SEGURIDAD EN LA PYME

Transcripción

1 SEGURIDAD EN LA PYME Po r t a d a 20 de Noviembre de 2003 Daniel Fernández Bleda dfernandez@isecauditors.com

2 Contenidos 2 Índice Introducción a la Seguridad Informática Informática en la empresa Usuarios y Formación La seguridad informática Firewalls Personales Origen de los ataques Antivirus de Cliente Tipos de ataques Política de Seguridad Capas de la Seguridad Corporativa Arquitectura de Red Elementos de Protección Routers / Firewalls IDS / IPS / ADS Sistemas Antispam (SpamAssasin) Planes de Contingencia y Continuidad Soluciones

3 Introducción a la Seguridad Informática 3 Informática en la empresa La inclusión de los ordenadores, las redes y el uso de Internet para poder desarrollar cualquier tipo de negocio ha crecido exponencialmente. En los últimos cuatro años, la empresa que no está conectada a Internet para el acceso a información, no emplea correo electrónico para intercambiar información o no tiene una web para ofrecer sus productos o servicios es una rareza. Esto a supuesto cambios muy importantes en la forma de ver la informática. La informática e Internet son necesarias para la continuidad del negocio debido a la competitividad que se consigue con su uso. Fecha jul-01 jul-98 jul-97 Servidores Dominios WebSites 126,000,000 30,000, ,00 37,000,000 4,300,000 4,270,000 19,540,000 1,301,000 1,200,000 WHR(%) jul-96 jul-95 jul-94 12,881,000 6,642,000 3,212, , ,000 46, jul-93 jul-92 jul-89 jul ,776, ,000 16,300 3,

4 Introducción a la Seguridad Informática 4 La seguridad informática (I) El activo principal a proteger es la información que contienen los equipos informáticos: La información es un bien que, que como otros importantes bienes de empresa, tiene un valor para la organización y consecuentemente necesita ser protegida adecuadamente. La Seguridad de la Información protege la información frente a un amplio rango de peligros, para asegurar la continuidad de la empresa y minimizar daños en esta, además de maximizar el intercambio de oportunidades de negocios e inversiones. (ISO/IEC 17799) Cuando se habla de seguridad informática nos referimos a: Integridad: La integridad en los datos o sistemas de información hace referencia a que los datos o sistemas no sean modificados. Confidencialidad: Se refiere a la privacidad de los datos. Qué estos solamente sean accesibles por las personas que tienen permiso para hacerlo. Disponibilidad: Disponibilidad tanto de los datos como de los sistemas. Es la posibilidad de poder acceder a ellos cuando se necesiten.

5 Introducción a la Seguridad Informática 5 La seguridad informática (II) Debemos aplicar medidas de seguridad para proteger esta información? La Seguridad de la Información se logra por la implementación de medidas de control, las cuales pueden ser políticas, prácticas, procedimientos, estructuras organizacionales y procedimientos del software. Estas medidas tienen que ser establecidas para asegurar que se logran objetivos específicos en la seguridad de la organización. (ISO/IEC 17799) Ejemplos de ataques que se pueden sufrir para cada uno de los puntos anteriores: Integridad: Sabotaje sobre los sistemas de información o sabotaje al modificar valores en documentos vitales. Confidencialidad: Espionaje industrial, robo de información. Disponibilidad: Ataques de Denegación de Servicio, en los que se inutilicen servicios críticos para el funcionamiento de la empresa o servicios que estén ofreciendo a sus clientes o proveedores.

6 Introducción a la Seguridad Informática Origen de los ataques (I) ORIGEN (HACKING INTERNO VS HACKING EXTERNO) % 34% 73% Internos 66% Internos Externos Externos Empleados descontentos. Ataques aleatorios (61% 2, 80-90% 3). Empleados curiosos. Competencia. Personal externo. Ex empleados. 1 The Register ( ) 2 Riptech, Inc. Wall Street Journal ( ) 3 National Swedish Council for Crime Prevention (2002) 6

7 Introducción a la Seguridad Informática Origen de los ataques (II) Teletrabajadores DMZ Firewall TALK/ DATA TAL K DNS RS CS TR RD TD CD Internet Hacker a Correo Web Trabajador Hacker Sn iff in g N VP Hub POW ERF AULT DA TA ALAR M Remote Access Server (RAS) Internet Intranet Intranet TALK / DATA TALK RSCS TR RDT D CD Modems Antena Wireles PDA's/Palms P O WE R F A UL T D A T A Hacker A L AR M Wireless Access Points Servidores Internos 7

8 Introducción a la Seguridad Informática Tipos de ataques Intrusiones: Vulnerabilidades -> Aumento de Gusanos Configuraciones defectuosas Arquitecturas defectuosas Ataques internos: Privilegios incorrectos Cuotas no adecuadas (ancho banda, espacio en disco,etc.) Sniffing Correo / Navegación web: Virus Troyanos Spam DoS/DDoS/DRDoS Ingeniería Social Password cracking Wardialing: Modem RAS PBX Accesos Privilegiados: VPNs Wireless Attacks Ataques Físicos 8

9 Introducción a la Seguridad Informática 9 La inseguridad en cifras (I) LOS INCIDENTES Y VULNERABILIDES CRECEN EXPONENCIALMENTE Vulne rabilidade s publicadas Incidentes de Seguridad (1Q3Q) Los ordenadores están interconectados, no hay equipos aislados, sea con cables o sin ellos. El delito electrónico deja pocas huellas y resulta costoso su investigación (Informática Forense). La información para ser Hacker es pública y accesible a todo el mundo. Ser destructivo es fácil. Sigue estando de moda ser Hacker. Es fácil ser Hacker 2003 (1Q3Q)

10 Introducción a la Seguridad Informática La inseguridad en cifras (II) Origen del suceso Denegación de Servicio Fraude Sucesos con Portátiles Acceso interno no autorizado Virus Mal uso interno de la red Robo Información Intrusiones / Sabotaje % # empresas Pérdidas ($) % Pérdidas Sucesos sufrieron 42% ,8% 15% ,1% 59% ,4% 45% ,2% 82% ,7% 80% ,9% 21% ,0% 78% ,9% CSI/FBI Computer Crime and Security Survey (2003) PÉRDIDAS MULTIMILLONARIAS 10

11 Introducción a la Seguridad Informática 11 CSO CSO o Chief Security Officer es la nueva figura que está apareciendo en las grandes compañías. Esta nueva figura no depende del departamento de sistemas sino que depende directamente de dirección general. Su responsabilidad es la seguridad en las comunicaciones y en los sistemas de la empresa, desarrollando principalmente las siguientes funciones: Proteger los sistemas informáticos ante posibles amenazas. Desarrollar, implantar y mantener la Política de Seguridad de la empresa. Participar en los proyectos de la empresa aportando consideraciones de seguridad. Monitorización de la red y sistemas de la empresa.

12 Introducción a la Seguridad Informática 12 Conclusiones El uso de Internet ha sufrido un crecimiento exponencial los últimos 10 años. Actualmente las empresas tienen una clara dependencia con sus Sistemas de Información y con Internet para el desarrollo de su negocio. La Información es el activo más importante a proteger incluidos los propios Sistemas de Información. Existen multitud de vías de ataque a las empresas y cada nueva tecnología añade nuevas implicaciones en cuestiones de seguridad. Los ataques y vulnerabilidades crecen año tras año. Es necesario definir la figura de un responsable de seguridad (CSO) con capacidad de toma de decisiones en la protección de los Sistemas de Información.

13 13 Índice Capas de la Seguridad Corporativa Seguridad en las aplicaciones Arquitectura de red Seguridad en los Sistemas Operativos Elementos de Protección Seguridad a nivel de usuario / empleado Routers/Firewalls: IDS / IPS / ADS Lector de Correo Securización de servidores Navegador Web Antivirus de Servidor Firewalls personales Sistemas Anti-Spam Antivirus de cliente Política de Seguridad Planes de Contingencia / Continuidad

14 14 Introducción La seguridad es un proceso. Es importante actuar siempre de forma proactiva y no reactiva. Es necesaria una política de seguridad en la empresa respaldada por dirección. La política de seguridad establece las directrices de la empresa: Necesidades de seguridad. Recursos asignados. Prioridades. Procedimientos de seguridad. etc. Planes de contingencia. Recuperación ante desastre.

15 15 Capas Seguridad Corporativa Política de Seguridad Arquitectura de Red Sistemas de Protección Aplicaciones de Servidor Sistemas Operativos Usuarios

16 Arquitectura de Red (I) Antes de implantar una red hay que diseñarla. Durante el diseño se ha de tener en cuenta la seguridad. La red tiene que cubrir estos aspectos: Escalabilidad: Capacidad de crecer con la propia empresa. Adopción de nuevas necesidades de forma simple. Fiabilidad: Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas. Disposición de mecanismos de recuperación ante problemas graves. Ubicación óptima de los servidores: Protección física de servidores. Situación en diferentes condiciones de los servidores. Accesos controlados a la red. Controlar TODOS los accesos a la red corporativa: Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc. 16

17 17 Arquitectura de Red (II) ASPECTOS EN UNA RED SEGURA (I) Una arquitectura de red segura vendrá dada por aquel esquema de red donde se han incluido medidas de seguridad para proteger las máquinas que en ella se encuentran así como los datos que estas almacenan. Razones para incluir seguridad en el diseño de una red informática: No debe ser únicamente funcional. Por ella circulan todos los datos de la empresa, incluidos los críticos. Es la vía de entrada y salida a Internet. Objetivos de incluir seguridad directamente en la red: En caso de ataque, la posibilidad de explotar deficiencias de la red sea mínima. En caso de intrusión, la capacidad de penetrar a la red interna sea mínima. En caso de acceso a la red interna, los servidores internos estén protegidos. En cualquiera de los casos, podamos evitar, detectar e interrumpir los ataques o intrusiones.

18 18 Arquitectura de Red (III) ASPECTOS EN UNA RED SEGURA (II) Servidores internos dispuestos en la situación más adecuada. Electrónica de red apropiada para cada segmento. Sistemas de protección perimetral (routers, firewalls) en el lugar más efectivo. Conexión con otras sedes, teletrabajadores o colaboradores externos tratadas de forma especial en los sistemas de protección. Sistemas de Detección de Intrusiones o de Anomalías con políticas adecuadas. Redes inalámbricas tratadas como puntos calientes. Dispositivos móviles protegidos y localizados. Limitar los protocolos en la red. Emplear los Sistemas Operativos (Windows, Linux, UNIX,...) y Aplicaciones (SQLServer, mysql, DB2,...) más adecuadas a la seguridad requerida en cada caso.

19 Arquitectura de Red (IV) 19

20 Elementos de protección La primera medida de protección es la propia arquitectura de red de la empresa. Red interna separada de la red pública (DMZ - Demilitarized Zone). Acceso a Internet desde la red interna mediante NAT. Es necesario disponer de dispositivos de protección en el perímetro de la empresa (seguridad perimetral - entre Internet y la red de la empresa): Firewall o Cortafuegos. Software de Antivirus. Sistemas de detección de Intrusos (IDS). Los propios sistemas accesibles desde Internet son elementos de protección: Fortaleza de las contraseñas. Deshabilitación de servicios innecesarios. Hardening de sistemas. 20

21 Routers /Firewalls Router / Firewall: Software / Dispositivo de red que filtra el tráfico que entra o sale de la red. Filtra en función de unas reglas en las que se indica el tipo de tráfico permitido y el que no. Existen también firewalls personales que se instalan en los PCs personales. Se dividen en: Screening routers: Filtran por dirección de origen y destinatario y por servicio que utilizan. Stateful inspection filters: En el filtrado tienen en cuenta el estado de la comunicación. Más evolucionados que los anteriores. Se pueden emplear en pequeñas y grandes redes: Un firewall NO es una solución para grandes empresas. Existen soluciones de firewall de todo tipo de coste/rendimiento. La premisa es elegir el equipo más adecuado a las necesidades. 21

22 IDS / IPS / ADS IDS (Intrusion Detection System) / IPS (Intrusion Prevention System): Software / Dispositivo que analiza el tráfico que circula por la red. Parten de una serie de patrones de ataques conocidos que intentan identificar en el tráfico de analizan. Si identifican un ataque pueden actuar en consecuencia (bloquear al atacante, avisar por mail al administrador de sistemas, etc.). Requieren una base de datos que se actualice de ataques habituales y no son capaces de detectar ataques nuevos no registrados. ADS (Anomaly Detection System): Software / Dispositivo que analiza el tráfico que circula por la red. Parten de una serie de comportamientos habituales en la red para identificar aquellos que no son normales o se desvían de un comportamiento normal y pueden identificar un ataque o mal uso de la red. Si identifican un ataque pueden actuar en consecuencia (bloquear al atacante, avisar por mail al administrador de sistemas, etc.). Pueden adaptarse o aprender dependiendo del tráfico determinado como falso positivo pero no necesitan un conocimiento previo de ataques habituales. 22

23 Antivirus Antivirus: Detecta la presencia o llegada de virus/gusanos/código malicioso. La detección la realizan a partir de las firmas de los virus o por el comportamiento de los programas. Actualmente la infección vírica se realiza a través de los correos electrónicos. Dónde se sitúan los sistemas antivirus?: A nivel de gateway o servidor de correo. A nivel de cliente en los PCs de los usuarios. La tendencia actual es fusionar los anteriores sistemas anteriores en uno. 23

24 Sistemas AntiSpam (I) Sistemas Anti-spam: Algunas estadísticas determinan que la mitad del correo está siendo spam. El spam tiene efectos directos sobre las empresas: Sobrecarga los servidores y las redes. Ocupa espacio malgastado. Hace perder el tiempo a sus destinatarios Los métodos actuales de sistemas anti-spam funcionan bastante bien. Los spammers se adelantan a estas técnicas con métodos de evasión. 24

25 Sistemas AntiSpam (II) La mayoría del correo no deseado emplea técnicas publicitarias muy particulares y fáciles de identificar: Diferente tamaños de letra Diferentes colores en los textos Frases o palabras en mayúculas Texto diciendo que eso no es spam Dando direcciones de correo que no coinciden con el origen del mail. etc. Pero con pericia, todo es evitable: Ofuscación: e5t0 e5 Un +ext0 etc. 25

26 SpamAssassin (I) Solución OpenSource muy eficiente para la eliminación de correo no deseado. Emplea métodos heurísticos y bayesianos para suponer y aprender a identificar qué es spam. Ejemplo de puntuación de spam por SpamAssassin: > SPAM: Start SpamAssassin results > SPAM: This mail is probably spam. The original message has been altered > SPAM: so you can recognise or block similar unwanted mail in future. > SPAM: See for more details. > SPAM: > SPAM: Content analysis details: (24.90 hits, 5 required) > SPAM: MIME_ODD_CASE (2.4 points) MiME-Version header (oddly capitalized) > SPAM: NO_REAL_NAME (1.3 points) From: does not include a real name > SPAM: NO_COST (1.0 points) BODY: No such thing as a free lunch (3) > SPAM: SUBJ_REMOVE (0.7 points) BODY: List removal information > SPAM: [score: 33] > SPAM: HTML_FONT_COLOR_YELLOW (0.4 points) BODY: HTML font color is yellow > SPAM: HTML_FONT_COLOR_CYAN (0.4 points) BODY: HTML font color is cyan > SPAM: MISSING_OUTLOOK_NAME (1.1 points) Message looks like Outlook, but isn't > SPAM: CTYPE_JUST_HTML (0.4 points) HTML-only mail, with no text version... > SPAM: End of SpamAssassin results

27 27 SpamAssassin (II) Reglas de Filtrado heurísticas en SpamAssassin: AREA LOCALIZACION DESCRIPCIÓN DEL TEST NOMBRE DEL TEST TEST PUNTUACIONES POR DEFECTO (local, net, w ith bayes, w ith baye s+net) header MiME-Version header (oddly capitalized) MIME_ODD_CASE header From: does not include a real name NO_REAL_NAME header From: ends in numbers FROM_ENDS_IN_NUMS header Subject contains "FREE" in CAPS SUBJ_FREE_CAP header From: contains numbers mixed in with letters FROM_HAS_MIXED_NUMS body Claims compliance with Senate Bill 1618 BILL_ body No such thing as a free lunch (3) NO_COST body Claims compliance with spam regulations SECTION_ body List removal information REMOVE_SUBJ body List removal information SUBJ_REMOVE 1... body es Dice cumplir con la ley LEY_ORGANICA_ES 2.0 body es NOS CHILLAN PARA DECIR QUE ES GRATIS GRATIS_ES 1.4 header es Publicidad por OFERTA_ES 1...

28 Aplicaciones Aspectos a tener en cuenta: Configuración de las Aplicaciones Actualizaciones Aplicaciones Propietarias Registros (Logs) 28

29 29 Aplicaciones: Configuración Instalar + Funcionar SEGURIDAD = Securizar + Instalar Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.: Vulnerabilidades. Información sobre el sistema. Información sobre la aplicación. Información sobre la configuración. Las opciones por defecto no ofrecen los rendimientos óptimos. Las aplicaciones de servidor deben ser securizadas. Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.

30 Aplicaciones: Actualizaciones Actualizar día a día. Conocer al día las actualizaciones que nos interesan. Subscripciones a listas de correo, foros, IRC, news: Oficiales: Vulnerabilidades Fabricantes Underground / Hacking: Vulnerabilidades no publicadas Asegurarse que los parches son legítimos. Emplear fuentes fidedignas cuando se realizan updates. Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc. Instalar sólo aquello con lo que nuestro sistema se beneficie. Reducción del daño colateral en el parcheado. 30

31 31 Aplicaciones Propietarias Las aplicaciones propietarias Internet/Intranet/Extranet vulnerabilidades de igual forma que las comerciales. pueden tener Los programadores no tienen conocimientos de seguridad. Programadores + Analistas Seguridad Auditar Aplicaciones. Las aplicaciones son vulnerables a gran cantidad de ataques: SQL Injection. Cross Site Scripting. Ejecución de comandos de SO. URL Unicode/Codificadas. Manipulación de cookies, formularios, cabeceras HTTP y URL. Password cracking, evasión de autenticaciones, robo/reciclado de sesiones. Extracción de información de comentarios, mensajes de error, cache, histórico, etc. Cuentas por defecto, vulnerabilidades publicadas. Uso de una metodología que cubre todos estos aspectos (OWASP).

32 Aplicaciones: Registros/Log Es necesario activar las opciones de registro de las aplicaciones críticas. Deben realizarse revisiones periódicas de los registros. Debe existir personal cualificado para realizar estos análisis. Existen herramientas para facilitar el análisis de estos logs off-line. Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas. 32

33 33 Sistemas Operativos Instalar + Funcionar SEGURIDAD = Securizar + Instalar Puertos / Servicios Cualquier puerto abierto es una puerta de entrada: Cerrar puertos no usados. Emplear protección para los puertos usados (p.e. filtraje por IPs). Permisos a usuarios y grupos Conceder los permisos adecuados en detalle a cada recurso. Usuarios por defecto. Accounting Activación de los logs del sistema y revisarlos periódicamente. Logins / Passwords Contraseñas (robustez, protección) Cuentas por defecto

34 Servicios en Windows 34

35 Servicios en Linux 35

36 Usuarios Los usuarios o empleados son un punto muy importante en la seguridad corporativa. Pero es necesario proporcionarles una formación a dos niveles: Formación en seguridad a nivel de usuario. Concienciación. Seguridad en el correo electrónico. Seguridad en la navegación web. Formación en herramientas de protección a nivel de usuario. Herramientas de protección a nivel de usuario: Firewalls personales. Antivirus de cliente. 36

37 Formación: Correo El correo electrónico es el principal punto de entrada de virus en la empresas. Los empleados han de conocer y seguir una serie de buenas conductas en la utilización del correo electrónico corporativo: Uso adecuado de los recursos de la empresa. Analizar antes de abrir todos los correos electrónicos recibidos. Sospechar de mensajes inesperados, incluso si provienen de algún conocido (los virus utilizan la libreta electrónica de las máquinas infectadas para enviarse a otras direcciones y tratar de contagiar otras máquinas). No abrir archivos ejecutables adjuntos a correos electrónicos a menos que se estuviera esperando expresamente el archivo adjunto. No abrir ningún archivo con doble extensión adjuntado a correos electrónicos (se puede configurar el sistema para que muestre las extensiones de todos los archivos). 37

38 Formación: Navegación Web La navegación web es la otra puerta de entrada principal de virus en las empresas. Hay que ser conscientes de los riesgos que conlleva navegar por Internet, y tomar las debidas precauciones: Uso adecuado de los recursos de la empresa. No descargar ni instalar ningún programa de Internet sin la autorización del departamento de sistemas. Sospechar de Controles ActiveX y applets de Java que requieran de autorización para instalarse. Desactivar a nivel de navegador las opciones de autocompletar nombre y contraseñas en formularios web. 38

39 Firewalls Personales Los Firewalls personales nos protegen de: Ataques o accesos ilícitos de otras redes (o la red interna). Ataques a través de conexiones temporales (VPNs, modem, wireless, etc.) Protegen al resto de ordenadores y nos alertan de accesos de programas en nuestro equipo a la red: Troyanos, spyware, sistemas de actualización automática, etc. Pueden ser una buena solución en redes con conexiones de bajo coste que no ofrecen servicios al exterior (sin servidores web, de correo, dns, etc.). Son imprescindibles en equipos móviles. Los Sistemas Operativos aportan filtros de protección que se aproximan a los firewalls personales, pero requieren ser configurados y muchas veces ni se conocen. 39

40 Firewalls Personales: Windows 40

41 Firewalls Personales: Windows 41

42 Firewalls Personales: Linux 42

43 Antivirus de cliente (I) Los antivirus de cliente nos protegen de: Virus, gusanos o troyanos que lleguen anexados a correos electrónicos. Código malicioso que intente acceder a nuestra máquina a través de unidades compartidas, puertos abiertos, etc. Infecciones víricas a través de disquetes, CDROMs, etc. Es inútil tener un antivirus sin actualizar. La actualización del las firmas que detectan los virus tendría que ser diaria. Es importante activar el análisis de la totalidad de correos electrónicos recibidos y emitidos, independientemente de las extensiones de los archivos anexados que contengan. 43

44 Antivirus de cliente (II) 44

45 Política de Seguridad (I) Qué es? Define las directrices en cuanto a seguridad de la empresa. Qué puntos debe tratar? 1.- Objetivo, ámbito y motivación. 2.- Aplicabilidad y responsabilidades. 3.- Seguridad Lógica Seguridad de software Desarrollo de software y control de cambios Seguridad de la Información Seguridad en las comunicaciones. 4.- Gestión de la seguridad Administración de la seguridad Seguridad del personal Estructura y organización. 5.- Seguridad física Acceso físico Ubicación y construcción de instalaciones informáticas. 45

46 46 Política de Seguridad (II) Finalidad de la Política de Seguridad: Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores. Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo). Cómo hacerla conocer? Dividir en grupos según la necesidad. Definir los medios de difusión en función de la audiencia (presentaciones, videos, pósters, etc.). Consecuencias de una mala difusión? La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad por parte de los empleados. Virus / Troyanos Suplantación de personalidad (mail, teléfono, etc.) News Passwords Hoax Fugas inconscientes de información

47 47 Planes de Contingencia/Continuidad Por qué debemos hacer un Plan de Contingencias? Cuando ocurre un Desastre (Terremoto, Fuego, Inundación, Tornado, etc.) debemos reducir el impacto financiero y operacional del Negocio y estar bien preparados para lo que pudiera ocurrir en una catástrofe de gran magnitud; pero no necesariamente debe ser de gran magnitud; sino que debemos prever situaciones que ocurren esporádicamente. Un Plan de Contingencias Tecnológico debe tener en cuenta qué efectos pueden influir directamente sobre la continuidad del funcionamiento de los equipamientos técnicos y plantear soluciones a estos casos concretos. Definición de Plan de Continuidad de Negocio: Un Plan de Continuidad de Negocio (Business Continuity Plan) contempla acciones precisas que van orientadas a recuperar las Funciones Críticas del Negocio en el menor tiempo posible, cuando ocurre una contingencia No Planeada y que afecta directamente a las operaciones del Negocio.

48 48 Conclusiones Existen multitud de Sistemas de Protección: Routers, Firewalls, IDS/ADS, Antivirus de servidor, Sistemas Antispam, Firewalls personales, Antivirus de cliente, etc. pero... su utilización o no, su disposición concreta en los sistemas o la red, las necesidades concretas en seguridad, los costes asumibles en seguridad serán particulares de cada caso en particular y nunca debe generalizarse. También es necesario conocer profundamente los Sistemas Operativos, las Aplicaciones y el hardware para disponer de un sistema seguro. Es recomendable combinar diferentes sistemas de protección corporativa y personal para proteger en todos los niveles. Los usuarios deben tener un mínimo de conocimientos en seguridad e inseguridad, y deben adquirirse a través de la formación adecuada. Es necesario contemplar la mejor y la peor situación y disponer de Política de Seguridad, Contingencias y Continuidad.

49 Soluciones 49 Seguridad Global Seguridad Global = Soluciones Globales. Las soluciones, al igual que la seguridad, han de ser globales. Análisis Global = Auditorías de Seguridad. Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad. Seguridad Permanente = Auditorías Periódicas. Las Seguridad es un proceso continuo. Conciencia de la Seguridad = Formación adecuada. La formación del personal técnico y de los empleados reduce gastos.

50 Soluciones 50 PYMES (I) Las PYMES necesitan Soluciones Globales... Estudio de las necesidades de seguridad de la empresa: Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc. Propuestas de diseños posibles, con equipamientos distintos y costes adaptados: Existen muchos productos en el mercado. Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa. Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso. Instalación y configuración de las soluciones escogidas.

51 Soluciones 51 PYMES (II) Auditoría específica para PYMES: Test de Antivirus. Configuración de seguridad de los Navegadores Web. Detección de vulnerabilidades de los sistemas expuestos a Internet. Test de Firewall/Router. Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de Aplicaciones no Corporativas, etc. Test del Servidor de Correo. Test de seguridad de los sistemas de la DMZ. Test de integración entre los existentes y los nuevos sistemas de la DMZ. La Auditoría permite detectar y eliminar problemas existentes de seguridad: Configuraciones defectuosas de los sistemas existentes. Vulnerabilidades no parcheadas de los sistemas. Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router. Configuraciones incorrectas o no optimas de Antivirus. Configuraciones inseguras de los navegadores web. Formación al personal técnico y no técnico.

52 Soluciones Auditorías de Seguridad Análisis global de la seguridad: Analizan los distintos puntos de entrada a la red. Analizan la protección existente en los servidores y entre subredes. Visión externa, objetiva y real de la seguridad de la empresa. Aportan soluciones a los problemas de seguridad encontrados. Ámbitos de las Auditorías: Internet (Test de Intrusión): Se exponen máquinas a Internet. Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet) DMZ: Qué capacidad de defensa tiene la red interna desde la DMZ. En la DMZ pueden existir recursos no visibles desde Internet con deficiencias de seguridad. En la DMZ pueden existir recursos que no deben ser accesibles desde la Intranet. Auditorías Internas: En la red interna hay servidores y datos críticos. Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos. Se deben revisar desde la arquitectura de red hasta las políticas de seguridad. 52

53 Soluciones 53 Test de Intrusión La importancia de seguir una metodología (OSSTM) Estándar abierto ISO / BS7799 Una Auditoría NO es un escaneo automático de vulnerabilidades. Sondeo de red. Escáner de puertos, identificación de servicios y sistemas operativos. Test Automático de Vulnerabilidades Password Cracking. Document Grinding. Test de Antivirus. Test de Firewall y ACLs. Test de Medidas de Contención. Revisión de la Política de Privacidad. Test de los sistemas de confianza. Test y verificación Manual de vulnerabilidades. Test de Aplicaciones no Corporativas. Test del Sistema de Detección de Intrusos (IDS). Test de Denegación de Servicio Test de Aplicaciones Corporativas. Test de Ingeniería Social. Red Puntos de entrada en la red Falsos Positivos Deficiencias de Seguridad Gravedad de la Deficiencia

54 Soluciones 54 Auditorías Periódicas La seguridad es un proceso continuo. La seguridad se degrada con el tiempo: Nuevos servicios. Nuevas máquinas. Aparición de nuevos bugs en las aplicaciones. Rotación del personal. Degradación de la Seguridad 100% Nivel de Seguridad tras una Auditoría Platino 90% Sistema minimamente cambiante 80% 70% Sistema medianamente cambiante 60% 50% 40% Sistema altamente cambiante 30% 20% 10% 0% Días