Medidas de Seguridad de una Departamento de TI • Establecer contraseñas para proteger información confidencial y privada. • Evitar introducir alimentos, tales como refrescos, para impedir que puedan derramarse sobre los equipos. • No fumar.
Medidas de Seguridad de una Departamento de TI • Cada equipo de cómputo debe contar con un regulador de corriente para evitar problemas o daños en caso de falla eléctrica. • Revisar un dispositivo de almacenamiento externo antes de introducirlo a la computadora para así evitar infectarlas con algún virus
Factores Inherentes al Departamento de TICS La construcción del interior de la instalación de cómputo también tiene gran importancia. La división tradicional de las áreas casi nunca es la adecuada para la seguridad. Es importante considerar las características físicas que deben tener las instalaciones para proporcionar seguridad. Ejemplo: a) Piso falso b) Cableado c) Paredes y techo d) Puertas de acceso e) Iluminación f) Filtros h) Ductos
Normas de Seguridad Informática • Entre las normas más conocidas en seguridad informática están: • - ISO/IEC 177991 (Security Policy, Organizing Information Security, Asset Management, Human Resources Security, Physical and Environmental Security, Communications and Operations Management, Access Control, Information Systems Acquisition, Development and Maintenance, Information Security Incident Management, Business Continuity Management, Compliance) • - ISO 27000 (ISO 27000, vocabulario y definiciones -terminología para el resto de estándares de la serie-. ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma es certificable bajo esquemas nacionales en cada país)
Políticas de Seguridad • Políticas de uso aceptable • Políticas de cuentas de usuario • Políticas de listas de acceso • Políticas de acceso remoto • Políticas de contraseñas • Políticas de respaldos.
Seguridad de la Información La documentación de los sistemas, la programación y las operaciones también necesitan protección contra incendios. Destrucción de esta documentación puede imposibilitar el uso de programas o archivos de respaldo. Garantizar la actualización de toda la documentación como rutina y que las copias de seguridad se almacenen en un lugar lejano, así como las copias de seguridad de los programas y los archivos.
Seguridad de la Información La proliferación de redes de datos aumenta las necesidades de tornar los datos seguros y auténticos, los mensajes y datos se deben proteger para que solo sean utilizados por las personas o procesos autorizados. Se debe evitar: La alteración fraudulenta de los datos La creación de datos falsos La destrucción de datos correctos
SEGURIDAD DE LA INFORMACIÓN Lugares para Almacenar la Información Limitar los lugares en los cuales se almacena la información. Es recomendable mantener toda la información, especialmente la sensible, en servidores centralizados y no en el disco duro de las computadoras personales.
Seguridad de la Información • Acceso remoto a la Información Muchas redes permiten el acceso remoto a la información. Esta forma de acceso facilita que personal no autorizado pueda llegar a la información. Se debe realizar una evaluación para determinar si vale la pena correr el riesgo de exponer una red a acceso público. Se debe contratar un experto para minimizar el riesgo del uso de una red, este acceso es uno de los blancos de los hackers para quebrantar los códigos de seguridad.
Seguridad Shareware (BIOS Y Otros) • Algunas de sus vulnerabilidades son: • Si se dispone de tiempo suficiente, acceder a la tarjeta donde se encuentre la BIOS y resetearla (se perderá la configuración BIOS y por tanto el password). • Atacando la BIOS desde un dispositivo externo o programa. • Probando posibles passwords, ya que no tiene límites de errores.
Sistema de Seguridad Informática • Conjunto de medios administrativos, medios técnicos y personal que de manera interrelacionada garantizan niveles de seguridad informática en correspondencia con la importancia de los bienes a proteger y los riesgos estimados.
Plan de Seguridad Informática Expresión gráfica del Sistema de Seguridad Informática diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una Entidad y recoge claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitanprevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
Plan de Seguridad Informática Se distinguen tres etapas: 1)Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye: Caracterización del sistema informático. Identificación de las amenazas y estimación de los riesgos. Evaluación del estado actual de la seguridad. 2)Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa. Definir las políticas de seguridad. Definir las medidas y procedimientos a implementar. 3) Evaluar el sistema de seguridad diseñado
Partes del Plan de Seguridad Informática • Caracterización del Sistema Informático. • Resultados del Análisis de Riesgos. • Políticas de Seguridad Informática. • Sistema de Seguridad Informática. • Medios humanos. • Medios técnicos. • Medidas y Procedimientos de Seguridad Informática. • De protección física. • A las áreas con tecnologías instaladas. • A las tecnologías de información.
Partes del Plan de Seguridad Informática • Soportes de información. • Técnicas o lógicas. • Identificación de usuarios. • Autenticación de usuarios. • Control de acceso a los activos y recursos. • Integridad de los archivos y datos. • Auditoria y alarmas. • Seguridad de operaciones. • Recuperación ante contingencias. • Anexos. • Programa de Seguridad Informática • Listado de usuarios con acceso a redes de alcance global. • Registros
La Complejidad Intranet Perimetro de las Redes De Red Hoy Laptops Extranet Tendencias y Servers convergencias Servers Router • La computación ubicua, Dispositivos sin Router conectividad de red y la Administrar movilidad Router • Computación embebida I Infraestructura • Alta seguridad • IPv6 ``` de red • VoIP • Datos/Voz/Video Desktops Servidores Branch Branch Perimetro Red Offices Offices Router ``` Router Internet Dispositivo sin ` Administrar Router Remotos Dispositivo sin Teletrabajadores Administrar
Tipos de Ataques a las Redes Virus Código Robo de Malicioso Identidad (Melissa) (Phishing) Romper Gusanos Avanzados Crimen Sitios Web / Troyanos Organizado Robo Datos, DoS / (I LOVE YOU) DDoS 1977 1995 2000 2003-06 2005-09 2009-13
Como se puede observar, los atacantes pusieron en la cuenta oficial (@BurgerKing) el logo, el nombre y el sitio web de la competencia. Este incidente es uno más de los que ocurren diariamente por no usar contraseñas fuertes en los servicios críticos, y en el caso de cuentas corporativas se pone más en evidencia la criticidad del caso.
Modelo de Amenazas (Simplificado) 1 – Destrucción (ataques a la disponibilidad): X – Destrucción de información y/o recursos de la red 2 - Corrupción (ataque a la integridad): – Manipulación no autorizada de un activo 3 - Remoción (ataque a la disponibilidad): – El robo, eliminación o pérdida de información y / u otros recursos 4 - Divulgación (ataque a la confidencialidad): – El acceso no autorizado a un activo 5 - Interruption (ataques a la disponibilidad): X – Interrupción de los servicios. Red no está disponible o no utilizables
Visión Empresarial y Su Conexión Con Una Estrategia De Seguridad Definición de Una Arquitectura de Seguridad ¿Qué tipo de protección que se necesita y contra qué amenazas? ¿Cuáles son los distintos tipos de equipos de redes y agrupaciones de instalaciones que necesitan ser protegidos? ¿Cuáles son los diversos tipos de actividades de la red que necesitan ser protegidas? Enfoque: Riesgos en los sistemas de información
3 Niveles de Seguridad SAepgpulirciadtaiodnAspSlieccaucrioitnyes 3 – Nivel de Seguridad de Aplicaciones: VULNERABILIDIAEDSES SergvuirciedsaSdeSceurrviitcyios AMENAZAS ISnefgrausrtirduacdtuInrefrSaeescturruictytura • Aplicaciones basadas en red usadas por los Vulnerabilidades pueden Destrucción usuarios finales Existir en cada nivel Corrupción Remoción • Ejemplos: Revelación Interrupción • navegación por la Web • Directorio de la corporación ATAQUES • Email • E-commerce 1 – Nivel Seguridad de Infraestructura: 2 - Nivel de Seguridad de Servicios: • Bloques fundamentales de construcción de • Servicios asignados a usuarios finales servicios de red y aplicaciones • Ejemplos: • Ejemplos: • Frame Relay, ATM, IP • Routers, switches individuales, servidores • Celular, Wi-Fi, • VoIP, QoS, mensajería instantánea, • Enlaces WAN Punto-a-Punto • Enlaces Ethernet servicios de localización (GPS) • servicios de llamadas gratuitas • Cada nivel de seguridad tiene amenazas y vulnerabilidades únicas • Seguridad Infraestructura => Seguridad Servicios => Seguridad Aplicaciones
Ocho Medidas de seguridad frente a la amplitud de las vulnerabilidades • Limitar y controlar el acceso a Control Acceso • Proporcionar prueba de los elementos de red, Autenticación identidad servicios y aplicaciones No Repudio Confidencialidad Datos • Examples: secreto • Ejemplos: contraseñas, ACL, Seguridad Comunicación compartido, PKI, firma digital, firewall Integridad Datos certificate digital • Prevenir capacidad de negar • Asegurese de la que la actividad en la red se confidencialidad de los datos produjo • Example: Cifrado • Ejemplos: los registros del sistema, las firmas digitales • Asegurarse que el dato se recibe como se envió y se • Asegurar que la información recupero como se almacenó sólo fluye desde la fuente al destino • Examples: MD5, firmas digitales, anti-virus • Ejemplos: VPN, MPLS, L2TP • Asegúrese que los elementos Disponibilidad • Garantizar la identificación y de red, servicios y Privacidad uso de la red se mantiene aplicaciones sean disponibles para los usuarios legítimos como privado • Ejemplos: IDS / IPS, • Ejemplos: NAT, cifrado redundancia de red, BC / DR Ocho Dimensiones aplicables a cada perspectiva de seguridad (nivel y plano)
Alinear la Estrategia de Seguridad SEGURIDAD DE LA INFORMACION SGSI Confidencialidad Integridad Disponibilidad Autenticidad Personas Política Seguridad Procesos Tecnología Cumplimiento Regulatorio Concientizar los Usuarios Control Acceso Auditorias Seguridad Respuesta Incidentes Cifrado, PKI Firewall, IPS/IDS Antivirus
Modelo utilizado para establecer, implementar, monitorear y mejorar la estrategia de SGSI. Partes Planificar Actuar Partes Interesadas Interesadas Establecer Mantener y Requisitos y el SGSI Mejorar el Seguridad expectativas Gestionada Implementar SGSI y Monitorear operar el el SGSI Hacer SGSI Verificar
ESTRATEGIA DE SEGURIDAD Política de Seguridad Organización de la información Gestión de Activos Seguridad del Recurso Humano Seguridad física y ambiental Control Acceso Gestión de las Comunicaciones Gestión de Incidentes Continuidad del Negocio Cumplimiento Regulatorio
EL RETO A FUTURO: ORGANIZACIÓN Infraestructura Personas/Organización Asegurada Politicas Tecnologías Procesos
El Reto a Futuro: Integración • Locales • FireWalls • Remoto • Antivirus • Clientes • Cifrado • Proveedores • Autentificación • Outsourcing • Privacidad archivos Usuarios Soluciones Accesos Apps • Lan/Wan • Producción • Acceso remoto • Teletrabajo • VPN • Gestión remota • Cable • Monitoreo • WAP • Mantenimiento
Tendencias Redes Sociales • Facebook, Twitter • Skype Malware Para • Android Dispositivos Móviles • Tablets, TV, Blue-Ray Vulnerabilidades • Java • Adobe Juegos • Desarrollo de juegos más interactivos en red Geolocalización • Exposición de las redes a posibles hackers • Nueva especificación HTML5 • funciones de geolocalización activadas, dejando potencialmente geo-objetos en cualquier dispositivo con un navegador web.
Tendencias Windows8 • se ejecuta en PC, en las tabletas y teléfonos inteligentes. • Nuevos programas de ataque más sofisticados BYOD • Almacenamiento de claves en equipos inseguros • Proliferación de equipos = Menor control Cloud • explotación de redes no seguras de comunicación • pérdida de control de los recursos informáticos físicos Autenticación • “Tokenización” de la data, teletrabajo • Aseguramiento de dispositivos y almacenamientos externos Internet de Dispositivos • Equipos conectados uno a uno vía internet • domótica controlada por internet y sistemas de alarma. • Ipv6: autos con dirección IP
Para Cerrar… La seguridad es un asunto de todos Se requiere de la colaboración de todas las áreas (No es un problema de TI solamente) La seguridad debe ser diseñada por adelantado La seguridad debe ser un esfuerzo continuo Abordar sistemáticamente las vulnerabilidades (propiedades intrínsecas de las redes / sistemas) es la clave La protección puede proporcionarse independientemente de lo que las amenazas puedan ser (que están cambiando constantemente y pueden ser desconocidas)
Resumen: Proporcionar un enfoque integral a la seguridad de la red Ver la seguridad de la red con un punto de vista integral: de principio a fin Aplicar a cualquier tipo de tecnología de red • WiFi, Cableada, redes ópticas, Nube • Voz, datos, video, redes convergentes Aplicar a cualquier red • Redes proveedoras de servicios • Lan/Man/Wan • Redes privadas • Productivas, pruebas/desarrollo, redes administrativas • Data center Siempre alineados con cualquier regulación: PCI, SOX, etc
Medidas Preventivas • Análisis de Riesgos • Mantener las cosas simples • El sistema que controla la \"puerta\" siempre puede fallar • Encriptar tanto como sea posible • La seguridad hacia el interior • Educar a los usuarios (\"Ingeniería Social“). • Ejecutar solo los servicios imprescindibles • Algunas personas tienen la manía de instalar los sistemas con la mayor cantidad posible de • Mantenerse al día con las actualizaciones • Digitalizaciones regulares • Vigilancia • Establecimiento de políticas
Conclusiones 1. Los planes de seguridad informática contiene información referente a todos los aspectos informáticos existentes en una organización como el hardware, el software, comunicaciones, instalaciones, información y personal. 2. Los planes de seguridad informática son documentos que deben considerar planes de contingencia. 3. El contenido de los planes de seguridad informática varía de acuerdo ala organización que lo plantea pero debe abarcar todo los aspectos mencionados en el punto 1.
Gracias
Search
