1 SeguridadInformática
2 ¿Por qué estamos aquí?
3
4 Delitos cibrenéticos “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora sobrepasa el valor del tráfico de drogas a nivel mundial” “Los delincuencia cibernética es un negocio de $105,000,000,000 al año, que ahora sobrepasa el valor del tráfico de drogas a nivel mundial” (2007)David DeWalt, CEO de McAffe
5
6 Tipos de incidentes 2008 (%)
7
8 Tipos de incidentes 2010 (%)
9
10 Tecnologías usadas 2008
11
12 Tecnologías usadas 2010
13 Presupuesto seguridad (% de TI)
14 Ambiente MUCHO más peligroso! CERT 2002
15 La seguridad incomoda!
16 Comodidad vs Seguridad Comodidad Seguridad
17 Algunas definiciones
18 SEGURIDAD Cualidad de seguro Seguro: Libre y exento de todo peligro, daño o riesgo PROTEGIDO
19 Conocimiento Información ISO/IEC 27002:2005 “Un activo que, al igual que cualquier otro activo importante del negocio, es esencial y por lo tanto está sujeto a ser protegido” “Un activo que, al igual que cualquier otro activo importante del negocio, es esencial y por lo tanto está sujeto a ser protegido” Information technology — Security techniques — Code of practice for information security management
20 Protección de información (datos) Sin importar el formato o el almacenamiento Seguridad Informática
21 “Seguridad de la información es la protección de la información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.” “Seguridad de la información es la protección de la información de una amplia gama de amenazas, con el fin de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.” ISO/IEC 27002:2005 Information technology — Security techniques — Code of practice for information security management
22 Seguridad computacional Criptografía Programas Sistemas operativos Redes Bases de datos Procedimientos y políticas Protección de información en sistemas computacionales
23 Metas de la seguridad
24 Confidencialidad Solo personas autorizadas tienen acceso a los recursos de un sistema Acceso incluye lectura, impresión, conocimiento de existencis, etc. Partes pequeñas de información también son importantes
25 Integridad La información puede ser modificada sólo de manera autorizada Depende mucho de las políticas del sistema Información Precisa, exacta, no modificada o modificada sólo por gentes o procesos autorizados y de manera aceptable
26 Disponibilidad Los servicios y los datos son accesibles a los usuarios autorizados cuando lo necesitan Tiempo adecuado
27 Metas de la seguridad ConfidencialidadIntegridad Disponibilidad SEGURO
28 Componentes de la Seguridad Alfredo Aranguren, CISSP, CISA, CISM
29 Cisco Tendencias que afectan la seguridad Asuntos legales y privacidad – Demandas y requisitos federales Acceso inalámbrico – Muchos usuarios, muchos dispositivos La necesidad de velocidad – Soluciones de software no “escalan” bien Escasez de personal de TI – Soluciones externas
30 Términos Riesgo → Proximidad de un daño Vulnerabilidad → debilidad Amenaza → daño potencial Control → Protección
31 Vulnerabilidad, amenaza, control Una amenaza es bloqueada controlando una vulnerabilidad Ataque: Explotación de una vulnerabilidad
32 Vulnerabilidades Hardware Software Medios de almacenamiento Datos Procedimientos y políticas Redes Servidores Personas
33 Riesgo Evaluar activos Identificar, caracterizar y evaluar amenzas Evaluar vulnerabilidades de activos críticos Determinar el riesgo – Consecuencias posibles de ciertos ataques sobre ciertos activos (Impacto) Identificar maneras de reducir el riesgo Priorizar medidas para reducir el riesgo ISO 31000 Risk Assesment Process
34 Administración del riesgo Frecuencia Severidad REDUCIRLO TRANSFERIRLO EVITARLO ASUMIRLO
35 Administración del Riesgo Activos negocio Activos negocio Riesgo Amenazas Impacto negocio Impacto negocio Vulnerabilidades internas y externas Vulnerabilidades internas y externas Controles
36 Nivel De Riesgo Cálculo del riesgo Riesgo = Probabilidad de ataque * Impacto “The purpose of risk management is to change the future, not to explain the past” The book of risk, Dan Borge Impacto al negocio Probabilidad de ataque ROI Conexión Productividad
37 Proceso (gobierno)
38 Cubo de McCumber
39 Proceso (gobierno) Objetivo del sistema Políticas (normas, directrices) Procedimientos Y prácticas Concientización Sistema Seguro Auditoría
40 Tipos de vulnerabilidades Físicas – Falta de protección (candados, alarmas, TV, etc.) – Ambiente no adecuado (clima) Lógicas – Sistemas, errores (bugs, buffer overflow, etc.) Humanas – Falta de entrenamiento (contraseñas, introducción de datos, etc.) – Enfermedades
41 Top 10 en servidores Instalaciones con mala configuración (default) Sistemas no actualizados (parches) Autenticación pobre Contraseñas débiles Cuentas default Exceso de privilegios en los usuarios Protección no adecuada de archivos Supervisión de sistemas no adecuada (logs) Respaldos (estrategia) Seguridad física débil Gartner 2006
42 Amenazas Una amenza explota una vulnerabilidad Humanas – Maliciosas Personas externas (piratas informáticos) Personas internas (empleados descontentos) – No maliciosas Empleados ignorantes Desastres naturales – Inundaciones, incendios, terremotos, huracanes
43 Impactos (dimensiones) Reputación – Imagen (pérdida de clientes) Financiero – Incremento en costos operativos – Pérdida de ingresos – Multas por SLA Productividad – Desempeño de los procesos Legales y regulatorios – Privacidad de datos
44 Controles Tecnología Política Proceso Procedimiento Contrarresta una amenaza Disminuye riesgo asociado a un activo
45 Métodos de control Controles técnicos – Protecciones que se incluyen en hardware y software Controles no técnicos – Controles gerenciales y operativos – Políticas de seguridad – Procedimientos operativos – Seguridad del personal, física y ambiental
46 Tipos de controles Controles tecnológicos – Controles físicos Edificios, CCTV, bardas, etc. – Controles lógicos Sistemas, redes, etc. Controles normativos – Políticas – Procedimientos Controles humanos – Personal – Entrenamiento
47 Tipos de controles (físicos) Disuasivos – Bardas, señales de aviso, guardias, perros Para retardos – Cerraduras, Controles de acceso Detección de intrusos – Externos, internos, CCTV Respuesta – Procedimiento de emergencia, policía, bomberos
48 Tipos de controles (funcionalidaad) Preventivos Detectivos Correctivos Disuasivos Recuperación Compensatorios
49
50
51 Principio de protección adecuada Los recursos de cómputo deben ser protegidos solamente hasta que pierdan su valor El nivel de protección debe ser consistente con su valor Seguridad absoluta → Precio infinito
52 Principio de más fácil penetración El eslabón más débil Intruso utilizará cualquier medio disponible La penetración no será necesariamente por el medio más obvio Tampoco será por el punto con defensa más sólida
53 Seguridad por niveles (Defense in depth) Defensa por capas No un solo punto de defensa “infalible” Esquema de la cebolla (onion)
54 Seguridad Informática
55 Seguridad de la información El problema no es solamente tecnológico. – El ser humano es el eslabón más débil La información se debe proteger sin importar el formato – digital, impresa, verbal, almacenada, destruida, procesada, perdida, etc.