoria de Sistemas de Informacin

Perspectiva de la gestin de SI/TIC

IMPACTO

en el desarrollo del negocio o actividad empresarial

REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales

Auditoria de Sistemas de Informacin

La Auditora de Sistemas de Informacin nace hace ms de 35 aos justamente como un

mecanismo para valorar y evaluar

LA CONFIANZA
que se puede depositar en los sistemas de informacin

Auditoria de Sistemas de Informacin

Contabilidad desde el inicio de las transacciones comerciales

Civilizaciones egipcia, griega, romana, etc. (AUDITOR-ORIS)

Edad Media y Renacimiento en Italia: Vaticano, Repblica de Venecia, etc.

Contralor de Borgoa, Veedor de Castilla, Account de Inglaterra, etc.

SXVIII: revolucin industrial, creacin de grandes empresas SXX: Impulso a las normas de auditora en EEUU como consecuencia del desarrollo econmico y crisis de 1929 Aos 1960: nace la Auditora Informtica

Historia

Auditoria de Sistemas de Informacin

AUDITORA
Proceso sistemtico de obtencin y evaluacin objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza econmica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados
American Accounting Association

Auditoria de Sistemas de Informacin

la AUDITORIA de SI es el

PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS

para

DETERMINAR
si un SISTEMA INFORMATIZADO mantiene la lleva a cabo

SALVAGUARDA INTEGRIDAD de los DATOS,

los ACTIVOS,

los FINES de la ORGANIZACIN y UTILIZA EFICIENTEMENTE los RECURSOS

Auditoria de Sistemas de Informacin

La responsabilidad en ltimo extremo, en una empresa sobre la optimizacin de la calidad de los SI, y la rentabilidad de los recursos informticos la tiene: 1. La Direccin de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologas de la Informacin 4. El vendedor del software y el hardware

Auditoria de Sistemas de Informacin

Un Auditor de Sistemas de Informacin debe, entre sus responsabilidades, realizar:
1. La redaccin de los procedimientos de rea de seguridad lgica 2. La aprobacin de nuevos sistemas de 3. Evaluar los riesgos de los sistemas de 4. Las pruebas del plan de continuidad control en el gestin informacin del negocio