Seguridad en las transacciones y comunicaciones electrónicas

Transcripción

1 Sesión 1 Seguridad en las transacciones y comunicaciones electrónicas Robert English Gerente de Tecnologías de Cinnabar Networks Inc. Cuenta con 34 años de experiencia en el campo de Gestión de la Información y de Tecnologías de la Información, especialmente en el área de seguridad. Ha trabajado como consultor senior en Exocom Consulting Corp. como responsable de definir estrategias e iniciativas en el tema de seguridad para las tecnologías de la información para el gobierno canadiense. Robert English participa activamente en los grupos de trabajo de instituciones y organismos internacionales relacionados con la seguridad de redes y tecnologías de la información. La presente sesión introdujo los principales conceptos sobre seguridad de las tecnologías de la información (TI). La definición más amplia de seguridad para las TI se entiende como la integración de diversos instrumentos de protección que permiten asegurar la confidencialidad, integridad y la disponibilidad de la información, de los sistemas y de los servicios. La seguridad en las TI se encuentra dividida en tres grandes grupos: seguridad de los equipos informáticos, seguridad de las comunicaciones y seguridad de las redes. Para garantizar la seguridad de las TI se debe tomar en cuenta no sólo los componentes tecnológicos sino también la gestión, procedimientos y operaciones, así como el personal humano involucrados en el proceso. Las definiciones sobre confidencialidad, integridad, disponibilidad, seguridad de las comunicaciones, seguridad de las computadoras, seguridad de las redes, seguridad criptográfica, seguridad en la transmisión y seguridad en la emisión pueden ser vistas en las filminas siguientes. Para la implementación de medidas de protección que garanticen la seguridad de las TI se debe tener en cuenta las necesidades de seguridad requeridas para el cumplimiento de los objetivos de la organización. Para ello, se debe elaborar un Plan de Gestión de Información y de las TI, que sirva de base para la estrategia de seguridad. Esta estrategia debe ser coherente con los resultados obtenidos al realizar los estudios y evaluaciones de las amenazas y riesgos que la organización enfrenta, y las soluciones que se encuentran disponibles en el mercado. Para la evaluación de las medidas de protección a ser aplicadas para garantizar la seguridad de las TI, es necesaria la certificación y acreditación de una tercera parte que cuente con confianza. Se necesita siempre de la objetividad de alguien que no está involucrado en el proceso. Por ello, son imprescindibles las auditorias de sistemas y procesos de seguridad. Se deben examinar los criterios y estándares usados, la metodología aplicada, así como la calificación del personal encargado de implementar los sistemas de protección. 9

2 Con la finalidad de ser eficientes y ahorrar recursos en la implementación de medidas de seguridad para las TI, se recomienda aplicar common approaches y best practices, tales como el PKI. Sin embargo, dado que los equipos y sistemas evolucionan constantemente, y que gran parte de estos provienen de otros países, es necesario contar con procedimientos que permitan evaluar los productos aplicados y generar confianza en ellos. Para ello se debe contar con programas de reconocimiento mutuo o procesos que permitan garantizar que los productos cumplen con las especificaciones necesarias, o que son compatibles con versiones locales o versiones antiguas. Esto permitirá que los sistemas puedan finalmente interoperar. Sin embargo, dado que los sistemas, equipos e información sobre seguridad son sensibles y controlados por los gobiernos (mediante controles a la exportación), para garantizar la seguridad nacional, resulta necesaria la suscripción de convenios bilaterales, regionales o al interior de comunidades (tales como APEC, OEA, etc.), para proteger el acceso a productos y sistemas de seguridad. 10

3 Cinnabar Net works Inc. Session 1 An Overview of IT Security Cinnabar Net works Inc. Sesión 1 Resumen de Seguridad IT Robert English Managing Principal, IT Security & Privacy Robert English Director Administrativo, Seguridad & Privacidad IT Presentation Coverage Temas a cubrir en la Presentación Objective Salient Definitions Framework To Apply Protective Measures Risk Management Approach Threat and Risk Assessment System Certification & Accreditation Objetivo Principales Definiciones Marco para Aplicar Medidas de Protección Enfoque de Manejo de Riesgos Evaluación de Amenazas y Riesgos Certificación y Acreditación de Sistemas Presentation Coverage Temas a cubrir en la Presentación Policy & Standards Common Approaches ITS Product Assurance Product Evaluations System Assessments Políticas y Normas Enfoques Comunes Seguridad de los Productos ITS Evaluaciones de Productos Evaluaciones de Sistemas 11

4 Objective Objetivo To provide a high level and broad understanding of ITS that would form the basis from which more in-depth training in component areas could be comfortably taken Proporcionar un entendimiento amplio y de alto nivel de la ITS que será la base a partir de la cual se pueda llevar a cabo con comodidad una capacitación más profunda sobre las areas componentes ITS Definitions Definiciones ITS Information Technology Security the protection resulting from an integrated set of safeguards designed to ensure the confidentiality of information electronically stored, processed or transmitted; the integrity of the information and related processes; and the availability of systems and services. (Ref: GSP) Seguridad de Tecnología de la Información La protección resultante de un conjunto integrado de salvaguardas diseñadas para asegurar la confidencialidad de la información almacenada, procesada o transmitida electronicamente; la integridad de la información y procesos relacionados; y la disponibilidad de sistemas y servicios. (Ref: GSP) A Holistic View Una Visión Holística An Integrated Approach Un Enfoque Integrado Personnel COMSEC COMPUSEC NETSEC Physical Personal COMSEC COMPSEC NETSEC Física Administration & Organization Administración & Organización 12

5 Definitions Definiciones Confidentiality: the sensitivity of information or assets to unauthorized disclosure, which implies a degree of injury should unauthorized or inadvertent disclosure occur. Confidencialidad: la sensibilidad de cierta información o activos a una divulgación no autorizada, lo que implica un grado de perjuicio en caso se de una divulgación no autorizada o inadvertida. Definitions Definiciones Integrity: the accuracy and completeness of information and assets and the authenticity of transactions Availability: the condition of being usable on demand to support business functions Integridad: la exactitud e integridad de la información y activos y la autenticidad de las transacciones Disponibilidad: la condición de poder ser usado a demanda para soportar las funciones de negocios. Definitions Communications Security: Protection resulting from applying cryptographic, transmission and emission security (TEMPEST) measures to telecommunications emissions, and information handling equipment, and from applying other measures appropriate to COMSEC information and material. Definiciones Seguridad de Comunicaciones: La protección resultante de la aplicación de medidas de seguridad criptográfica, de transmisión y emisión (TEMPEST) para las emisiones de telecomunicaciones y el equipo de manejo de información, y de la aplicación de otras medidas apropiadas para la información y material COMSEC. 13

6 Definitions Computer Security: the protection resulting from measures designed to prevent deliberate or inadvertent unauthorized disclosure, acquisition, manipulation, destruction, modification or loss of information contained in a computer system, as well as measures designed to prevent denial of authorized use of the system. Definiciones Seguridad de Computadoras: la protección resultante de las medidas diseñadas para evitar la divulgación, adquisición, manipulación, destrucción, modificación o pérdida no autorizada deliberada o inadvertida de información contenida en un sistema computarizado, así como medidas diseñadas para evitar la negación al uso autorizado del sistema. Definition Definición Network Security: the protection of electronic networks and their services, and the assurance that the network performs its functions correctly and when needed Seguridad de Red: la protección de las redes electrónicas y sus servicios, y la seguridad de que la red realiza sus funciones correctamente y cuando se requiere. Definitions Definiciones Cryptographic Security: The protection provided to an IT system or network by the proper use of technically sound cryptosystems or components to provide assurance in confidentiality and integrity. Seguridad Criptográfica: La protección que da a un sistema o red IT el uso adecuado de criptosistemas o componentes tecnicamente sólidos para proporcionar seguridad en cuanto a confidencialidad e integridad. 14

7 Definitions Definiciones Transmission Security: That component of COMSEC which results from all measures designed to protect transmissions from interception and exploitation by means other than cryptanalysis Seguridad de Transmisión: El componente de COMSEC (Seguridad en las comunicaciones) resultado de todas las medidas diseñadas para proteger las transmisiones de intercepción y explotación por medios distintos al criptoanálisis Definitions Definiciones Emission Security: All measures taken to deny unauthorized persons information of value which might be derived from intercept and analysis of compromising emanations from communications and information systems. Seguridad de Emisión: Todas las medidas tomadas para negar a personas no autorizadas el acceso a información de valor que podría derivarse de la intercepción y análisis de emanaciones comprometedoras de sistemas de información y comunicación. Application of Protective Measures Responsive to business objectives Supported within the Information Management and Information Technology Plan Supported by an Enterprise Wide ITS Strategy Driven by a Threat and Risk Assessment Aplicación de Medidas de Protección Deben responder a los objetivos de negocios Deben estar incluidas dentro del Plan de Tecnología de la Información y Manejo de Información Deben estar respaldadas por una Estrategia ITS para toda la Empresa Deben establecerse a partir de un Análisis de Amenazas y Riesgos 15

8 Security Risk Management Driven Adopt a proven methodology or tailor to meet unique user need Analyze and assess threats & risks Identify risk-avoidance options Implement cost-effective safeguards Certify and accredit the system Monitor and audit on an on-going basis Medidas Basadas en el Manejo del Riesgo para la Seguridad Adoptar una metodología probada o personalizarla para satisfacer las necesidades únicas del usurio Analizar y evaluar amenazas y riesgos Identificar opciones para evitar riesgos Implementar salvaguardas costo-efectivas Certificar y acreditar el sistema Monitorear y auditar continuadamente Threat & Risk Assessment Evaluación de Amenazas y Riesgos (TRA) Conduct environmental assessment statements of sensitivity identification of information and system assets identify threats and threat agents Conduct Threat and vulnerability analysis Consider full options analysis Provide TRA recommendations Decide upon safeguard selection Realizar una evaluación ambiental Informe de sensibilidad Identificación de los activos de información y sistema Identificar amenzas y agentes de amenazas Llevar a cabo un análisis de Amenazas y vulnerabilidad Considerar un análisis de opciones completas Proporcionar recomendaciones TRA Decidir en cuanto a la selección de salvaguardas System Certification & Accreditation Certification: an activity that comprehensively assesses IT system security features to determine if they meet the security policy Accreditation: an activity which records official acceptance of the management of residual risk in the IT system Acreditación & Certificación del Sistema Certificación: una actividad que evalua comprehensivamente las características de seguridad de sistemas IT para determinar si éstas cumplen con la política de seguridad Acreditación: una actividad que registra la aceptación oficial del manejo del riesgo residual en el sistema IT. 16

9 Risk Management Framework Marco de Manejo de Riesgos Threat and Risk Assessment Risk Management Define Reqmn/ts Evaluación de Riesgos y Amenazas Manejo del Riesgo Definir Reqmnts. Planning - Aim - Scope - Info Gather - Systems - Target Certain ty Preparation - Identify assets - Sensitivity statement TRA Analysis - Threats - Risks TRA Recommends - Avoid - Accep t - Transfer - Reduce Decision Safeguard Selection Planificación -Objetivo - Alcance - Recop. de Inf. -Sistemas -Meta Certeza Análisis TRA - Amenazas - Riesgos Preparación -Identificar activos -Situación de sensibilidad Recomendacio- Nes TRA -Evitar -Aceptar -Transferir - Reducir Decisión Selección de Salvaguardas Construct Implement Construir Implementar Refine System Design Certify Refinar el Diseño del Sistema Certificar Change Decision ReqÕd Operate & Maintain Accreditation Decision Requerimien - Decisión to de cambio Operar & Mantener Acreditación Decisión Insignificant Insignificante Policy & Standards Políticas & Normas Policy: High level direction on what is required; must have longevity Standards: Provide solutions to policy implementation (the how) and are more operational oriented. Can be both mandatory and discretional Política: Dirección de alto nivel sobre lo que se requiere; debe tener longevidad Normas: Proporcionan soluciones para la implementación de políticas (el cómo hacerlo) y están más orientadas a lo operacional. Pueden ser obligatorias o discrecionales. Enterprise Wide ITS Policy Política ITS para toda la Empresa Coverage (minimum) Application Objectives Requirements/directives Roles and Responsibilities Audit Education and Awareness COMSEC, COMPUSEC, NETSEC Security Risk Management IT system security certification and accreditation Cobertura (mínimo) Aplicación Objetivos Requerimientos/directivas Roles y Responsibilidades Auditoría Educación y Conocimiento COMSEC, COMPUSEC, NETSEC Manejo del Riesgo para la Seguridad Certificación y acreditación de seguridad de sistemas IT 17

10 Enterprise Wide ITS Policy Política ITS para toda la Empresa Coverage (minimum) Requirements continued Intrusion detection and response Privacy Internet security Interconnection of systems Secure remote access Dial-in/modem policy Personnel and physical security Disciplinary action etc. Cobertura (mínimo) Requerimientos continuación Detección y respuesta a la intrusión Privacidad Seguridad de Internet Interconección de sistemas Acceso remoto seguro Política de Dial-in/modem Seguridad personal y física Acción disciplinaria etc. Enterprise Wide ITS Standards Coverage (minimum) Policy implementation (one to one mapping) How policy requirements will be met How compliance will be measured Impact of non-compliance Where it is obligatory or mandatory and where it is discretionary Normas ITS para toda la Empresa Cobertura (mínimo) Implementación de políticas (mapeo una a una) Cómo se cumplirá con los requerimientos de las políticas Cómo se medirá el cumplimiento Impacto del incumplimiento Dónde es obligatoria y forzosa y dónde es discrecional Policy & Standards Comparative Analysis Análisis Comparativo de Políticas y Normas Standards: Security Risk Management (RM) The security RM framework will comprise: A methodology for conducting Threat and Risk Assessments (TRAs) A document on Modes of Operation A RM Guideline to support the RM standards Política: Manejo del Riesgo (RM) para la Seguridad Se establecerá un marco para el manejo de riesgos (RM) para la seguridad, de manera que se puedan tomar decisiones informadas basadas en los riesgos cuantificados para la aceptación de riesgo residual 18

11 Policy & Standards Comparative Analysis Análisis Comparativo de Políticas y Normas Standards: Security Risk Management (RM) The security RM framework will comprise: A methodology for conducting Threat and Risk Assessments (TRAs) A document on Modes of Operation A RM Guideline to support the RM standards Normas: Manejo del Riesgo (RM) para la Seguridad El marco de manejo del riesgo (RM) para la seguridad comprenderá : Una metodología para llevar a cabo Evaluaciones de Amenazas y Riesgos (TRA) Un documento sobre los Modos de Operación Lineamientos de RM que respalden las normas RM Policy & Standards Comparative Analysis Standards: Security Risk Management (RM) The security RM Methodology for Threat and Risk Assessments (TRA) will comprise: An environmental assessment A Threat and vulnerability analysis An options analysis and recommendation on safeguards and residual risk Análisis Comparativo de Políticas y Normas Normas: Manejo del Riesgo (RM) para la Seguridad La Metodología de manejo del riesgo (RM) para la seguridad para las Evaluaciones de Amenazas y Riesgos (TRA) comprenderá: Una evaluación ambiental Un análisis de amenazas y vulnerabilidades Un análisis de opciones y recomendaciones sobre salvaguardas y riesgo residual. Policy & Standards Comparative Analysis Standards: Security Risk Management (RM) Threat and Risk Assessments (TRA) will be completed: When all new Information Systems are being planned When major updates or reconfigurations of existing systems are being contemplated After a major security incident At least every 5 years for major sensitive IT systems Análisis Comparativo de Políticas y Normas Normas: Se realizará Manejo del Riesgo (RM) para la Seguridad Evaluaciones de Amenazas y Riesgos (TRA): Cuando se esté planeando todos los nuevos sistemas Cuando se esté contemplando reconfiguraciones o actualizaciones importantes de los sistemas existentes Después de un incidente mayor de seguridad Por lo menos cada 5 años en el caso de los sistemas IT más sensibles 19

12 Common Approaches Enfoques Comunes Common approaches: solutions that provide efficiencies, economies & opportunities for interoperability (the Government of Canada s ITS Strategy, PKI if it s a best practice) Enfoques comunes: soluciones que proporcionan eficiencia, economía y oportunidades de interoperabilidad (la estrategia IT del Gobierno de Canadá, PKI si es una mejor práctica) ITS Product Assurance Seguridad de los Productos ITS Trusted Third Party (Objectivity) Standards or Criteria Methodology Personnel Certification Tercera Parte de Confianza (Objetividad) Normas o Criterios Metodología Certificación de Personal ITS Product Assurance Seguridad de los Productos ITS Industrial ITS Program (National Level) Mutual Recognition Ratings and Maintenance Program (RAMP) Programa ITS Industrial (Nivel Nacional) Reconocimiento Mutuo Clasificaciones y Programas de Mantenimiento (RAMP) 20

13 Determination of ITS Product Assurance Categorization and information sensitivity Development of Statements of Sensitivity Development of functional security requirement Mapping against policy assurance model Conduct of TRA/selection of safeguards Determinación de la Seguridad de los Productos ITS Categorización y sensibilidad de la información Desarrollo de un Informe de Sensibilidad Desarrollo de un requerimiento de seguridad funcional Mapeo con respecto a un modelo de seguridad de política Realización de una TRA/selección de salvaguardas Product Evaluations Evaluaciones de Productos Endorsements or ratings evaluated against a functional requirement Assessments evaluated against the unique user requirement environment specific Reviews confirmation of vendor claims and advertised features Aprobaciones o clasificaciones Evaluadas con respecto a los requerimientos funcionales Evaluaciones evaluadas con respecto al requerimiento de usuario único espécificas para un ambiente Revisiones Confirmación de lo ofrecido por los proveedores y las características publicitadas System Assessment Evaluación de Sistema Product certifications Product interconnect incompatibilities Threat and risk assessment Connectivity Policy and standards System accreditation constraints Interoperability/cross-certification.composability challenge Certificaciones de Productos Incompatibilidades de interconección del producto Evaluación de amenazas y riesgos Conectividad Políticas y normas Limitaciones de la acreditación de sistema Interoperabilidad/certificación cruzada.desafío de composabilidad 21

14 National security: National Security VS Unclassified but Sensitive More rigor in algorithms, cryptologic, product integration and system security COMSEC information surrounding cryptography is sensitive and controlled Information, know-how and technology is controlled nationally, bilaterally, within NATO etc. Export control regimes control release and movement Need to know access applies Seguridad Nacional VS No Clasificado pero Sensible Seguridad Nacional: Más rigor en los algorítmos, criptología, integración de producto y seguridad de sistema La información COMSEC que rodea a la criptografía es sensible y controlada La información, know-how y tecnología se controlan nacionalmente, bilateralmente dentro de la OTAN, etc. Los regimenes de control de las exportaciones controlan los lanzamientos y movimientos de productos Aplica la necesidad de conocer los accesos Ranking of Sensitive ITS Information and Technology Ranking de Información y Tecnología ITS Sensible Within national boundaries (Peru, US, FR) Bilaterally with allies (Can/US) Within communities (OAS, NATO, EU, AUSCANUKNZUS) Commercially or in open source Dentro de los limites nacionales (Perú, EU, FR) Bilateralmente con aliados (Can/EU) Dentro de comunidades (OEA, OTAN, UE, AUSCANUKNZUS) Comercialmente o en fuente abierta 22