Práctica fundamentos de seguridad informática

Transcripción

1 ESLARED 2013 Práctica fundamentos de seguridad informática Los objetivos de esta práctica son: Conocer aspectos prácticos de las leyes venezolanas en materia de seguridad informática. Realizar una matriz de riesgos asociada a su institución. Comprender las herramientas para el planteamiento de políticas, directrices, normas y procedimientos para su institución. Desarrollo Práctico Parte 1. Análisis de casos por comisión de delitos informáticos 1) En el caso #1, Por cuales délitos se imputan a Silvestre Rodríguez y José Ramoni? 2) En el caso #2, Por que se reduce la pena de los imputados? Consideras que realmente se debía reducir la pena? 3) En ambos casos que pueden constituir las declaraciones de los expertos del CICPC en materia de evidencia digital?

2 4) Foro, En el caso #3, no hemos cometido nosotros los mismos errores a la hora de manejar un incidente informático? Porqué no se pudo utilizar la evidencia recabada? Qué medidas han debido tomar en este caso al tener las fuerzas del estado la evidencia?

3 Parte 2. Caso práctico para realizar la gestión de riesgo 1) Realice un listado de los principales bienes informáticos de su institución (OJO no específique nombres de servidor, direcciones IP, ni ninguna información confidencial!) Considera al enumerar los equipos la diferenciación de equipos según su lugar en la red y el usuario del equipo. Por ejemplo: portátil de personal operativo vs. Portátil de personal directivo. EQUIPO CANTIDAD SERVIDOR SERVICIOS

4 2) Revisa y adapta las tablas de amenazas y salvaguardas a tu institución Listado de amenazas Código Amenaza Código Amenaza A1 Replicación de Malware A14 Falta de Administración de Incidentes A2 Fugas de Información A15 Errores de configuración (Administradores) A3 Alteración de la Información A16 Falta Mantenimiento General A4 Destrucción de la Información A17 Falta de Documentación de los procesos de Administración de dispositivos y del sistema A5 Divulgación de la información A18 Falta de actualizaciones (Sistema Operativo, Antivirus, Gestor de B.D) A6 Vulnerabilidad de Sw. (Servicios y Aplicaciones) A19 Daño físico de dispositivos A7 Sw desactualizado (Servicios y Aplicaciones) A20 Falta de Aplicación de Buenas Prácticas en el desarrollo in House A8 Acceso no Autorizado A21 Falta de Personal disponible A9 Intercepción de Tráfico e Información A22 Renuncia del Personal 10 DoS A23 Caída del canal WAN A11 Falta Backup de Información A24 Caída del canal Internet Personal A12 Falta Backup de Configuración de Dispositivos A25 Caída del canal Internet Estudiantes A13 Falta de Administración de Logs A26 Caída de la red LAN Listado de salvaguardas Código S1 S2 S3 S4 S5 S6 S7 S8 S9 Salvaguarda Cifrado Copias de Respaldo Controles de Acceso Registro de Actuaciones Detección de Intrusos (Monitorización) Hardening de Dispositivos y Aplicaciones Gestión y administración de claves Definición de Roles de Seguridad Administración de Continuidad del

5 Código S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25 Salvaguarda Negocio Auditoría Interna Antivirus Actualizado Análisis de Requerimientos Desarrollo bajo metodologías de calidad CMMI Actualización de Versiones Aplicación de Pruebas de Funcionamiento Mantenimiento de Equipos Definición exacta de Funciones Definición de Políticas de Seguridad Topologías Redundantes Documentación de los Procesos Administrativos y de Configuraciones IDS/IPS PKI ISDN Canal de Contingencia VPN

6 3) Rellena la tabla de riesgos y realiza la evaluación según tu experiencia del impacto y la probabilidad de ocurrencia! La Probabilidad de amenaza y el impacto del daño pueden tomar los valores y condiciones respectivamente Probabilidad de ocurrencia: 1 = Muy raro (incluido Ninguna) 2 = Poco probable 3 = Moderado 4 = Probable 5 = Certeza Impacto: 1 = Insignificante 2 = Menor 3 = Moderado 4 = Mayor 5 = Catástrofe Resultado: Bajo Riesgo = 1 7 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = (naranja) Muy Alto Riesgo = (rojo) Matriz Impacto Insignificante Menor Moderado Mayor Catástrofe Probabilidad Certeza Probable Moderado Poco probable Muy raro

7 4) Una vez obtenido el riesgo para cada bien debes asignar una salvaguarda, es importante que tomes en cuenta la inversión que se realizará en instaturar la salvaguarda y si el riesgo de ocurrencia vale la pena. Matriz Riesgo Salvaguarda Bienes/servicios Bajo Medio Alto Muy alto

8 Parte 3. Políticas, directrices, normativas y procedimientos 1. Basado en la teoría vista sobre políticas, directrices, normas y procedimientos desarrollo la directriz sobre control de acceso para tu institución. Puedes utilizar la siguiente cómo ejemplo:

9 ID Título de la directriz Dirigida a Objetivo Normas: Desarrollada por Revisada por Rige a partir de

10 2. Desarrolla un procedimiento asociado a alguna de las normas que colocaste en la directriz, recuerda que el procedimiento debe ser detallado, y será el que podrá cambiarse de forma ágil si existe algún cambio de tecnología asociado al hardware o software al que aplique.