PLANTEAMIENTO DEL PROBLEMA

Transcripción

1 INTRODUCCIÓN En la actualidad es indispensable brindar una protección adecuada al más alto nivel en cualquier infraestructura de seguridad y satisfacer la demanda para proteger tanto la información electrónica como su infraestructura en cualquier organización. Para identificar cuales son los riesgos de ataques potenciales que podrían dejar expuesta información confidencial, se deben realizar pruebas de vulnerabilidad a gran escala, luego de haber tenido los resultados de dichas pruebas, llegar a conclusiones para recomendar lo que debe hacerse para solucionar este problema, así como el diseño de planes a largo plazo para la adquisición e instalación de Herramientas e implementación de estrategias, estas permitirán contrarrestar dichos ataques. Si se quiere brindar una asesoría en seguridad con base en la información más actualizada sobre mejores prácticas de seguridad, se deben de revisar las políticas (si existen), tecnología y procesos de seguridad, y así diseñar y ejecutar un plan orientado a proteger la información, asegurándose que tanto la instalación como la Infraestructura de la tecnología de Información permanezcan seguras y disponibles. Se debe de utilizar una metodología basada en estándares y educación para el personal que accesa la información mediante cursos de seguridad (capacitaciones). Además se deben de utilizar métodos basados en normas evaluando las políticas y estrategias de seguridad con el fin de presentar recomendaciones y asegurar que cumplan con los objetivos de la organización mediante la realización de evaluaciones periódicas con la finalidad de mantener a la organización segura en todo momento. Con todo esto se pretende identificar las vulnerabilidades y riesgos potenciales, con el fin de minimizar el impacto en la continuidad de las operaciones de la Organización en caso de que se violase la seguridad. Una vez hecha la evaluación a una organización, se debe de realizar un plan estratégico para configurar e implementar la tecnología de seguridad informática. 1

2 PLANTEAMIENTO DEL PROBLEMA Si un sistema de información deja de funcionar, se crea normalmente un gran problema que puede ser tan grave que lleve a la paralización completa de operaciones en una organización. (Como por ejemplo, el sitio de Amazon pierde $4,000/seg cuando está fuera de línea, en la bolsa de valores se pierden $180,000/seg en transacciones cuando su sitio está abajo. 1 La administración de las organizaciones tienen una dependencia cada vez mayor de los sistemas de información y estos sistemas son vulnerables a agresiones o fallos. Todo ello se ha ido acentuando por la evolución de las tecnologías de información (multiplicación del número de ordenadores, crecimiento de su potencia, ínterconectividad, descentralización, expansión de las redes, aumento del numero de usuarios). La necesidad de la seguridad y el control es evidente. Sin embargo, el progreso tecnológico y la rápida evolución de los sistemas de información no han ido parejas a la evolución de procedimientos de seguridad que deben implantarse para evitar riesgos accidentales o intencionados. También la legislación ha quedado desfasada en este aspecto, en la actualidad todos los países intentan modernizar sus leyes sobre la seguridad y confidencialidad de los sistemas de información. La seguridad de un sistema de información consiste en preservar la disponibilidad, confidencialidad e integridad de datos y programas; estos factores pueden ponerse en peligro por aspectos voluntarios o involuntarios de origen interno o externo. Una buena parte de la perdida se debe a errores humanos y accidentes. Un esquema de seguridad no se trata solamente de instalar un buen antivirus o el mejor firewall en el mercado, sino que se requiere un enfoque integral sobre las amenazas y riesgos potenciales que puede tener la unidad informática y un plan de acción para minimizar el impacto en caso de que ocurriesen tales amenazas o riesgos. Los problemas de seguridad de los sistemas de información son los siguientes: Problemas de Seguridad física: que pueden ser catástrofes, fallos en los elementos físicos o sabotajes. Problemas de confidencialidad: Accesos no autorizados a información confidencial, accesos no autorizados para obtener copias piratas de programas, accesos no autorizados para modificar datos de aplicaciones ya sea en provecho propio o como sabotaje, modificación de datos (como nominas, expedientes, destrucción de información). 1 Fuente : seminario e-business de GBNET. 2

3 Utilización indebida del ordenador: Juegos, trabajos particulares y/o para otra entidad, etc. Problemas de seguridad lógica: Virus Informáticos, bombas lógicas, puertas traseras, etc. Pero, porqué las personas comenten delitos o fallos contra la seguridad informática? Las respuestas pueden ser muchas, pero por lo general son cualquiera de las siguientes: Provecho personal (ganancia monetaria, datos favorables, pirateo de programas) Entretenimiento/Diversión Venganza Favor Personal Desafío al sistema Vandalismo Accidente, negligencia Tipos de Ataques o Abusos detectados en los últimos 12 meses (porcentajes) Negación de Servicio Computadora Portátil Intervención de cable activo Fraude Telecomunicaciones Acceso no autorizado de usuarios de la red Virus Fraudes Financieros Abuso de los usuarios al acceso de la red Penetración del Sistema Espionaje en telecomunicaciones Sabotaje Robo de información propietaria Porcentaje de Respuestas Figura1. Estadística del CSI/FBI sobre Crímenes Computacionales.(2001) 3

4 A través del tiempo, siempre se han corrido riesgos con la información; un archivo o documento podría quemarse en un incendio, la información podía ser fotocopiada o robada o un teléfono puede ser intervenido o en una reunión, luego de celebrarse, pueden haber filtraciones, escuchas o grabaciones. En una sociedad sin tecnología informática también se establecen mecanismos adecuados de seguridad para minimizar riesgos, como por ejemplo mantener bajo llave los archivos, controlar el acceso de las personas que entran y salen del lugar donde se encuentran los archivos importantes, tener una copia de los archivos importantes en un lugar seguro fuera e la organización, etc. Para minimizar los riesgos en un sistema de información se debe: 1. Hacer una prevención de riegos a través de un enfoque de gestión 2. Detección de problemas, cuando han fallado los mecanismos de prevención. 3. Limitación de pérdida: si a pesar de los controles de prevención y detección, ocurre el problema, restringir las perdidas en la medida de lo posible. 4. Recuperación: Planes de contingencia totalmente probados y documentados para volver a disponer del sistema de información. 5. Por lo anterior, se desea brindar una asesoría de seguridad con la información más actualizada sobre seguridad, revisar políticas, tecnología y procesos para diseñar un plan para proteger la información, para asegurar que tanto la información como la infraestructura de Tecnología de información permanezcan seguras y disponibles en todo momento. 4

5 JUSTIFICACIÓN La necesidad de proteger las fuentes de información, incluyendo aplicativos, instalaciones físicas, base de datos y redes, han producido una demanda de estrategias y sistemas profesionales de seguridad de información. Existen diferentes estudios y análisis que muestran una tendencia creciente en cuanto a incidentes de seguridad en el ciberespacio. Por ejemplo, el CERT (Computer Emergency Responce Team) dio a conocer un incremento significativo en el número de incidentes de seguridad que le fueron reportados durante los años 2000 y 2001 respecto a los años anteriores. Incidentes Reportados Incidentes Reportaddos Años Figura2. Estadística que muestra los Incidentes Reportados de seguridad informática desde 1988 hasta Las constantes amenazas a sistemas de información en general se presentan tanto de fuentes internas como externas a las organizaciones. Estas amenazas van desde extracción de datos de forma ilegal (fuga de información) hasta la destrucción o alteración maliciosa de datos valiosos, por lo que es de vital importancia identificar estas amenazas para determinar la vulnerabilidad de los Sistemas de Información y crear estrategias claves para establecer una buena Seguridad Informática en la Organización

6 OBJETIVOS Objetivo General: En base a un marco de referencia crear una metodología de Seguridad utilizando las mejores practicas seguridad a nivel mundial para formular y diseñar estrategias de Seguridad Informática en una organización. Objetivos Específicos: Conocer cuales son los diferentes dominios o áreas que se deben tomar en cuenta según las mejores practicas con el fin de formular estrategias de seguridad de informática. Conocer herramientas que actualmente existen en el mercado y elegir las mas adecuadas para llevar a cabo las evaluaciones de seguridad y monitoreo. Crear una metodología de Gestión de Seguridad Informática basada en las mejores practicas para que cualquier organización pueda desarrollar un plan de Seguridad informática de alta calidad. Llevar a la practica la metodología de gestión de Seguridad evaluando a una empresa real para identificar sus vulnerabilidades y riegos potenciales que servirán como base en el diseño de estrategias de Seguridad Informática. Diseñar estrategias contra riesgos y amenazas con el propósito de salvaguardar los activos digitales de la organización así como políticas de seguridad para informar a los usuarios cuales son los requisitos obligatorios para proteger los elementos de Tecnología de Información. Diseñar medidas administrativas para la publicación de normas de uso adecuado de los activos digitales u otros métodos apropiados y definir claramente las áreas de responsabilidad de usuarios, administradores y directivos. 6

7 ALCANCES Se investigaran las mejores practicas de seguridad informática a nivel mundial para diseñar una metodología de gestión de seguridad informática y crear así las estrategias de seguridad mas adecuadas. Se investigaran acerca de las herramientas automatizadas y no automatizadas mas eficientes para la administración de Seguridad Informática y se elegirá la mas adecuada. A través de una metodología definida, se evaluarán las políticas y procedimientos de seguridad informática en una empresa real en las áreas de seguridad física, aplicaciones, base de datos y redes, y se utilizarán herramientas para análisis de vulnerabilidades en la red. Luego de haber hecho el análisis de vulnerabilidades, se diseñara un plan estratégico de seguridad informática, pero no se implementará. Este quedará bajo el criterio de la organización. Adicionalmente se presentará el presupuesto de inversión para llevar a cabo dicho plan. Como parte del plan estratégico, se diseñarán soluciones contra riesgos y amenazas a la unidad de informática, basado en la metodología de seguridad informática a nivel mundial. Desarrollar estructura del plan de contingencia. PRODUCTOS A ENTREGAR Existen varios productos que conforman este trabajo de graduación. Adicional a los objetivos planteados en el presente trabajo. Para que la empresa los utilice como marco de referencia para implementar su estrategia de seguridad informática. A continuación se detallan los productos: Comentario [JIRI1]: De aquí en adelante es nuevo, revísenlo a ver si les parece, ok. PRODUCTO 1: DOMINIOS DE SEGURIDAD INFORMATICA: o Dominio 1: Prácticas de Administración de la seguridad. o Dominio 2: Sistemas de control de acceso. o Dominio 3: Seguridad de telecomunicaciones y redes. o Dominio 4: Criptografía. (Encriptación) o Dominio 5: Arquitectura y Modelos de seguridad. o Dominio 6: Seguridad de Operaciones. o Dominio 7: Seguridad en el desarrollo de sistemas y aplicaciones. 7

8 o Dominio 8: Plan de continuidad del negocio (BCP) y Plan de Recuperación ante desastres(drp). o Dominio 9: Leyes, investigaciones y ética. o Dominio 10: Seguridad física. PRODUCTO 2: Metodología de gestión de Seguridad Informática. PRODUCTO 3: Informe de evaluación de la seguridad informática en una empresa real: o Objetivos o Alcance o Controles existentes o Vulnerabilidades por área o Conclusiones y Recomendaciones o Anexos: Evidencias y Reporte de vulnerabilidades a nivel técnico y sus soluciones. PRODUCTO 4: Plan estratégico de seguridad informática: o Visión o Misión o Valores o Objetivos o Estrategias o Planes de acción PRODUCTO 5 : Planes de acción: o Por cada área de seguridad (Gestión de seguridad, Redes, Aplicaciones, Base de Datos y Seguridad Física) el plan de acción comprenderá: Diseño de Políticas Diseño de Controles Presupuesto de inversión Cronograma de implantación para: Resoluciones de vulnerabilidades Políticas de seguridad Procedimientos de seguridad Controles de seguridad Guión de pruebas de seguridad 8

9 Capitulo 1: MARCO TEORICO El British Standard Institution (BSI) es el organismo de normalización del Reino Unido, fue fundado en 1901, siendo el primero existente en el mundo. Pertenece a la Organización Internacional de Estandarización ISO. El BSI creó el primer estándar de Seguridad Informática BS 7799, que luego fue adoptado por ISO quien lo nombró ISO y es el que se utiliza actualmente a nivel mundial. Este estándar es básicamente un Código de Prácticas para la administración de Seguridad Informática. El International Information Systems Security Certification Consortium (ISC)2, se estableció en 1989 como una corporación independiente y sin fines de lucro, con la principal misión de crear y administrar programas de certificación para profesionales de seguridad, entre ellas la certificación CISSP. Actualmente es la entidad más importante en seguridad de sistemas de información en todo el planeta. El (ISC)2 en su programa de certificación CISSP, divide el ISO en los siguiente dominios: 1. Prácticas de Gestión de Seguridad 2. Sistemas de Control de Acceso 3. Seguridad en Telecomunicaciones y Redes 4. Criptología 5. Modelos y Arquitectura de Seguridad 6. Seguridad Operacional 7. Desarrollo de Aplicaciones y sistemas 8. Planeación de la continuidad del negocio y planeación de la recuperación ante desastres 9. Ley, Investigación y Ética 10. Seguridad Física El marco teórico del trabajo de graduación Seguridad Informática, Teoría, Administración y Práctica se basa en estos dominios. Para complementar estos dominios, se describe además conceptos básicos acerca de seguridad, la privacidad de datos, la organización que debe tener el personal de seguridad informática, alternativas para la adquisición de dispositivos de seguridad para la pequeña empresa, finalizando con una guía de aspectos de seguridad para Linux. Capitulo 2: DISEÑO DE UNA METODOLOGÍA PARA LA GESTIÓN DE SEGURIDAD INFORMÁTICA. Para que una empresa desarrolle un plan de seguridad informática de alta calidad y debido a que esta área de conocimiento es altamente especializada, se requiere aplicar una metodología basada en las mejores prácticas de seguridad. 9

10 Una metodología se define como un conjunto de prácticas, procedimiento y reglas utilizadas por aquellos que trabajan en una disciplina. 2 A continuación en la Tabla 2.1 se muestran las fuentes en que se basó la metodología: Fuente 10 dominios de seguridad informática del CBK (Common Body of Knowledge) del ISC2. ( Aporte Fuente de mejores prácticas para diseño de listados de verificación para identificar, evaluar diseñar e implantar controles. 10 dominios de seguridad informática del BS7799. BSI (British Standard Institute) ( Fuente de mejores prácticas para diseño de listados de verificación para identificar, evaluar, diseñar e implantar controles. COBIT (Control Objectives for Information and Related Technologies). IT Governance Institute ( Para definir indicadores de eficiencia en la administración y soporte de la seguridad informática. Catálogo de prácticas OCTAVE. Universidad Carnegie Mellon Estructura de funciones de seguridad y diseño de listados de verificación para identificar, evaluar, diseñar e implantar controles. Diseño de estrategias de seguridad, administración y soporte del esquema de seguridad informática. Tabla 2.1 Fuentes en la que se baso la metodología Es más probable que la alta gerencia conozca si la estrategia y planes de la corporación incluyan o se dirijan a asuntos de seguridad, mientras que el personal de tecnología de información (IT) probablemente estarán más familiarizados con aspectos particulares de la administración de vulnerabilidades tecnológicas y firewalls. En función de lo anterior, se tomó como marco de referencia el documento Catálogo de Prácticas OCTAVE SM (Operationally, Critical, Threat, Asset, and 2 Fuente : The American Heritage Dictionary of the English Language, Fourth Edition,Copyright 2000 by Houghton Mifflin Company.Published by Houghton Mifflin Company. All rights reserved. 10

11 Vulnerability Evaluation) de la Universidad Carnegie Mellon. Este catálogo de prácticas se divide en dos tipos de prácticas: Estratégicas y Operacionales. METODOLOGÍA DE GESTION DE SEGURIDAD La metodología de seguridad informática a utilizar está basada en la norma BS7799 la cual ha sido adoptada recientemente por la ISO a través del estándar ISO El primer nivel de la metodología se muestra en la Figura 2.2. EDUCAR EVALUAR ADMINISTRAR Y DAR SOPORTE POLITICAS DE SEGURIDAD, ESTANDARES Y PROCEDIMIENTOS DISEÑAR IMPLANTAR Figura 2.2 El primer nivel de la metodología Todas las etapas comprendidas en el primer nivel de la metodología, poseen la siguiente estructura estándar: Etapa X o Objetivo de esta etapa o Diagrama detallado de esta etapa (Que muestra el flujo de procesos). o Objetivo de cada fase o Esquema EPS (Entrada-Proceso-Salida), el cual muestra las entradas, salidas de cada proceso contenido en el diagrama respectivo. 11

12 Capitulo 3: Aplicación Practica de la Metodología En este capítulo se realizó la aplicación, en una empresa real, de la metodología de gestión de seguridad informática diseñada, donde se muestra el proceso de Evaluación (Etapa 1: Fase1, Fase 2 y Fase 3), Diseño del Plan estratégicos de seguridad informática (Etapa 2: Fase 1) y el Diseño del Esquema de Seguridad Informática (Fase 1 de la etapa 3). 12

13 CONCLUSIONES Durante la ultima década los incidentes de seguridad han crecido de forma exponencial y a pesar del incalculable valor que tiene la información para las empresas, es evidente la falta de precauciones que existen desde el punto de vista de Tecnologías de Información y la falta de interés de la alta gerencia sobre implementar planes de seguridad de la información. Para lograr tener éxito en la aplicación de un plan de seguridad informática y su gestión, es necesario y es factor clave el contar con la autorización y apoyo de la alta gerencia. Para evaluar el nivel de seguridad informática en la organización existen en el mercado una extensa variedad de herramientas mecanizadas, de costos variados e inclusive freeware, que complementan a las evaluaciones que se realizan de forma manual (lista de controles de verificación). Indistintamente de la forma en que se obtenga el software, se necesita de profesionales en seguridad que sepan configurar la herramienta mecanizada e interpretar los resultados que se obtengan de la evaluación manual y mecanizada. Con base en los resultados obtenidos de la evaluación de seguridad en una empresa real salvadoreña, se desarrolló el plan estratégico y el diseño del esquema de seguridad informática con el propósito de salvaguardar los activos digitales de la organización, incluyendo políticas y responsabilidades de seguridad informática para informar a todos los usuarios en todos los niveles cuales son los requisitos obligatorios para proteger la información y los elementos de tecnologías de información, puesto que el eslabón más débil de la seguridad informática en una organización es el personal. El tema de la seguridad informática y su aplicación práctica en las empresas salvadoreñas es casi nulo, lo cual representa un alto riesgo para dichas empresas en cuanto al acceso no autorizado a la información electrónica y a los recursos informáticos por parte de hackers o personal interno de la empresa. La seguridad informática no se limita a tener un firewall y un software antivirus. Esto aunado al tema del ciberterrorismo, el cual fue analizado por parte de los países miembros de la OEA, quienes coincidieron en prepararse para enfrentar los ataques de terroristas informáticos. La Cancillería salvadoreña considera que se debe frenar la amenaza emergente del terrorismo informático en el país. (Fuente : el diario de hoy, edición 24-Enero-2003) No existe un marco legal operativo que regule las transacciones electrónicas de sitios web Salvadoreños, de la banca electrónica y de entidades financieras. 13

14 RECOMENDACIONES Mostrar periódicamente a la alta gerencia informes y estadísticas de incidentes informáticos en el mundo y el impacto financiero por las pérdidas ocasionadas. Desarrollar conciencia sobre seguridad informática a la alta gerencia de una empresa. Desarrollar conciencia sobre seguridad informática a los mandos medios y operativos de una empresa. Implantar una metodología lo más práctica posible para la gestión de la seguridad de información en todas las áreas de una empresa. Realizar una evaluación periódica del esquema de seguridad existente con el objetivo de mejorarlo. Desarrollar un plan estratégico de seguridad informática. Formular e implantar políticas de seguridad de la información. Invertir en mecanismos de protección para la información y tecnologías de información. Monitorear el desempeño del esquema de seguridad para mejorarlo continuamente. Monitorear al personal interno de la empresa respecto al cumplimiento de las políticas de seguridad de la información y aplicar las sanciones necesarias. Que el gobierno de El Salvador desarrolle una ley de comercio electrónico y de la Banca electrónica para regular las transacciones financieras de las empresas Salvadoreñas. 14