La Seguridad Un desafío Contínuo. Elving Santana

Transcripción

1 La Seguridad Un desafío Contínuo Elving Santana

2 Objetivo Situación Actal Agenda Conceptos de Seguridad Seguridad es un Proceso Contínuo El Proceso de Seguridad d Evaluación y Gestión de Riesgos Las 10 Principales i Amenazas Mejores Prácticas

3 Objetivo Comunicar la importancia de la seguridad en las redes Reconocer las mejores prácticas para detectar y mitigar los riesgos de seguridad en la empresa

4 Situación Actual Las ciber-amenazas crecen más rápido de lo que las empresas pueden mitigar Estudios indican que los modelos actuales de seguridad son poco efectivos contra el cibercrimen Más del 50% de los ataques de hoy son internos El 70% de los ataques internos no se reporta

5 Situación Actual Los Ataques no se Detienen

6 Seguridad un Desafío Continuo El problema fundamental de la privacidad en la comunicación está en garantizar su seguridad.

7 Conceptos de Seguridad La seguridad es un proceso que tiene como objetivo la protección de los siguientes elementos: La vida humana Los activos de una entidad d Los recursos humanos La reputación y la imagen

8 Conceptos de Seguridad Seguridad Informática Es el proceso de mantener bajo protección los recursos y la información existentes en la red, a través de procedimientos basados en políticas de seguridad que permitan el control de las actividades.

9 Conceptos de Seguridad Definiciones Vulnerabilidad: debilidad de hardware, software o procedimental que puede abrir la puerta a un atacante potencial denominado agente de amenaza Amenaza: cualquier peligro potencial para los sistemas información Riesgo: la probabilidad de que un agente se aproveche de una vulnerabilidad y del impacto correspondiente al negocio Exposición: es una instancia de exposición a pérdidas causadas por un agente Contramedida o Salvaguarda: mecanismo colocado para mitigar el riesgo potencial

10 Conceptos de Seguridad Principales Disciplinas de Seguridad Seguridad Física Seguridad de Operaciones Leyes Investigación y Ética Seguridad de Aplicaciones Arquitectura y Modelos de Seguridad Seguridad de Redes y Tele- Comunicaciones Prácticas de Gestión de Seguridad Recuperación De Desastre y Continuidad Criptografía Control de Acceso y Metodología

11 Conceptos de Seguridad Relación Agentes, Amenaza, Resultado Agente Amenaza a Explotar Consecuencia Virus Falta de Antivirus Infección de Virus (CIA) Acceso no autorizado a información Hacker Servicios en el servidor confidencial Usuarios Fuego Empleado Error de configuración en unsistema Faltade extintores Falta de entrenamiento ó de reforzamiento de estándares Falla del sistema (A) Daños la propiedad y posiblemente pérdidade vida (IA) Perdidade información crítica; Alteración de datos, desfalcos (CIA) Contratista Controlesde acceso relajados Robo de secretos (C) Atacante Intruso Código pobre, falta de firewall o mal configurado Falta de guardián o cerraduras en puertas y ventanas Hacer un bufferoverflow (C) Hacer un Denialof Service (A) Puertas o accesos rotos y robo de equipos u otros activos. (IA)

12 Conceptos de Seguridad Objetivos de Seguridad de la Información 1. Disponibilidad Implica proveer acceso a recursos e información de manera confiable y a tiempo 2. Confidencialidad: Consiste en proteger la información ió contra el uso no autorizado explícitamente 3. Integridad Busca proteger la información contra la modificación sin autorización del dueño

13 Seguridad es un Proceso Contínuo Los procesos de negocio se basan en los resultados esperados El ciclo tiene 4 dominios, similar al lde Deming/Shewhart

14 Seguridad es un Proceso Contínuo Resultados de procesos que dan Resistencia

15 El Proceso de Seguridad Modelo de Seguridad El modelo de seguridad de es un marco formado por muchas entidades, mecanismos de protección, componentes lógicos, administrativos y físicos, procedimientos y procesos que trabajan todos juntos en forma sinergética para proveer un nivel se seguridad en un ambiente.

16 El Proceso de Seguridad Piezas analizar los sistemas de seguridad.

17 El Proceso de Seguridad Politicas, Estándares, Guías y Procedimientos Las políticas establecen el canal lformal lde actuación del personal, en relación con los recursos y servicios i informáticos, importantes de la organización

18 El Proceso de Seguridad Las políticas deben considerar entre otros, los siguientes elementos: 1. Alcance, incluyendo facilidades, sistemas y personal sobre la cual aplica. 2. Objetivos y descripción clara de los elementos involucrados en su definición. 3. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. 4. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. 5. Definición de violaciones y de las consecuencias del incumplimiento de la política. 6. Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

19 El Proceso de Seguridad Politicas, Estándares, Guías y Procedimientos Ejemplo de procedimiento de chequeo de eventos en el sistema: Diariamente: Extraer un logístico sobre el volumen de correo transportado. Extraer un logístico sobre las conexiones de red levantadas en las últimas 24 horas. Semanalmente: Extraer un logístico sobre los ingresos desde el exterior a la red interna. Extraer un logístico con las conexiones externas realizadas desde nuestra red. Obtener un logístico sobre los downloads de archivos realizados y quién los realizó. Obtener gráficos sobre tráfico en la red

20 El Proceso de Seguridad Estándares Existentes El estándar de Manejo de Seguridad más usado es el ISO/IEC 17799:2005 renombrado ISO/IEC_ Derivado del antiguo estándar Británico BS7799 Define 10 areas de trabajo que se alínean con la certificación CISSP Provee recomendaciones de alto nivel sobre seguridad empresarial Consiste de dos partes: 1- Guia de implementación con recomendaciones sobre como construir una infraestructura de seguridad. 2- Una guía de auditoría basada en los requerimientos a cumplir con relación a la ISO Otro estándard importante es el SO/IEC 27031:2011 Information technology -- Security techniques -- Guidelines for information and communication technology readiness for business continuity

21 El Proceso de Seguridad Estándares Existentes, Cont. También se ha creado el Marco de Referencia COBIT: Control Objectives for Informationand RelatedTechnologies. Cobit es un marco de gobierno de TI que facilita cerrar la brecha entre los requerimientos de control, los asuntos técnicos y los riesgos de negocio. Basado e integrado con estándares de la industria y las buenas prácticas en: Alineamiento estratégico de TI con las metas de negocios Entrega del valor de nuevos servicios y las nuevas medidas y nuevos proyectos Manejo de riesgo Manejo de recursos Medición de la ejecución

22 El Proceso de Seguridad Controles Control: Es un proceso ó mecanismo que sirve como contramedida. Según el objetivo, los controles pueden ser: Preventivos: previenen la explotación de la vulnerabilidad Detectivos: ayudan a la investigación post-explotación Correctivos: corrigen las ocurrencia de problemas Según el área de ejecución, los controles pueden ser: Administrativos: basados en procesos y gente Técnicos: involucran software o hardware Físicos: implementa barreras físicas para disuadir

23 Tipos de Controles Preventivos Físico: Puertas cerradas, verjas, tags de activos, guardianes, señales. Técnico: Respaldos, antivirus, sistemas HA, encriptación, certificaciones de aplicaciones, soluciones DLP Administrativo: Procedimientos de contratación, investigaciones, procesos de control de cambios, descripciones de trabajo, leyes y regulaciones, SLAs, etc.

24 Tipos de Controles Detectivos Administrativo: Auditoría, logs, vacaciones mandatorias, balanceo de cuentas, evaluación de riesgo. Técnico: IDS, HA failure detection, lectores automáticos de logs, checksums, circuito cerrado, forensicos, etc. Físico: Vidrios rotos, inventarios físicos, sistemas de alarmas (fuego, ladrones), sellos de invasión, recibos y facturas.

25 Tipos de Controles Correctivos Administrativo: Proceso de terminación, planes BCP y DRP, post mortems, seguros, implementación de recomendaciones de auditoría. Técnico: Restauración de respaldo, HA failover, rutas redundantes (L2/L3), utilidades de reparación de archivos. Físico: Sitios alternos, rociadores de incendio, extintores, mantraps

26 El Proceso de Seguridad Relación Entre Políticas Estándares Relación Entre Políticas, Estándares, Guías y Procedimientos

27 Evaluación y Gestión de Riesgos Definiciones Riesgo: efecto de incertidumbre en los objetivos No existe un ambiente 100% libre de riesgos La gestión de riesgo es el proceso de evaluar y controlar las amenazas hasta reducirlas a un nivel aceptable. El riesgo se puede mitigar, aceptar, transferir, y evitar Análisis de Riesgo: es una herramienta de la gestión de riesgo para identificar vulnerabilidades y amenazas y evaluar el daño potencial para determinar donde implementar los controles adecuados El análisis puede ser cualitativo ó cuantitativo

28 Evaluación y Gestión de Riesgos Tipos de Riesgo Principales amenazas Daño físico: fuego, agua, vandalismo, apagones, desastres Interacción Humana: acciones intencionales ó no intencionales que pueden afectar la productividad Falla de equipo ó de equipos periféricos Ataques internos ó externos: jaqueos, craqueos y ataques Mal uso de datos: compartir secretos, fraude, espionaje ó robo Pérdida de datos: perdida (intencional ó no intencional) viamedios destructivos Error de aplicaciones: errores computacionales, errores de entrada ó buffer overflows

29 Evaluación y Gestión de Riesgos Clasificación de la Información y Sistemas Hay varios modelos de clasificación de información, las empresas clasifican según sus necesidades. Las principales clases incluyen: Pública: información de mercadeo, website, etc. Interna: diagramas, organigramas, manuales de empleados, etc. Privada: información de empleado, BOMs, planes de proyecto. Confidencial: información de adquisiciones, estados financieros, contratos, etc.

30 Evaluación y Gestión de Riesgos Análisis de Riesgo Cuantitativo 1. Determine el valor del activo a proteger 2. Estime el valor de la pérdida potencial por la amenaza = PPA = Valor de activo*%de pérdida 3. Calcule las pérdidas anuales por amenaza: PA = PPA * TDO Es decir, Perdida Anual = Perdida por Amenaza * Tasa de Ocurrencia

31 Evaluación y Gestión de Riesgos Ejemplo Cuantitativo Una granja de servidores tiene un valor de $100,000 y se estima que un rayo daña 20% de estos. Se espera que la probabilidad caida de rayo al año es 10%. Valor del Activo = $100,000 Perdida Potencial por Instancia (SLE) = 100,000*0.2 = $20,000 Pérdida Anualizada para 10% de Ocurrencia = $20,000 * 0.1 = $2,000 Si se quiere reducir o eliminar el resgo, la empresa deberá ponderar el gasto de 2,000 en un pararayos.

32 Evaluación y Gestión de Riesgos Análisis de Riesgo Cualitativo Las amenazas se basan en un mecanismo de escala Números, 1 10 Tasa: baja, media y alta Reportes La amenaza se escala a la probabilidad La pérdida se escala al impacto o importancia Probabilidad * Importancia = Riesgo

33 Evaluación y Gestión de Riesgos Ejemplo de cálculo de Riesgo Cualitativo Supongamos una red simplificada con un router, un servidor y un bridge.

34 Principales Amenazas Los 10 Primeros Riesgos de Seguridad de Aplicaciones Para el 2010 Según el OWASP The Open Web Application Security Project A1-Injection A2-Cross Site Scripting (XSS) A3-Broken Authentication and Session Management A4-Insecure Direct Object References A5-Cross Site Request Forgery (CSRF) A6-Security Misconfiguration A7-Insecure Cryptographic Storage A8-Failure to Restrict URL Access A9-Insufficient Transport Layer Protection A10-Unvalidated Redirects and Forwards

35 Fuente: ENISA Principales Amenazas Los 10 Principales Ataques en Celulares

36 Mejores Prácticas 10 Medidas de Protección Contra el Agente Interno 1. Cifrado de datos 2. La gestión de identidad 3. Implementar un sistema de DLP 4. Configurar el firewall para abordar el tráfico en ambos sentidos 5. Gestión del cambio 6. El uso de productos de seguridad de correo con filtrado de contenidos 7. Política de menor privilegio 8. Archivo de auditoría de acceso 9. Uso de inspección de paquetes en la red 10. Política de segregación de responsabilidad 11.Control de dispositivos USB y otros almacenamiento

37 El Ambiente Regulatorio El Ambiente Regulatorio Entidades Regulatorias de Estados Unidos

38 Conclusiones Los ataques a los sistemas de información son cada vez más sofisticados y más costosos para las organizaciones La seguridad es un proceso continuo La segurida persigue la protección de la vida humana y de diversos activos en las instituciones Los principios de seguridad son: Disponibilidad, Confidencialidad, e Integridad Se puede establecer tres tipos de controles : Preventivos, Detectivosy Correctivos Los estándares y regulaciones facilitan el uso sistemáico de los procesos de seguridad La negligencia y el exceso de confianza facilitan

39 Fuentes 1. Organizational Resilience: Security, Preparedness, and Continuity Management Systems-Requirements and Guidance for Use. American National Standards Institute, Inc All in One CISSP Exam Guide, 3rd Ed, Shawn Harris 3. Las 10 Primeras de OWASP 4. Manual de Seguridad en Redes, ArCERT. 5. Protecting Against Insider Attacks In Todays Network Environments, por Deb Shinder.