Septiembre Enrique Witte Consultor ArCERT Coordinación n de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas

Transcripción

1 Septiembre 2003 Enrique Witte Consultor ArCERT Coordinación n de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas Subsecretaría a de la Gestión n Pública. P Jefatura de Gabinete de Ministros. ewitte@arcert.gov.ar - :: Qué se debe asegurar? Siendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos,, debe estar debidamente protegida. 1

2 :: Contra qué se debe proteger la Información n? La Seguridad de la Información, n, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc. :: Qué se debe garantizar? Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera. 2

3 :: Por qué aumentan las amenazas? Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Información, n, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad. :: Por qué aumentan las amenazas? Algunas Causas Crecimiento exponencial de las Redes y Usuarios Interconectados Profusión n de las BD On-Line Inmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Técnicas T de Ataque Distribuido (Ej:DDoS) Técnicas de Ingeniería a Social 3

4 :: Cuáles son las amenazas? Accidentes: Averías, Catástrofes, Interrupciones,... Errores: de Uso, Diseño, Control,... Intencionales Presenciales: Atentado con acceso físico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicación :: Amenazas Intencionales Remotas Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD). Corrupción n o destrucción de la información n (amenaza a la INTEGRIDAD). Suplantación n de origen (amenaza a la AUTENTICACIÓN). N). 4

5 :: Cómo C resolver el desafío o de la Seguridad Informática? Las tres primeras tecnologías de protección n más m s utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%) Los ataques más m s comunes durante el último año a o fueron los virus informáticos (27%) y el spammimg de correo electrónico (17%) seguido de cerca (con un 10%) por los ataques de denegación n de servicio y el robo de notebook. 1 El problema de la Seguridad Informática está en su Gerenciamiento y no en las tecnologías disponibles Fuente: Centro de Investigación n en Seguridad Informática Argentina :: Ejemplo de problemas de Gerenciamiento... I SOBIG.F Según Trend Micro, en los últimos 7 días d se infectaron equipos en el mundo. Se dan todo tipo de cifras pero, evidentemente, estas son solo estimaciones pues, como siempre, nadie puede saber exactamente cuantas máquinas m se han infectado y cuantos usuarios se han perjudicado por las técnicas t de spam que utiliza el virus. El virus, desde el punto de vista técnico t no contiene grandes novedades Incorpora archivos adjuntos de formato.pif y.scr, que son los que producen la infección n al abrirse 5

6 :: Ejemplo de problemas de Gerenciamiento...II SOBIG.F Todo esto provoca varias reflexiones: 1. Hoy en día, d según n diversas encuestas publicadas, la gran mayoría a de las organizaciones cuentan con herramientas antivirus y existe la facilidad de actualizarlas vía v a Internet 2. Dadas las proporciones del caso, todos los medios han difundido cantidades de mensajes y de alertas. Todos los Directores de TIs,, Administradores de Red y demás s responsables de sistemas informáticos han tenido información n profusa, donde se indicaba que lo más m s peligroso era abrir los archivos adjuntos.pif y.scr. :: Ejemplo de problemas de Gerenciamiento...III SOBIG.F O sea, existían 3 medios importantes para evitar las infecciones masivas que se han producido: a)bloquear la entrada de estos archivos a las Redes. b)actualizar rápidamente r sus antivirus. c)emitir inmediatamente las directivas necesarias para que ningún n usuario bajo su control activara los mismos. ( o( o ya lo deberían saber?) Evidentemente esto no se ha hecho masivamente permitiendo, así,, la rápida r propagación n del virus y la pregunta que surge es Por qué? Por falta de información? n? Por falta de medios?... 6

7 :: Hasta acá... Amenazas Protección de la Información Internas Confidencialidad Integridad Externas Disponibilidad Gerenciar Seguridad Informática :: Pero tenemos mas... PRESUPUESTO Presupuestos pesificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir La reducción n de inversión n en TI en la Organización n genera riesgos de Seguridad Informática La reducción n de inversión n en TI de clientes, proveedores y aliados, genera riesgos de Seguridad Informática 7

8 :: Informática y Comunicaciones = Sistema de Seguridad Redes Únicas Concentración n de Servicios Telefónicos y Datos Problemas de Confidencialidad y Disponibilidad :: Aspecto Legal Presentación n de Aspectos Legales 8

9 :: Seguimos con Seguridad Informática... :: El éxito de un Sistema de Seguridad Informática... Reingeniería Gerenciamiento Diseño o y Controles Equilibrio Seguridad y Operatividad Ecuación n Económica de Inversión n en TI Ecuación n de Riesgo Organizacional 9

10 :: Requerimiento básicob Apoyo de la Alta Gerencia RRHH con conocimientos y experiencia RRHH capacitados para el día d a a díad Recursos Económicos Tiempo :: Estructura de Seguridad Análisis de Riesgos Análisis de Riesgos Se considera Riesgo Informático, a todo factor que pueda generar una disminución n en: Confidencialidad Disponibilidad - Integridad Determina la probabilidad de ocurrencia Determina el impacto potencial 10

11 :: Análisis de Riesgos Modelo de Gestión Activos Amenazas Reduce Impactos Función Correctiva Riesgos Vulnerabilidades Función Preventiva Reduce :: Estructura de Seguridad Política de Seguridad Política de Seguridad Conjunto de Normas y Procedimientos documentados y comunicados,, que tienen por objetivo minimizar los riesgos informáticos mas probables Uso de herramientas Involucra Cumplimiento de Tareas por parte de personas 11

12 :: Estructura de Seguridad Plan de Contingencias Conjunto de Normas y Procedimientos documentados y comunicados,, cuyo objetivo es recuperar operatividad mínima m en un lapso adecuado a la misión n del sistema afectado, ante emergencias generadas por los riesgos informáticos ticos Uso de herramientas Involucra Cumplimiento de Tareas por parte de personas :: Control por Oposición Auditoría a Informática Interna capacitada Equipo de Control por Oposición Formalizado Outsourcing de Auditoría 12

13 :: Herramientas Copias de Resguardo Control de Acceso Encriptación Antivirus Barreras de Protección Sistemas de Detección n de Intrusiones :: Uso de Estándares NORMA ISO/IRAM

14 :: Norma ISO/IRAM Estándares Internacionales - Norma basada en la BS Homologada por el IRAM :: Norma ISO/IRAM ORGANIZACION DE LA SEGURIDAD Infraestructura de la Seguridad de la Información Seguridad del Acceso de terceros Servicios provistos por otras Organizaciones CLASIFICACION Y CONTROL DE BIENES Responsabilidad de los Bienes Clasificación n de la Información 14

15 :: Norma ISO/IRAM SEGURIDAD DEL PERSONAL Seguridad en la definición n y la dotación n de tareas Capacitación n del usuario Respuesta a incidentes y mal funcionamiento de la Seguridad SEGURIDAD FISICA Y AMBIENTAL Áreas Seguras Seguridad de los Equipos Controles generales :: Norma ISO/IRAM GESTION DE LAS COMUNICACIONES Y LAS OPERACIONES Procedimientos operativos y responsabilidades Planificación n y aceptación n del Sistema Protección n contra el software maligno Tares de acondicionamiento Administración n de la red Intercambio de información n y software 15

16 :: Norma ISO/IRAM CONTROL DE ACCESO Requisitos de la Organización n para el control de acceso Administración n del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras móviles m y trabajo a distancia :: Norma ISO/IRAM DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS Requisitos de Seguridad de los Sistemas Seguridad de los Sistemas de Aplicación Controles Criptográficos Seguridad de los archivos del Sistema Seguridad de los procesos de desarrollo y soporte 16

17 :: Norma ISO/IRAM DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION Aspectos de la dirección n de continuidad de la Organización CUMPLIMIENTO Cumplimiento con los requisitos legales Revisión n de la Política de seguridad y del Cumplimiento Técnico Consideración n de las Auditorías del Sistema :: Fin de la presentación Este material podrá obtenerlo en en la Sección Novedades También n encontrará allí un documento completo con el resumen de las principales Normas Legales vigentes referidas a la Seguridad Informática 17