SEGURIDAD DE LA INFORMACIN

Gustavo A. Valverde

INTRODUCCIN A LA SEGURIDAD DE LA INFORMACIN

Si piensas que la tecnologa puede resolver tus problemas, entonces no entiendes los problemas y no entiendes la tecnologa. Bruce Scheiner

Los novatos hackean sistemas, los profesionales hackean personas. Bruce Scheiner

No temo a la informacin, lo que temo es quedarme sin ella.

Annimo

Dime y lo olvido, enseame y lo recuerdo, involucrame y lo aprendo. Benjamin Franklin

Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?
Clientes Ventas

Personal

Producto

Operaciones

Seguridad de la Informacin
Un estado de bienestar de la informacin e infraestructura en el cual la posibilidad de robo, modificacin o interrupcin de la informacin y los servicios se mantiene baja o tolerable. Este estado depende de cinco (5) elementos mayores: confidencialidad, integridad, disponibilidad, autenticidad y no repudio.

Elementos de la Seguridad
Confidencialidad Integridad Disponibilidad
Asegura que la informacin solo puede ser accedida por aquellos autorizados a tener acceso

La fiabilidad (confianza) en los datos, en trminos de prevenir cambios inapropiados o no autorizados

Asegura que los sistemas responsables de entregar, almacenar y procesar la informacin pueden ser accedidos cuando se les requiere

Autenticidad No repudio

Caracterstica de la comunicacin, documento o cualquier dato que asegure la calidad de ser genuino

Garantiza que el emisor el mensaje no puede negar que lo envi, y que el receptor no puede negar haberlo recibido.

Importancia de la Seguridad
1 Evolucin de la tecnologa, focalizada en la facilidad de uso. Los conocimientos necesarios para el uso de un exploit, son cada vez menores. Crecimiento de los ambientes interconectados y de las aplicaciones de red. Una brecha de seguridad tiene impacto directo en los activos corporativos. Crece la complejidad en la gerencia y en la administracin de los sistemas informticos

El Tringulo de Seguridad, Funcionalidad y Facilidad de Uso

Con mayor seguridad el nmero de exploits es minimizado y el nmero de debilidades es reducido Al reducir la funcionalidad toma ms esfuerzo el realizar la misma tarea.

AMENAZAS Y VECTORES DE ATAQUE

Top de Vectores de ataque a la SI

Virtualizacin y Computacin en las Nubes
(Ciber) Crmen Organizado Programas sin parchos Malwares dirigidos

Redes Sociales

Amenazas Internas

Botnets

Falta de Profesionales en Ciber Seguridad Cumplimiento con Polticas y Leyes de Gobierno

Aplicaciones de Redes

Polticas de Seguridad Inadecuadas Complejidad de la Infraestructura Tecnolgica

Seguridad del Dispositivo Mvil

Hacktivismo

Motivos, Metas y Objetivos de los Ataques Informticos

Ataques = Motivo (Metas) + Mtodo + Vulnerabilidad

Ataques

Metas

Los atacantes tienen motivos o metas como perturbar la continuidad del negocio, robo de informacin, manipulacin de los datos y tomar venganza

Motivos

El motivo se origina de que el sistema objetivo almacena o procesa algo con valor, y esto conduce a la amenaza de un ataque en el sistema.

Los atacantes prueban diferentes herramientas, mtodos de ataques y tcnicas para explotar las vulnerabilidades en un sistema de computacin, Objetivos en una poltica de seguridad o en los controles, para lograr sus motivos.

Amenazas de la Seguridad de Informacin

Naturales
Desastres Naturales Inundaciones Terremotos Huracanes

Seguridad Fsica
Prdida o daos de los recursos del sistema Intrusin Fsica Sabotaje, espionaje o errores

Humanas
Hackers Conocedores (internos) Ingeniera Social Falta de Conocimiento y Conciencia

Amenazas de la Seguridad de Informacin (cont.)

Redes Recoleccin de Informacin Sniffing Spoofing Ataques M-i-M SQL Injection ARP Poisoning Ataques de Password Ataques de Denegacin de Servicios (DoS) Host Ataques de Malware Footprinting de Hosts Ataques de Password Ataques de Denegacin de Servicios (DoS) Ejecucin de Cdigo Arbitrario Acceso no autorizado Escalado de Privilegios Ataques de BackDoors Amenazas de Seguridad Fsica Aplicaciones Validacin de Datos/Input Ataques de Autenticacin y Validacin Gestin de la configuracin Divulgacin de Informacin Buffer Overflows Ataques Criptogrficos Parmetros de Manipulacin Manejo incorrecto de errores y excepciones Problemas de auditora y registros

Vulnerabilidades Comnes
Inadecuado compromiso de la direccin. Personal inadecuadamente capacitado y concientizado. Inadecuada asignacin de responsabilidades. Ausencia de polticas/ procedimientos. Ausencia de controles
(fsicos/lgicos) (disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades. Inadecuado seguimiento y monitoreo de los controles.

Quines Atacan los Sistemas?

Empleados descontentos y Abusos Internos Adolescentes que lo toman de Hobbie Espas Industriales o Polticos

Gobiernos Extranjeros

Criminales

A quienes atacan?
Empresas
Instituciones Nosotros

Indistintamente, A todos quienes generamos interes

NORMAS DE SEGURIDAD DE LA INFORMACIN

Qu es una norma?
Elaborada con participacin de todos los sectores involucrados

Una norma es una especificacin tcnica

Aprobada por consenso

Su objetivo es el beneficio a la comunidad

Est a disposicin de todos los interesados

Es elaborada y publicada por un organismo de normalizacin reconocido

Department of Trade & Industry

Es el administrador del comercio, negocios, empleados, consumidores, ciencia, energa en el Reino Unido y est trabajando para crear las condiciones de xito en los negocios del Reino Unido en el desafo de la globalizacin.

British Standard Institution

Fundada en 1901 como el comit de estndares de la ingeniera. Los estndares britnicos del BSI son el cuerpo nacional de los estndares del reino unido, con una reputacin global reconocida para la independencia, la integridad y la innovacin en la produccin de los estndares que promueven la mejor prctica. Desarrolla y vende estndares y soluciones de la estandarizacin para resolver las necesidades del negocio y de la sociedad.
Certifica sistemas y productos de gerencia
Proporciona servicios de la comprobacin del producto Desarrolla estndares privados, nacionales e internacionales

Proporciona el entrenamiento en estndares

Proporciona soluciones de software

Organizacin Internacional para la Estandarizacin

Organizacin internacional no gubernamental, compuesta por representantes de los organismos de normalizacin (ONs) nacionales, que produce normas internacionales industriales y comerciales (normas ISO ). Su finalidad es la coordinacin de las normas nacionales, en consonancia con el Acta Final de la Organizacin Mundial del Comercio, con el propsito de facilitar el comercio, el intercambio de informacin y contribuir con unos estndares comunes para el desarrollo y transferencia de tecnologas.

Qu es ISO 27000?
Es una familia de estndares internacionales para Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos para la especificacin de sistemas de gestin de la seguridad de la informacin Proceso del anlisis y gestin del riesgo Mtricas y medidas de proteccin Guas de implantacin Vocabulario claramente definido para evitar distintas interpretaciones de conceptos tcnicos y de gestin y mejora continua.

La Familia Norma ISO 27000 (1)

ISO 27000 ISO 27001
ISO 27002 (ISO 17799)
En fase de desarrollo. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.

Es la norma principal de requerimientos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual sern certificados por auditores externos los SGSI de las organizaciones.

Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Ser la sustituta de la ISO17799:2005.

La Familia Norma ISO 27000 (2)

ISO 27003

Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.

ISO 27004
ISO 27005 ISO 27006

Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y efectividad de la implantacin de un SGSI y de los controles relacionados..

Consiste en una gua para la gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSI. Se basar en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

Especifica el proceso de acreditacin de entidades de certificacin y el registro de SGSIs.

NORMA ISO/IEC 27001

Norma ISO/IEC 27001

Esta norma la pueden usar para:

Evaluar la capacidad de una organizacin (requisitos). Aplicacin de un sistema de procesos dentro de la organizacin. Comprender los requisitos de la seguridad de la informacin. Implementar y operar controles en la gestin del riesgo. Administracin del SGSI. Mejora continua basada en la medicin de objetivos.

Qu es un SGSI?
ISMS - Information Security Management System. Un sistema de gestin de la seguridad de la informacin (SGSI) es una forma sistemtica de abordar la gestin de la informacin empresarial para protegerla. Atae a las personas, los procesos y los sistemas informticos. Es un proceso documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente. (ISO 9001). La seguridad de la informacin consiste en preservar: Confidencialidad: acceso nicamente por autorizados. Integridad: exactitud y completitud. Disponibilidad: acceso de los usuarios autorizados cuando lo requieran. Los sistemas implicados en el tratamiento de la informacin. Informacin: escrita, diagramas, electrnica, imgenes o incluso oral.

Para qu sirve un SGSI?

Conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante un sistema definido, documentado y conocido por todos, que se revisa y actualiza constantemente.

PDCA / PHVA

Establecer el SGSI

Establecer el SGSI (Plan)

Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin. Definir el alcance del SGSI a la luz de la organizacin. Definir la Poltica de Seguridad. Aplicar un enfoque sistmico para evaluar el riesgo.
No se establece una metodologa a seguir.

Establecer el SGSI (Plan)

Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar (Mitigar).

A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidad

Implementar y Operar (Do)

Implementar y operar la poltica de seguridad, controles, procesos y procedimientos.

Implementar plan de tratamiento de riesgos.

Transferir, eliminar, aceptar

Implementar los controles seleccionados.

Mitigar

Aceptar riesgo residual.

Firma de la alta direccin para riesgos que superan el nivel definido.

Implementar y Operar (Do)

Implementar medidas para evaluar la eficacia de los controles Gestionar operaciones y recursos. Implementar programas de Capacitacin y concientizacin. Implementar procedimientos y controles de deteccin y respuesta a incidentes.

Monitoreo y Revisin (Check)

Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable, considerando:
Cambios en la organizacin. Cambios en la tecnologas. Cambios en los objetivos del negocio. Cambios en las amenazas. Cambios en las condiciones externas (ej. Regulaciones, leyes).

Realizar auditorias internas. Realizar revisiones por parte de la direccin del SGSI.

Monitoreo y Revisin (Check)

Se debe establecer y ejecutar procedimientos de monitoreo para:
Detectar errores. Identificar ataques a la seguridad fallidos y exitosos. Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad. Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.

Mantenimiento y mejora del SGSI (Act)

Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI.
Medir el desempeo del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

Documentaciones del SGSI

Manual de Seguridad

Procedimientos Documentados exigidos por la norma

Otros Documentos del SGSI

(Instrucciones de trabajo, formularios, especificaciones y otros)

REGISTROS

Requisitos de Certificacin
La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.
Definir el alcance del SGSI (fronteras) Definir una poltica de seguridad Identificar activos Realizar el anlisis de riesgos de activos. Identificar las reas dbiles de los activo Tomar decisiones para manejar el riesgo Seleccionar los controles apropiados Implementar y manejar los controles seleccionados Elaborar la declaracin de aplicabilidad

Objetivos de Auditora (para Certificarse)

Revisar conformidad con la norma (ISO/IEC 27001) Revisar grado de puesta en prctica del sistema Revisar la eficacia y adecuacin en el cumplimiento de:
Poltica de seguridad Objetivos de seguridad

Identificar las fallas y debilidades en la seguridad Proporcionar una oportunidad para mejorar el SGSI Cumplir requisitos contractuales. Cumplir requisitos regulatorios.

Certificacin del SGSI

La certificacin no implica que la organizacin a obtenido determinado niveles de seguridad de la informacin para sus productos y/o servicios. Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la informacin, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios. Procesos anlogos a los de las normas ISO 9001 e ISO 14000. Certificado con duracin de 3 aos.

GUSTAVO A. VALVERDE
ING. TIC CONSULTOR DE TI ANALISTA DE SEGURIDAD GVALVERDE@LINKEA.DO CEL.: 829-686-8270 HTTP://LINKEA.DO