Introducción a la Problemática de la Seguridad Informática en Organizaciones Gubernamentales. CEATS Rosario, 1 de Agosto de 2008

Transcripción

1 IntroducciónalaProblemáticade laseguridadinformáticaen OrganizacionesGubernamentales CEATS Rosario,1deAgostode2008

2 Agenda ConceptosBásicos(aprox.30minutos) SeguridadFísicayLógica Marcoconceptual:Confidencialidad,Integridad,DisponibilidadyNorepudio Documentaciónformalenseguridadinformática Modelodeadversario:InsidervsOutsider SeguridadLógica(aprox.90minutos) Fundamentos Principiosbásicos Elciclodevidadelaseguridad ClasificacióndeInformación Criptografíaclásicaydeclavepública Paradigmasdeamenazasaactivosinformáticos Infraestructuradedefensa:componentesbásicos

3 Agenda(cont) Practicum(aprox.120minutos) AnálisisRoSI AnálisisdeRiesgo AnálisisdeImpactoaNegocio EvoluciónenArquitecturadeProtección Rolesyactividadesenelárea/deptseguridadinformática Outsourcingvsprestacióndeserviciospropios PlanesdeContingenciayContinuidaddeNegocio NormasyEstándares AuditoríadelaSeguridad Referencias

4 Objetivos Alfinalizarlacapacitaciónelasistentedebería Entenderquelaseguridadinformáticaseocupadelaadministraciónderiesgos Sercapazdecomprenderlaimportanciadeunavisiónproactivaporsobreuna reactiva Comprenderlasdistintasactividadesquedebeencarareláreadeseguridaden unaorganizacióngubernamental Entenderlosdistintosaspectosinvolucradosconunprocesodeauditoríade seguridad ConocerlaexistenciadenormasinternacionalesISO,BS,etc Conocerloscomponentesfundamentalesdeunplanderecuperaciónante desastresycontinuidaddenegocios

5 Instructor GuillermoMarro MiembrofundadordeFlowgateSecurityConsulting SedesempeñacomocoordinadordeSeguridadInformáticadelprogramaSINTyS(gobiernonacional) ObtuvosuMSc.enseguridadinformáticaenlaUniversidaddeCalifornia(Davis USA) RecibiósutítulodeIngenieroElectrónicodelaUniversidadNacionaldeRosario(Rosario Argentina) EsinstructorinvitadodecursosdeseguridadinformáticaenlaUniversidadComplutensedeMadrid SedesempeñócomoGerentedeIntegraciónySeguridadenUNLB(BaseLogísticadeNacionesUnidas Italia) CuentaconexperienciacorporativainternacionalenrelevantesempresasyorganizacionesdeUSA, EuropayArgentina FuebecarioFulbright SedesempeñócomoresearchengineerenlaUniversidaddeArizona(USA),enelproyectoNeurolab'98 paralanasa.

6 ConceptosBásicos

7 SeguridadInformática ElISC2(InternationalInformationSystemsSecurityCertificationConsortium) describe10dominiosdentrodelcuerpodeconocimientosdelaseguridad Informática(SI): GerenciamientodelaSI OperacióndelaSI SeguridadFísica MétodosdeControldeAcceso Criptografía ArquitecturadeSeguridadCorporativa SeguridaddeAplicaciones SeguridadenlasTelecomunicaciones,InternetyRedes Leyes,InvestigacionesForensesyEtica PlanificacióndelaContinuidaddeNegocio

8 SeguridadInformática(cont) Noobstante,tradicionalmentelaSIsedesglosaendosgrandes componentes: SeguridadFísica(SF) SeguridadLógica(SL) Trataremosamboscomponentesporseparado

9 SeguridadFísica LaSFseocupadelapreservaciónfísicadelosactivosdeinformación deunaorganización Activomásimportante:elrecursohumano! Hastahaceunospocosaños,eraelúnico'tipo'deseguridadquese aplicabaasistemasdecómputo Cuerpodeconocimientosheredadosdelasprácticasmilitares ancestrales,adaptadosanuevastecnologías Tradicionalmenteadministradaporpersonaldevigilanciaofuerzas delorden

10 SeguridadLógica Coneladvenimientodelasredesinformáticas,dondeelofensor noprecisaestarfísicamenteenellugardelcrimen,surgelasl RequiereunenfoquemuydiferentealdelaSF ConsecuentementeesadministradaporexpertosenSL(cuerpo deconocimientosradicalmentediferenteydegrandinamismo) Esunaespecialidadensímisma,enplenaexpansión

11 PremisasBásicas Integridad Confidencialidad Disponibilidad No repudiación Autenticación Autorización Trazabilidad Privacidad

12 PolíticasyMecanismos PolíticadeSeguridad Definiciónconcisadeloqueestápermitidoyloquenoestápermitido MecanismodeSeguridad Procedimiento,herramientaométodoparagarantizarelcumplimientodelapolítica deseguridad

13 DocumentaciónFormal Esdeseablequetodaorganizacióntengaunsetdepolíticas,estándaresy procedimientosdeseguridadqueabarqueexhaustivamentetodalaoperatoriade lamisma. IMPLEMENTACION Comoloharemos? TECNOLOGIA ESTANDARES Conquetecnología? CULTURA POLITICAS ó n Niveldedetalle FrecuenciadeActualizaci PROCED Queesloqueharemos?

14 DocumentaciónFormal(cont) Loidealesqueladocumentaciónformal(políticas,estándaresy procedimientos)seaaprobadayendosadaporlajerarquíamáximadela organización EstopermiteposicionaralaSIcomoprioridaddelaorganizaciónydeesta manerafacilitarlaimposicióndecontrolesdesi Debeademásdifundirseladocumentaciónentretodoslosmiembrosdela organización(plandeconcientización) Además,dichadocumentacióndebeactualizarseconperiodicidad

15 Referencias I. MattBishop;ComputerSecurity.ArtandScience;AddisonWesley;2003 II. RossAnderson;SecurityEngineering;Wiley;2001. III.MorrieGasser;BuildingaSecureComputerSystem;VanNostrandReinhold;1988. IV.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication V. RickLehtinen;ComputerSecurityBasics;O'reilly;2006

16 SeguridadFísica

17 SeguridadFísica PartedelaSIqueseencargadeprotegerlainfraestructuradelaorganización deamenazasasociadasalaccesofísicoarecursosdelamismaydeamenazas ambientalesengeneral. Elrecursomásimportanteeselhumano! LoscontrolesdeSFseimplementanparaprotegerlosrecursoshumanos,los recursosdelasinstalaciones,losrecursosdeinfraestructurainformáticaylos decomunicaciones

18 AmenazascontralaSF Naturales Artificiales Terremotos Inundaciones Cataclismos Robos Rebelionespopulares Escapestóxicos Roturadecaños Cortesdeenergía Incendios Explosiones

19 Riesgos Interrupciónenlaprovisióndeservicios Dañofísico Filtracióndeinformación Compromisodeintegridad Robo

20 ControlesdeAccesoFísico Restriccióndeentrada/salidadepersonassegúnincumbenciasendiferentes accesosdelaorganización Muchasveceselcontroldesalidaentraenconflictoconlaseguridaddelas personas(particularmenteduranteemergencias)sinoestábienresuelto Suelerobustecerseconfactoresmúltiplesparalaautenticacióndeindividuos (biometría,tarjetasdeproximidad,pin,etc) CircuitosCCTVdemonitorizacióndeambientescríticosydeperímetro Suelecomplementarseconproteccióndeperímetrodefuerzasdelorden(públicas oprivadas)

21 ControlesdeIncendio Restriccióndeelementoscombustibles Sensoresdehumo,sobre temperatura,excesodepartículasensuspensióncon remotizacióndealarmas Mapasdeevacuación Salidasdeincendioclaramenteseñaladasysinobstrucción Extintoresbasadosenrociadoresdeagua,Halon,etc

22 ControlesAmbientales Funcionamientoapropiadodeacondicionamientodeaire Adecuacióndeinstalacionessanitarias Controlesdepurezadeaire Adecuacióndelespaciodetrabajo

23 ControldeDispositivosMóviles Ingreso/EgresonoautorizadodeLaptops/PDAs/Smartphones Adecuacióndemecanismosdeproteccióndedatosen Laptops/PDAs/Smartphones Mecanismosdedeteccióndeconexiónnoautorizadaarecursoslocalesdered (IDD)

24 OtrosControles CoberturadeSeguros Fuentesalternativasdeenergías(UPS,Generadores) Backups(on siteyoff site)

25 Recomendaciones Cumplirconleyesyregulacionesvigentes Implementarcontrolesqueseanviableseconómicamente(tenerencuenta costosoperativos) Hacerunbuenanálisisderiesgoydeimpactoanegocio ComojustificarmedidasdeSF? Requeridasporleyoregulación Costonosignificativoconbeneficiosimportantes Costosignificativo,peroevitaataquesdeconsecuenciascatastróficas RoSIapropiado

26 SeguridadLógica

27 Definiciones Riesgo Laposibilidaddequeocurraalgoadverso Amenaza Todaviolaciónpotencialmentefactibledelaspolíticasdeseguridad Ataque Todaintentoconsumadodeviolacióndelaspolíticasdeseguridad

28 TaxonomíasdeAmenazas Filtración Accesonoautorizado Decepción Provisióndeinformaciónfalsa Disrupción Interrupcióndeservicio Usurpación Controlnoautorizadodeunsistema

29 SistemaSeguro Laimplementaciónplasmaperfectamenteloespecificadoporla políticadeseguridad

30 HipóthesisdeConfianza Cadamecanismoimplementaunapartedelapolíticadeseguridad Launióndetodoslosmecanismosimplementatodoslosaspectosdela política Losmecanismosestánimplementadoscorrectamente Losmecanismossoninstaladosyadministradoscorrectamente

31 ConfianzaentodaslasEtapas Especificación Detallaformaloinformalmenteelfuncionamientodeseadodelsistema Diseño Traducelaespecificaciónencomponentesquelaimplementarán Implementación Materializaeldiseñoenalgoquelosatisface Operación Mantieneelsistemafuncionandoencondicionesaceptables

32 PrincipiosUniversalesdelaSI Mínimoprivilegio Lospermisosotorgadosaunsujetodebenestarbasadosenlanecesidaddesaber Valoresporomisiónseguros Amenosqueseotorgueexplícitamenteaunsujetoaccesoaunobjeto,éstedeberserdenegado Economíademecanismos Losmecanismosdeseguridaddebenserlosmássimplesposibles Mediacióncompleta Todoslosaccesosaobjetosdebenpoderauditarse

33 PrincipiosUniversalesdelaSI Diseñoabierto Laseguridaddeunsistemanodebedependerdesecretosensudiseñooimplementación Separacióndefunciones Elsistemanodebeconcederpermisosarecursoscríticosbasadoexclusivamenteenunaúnicacondición (DefensaenCapas) Menormecanismocomún Losmecanismosusadosparaaccederarecursosnodebensercompartidos Aceptaciónpsicológica Losmecanismosadoptadosnodebentornaralsistemaen'pocousable'

34 AceptaciónPsicológica?

35 CiclodelaSeguridad

36 ModeladodeAdversarios Disponibilidadderecursos Niveldeaccesoalsistema Nivelderiesgoqueestándispuestosatolerar Objetivosquepersiguenalatacaralsistema Puntodepartidaparalaplanificación decualquiersistemadeseguridad!

37 InsidervsOutsider Serequiereladiferenciacióndealmenosdostiposdeadversario: Outsider:Bajoniveldeaccesoalainformaciónreservadadelaorganización, accesoarecursoscorporativosescasoonulo Insider:Altoniveldeaccesoainformaciónreservada,altoaccesoarecursos corporativosdelaorganización,favorecidoporeltradicionalmodelodeconfianza

38 AAA Autenticación, Autorización y Auditoría (AAA) son tres mecanismos básicos de cualquier sistema de seguridad Autenticación: proceso por el cual un sistema verifica una identidad pretendida (correspondencia entre identidad real e identidad digital) Autorización: derechos de acceso otorgados a un sujeto. Control de acceso: mecanismo por el cual un sistema verifica que un sujeto está autorizado a acceder a un recurso. Auditoría: proceso por el cual se registran los eventos relacionados con aspectos de seguridad informática

39 Autenticación Loqueunosabe ej:usuarioycontraseña Loqueunotiene ej:token,smartcard,gpsphone,etc Loqueunoes ej:scanderetina,huelladactilar,etc Loqueunopuedehacer ej:firmamanuscrita,patronesdetipeo,etc Dondeunoestá ej:ubicacióngps Combinandocualquieradeestosfactoressetieneautenticacióndedoblefactor,detriple factor,etc

40 ContraseñaIdeal AlgoqueSOLOelusuarioconoce,quelacomputadorapuedeverificaryquenadie máspuedeadivinar,independientementedelpoderdecómputoquetenga Elproblemaesqueenlaprácticaesmuydifícilacercarseaesteideal! Típicoconflictoentreseguridadyusabilidad 'Yourpasswordmustbeatleast18770charactersandcannotrepeatanyofyour previous30689passwords' MicrosoftKnowledgeBaseArticle

41 ContraseñasReales Dadalaimposibilidaddecontarconcontraseñasideales,setomanciertosrecaudos paralograrestetipodeautenticaciónviable Condiciones LongitudMínima:8caracteres Impedirpalabrasdediccionario ForzarlaNoRepeticióndelasúltimas10contraseñas Forzarladuraciónmáximadelascontraseñas(valorrelacionadoconlapotenciamáxima decómputodeladversario) Forzarladuraciónmínimadelacontraseña ComposiciónObligatoria: Almenosunaletraminúscula Almenosunaletramayúscula Almenosunnúmero Almenosunsímbolo

42 CrackeandoContraseñas Segúnestudiosde1993,basadosenunaestimacióndecapacidaddecómputocomoparaprobar6,4 millonesdecontraseñasporsegundo*enunataqueporfuerzabruta,setienenlassiguientestablas:

43 Autenticación: Token&Smartcards Dispositivosportátilessupuestamenteinviolables Puedencontenercertificadosdigitales,firmas digitales,clavesoanillosdeclaves Seproveesoftwarequerealizalasoperaciones criptográficasdesoporte Cuentanconproteccióndeaccesoalsistemade archivos,queevitanlamanipulaciónindiscriminada dedatosdesdeelso(blindajededatoscontenidosen eldispositivo)

44 Autenticación:OTP OneTimePasswords Enentornoscorporativosseobligaalusuarioarecordarunnúmeroimportantede contraseñas Dadalaimposibilidadhumanaenrecordarmuchascontraseñasrobustas,sesuelerequerir unúnicosetdecredenciales(singlesign On)paraautenticarseaunaplataformaAAA común,desdedondeelusuariopodráaccederalosdistintosaplicativosconlospermisos correspondientes Laventajaobviaeslasimplicidadparaelusuarioylaposibilidaddeemplearpolíticasde altarobustezparalascontraseñas Ladesventajaesquecuandosecomprometelacontraseñadelusuario,elatacantetiene accesoinmediatoatodoslosderechosdelavíctima

45 Autorización Mecanismomedianteelcual,unavezqueelsistemaasignaunaidentidadlógica conocidaaunaidentidadfísicapretendida(credencialesadecuadas),leasignalos permisoscorrespondientesasuperfilalosdistintosactivosinformáticos

46 ControldeAccesoenSSOO Discretionary(Identity Based)AccessControl(DACoIBAC) Elpropietariodeunobjetopuededelegarsuspermisosenotrosujeto OriginatorControlledAccessControl(ORCON) Elcreadordeunobjetopuededelegarsuspermisosenotrosujeto Mandatory(Rule Based)AccessControl(MAC) ElpropietariouoriginadordeunobjetoNOpuededelegarsuspermisosenotrosujeto,sinoque eladministradoresquienconfiguralasreglasdeacceso siguiendolapolíticadeseguridad y elsolasimplementa Role BasedAccessControl(RBAC) Controldeaccesobasadoenelrolquetieneelsujetoenelsistema.

47 ClasificacióndeInformación Sedefinenlossiguientesnivelesdeclasificacióndeinformación,en ordendecriticidaddecreciente: UltraSecreta Secreta Confidencial SinClasificaroIrrestricta

48 ClasificacióndeInformación(2) Elniveldeaccesodeunsujeto(SecurityClearance)eselque determinahastaqueniveldeclasificacióndichosujetopuede acceder (UltraSecreto) Secreto Confidencial Irrestricto

49 ModelodeConfidencialidad PropuestoporBell LaPadulaamediadosdelos'70 Nosepermitenescrituras'haciaabajo'nilecturas'haciaarriba' secreto confidencial Escritura irrestricto Lectura

50 ModelodeConfidencialidad PropuestoporBibaafinesdelos'70 Nosepermitenlecturas'haciaabajo'niescrituras'haciaarriba' secreto confidencial Lectura irrestricto Escritura

51 DeclasificacióndeInformación Hayotrosmodelosmáscomplejos(MurallaChina,Clark Wilson).Perolos modelosteóricospurosnocontemplannecesidadesreales LaDECLASIFICACIONdeinformaciónconsisteenlareasignacióndelosniveles declasificacióndeunciertoobjeto Ladegradacióndeniveldeclasificacióndeunobjetonosuelerepresentarun problema Laelevacióndeniveldeclasificacióndeunobjetoesunproblemadesolución notrivial

52 DeclasificacióndeInformación(2) Cuandounobjetopasaamanosdeunsujetodenivelinferioraldelobjetoqueda instantáneamentedeclasificadoalniveldelsujeto Elprocesodebesersupervisadoporsujetosespecialmentedesignadosatalfin (AutoridadesdeClasificacióndeInformaciónoACI) Enoportunidades,antesdedeclasificarlainformación,sesometeaunprocesode saneamiento(sanitization) EstorespetaelprincipiodeMediaciónCompleta Debenexistirprocedimientosquedescribanlospasosaseguirantecadatipode objetoqueesdeclasificado(impreso,archivodigital,correoelectrónico,etc) Anteunadeclasificaciónforzada(erroreneltratamientodelainformación),todos lossujetosinvolucradosenelincidentedebenreportarloenformainmediataala/s ACI/s.

53 SeguridadMultinivel(MLS) Matrizdepermisosdeaccesoquedeterminaquesujetosaccedenalos distintosobjetos('compartimentalizar'lainformación) Laideaesdefinirdichospermisosbasadosexclusivamenteenelnivelde accesodelusuario(clearance)yelprincipiodemínimoprivilegio(necesidadde saber) Soluciónmásadecuadaparaentornosoperativosconinformaciónclasificada Algunasimplementacionescomercialesyfuenteabierta,concapacidades limitadas,disponibles Dificultadoperativaparaadministradoresdesistemas,razóndesupoca aceptación Seimplementaentodasudimensióncasiconexclusividadenambientes militares

54 Accounting (RegistrosdeAuditoría) Eslaprovisióndeserviciosderesguardodeinformaciónotrazabilidadde accionesdeunsistemaconfinesforenses. Espartedelsoportetecnológicoparadeterminaraposterioriviolacionesalas políticasdeseguridadoparahacerdebuggingdeunciertosistemao aplicación. Engeneralconstadedosetapas:laregistracióndeeventosoacciones (logging)ylaauditoría(auditing)oanálisisdetaleseventosoacciones. Laregistracióndeeventosincluyeunaetiquetadetiempo(timestamp)que establecelahoraexactaalacualocurrióelevento. Ambasetapassoncrucialesparaelanálisispost mortemysonfundamentales entodosistemadeseguridad Eslaaplicacióndirectadelprincipiodemediacióncompleta

55 QueseRegistra? Eventosqueimpliquenunaviolaciónalaspolíticasdeseguridad EventosdelSOodeaplicacionesrelacionadosconlaseguridaddelosmismos Ejemplos: Logindeusuarios Intentosfallidosdeacceso Logoutdeusuarios Accesoarecursos Transacciones Intentosdeescalamientodeprivilegios Estadodeoperacióndeservicios Escasezdeciertosrecursosdesistema etc

56 Criptografía Provienedelacomposicióndedospalabrasgriegasquesignificanescriturasecreta. Eselmilenarioarte cienciadeocultarelsignificadodeciertosmensajes Tuvoprogresosrevolucionariosdurantela2daguerramundial(máquinaenigma) Sedivideendosgrandesfilosofías:CriptografíaSimétricaoClásicayCriptografía AsimétricaodeClavePública Criptoanálisis:arte cienciadequebrarcódigos Criptología:Criptografía+Criptoanálisis Laprincipalaspiracióndeuncriptosistema,esqueelmejorataqueposibleseaelde fuerzabrutacontraelespaciodeclaves

57 Criptosistemas

58 TiposdeAtaques Sobremensajecifrado(cyphertextonly) ElatacantesólocuentaconCyquiereobtenerMydeserposible,lasclaves Sobremensajeentextoclaroconocido(knownplaintext) Elatacanteconoceambos,CyM,yquiereobtenerlasclaves Sobretextoclaroseleccionado(chosenplaintext) Elatacanteproporcionaeltextoclaroasuelecciónyselesuministraeltextocifrado,ysuobjetivoes encontrarlasclaves

59 CriptografíaClásica TambiénllamadaSimétricaodeClaveComún Lamismaclavequeseutilizaparacifrar,seempleaparadescifrar

60 CriptografíaClásica:Propiedades Laseguridaddelcifradoconvencionalosimétricodependedevariosfactores: Primero,elalgoritmodecifradodebeserlobastantepotenteparaquenoseaprácticodescifrarel mensajesóloapartirdeltextocifrado. Ademásdeeso,laseguridaddelcifradoconvencionaldependedelsecretodelaclaveysulongitudyno delsecretodelalgoritmo. Laprincipalpremisaconelusodelcifradoconvencionalosimétricoes,pues, mantenerensecretolaclave. Losalgoritmosestánbasadosenpermutacionesysustitucionesdebits Elprincipalinconvenientequepresentaesque,alserdeclavecompartida,noprovee no repudiación Losalgoritmosconvencionalesmásimportantesson:DES,TripleDESyRijndael(AES).

61 CriptografíadeClavePública Lacriptografíadeclavepública(DiffieyHellman,1976)eselprimeravance revolucionarioenelcifradoenmilesdeaños. Estoesdebidoaunacausa:sebasaenfuncionesmatemáticas(logaritmosdiscretos, aritméticamodular,curvaselípticas)enlugardesustitucionesypermutaciones. Perolomásimportante,lacriptografíadeclavepúblicaesasimétricaysuponeelusode dosclavesindependientes,encontrasteconelcifradosimétricoconvencional,quesólo utilizaunaclave.utilizardosclavestieneconsecuenciasprofundasenlasáreasde confidencialidad,distribucióndeclavesyautenticación. Cadausuariousaráconservarásuclaveprivadaamáximoresguardoyharápúblicasu clavepúblicaenrepositorioshabilitadosatalfin Losalgoritmossontales,queconocidaunaclavedeunusuarioesimposiblederivarla otra.losmáspopularessonrsa,dsa,elgamal,etc

62 CriptografíadeClavePública(cont)

63 CriptografíadeClavePública(cont) ImaginemosdosusuariosBobyAliceconsusrespectivasclavesBpriv,BpubyApriv,Apub Discusióndediferentescasos: C[Msg,Bpriv] IntegridaddeOrigen Bob IntegridaddeOrigen yconfidencialidad C[Msg,Bpriv,Apub] Alice

64 CriptoSimétricavsAsimétrica CriptoSimétrica Confidencialidad Confidencialidad Autenticaciónparcial Autenticacióntotal Nopuedeusarseparafirmadigital Puedeusarseparafirmadigital Clavesrelativamentecortas,devidano prolongada Altavelocidaddecómputo Bajavelocidaddecómputo Noproveeno repudiación Proveeno repudiación Seusaparaclavesdesesión Seusaparaclavespermanentes CriptoAsimétrica Clavesrelativamentelargas,devida prolongada

65 FuncionesHash UnafunciónhashaceptaunmensajedelongitudvariableMcomoentradayproduce comosalidaunaetiquetadetamañofijoh(m),algunasvecesllamadaresumen (digest)delmensaje. Elresumenseenvíajuntoalmensajedetalformaqueelresumendelmensajese puedeutilizarenelreceptorparaautenticarlo(códigodeautenticacióndemensaje) Ademásdeautenticación,elresumenproporcionaintegridaddelosdatos.Sisealtera algúnbitaccidentalmenteeneltránsito,elresumendelmensajeproduciráunerror.

66 FuncionesHash(cont) Elobjetivodeunafunciónhashseguraesproduciruna huelladactilar enelmensaje. Debeverificarlosiguiente: Hpuedeseraplicadaabloquesdedatosdecualquiertamaño. Hproduceunasalidadelongitudfija. H(x)esrelativamentefácildecalcularparaunxdado,haciendoprácticalaimplementaciónenhardwarey software. Parauncódigodadom,escomputacionalmenteimposibleencontrarunxtalqueH(x)=m. Paraunbloquedadox,escomputacionalmenteimposibleencontraruny xconh(y)=h(x). Escomputacionalmenteimposibleencontrarunapareja(x,y)talqueH(x)=H(y). LosejemplosdefuncioneshashmáspopularessonMD5ySHA

67 FirmaDigital Permitefirmarmensajesenformadigitalconpremisasdeintegridadyno repudiación Basadaencriptografíaasimétrica(suimplementaciónrequiereinfraestructura PKI) Enmuchospaíses(cadavezmás)esaceptadaconvalidezjurídica EnArgentina,desdelaley25.506promulgadaenel2001,sereconocesu validezjurídicaconalgunaspocasexcepciones

68 FirmaDigital(cont) Secomputaelhash(digesto)del documentoafirmar Sefirmaconlaclavesecretadel remitentedichodigesto Seenvíaeldocumentooriginal+el digestofirmado Suelecomplementarseconun certificadodigitaldelremitenteque contieneunavalidacióndesuclave pública

69 Referencias I. MattBishop;IntroductiontoComputerSecurity.ArtandScience;Prenticehall;2004 II. MattBishop;ComputerSecurity.ArtandScience;AddisonWesley;2003 III.RossAnderson;SecurityEngineering;Wiley;2001. IV.MorrieGasser;BuildingaSecureComputerSystem;VanNostrandReinhold;1988. V.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication VI.JohnWylder;StrategicInformationSecurity;AurbachPublications;2004

70 Practicum

71 EvolucióndelaSI ANTES AHORA LaSIesunproblemapuramentetécnico LaSIesungasto LaSIesunainversión ElobjetivoeslaSI Elobjetivoeslacontinuidaddenegocio Vamosacomprarelgadgetquenos garantizalasi LaSIesunproblemaquecompetea todalaorganización LaSIesunproceso

72 AnálisisRoSI ReturnofSecurityInvestment:análisisqueintentacuantificarlarazonabilidaddeadoptar ciertasmedidasdeprotección Silavaloracióneconómicadeunactivodeinformaciónesmenoraldesumecanismode protecciónmásindicado,entoncesimplementartalmecanismonoesrentable Cuantitativamente: CMA=(CEIA CEIAPI)*POA Donde: CMA:CostosdeMitigacióndelaAmenaza CEIA:CostoEstimadodelImpactodelAtaque CEIAPI:CostoEstimadodelImpactodelAtaquePost Inversión POA:ProbablidaddeOcurrenciadelAtaque

73 AnálisisdeImpactoaNegocio BusinessImpactAnalysis(BIA):análisisqueordenalosactivosinformáticospor índicedecriticidad,deacuerdoacómoimpactanlosobjetivosdenegocio Realizadoporlosindividuosdelaorganizaciónquemejorconocimientotienendel negocioysusprincipalesprocesos Defundamentalimportanciaporquepermitecuantificarydimensionarlosesfuerzos deprotecciónadestinaracadaactivoinformático Requieredeactualizaciónfrecuente(anual,bi anual)

74 GerenciamientodeRiesgos Procesoqueinvolucra: Evaluarlosriesgos Tomarmedidasparareducirelriesgohastavaloresaceptables(mitigaciónderiesgos) Tomarmedidasparamantenerelnivelderiesgoenvaloresaceptables(riesgoresidual) LaprincipaltareadelCISO(ChiefInformationSecurityOfficer)esladegerenciar losriesgosderivadosdelusodelatiqueafectanasuorganización Elanálisisderiesgoaportaunconocimientomásprofundodelaorganizaciónque involucrarecurso,tecnologíasyprocedimientos

75 GerenciamientodeRiesgos(cont)

76 AnálisisdeRiesgos Comprende3actividades: determinarelalcanceylametodologíadelaevaluación recolecciónyanálisisdedatos interpretacióndedatos Elriesgoestáinfluenciadopormuchosfactores:activosexpuestos,amenazas, vulnerabilidades,mecanismosdeprotecciónactivos,impactoyprobabilidadde ocurrencia Enparticularlaestimacióndeprobabilidadesdeocurrenciadeataquesesuna suertedearte ciencia,enlacualelhistorialestadísticojuegaunpapelimportante (uncertaintyanalysis) Normalmentelasprincipalesdificultadessonlaestimacióndeprobabilidadesde ocurrenciaylavaloracióneconómicadelosactivos.

77 AnálisisdeRiesgos(cont) Elanálisisdebecontemplar: Identificaciónyevaluaciónderiesgos Identificaciónyevaluacióndelimpactodelosriesgos Recomendacióndemedidasdereducciónderiesgos Antecadaactivo,sedebeconstruirunamatrizderiesgo(MR)queconsiderecada premisaafectada(confidencialidad,integridadydisponibilidad)ycadaamenaza posible Elriesgosepodráexpresarentérminosporcentualesoenvaloreseconómicos según: Riesgo($)=ProbabilidadxImpacto($)

78 ConsecuenciasdelRiesgo

79 ConsecuenciasdelRiesgo

80 MitigacióndelRiesgo:Factibilidad Análisiscosto/beneficio Impactooperacional Viabilidaddeimplementación Efectividadenlamitigación Confiabilidad

81 MitigacióndelRiesgo:Estrategias Aceptacióndelriesgo Postergacióneneltratamientodelriesgo Minimizacióndelimpactodelriesgo Transferenciadelriesgo(ej:pólizadeseguro)

82 Evoluciónen ModelosdeProtección Tipo Fortaleza Tipo Aeropuerto Tipo Peer-to-Peer

83 ModeloFortaleza SeguridadPerimetral Modelobinariodeconfianza Estático,nodiferenciado Difícildeadaptar Inaceptableenorganizacionesde ciertaenvergadura(insiderproblem)

84 ModeloAeropuerto Mayorflexibilidad Múltipleszonasdeseguridadbasadasenmodelostransaccionalesynecesidades denegocio Proteccionesmultinivelinterzonas Colecciónjerárquicadefortalezasinteractuantes

85 ModeloAeropuerto

86 ModeloPeer to Peer Conceptosdinámicosdeconfianza,autenticaciónyautorización Requerimientoscomerciales Requerimientostecnológicos Inferirentiemporealquéquierohaceryconquiénquierohacerlo PuederequerirserviciosprovistosporTTP(TrustedThirdParties)

87 ModeloPeer to Peer(cont)

88 DispositivosdeDefensa Firewalls VPNProcessor MalwareDetectors SpamFilters AAAServers SBS(SecureBackupSolutions) IDS(IntrusionDetection Systems) IPS(IntrusionPrevention Systems) Honeypots,Honeynets PlataformasForenses CERTs IDD(InfrastructureDiscovery Devices) CorrelationEngines Biometría

89 RolesenunEquipodeSI Coordinador(CISO) Analistadesoportealcliente Especialistasdeplataformas(SSOO,Aplicaciones) Instructores EspecialistasenDocumentacióndeSI EspecialistasenRD&CN AuditoresdeSI AdministradoresdeSI AnalistasdeRespuestaaIncidencias ArquitectosdeSI Desarrolladores'Security Aware'

90 ContratandoAnalistasdeSI Cuidarelprocesodeselección:RRHHsuelenoentenderlosskillsdelosanalistasdeSI. Enestosmomentos,dadoquenoexisteformaciónacadémicaenSIenelpaís,esmuy difícildarconrecursosapropiados.considerarloparaelarmadodelaofertalaboral. Tenerencuentafactoreshumanos(ej:atenciónaldetalle,curiosidad,discreción, honorabilidad,etc)yfactorestécnicos(ej:conocimientostécnicos,capacidad intelectual,etc)

91 DesafectandoAnalistasdeSI Intentarladesafectaciónentérminosamistosos,yaquetienenaccesoainformación estratégicadelaorganización SeguirlasnormascorporativasquemanejaRRHH(lascualessupuestamentetienensoporte legal) Quitaraccesofísico Quitaraccesológico Comunicarapropiadamenteaproveedoresyclienteslasituación

92 GerenciamientodeSI: FactoresLegales ELChiefInformationSecurityOfficer(CISO)debeconocerelcuerpobásico deleyesqueafectanlaprácticadelasi.ademásdeberestarasesorado porelárealegalsobreelimpactodenuevasleyesenlaorganización LaimplementacióndeunaPolíticadeUsoAceptable(PUA)ydeun ConveniodeConfidencialidad(NDA)debenserprácticaestablecidaen todaorganización ElCISOtambiéndebeconocerlabasedelalegislacióninternacional vigenteenmateriadesiylosdistintostiposdeacuerdosdecooperación entreagenciasgubernamentalesenaspectosderespuestaaincidencias

93 GerenciamientodeSI: FactoresHumanos CorrectobalanceSeguridadvsUsabilidad SumaralosRRHHalalíneadedefensamedianteplanesdeconcientizaciónen distintosaspectosdelasi Imponerperoinformandolasrazones Factoresatenerencuentaenlacontratación Factoresatenerencuentaenladesafectación

94 OutsourcingvsInHouse Outsourcing Másalto Costo Valoragregado Mayor RapidezenelDelivery Másrápido Confidencialidad Menorconfidencialidad InHouse Másbajo Menor Máslento Mayorconfidencialidad

95 OrganizacionesdeGobierno: Complicaciones Generalmentelascomprasseresuelvenconprocesoslicitatorios,que llevanmuchosmesesparalaadquisición,vsladinámicaqueimponelasi Complejidadenlacontratacióndepersonalexperto Infraestructuratecnológicanoadecuada Dificultadesparafinanciarlicenciasdesoftwarecomercialsostenidamente Anivelsubnacional: faltadelegislaciónaplicable faltadegruposexclusivamentededicadosalasi faltadecerts(arcertsólodaserviciosalaadministraciónpública Nacional)

96 Referencias I. NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication II. Limoncelli&Hogan;ThePracticeofSystem&NetworkAdministration;Adisson Wesley; 2001 III.Wylder,J;StrategicInformationSecurity;AuerbachPublications;2004 IV.Snedaker,S;ITSecurityProjectManagementHandbook;Syngress;2006

97 Contingencia UnacontingenciadeSIesuneventoconelpotencialdeinterrumpirelfuncionamiento delossistemasyenconsecuencia,funcionescríticasdenegocio Sitalcontingenciaesdeciertagravedad,selaconsideradesastre ElPlandeContingencia(PC)oPlandeRecuperacióndeDesastresyContinuidadde Negocioo(PRDyCN)soportadirectamentelosobjetivosdelaorganización, garantizandolacontinuidaddelnegocio

98 TiposdeDesastres Natural Fuego,Inundación,Tormenta,Terremoto,Huracán Tecnológico Derrametóxico,Explosión,CortedeEnergía,CortedeComunicaciones,Virus Informático,etc Incitado Amenazadebomba,Terrorismo,Sabotaje,etc

99 TopTen 1.CortedeEnergía 2.Sobretensiones 3.ErrordeHardware 4.ErrordeSoftware 5.Dañosportormentas 6.Inundaciones 7.Huracanes 8.Incendios 9.Terremotos 10.Bombas

100 RazonesparaelPC ProtegerlosRRHH VentajasCompetitivas Evitarresignarsegmentosdemercado Evitarpérdidasmonetarias Evitarapercibimientosregulatorios Evitarimpactodeimagenanteclientesyaccionistas Bajarcostosdepólizasdeseguro Controlarelimpactooperativo

101 ImpactodeDesastres 43%delasorganizacionesafectadaspordesastresmayoresnovuelvenaoperar 29%continúanoperandoperocierranoperacionesdentrodelos2añosdeocurrido eldesastre 75%delasorganizacionesquepadecenundesastremayornuncaserecuperan

102 PlanesdeContingencia Unacontingenciasueleserestresante,conloqueesunerrorasumirquelos miembrosdelaorganizaciónpodránreaccionarimprovisandolasmedidasde recuperaciónmáseficientes Elobjetivofundamentaleseldeminimizarelimpactodedesastresenlaoperación continuadelasfuncionesdenegocio PlanificarvsImprovisar

103 PRDyCN:Etapas 1.Identificacióndefuncionescríticasdenegocio 2.Identificacióndelosrecursosquesoportandichasfunciones(RRHH,capacidadde cómputo,serviciosdecómputo,aplicacionesydatos,infraestructurafísica, documentosypapeles) 3.Anticipaciónacontingencias(desastres)potenciales 4.Seleccióndeestrategiasdecontingencia 5.Implementacióndelasestrategiasdecontingencia 6.Simulacióndecontingencia(testing)yrevisióndelplan

104 PRDyCN:Comité SedesignanmiembrosdelaorganizaciónparaintegrarelcomitédeRDyCN Dichosintegrantessuelensermiembrosdedistintasunidadesorganizativas(RRHH, Legal,Finanzas,Operaciones,Tecnología,Directorio,etc)ysuelenestarliderados poruncoordinadorderdycn ElComitédeRDyCNeselresponsabledeanalizarlanecesidaddeactivacióndel PRDyCNycomunicarloalrestodelaorganización TambiénesresponsabledelaactualizaciónyevaluaciónpermanentedelPRDyCN

105 PRDyCN:Fases Lasfasesdecontingenciasesuelendividirentrespartes: 1. Respuesta:abarcalasaccionesinicialesparaprotegerlasvidashumanasylimitar eldaño 2. Recuperación:pasosquesetomanparaelsoportecontinuodefuncionescríticasde negocio 3. Continuidad:eselretornoaoperaciónnormal

106 PRDyCN:Infraestructura HotSiteoRedundantSite ColdSite Sitiosreservadosensucursales(branchoffice) AcuerdoRecíprococonotraorganización Altadisponibilidadenequipamientoyenlacesencasamatriz(headquarters)

107 PRDyCN:Contenido ElPlandebeespecificar: Quénecesitahacerse Comosehará Dondesehará Cuandosehará Quienlohará

108 PRDyCN:Evaluación Muchosplanesnuncaevaluadosfallanmiserablementeenlacontingencia Elplandebeserevaluadoencondicionesrealistas Durantelasevaluacionesdelplansuelenencontrarseycorregirsevarioserrores Loserrorespuedenserenlalógicaoenlosprocedimientos Enciertoscasos,sesimulandesastresyseevalúanencondicionespseudo realesla validezyaplicabilidaddelplan(ejerciciosdeevacuación,etc) ElcomitédeRDyCNdebeorganizar,planificareimplementarlostestsconcierta periodicidad

109 Referencias I. BettyKildow;DisasterRecoveryPlanning:InsuringBusinessContinuity;AMA Seminars;2003 II.Maiwald&Sieglein;SecurityPlanning&DisasterRecovery;McGraw Hill;2002. III.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecial Publication

110 NormasyEstándares Compilanlaexperienciadeprofesionalesdestacados,consensuandounconjuntode 'buenasprácticas'sobrelasqueeventualmenteseexigecumplimiento,por disposicionesregulatoriasquevaríandepaísenpaís Definenunaplataformaviableyunificadadeinteracciónentreorganizaciones,tanto paraelmundoprivadocomoparaelmundopúblico. Lasnormasdeestandarizacióntiendenaserabiertaseimparciales(vendor agnostic)paranofavoreceraciertosvendedoresdetecnología Algunasdeestasorganizacionessoninternacionalesytienenimpactoglobalporsu relevancia

111 Organizaciones ISO:InternationalOrganizationforStandarization(NGO) BSI:BritishStandardInstitute(UK) NIST:NationalInstituteofStandardsandTechnology(USA) IRAM:InstitutoArgentinodeNormalizaciónyCertificación ONTI:OficinaNacionaldeTecnologíadelaInformación(órganorectordelusodela TIparalaAdministraciónPúblicaNacional)

112 EstándaresenSI BS7799(1995,1999,2002,2005) ISO17799(1995) ISO/IEC/IRAM17799 ISO27001(2005)

113 ISO27001 EstábasadaenlaBS7799 3ydescribeunprocesode6etapas: I. DefinicióndeunapolíticadeSI II.DefinicióndelalcancedelgestióndelaSI III.ImplementacióndeunanálisisderiesgodeSI IV.Gestióndelosriesgosidentificados V.Seleccióndeloscontrolesaimplementarseyaplicarse VI.Elaboracióndelascondicionesdeaplicación AdiferenciadelaISO17799,permitelacertificaciónauditadaporciertasentidades homologadas(antiguamentesólolabs7799permitíalacertificación)

114 PlataformasdeITGovernance COSO(CommitteeofSponsoringOrganizationsoftheTreadway Commission) COBIT(ControlObjectivesforIT) SAC(SystemsAuditability&Control) SAS(StatementsonAuditingStandards)

115 AuditoríadeSI AuditoríaTradicional:basadaenlasrecomendacionesdeconsenso internacional(iso/bs17799,etc) AuditoríadeCódigodeSistemas Auditoríadeseguridad Auditoríafuncional(noladesarrollaremospornoserdenuestrointerés) AuditoríaPerimetral(penetrationtest) AuditoríabasadaenIngenieríaSocial AuditoríaForense

116 AuditoríadeCódigo Losauditoresinspeccionan,enformaautomatizadaprimero(con herramientasespecíficas)yenformamanualdespués,elcódigofuentede unaaplicaciónparadetectarvulnerabilidadesquepuedanserexplotadas poratacantes Seevalúalagravedaddelasvulnerabilidadesencontradas,sufactibilidad deexplotaciónlocaloremotaysecalculaelriesgoquelamisma representaparaelsistemaenestudio Enocasionespuedensugerirsealternativasparacorregirdichas vulnerabilidades Requiereespecializaciónentécnicasdeprogramaciónsegura

117 Pentest Implementadoporunequipodeanalistas(redteamotigerteam)quienes exploranelperímetroinformáticoydecomunicacionesdeuna organizaciónconelobjetivodeencontrarfallasdeseguridadexplotables Laideaessimularunataquetalcomoloharíanatacantesreales (proactividadvspasividad) Constadetresetapas Reconocimiento(fingerprintingdeSSOO,serviciosyaplicaciones) Explotación(demostracióncontroladadelaexplotacióndeunafalla) Reporte(presentaciónderesultadosalaorganizaciónquelocontrata) Requierepre acordarelalcancedemaneramuyprecisaconelcliente (infraestructuraaauditar,horariodeintervención,ndas,contactosante emergencias,etc)

118 IngenieríaSocial Implementadoporunequipodeanalistasquienesdiseñaneimplementan ataquesalaorganizaciónbasadoseningenieríasocial Departicularefectividadenorganizacionesgrandesconpolíticaslaxasde seguridadoconunplandeconcientizacióndeseguridadmuypobre Puedenalcanzarunniveldesofisticaciónsorprendente Ennumerososcasosselogranresultadosimpensados Contemplantécnicascomo Phonescreening E mailcontroyanos Escuchasilegales Phishing Presentacionesespontáneassimulandoserproveedores,etc Dumpsterdiving

119 AuditoríaForense Consisteenelanálisispost mortemdeunincidentedeseguridad Puedeserdeextremadadificultadpreservarlaevidenciaparaquetenga validezlegalanteposiblesaccionesqueinicielaorganizaciónvíctima Lasprincipalcomplicacióneslacapturadeinformacióndememorias volátiles Esunaespecialidadensímismaquerequiereprofundosconocimientosde bajoniveldessoo,lenguajesdeprogramación,compiladores,dispositivos dei/o

120 Referencias I. JackChamplain;AuditingInformationSystems;JohnWiley&Sons;2003 II.Senftetal;InformationTechnologyControl&Audit;Auerbach;2004. III.SusanSnedaker;ITSecurityProjectManagementHandbook;Syngress;2006

121 Gracias! GuillermoMarro