Professional Documents
Culture Documents
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Contenidos y Actividades
Caractersticas de la informacin. Seguridad informtica como proceso, vulnerabilidades y amenazas. Anlisis de riesgos. Ataques, Hackers y crackers. Ciclo de vida de la seguridad informtica Polticas de seguridad. Planes de concientizacin y normas internacionales. Normas ISO 17799 y BS 7799-2 Legislacin actual internacional y nacional Delitos informticos
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
3
Recordemos que:
Activo: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Amenaza: evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Impacto: consecuencia de la materializacin de una amenaza. Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda la Organizacin. Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una amenaza sobre un Activo. Ataque: evento, exitoso no, que atenta sobre el buen funcionamiento del sistema. La Vulnerabilidad est ligada a una Amenaza y el Riesgo a un Impacto
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
4
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Intrusin
Es el ms comn de los ataques. Consiste en que de alguna forma, el atacante entra en el computador y adquiere privilegios por sobre el software instalado. Si los privilegios obtenidos son de administrador, estamos en grave peligro, nuestros datos pueden ser cambiados o borrados. Bsicamente, la tcnica consiste en conseguirse la password de un usuario del computador. La password puede ser conseguida a travs de prueba y error o utilizando paquetes de software sobre los archivos que contienen las password de la red.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
7
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Robo de informacin
Se trata de obtener datos, estando o no conectados al computador. En algunos casos, basta con suplantar a alguien que si tiene acceso a los datos (ataque activo) o colocar una oreja que escuche el trfico y de cuenta de alguna password que se transmiti (ataque pasivo).
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Hombre en el camino
El atacante intercepta las comunicaciones entre dos partes, haciendo a cada una de ellas creer que se comunica con la otra. Ejemplo: En una comunicacin clienteservidor, el usuario cree que se comunica con un servidor cuando en realidad se comunica con el atacante y viceversa.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
10
De reproduccin
Un atacante captura las comunicaciones entre dos partes y reproduce los mensajes. Principalmente, se busca interceptar para luego analizar la comunicacin. La idea es que ni el transmisor ni el receptor supo que alguien lo escucho.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
11
Tcnicas de ataque
Son muchas y cada da aparecen nuevas. Dentro de las ms conocidas estn: Engao de IP (Spoofing) Husmear la red (Sniffing) Negacin de servicios
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
13
Spoofing
Una mquina suplanta la identidad de otra. Se usa para persuadir a un sistema de que acepte datos como si vinieran de la fuente original o bien para recibir datos que debera ir a la mquina suplantada. Esta debilidad se debe a que los ruteadores, slo miran la direccin de destino del paquete. Cuando el paquete llega a destino, el receptor revisa la IP de origen. Si el atacante cambio su IP por una direccin legtima, ya esta lista la primera parte del engao. La segunda parte, consiste en incluir ordenes en la parte TCP del paquete. Estas ordenes pueden ser desde bromas, a obtencin de informacin.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
14
Sniffing
Una mquina intermedia entre receptor y transmisor, escucha los paquete. En redes de medio compartido como Ethernet, las tarjetas de red tienen un segmento de hardware encargado de acceder a todos los datos que viajan por el medio. Qu pasa si por la red viajan las password sin encriptacin ?
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
15
Se cierra el ciclo
Identificar amenazas
3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar.
B e PL ?
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
21
Aspectos administrativos
Polticas administrativas
Se establecen aquellos procedimientos de carcter administrativo en la organizacin como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisin sistemtica, etc. Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Se procede a la etapa de concienciacin.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
22
Control de accesos
Polticas de control de acceso
Poltica de menor privilegio
Acceso estricto a objetos determinados, con mnimos privilegios para los usuarios.
Poltica de compartir
Acceso de mximo privilegio en el que cada usuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
23
Control de flujo
Polticas de control de flujo
La informacin a la que se accede, se enva y recibe por:
Canales claros o canales ocultos? Seguros o no?
Segn cada organizacin y su entorno de trabajo y servicios ofrecidos, habr diferencias. En algunos sistemas primarn unos ms que otros, en funcin de lo secreta que sea la informacin que procesan.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
24
Modelos de seguridad
Modelo de Bell LaPadula (BLP) Rgido. Confidencialidad y con autoridad. Modelo de Clark-Wilson (CW) Orientacin comercial: integridad. Modelo de Take-Grant (TG) Derechos especiales: tomar y otorgar. Otros: modelo de Goguen-Meseguer (no interferencia entre usuarios); modelo de Matriz de Accesos (estados y transiciones entre estados: tipo Graham-Dennig; tipo Harrison-Ruzzo-Ullman), Biba, Chinese Wall, etc.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
25
http://en.wikipedia.org/wiki/Bell-LaPadula_model
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
26
http://www.criptored.upm.es/guiateoria/gt_m248c.htm
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
27
http://www.criptored.upm.es/guiateoria/gt_m248b.htm
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
28
Cadena de responsabilidades
Responsable de Archivo: es la entidad, institucin o persona jurdica que posee datos de carcter personal y que por tanto debe velar por la seguridad de ellos. Responsable de Tratamiento: es posible que la entidad anterior sea quien manipule los datos (gestin, copias de seguridad, etc.) o bien esta tarea la ejecute otra empresa. De ah que se diferencie entre estos dos responsables. Responsable de Seguridad: persona o personas en las que el responsable de archivo ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
31
Presenta normas, criterios y recomendaciones bsicas para establecer polticas de seguridad. stas van desde los conceptos de seguridad fsica hasta los de seguridad lgica. Parte de la norma elaborada por la BSI, British Standards Institution, adoptada por International Standards Organization ISO y la International Electronic Commission IEC. Documento de 70 pginas que NO es de libre distribucin.
Desde finales de 2005 estas normas se estn revisando y cambiando de numeracin a partir del nmero 27001.
http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
32
Qu es ISO 17799?
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
34
Historia
En 1995 el British Standard Institute publica la norma BS 7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. En 1998, tambin el BSI publica la norma BS 7799-2, especificaciones para los sistemas de gestin de la seguridad de la informacin; se revisa en 2002. Tras una revisin de ambas partes de BS 7799 (1999), la primera es adoptada como norma ISO en 2000 y denominada ISO/IEC 17799:
En 2002 la norma ISO se adopta como UNE sin apenas modificacin (UNE 17799), y en 2004 se establece la norma UNE 71502, basada en BS7799-2 (no existe equivalente ISO).
Conjunto completo de controles que conforman las buenas prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad concreta: recomendaciones neutrales con respecto a la tecnologa.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
37
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
38
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
39
Qu es gestionar?
Gestionar es llevar a cabo las diligencias necesarias para lograr un determinado fin.
La gestin de la seguridad consiste en la realizacin de las tareas necesarias para garantizar los niveles de seguridad exigibles en una organizacin.
Algunas consideraciones...
Los problemas de seguridad no son nicamente de ndole tecnolgica. Los riesgos no se eliminan... se gestionan. La seguridad no es un producto, es un proceso.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
40
Por qu gestionar?
Garantizar la confidencialidad, integridad y disponibilidad de sus activos es crtico para cualquier organizacin. Las nuevas tecnologas introducen nuevas amenazas. La dependencia creciente de los recursos de TI aumenta los impactos. No siempre se pueden eliminar los riesgos. ... Es necesario gestionar la seguridad de la informacin.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
41
Cmo gestionar?
PROBLEMA: Cmo establecer qu entendemos por 'Seguridad'? Diferentes criterios de evaluacin de la seguridad: internos a una organizacin, sectoriales, nacionales, internacionales... Multitud de estndares aplicables a diferentes niveles:
TCSEC (Trusted Computer Security, militar, US, 1985). ITSEC (Information Technology Security, europeo, 1991). Common Criteria (internacional, 1986-1988). *7799 (britnico + internacional, 2000).
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
42
De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementacin de controles) y 127 controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo).
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
43
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
44
1. POLTICA DE SEGURIDAD
Dirigir y dar soporte a la gestin de la seguridad de la informacin.
La alta direccin debe definir una poltica que refleje las lneas directrices de la organizacin en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la informacin. La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
45
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
46
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
48
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
50
7. CONTROL DE ACCESOS
Controlar los accesos a la informacin. Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
51
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
52
10. CONFORMIDAD
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoria de sistemas. Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos, integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
54
Auditora
Somos seguros? Muy seguros? Poco seguros? Relativamente seguros?...
Trabajo de auditora ISO 17799: valoracin del nivel de adecuacin, implantacin y gestin de cada control de la norma en la organizacin:
Seguridad Seguridad Seguridad Seguridad lgica. fsica. organizativa. legal.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
55
Auditora (2)
Somos seguros? Muy seguros? Poco seguros? Relativamente seguros?...
Referencia de la seguridad de la informacin estndar y aceptada internacionalmente. Una vez conocemos el estado actual de la seguridad de la informacin en la organizacin, podemos planificar correctamente su mejora o su mantenimiento. Una auditora ISO 17799 proporciona informacin precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
56
Consultora
Conociendo el nivel de cumplimiento actual, es posible determinar el nivel mnimo aceptable y el nivel objetivo en la organizacin: Nivel mnimo aceptable. Estado con las mnimas garantas de seguridad necesarias para trabajar con la informacin corporativa. Nivel objetivo. Estado de seguridad de referencia para la organizacin, con un alto grado de cumplimiento ISO 17799.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
57
Consultora (2)
A partir del nivel mnimo aceptable y el nivel objetivo, podemos definir un plan de trabajo para alcanzar ambos a partir del estado actual. Nivel mnimo aceptable. Implantacin de los controles tcnicos ms urgentes, a muy corto plazo. Nivel objetivo. Se desarrolla en el tiempo dentro del Plan Director de Seguridad corporativo, y es el paso previo a la certificacin UNE 71502.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
58
Consultora (3)
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
59
Implantacin
ISO 17799 no es una norma tecnolgica.
Ha sido redactada de forma flexible e independiente de cualquier solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto a la tecnologa y a las soluciones disponibles en el mercado.
Estas caractersticas posibilitan su implantacin en todo tipo de organizaciones, sin importar su tamao o sector de negocio, pero al mismo tiempo son un argumento para los detractores de la norma. Cmo traducir especificaciones de alto nivel a soluciones concretas, para poder implantar ISO 17799?
Trabajo de consultora, interna o externa.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
60
Implantacin: Un ejemplo
Dominio de control: Gestin de comunicaciones y operaciones Control: Controles contra software malicioso. Se deberan implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concienciar a los usuarios. Consultora Normativa de uso de software: definicin y publicitacin en la Intranet.
Filtrado de contenidos: X - Content Filtering v3.4. Antivirus de correo: Y Antivirus v2.0. Antivirus personal: Z - Antivirus v4.5. Objetivo de control: proteger la integridad del software y de la informacin.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
61
Ventajas de la norma
La adopcin de la norma ISO 17799 proporciona diferentes ventajas a cualquier organizacin: Aumento de la seguridad efectiva de los sistemas de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora continua a travs del proceso de auditora interna. Incremento de los niveles de confianza de nuestros clientes y partners. Aumento del valor comercial y mejora de la imagen de la organizacin. ... CERTIFICACIN! (UNE 71502)
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
62
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
64
Algo de resumen
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin, adoptada en Chile como norma NCh2777-2003. La norma se estructura en diez dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la informacin. Implantar ISO 17799 requiere de un trabajo de consultora que adapte los requerimientos de la norma a las necesidades de cada organizacin concreta. La adopcin de ISO 17799 presenta diferentes ventajas para la organizacin, entre ellas el primer paso para la certificacin segn UNE 71502. Ni la adopcin de ISO 17799, ni la certificacin UNE 71502, ni... garantizan la inmunidad de la organizacin frente a problemas de seguridad.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
65
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
66
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
67
Planificar
Tres preguntas clave:
Cul es el estado actual de nuestra seguridad? Cul es el estado al que queremos llegar? Cmo queremos llegar a ese estado objetivo?
Las respuestas a estas preguntas permiten definir el plan de actuacin para conseguir los objetivos deseados. Piezas clave de esta fase:
Poltica de seguridad. Anlisis de riesgos. Seleccin de controles.
Hacer
Dos grandes reas: implantacin del SGSI y explotacin del mismo. Implantacin del SGSI: ejecucin del plan definido en la fase anterior.
Implantacin de controles (tanto tcnicos como no tcnicos). Control de controles: eficacia.
Verificar
Es necesario verificar la conveniencia, adecuacin y eficacia del SGSI en la organizacin. Indicadores de rendimiento: valores objetivos (Mucho?, Poco?, A veces?, Demasiado?...).
Eficacia: El SGSI cumple los objetivos de direccin. Eficiencia: Lo hace con coste mnimo.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
71
Actuar
La organizacin debe mejorar de manera continua la eficacia del SGSI:
Es necesario tomar acciones correctivas para eliminar la causa de las no conformidades en la implantacin, operacin y uso del SGSI. Es necesario determinar acciones preventivas para eliminar la causa de no conformidades potenciales, previniendo su ocurrencia.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
72
Revisin de objetivos de seguridad. Indicadores de eficacia de los procesos. Auditora peridica y revisiones de seguridad. ...
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
73
UNE
En 2004 se establece UNE 71502, basada en BS7799-2
BS 7799
Parte 1: equivalente a ISO 17799-2000 Parte 2: Establece requerimientos para un ISMS y permite certificacin.
ISO 27002
Nueva denominacin de la norma ISO 17799-2005
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
74
Novedades de 17799-2005
Seguridad en los servicios externos y outsourcing Gestin de vulnerabilidades tecnolgicas Foco en la gestin de incidentes Comunicaciones mviles, remotas y distribuidas en el tratamiento de la informacin Clarificacin en la evaluacin y tratamiento del riesgo Nuevos controles en gestin del personal Nuevos controles en relacin con clientes y entrega de servicios
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
76
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
78
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
79
Comentarios
Debemos prepararnos para la estandarizacin de mtricas y mediciones de seguridad informtica. Debern modificarse las normas nacionales homologadas. Se deben re-evaluar los riesgos para identificar y desarrollar la implementacin de los nuevos controles. Asegurarse que los requerimientos de seguridad estn alineados con los del negocio.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
80
Certificacin
Una entidad independiente y competente afirma que un sistema es correcto y compromete en ello su palabra... por escrito. Garanta de 'calidad de la seguridad'. Aporta beneficios para...
... ... ... ... la propia organizacin. los inversores. los clientes. los empleados.
Adaptarse a la norma no garantiza la inmunidad total de la organizacin frente a problemas de seguridad, pero reduce el riesgo y los costes asociados a tales problemas.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
82
Certificacin: proceso
El proceso general de certificacin consta de dos grandes etapas: consultora y auditora. En la primera de ellas, un equipo de consultores con experiencia en la norma ayuda a la organizacin a cumplir los requisitos de certificacin: poltica de seguridad, procedimientos, controles... Cuando la organizacin asesorada por los consultores considera que cumple los requisitos de la norma, solicita la certificacin a un organismo acreditado, que ser el encargado de realizar la auditora.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
83
NCh2777-2003
Establece las recomendaciones para la gestin de seguridad de informacin por quienes son responsables de iniciar, implementar y mantener la seguridad en la organizacin. Entrega una base comn para desarrollar las normas de seguridad de la organizacin y una prctica efectiva de gestin de seguridad y establecer confianza en las relaciones entre las organizaciones. Las recomendaciones de esta norma se deben seleccionar y usar de acuerdo con las leyes y reglamentos aplicables. Lala: http://www.pumarino.cl/doc/leyes/NCh27772003.pdf
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
85
Planes de contingencia
Un Plan de Contingencia consiste en un estudio y anlisis pormenorizado de las reas que componen la organizacin y que nos servir para establecer una poltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa y que se plasma en un documento con el fin de protegerse ante eventualidades.
Adems de aumentar su seguridad, con un plan estratgico la empresa tambin gana en el conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdida irreparable mucho ms costosa que la implantacin de este plan.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
86
Act
Acciones correctivas Acciones preventivas Modificacin Plan
Do
Implantacin del SGSI Implantacin controles Implantacin indicadores
Check
Auditoria interna No conformidades Grado de cumplimiento
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
88
Medidas prevencin
Emplazamientos adecuados Proteccin fachadas, ventanas, puertas
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
89
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
90
Medidas prevencin
Revisar conductos de agua Emplazar la sala con los equipos ms caros en un sitio libre de estos problemas Instalar sistemas de drenaje de emergencia Concienciar a nuestros empleados
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
91
Medidas prevencin
Detector humo y calor Materiales ignfugos Almacn de papel separado de mquinas Estado del falso suelo Extintores revisados
Tiempos de recuperacin
Segn diversos estudios el perodo mximo de inactividad que puede soportar una empresa sin poner en peligro su supervivencia es de: Sector seguros: 5,6 das Sector fabricacin: 4,9 das Sector industrial: 4,8 das Sector distribucin: 3,3 das Sector financiero: 2,0 das
Si nos dicen que nuestro banco tiene problemas de seguridad y no podemos mover nuestras cuentas, lo ms seguro es que cambiemos de banco al da siguiente.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
94
clientes. imagen. ingresos por beneficios. ingresos por ventas y ingresos por produccin. competitividad en el credibilidad en el sector.
95
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Plan de recuperacin
Acciones tendentes a volver a la situacin que exista antes del desastre.
http://recovery-disaster.info/index.htm
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
96
Instalaciones alternativas
Oficina de servicios propia Acuerdo con empresa vendedora de HW y SW Acuerdo recproco entre dos o ms empresas Arranque en fro: sala vaca propia Arranque en caliente: centro equipado Sistema Up Start: caravana, unidad mvil Sistema Hot Start: centro gemelo
Algunas soluciones pueden resultar de muy alto costo. Su eleccin depender entonces de las caractersticas de nuestra empresa y qu tan crtico debe ser ese plan de continuidad acorde con ello. Estos tpicos se profundizan en la Unidad 2.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
97
DELITOS INFORMTICOS PROPIAMENTE TAL. OTROS DELITOS EN LOS HE SE HACE NECESARIA LA PARTICIPACIN DE LA BRIGADA INVESTIGADORA DEL CIBER CRIMEN.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
99
100
ELITOS I
ORMTICOS
ORMTICO : lt r l i f r i l i f r i t STI. i i t i STI. STI.
SABOTAJE I tr tr Alt r i i i
Responsabili ad : ey 9. , Art. y Art. : estr ya o inutili e un STI o sus partes o omponentes u obstaculice o modifi ue su funcionamiento. Presidio menor en rado medio a mximo. Art. : Altere, dae o destruya datos contenidos en un STI. Presidio menor en rado medio.
101
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
ELITOS INFORMTICOS
ESPIONAJE INFORMTICO : Intrusi n ilegtima o acceso indebido. i ulgaci n indebida o revelaci n de datos. Responsabilidad : Ley 9. , Art. y
Art. : nimo de apoderarse, usar o conocer indebidamente la informaci n contenida en un STI. Intercepte, interfiera o acceda a l. Presidio menor en un grado mnimo a medio. Art. : Maliciosamente revele o difunda datos contenidos en un STI. Presidio menor en grado medio. Responsable del STI, aumenta en un grado.
102
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
OTROS DELITOS
Que castiga
Informtica, ley 19.223. 1.-Destruya o inutilice un STI o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento. 2.- El que con el nimo de apoderarse, usar o conocer, indebidamente de la informacin contenida en un STI, lo intercepte, interfiera o acceda a l. 3.- El que maliciosamente altere, dae o destruya los datos contenidos en un STI. 4.- El que maliciosamente revele o difunda los datos contenidos en un STI.
Pornografa infantil, Ley 19.927. 1.-Produccin de material pornogrfico. 2.-Comercializacin, importacin, exportacin, distribucin, difusin, exhibicin, adquisicin o almacenamiento.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
103
OTROS DELITOS
Que castiga
Propiedad Intelectual, ley 17.336. 1.-Piratera
Amenazas.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
104
OTROS DELITOS
Evasin de impuestos.
Suicidios.
105
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Decreto 83
NORMA TECNICA PARA LOS ORGANOS DE LA ADMINISTRACION DEL ESTADO SOBRE SEGURIDAD Y CONFIDENCIALIDAD DE LOS DOCUMENTOS ELECTRONICOS.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
106
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
109
Personal calificado. Infraestructura adecuada. Herramientas de software. Herramientas de hardware. Medios de acceso. Disponibilidad tcnica de los registros de auditoria. Facultades legales. Herramientas legales. Coordinacin con fuentes de informacin (ISPs y otras empresas)
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
110
Conclusiones
Los problemas de seguridad no son necesariamente tcnicos. La seguridad no es un producto, es un proceso. Debemos gestionar nuestra seguridad. Un sistema de gestin debe contemplar la mejora continua del sistema: todo evoluciona, especialmente la (in)seguridad. La certificacin de seguridad es beneficiosa, pero ni garantiza inmunidad ni debe ser un objetivo. La seguridad total no existe!
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
111
Recordar lo ms importante:
Ningn sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concienciacin de los usuarios, ste ser uno de los grandes problemas de la Gestin de la Seguridad Informtica.
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
112
ULTRASONIDO / RAYOS X
IMAGEN
SCANNER
ARCHIVO HISTRICO
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
113
Preguntas y ejercicios (1 de 2)
1. Qu es y qu significa hacer un anlisis de riesgos? 2. Explique el sentido de las ecuaciones B > PL y B e PL. 3. Tras un estudio, obtenemos B > PL, podemos estar totalmente tranquilos al no utilizar medida alguna de prevencin? 4. Explique qu significan los factores L y P en la ecuacin B > PL. 5. Cules son los pasos a seguir en un anlisis de riesgo de acuerdo a los factores de la ecuacin de B > PL? 6. En algunos sistemas de gestin de informacin a veces prima ms el elemento confidencialidad, en cambio en otros ms el de integridad. D algunos ejemplos en que pueda cumplirse al menos en parte este escenario. Qu opina respecto a una transaccin electrnica? 7. Comente el modelo de seguridad de Bell Lapadula. Por qu se le llama el modelo de la tranquilidad?
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
114
Preguntas y ejercicios (2 de 2)
8. Ud. es el responsable de seguridad y detecta que un empleado est robando informacin confidencial, cmo reaccionara? 9. Cules pueden ser las prdidas en una empresa si no se cuenta con un adecuado Plan de Contingencia y sucede un desastre? 10.Qu es un Plan de Contingencia y por qu es importante? 11.Nuestra empresa est a medias entre el rubro distribucin y el de las finanzas. Resulta estratgico tener aqu un Plan de Contingencia? 12.Qu soluciones tenemos para que un banco no se vea afectado por un desastre y pueda seguir trabajando con sus clientes con un tiempo de recuperacin bajo o mnimo? Cmo sera su coste? 13.Se pueden prever situaciones extremas como lo acontecido con las torres gemelas? En que tipo de empresas o instituciones no deben descartarse estos extremos? En una empresa que vende automviles?
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
115
INFORMACION DE NORMAS
OFICIALES CHILENAS
NCh2777-2003 Tecnologa de la informacin - Cdigo de prctica para la gestin de seguridad de la informacin Tecnologa de la informacin - Seguridad y confidencialidad de los documentos electrnicos
ISO/IEC
ISO/IEC 27001:2005: Information technology -Security techniques -- Information security management systems Requirements
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
116
Bibliografa
Jorge Rami Aguirre Seguridad Informtica y Criptografa (archivo SegInfoCripPDFc_v41.zip) Antonio Villaln Huerta SEGURIDAD DE LOS SISTEMAS DE INFORMACION (archivo seguridad_sist_inf.zip) Eric Maiwald Fundamentos de Seguridad de Redes Parte II Trabajo preparatorio, pp 93-210 Merike Kaeo Diseo de Seguridad en Redes Parte II Normas de seguridad corporativas, Caps. 4 al 7 pp 119-209 Investigacin de expertos (archivo Investigacin de expertos (rgsc).doc) Jorge Olivares Actualizacin ISO/IEC 17799:2005(E)
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
117
Enlaces de inters
CLCERT - Grupo Chileno de Respuesta a Incidentes de Seguridad Computacional CIBSI 05 - Congreso Iberoamericano de Seguridad Informatica http://daniellerch.com/ http://www.microsiervos.com/archivo/ seguridad/ http://www.rompecadenas.com.ar/ http://www.dodomex.com/
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
119
Espaa
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
120
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
121
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
122
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
123
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
124
2007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
125