Qué es la Seguridad? Seguridad (rae) f. Cualidad de seguro Seguro (rae) adj.libre y exento de todo peligro adj. Cierto, indubitable y en cierta manera infalible. adj.firme, constante y que no está en peligro de faltar o caerse adj. No sospechoso m.mecanismo que impide el funcionamiento indeseado de un aparato, utensilio, máquina o arma, o que aumenta la firmeza de un cierre
Qué es la Seguridad? Seguridad (ISO/IEC 27002) Seguridad de la información es la preservación de la confidencialidad, la integridady la disponibilidadde la información, pudiendo además abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
Cuánto necesitamos saber de Seguridad? Seguridad Hackers-firewalls? Virus-Antivirus? Phishing-Antiphishing? Spyware-antispyware? Spam-antispam? Adware? Malware? Control de contenidos? Encriptación, firmas digitales, certificados? Backup, service packs, hotfixes? Test de intrusión y análisis de vulnerabilidades? Autenticación y control de acceso? VPN, Wireless, routers, IP, DNS, FQDN? Integridad, privacidad, fiabilidad? Leyes, regulaciones, estándares?
Términos Hacker es el neologismo utilizado para referirse a un expertoen varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker. Cracker Es una persona que mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo. Es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño. El término deriva de la expresión "criminal hacker", y fue creado alrededor de 1985 por contraposición al término hacker, en defensa de éstos últimos por el uso incorrecto del término. FQDN - Fully Qualified Domain Name es un nombre que incluye el nombre de la computadora y el nombre de dominio asociado a ese equipo. Por ejemplo, dada la computadora llamada «serv1» y el nombre de dominio «bar.com», el FQDN será «serv1.bar.com», a su vez un FQDN asociado a serv1 podría ser «post.serv1.bar.com»
Términos Phishing capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando SPAM e invitando acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios. Spam mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor Adware: es cualquier programa que automáticamente se ejecuta, muestra o baja publicidad al computador después de instalado el programa o mientras se está utilizando la aplicación. Malware: es un software que tiene como objetivo infiltrarse en o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un spyware.
Términos Scam delito consistente en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro, utilizando como medio la tecnología. Los medios utilizados por los scam, son similares a los que utiliza el phishing; aunque el objetivo no es obtener datos sino lucrar de forma directa a través del engaño. Las técnicas utilizadas principalmente, para engañar al usuario, son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa. una ganancia extraordinaria o las peticiones de ayuda caritativa. Rogue software que, simulando ser una aplicación anti-malware (o de seguridad), realiza justamente los efectos contrarios a estas: instalar malware. Por lo general, son ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en el equipo del usuario. La persona, es invitada a descargar una solución o, en algunos casos, a pagar por ella. Los objetivos, según el caso, varían desde instalar malware adicional en el equipo para obtener información confidencial o, directamente, la obtención de dinero a través del ataque. Algunos simulan hacer un escaneo del sistema, con barra de progreso y minuciosos detalles de la cantidad de amenazas que se encuentran en el PC.
Términos Rootkit una o más herramientas diseñadas para mantener en forma encubierta el control de una computadora. Estas pueden ser programas, archivos, procesos, puertos y cualquier componente lógico que permita al atacante mantener el acceso y el control del sistema. Aparecieron con Unix, y eran una colección de una o más herramientas que le permitían al atacante conseguir y mantener el acceso al usuario Root En linux, modifican y trabajan directamente en el kernel del sistema. En Windows, interceptan los APIs (Interfaz de Aplicaciones de Programación) del sistema operativo. BootRootkitsatacan el sector de arranque y modifican la secuencia de arranque para cargarse en memoria antes de cargar el sistema operativo original. Ransomeware (o criptovirus) código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el usuario pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma de dinero, según las instrucciones que este disponga.
Términos Spyware software, dentro de la categoría malware, que se instala furtivamente en una computadora para recopilar información sobre las actividades realizadas en ella. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Crimeware es cualquier tipo de malwareque ha sido diseñado y desarrollado para perpetrar un crimen del tipo financiero o económico DNS Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio
Términos Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio. Hoax es un intento de hacer creer a un grupo de personas que algo falso es real. En el idioma español el término se popularizó principalmente al referirse a engaños masivos por medios electrónicos especialmente Internet. A diferencia del fraude, tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular Internet y no suelen tener fines lucrativos o no son su fin primario. Malvertising consiste en ubicar espacios publicitarios en sitios web o redes sociales que enlacen directa o indirectamente a la instalación de software malicioso. Esta técnica permite a los atacantes tener como potencial víctima a cada persona que visite el sitio web donde se alojó la publicidad en línea.
Cuánto necesitamos saber de Seguridad? La información está almacenada y procesada en computadoras puede ser confidencial para algunas personas o a escala institucional puede ser mal utilizada o divulgada puede estar sujeta a robos, sabotaje o fraudes
Cuánto necesitamos saber de Seguridad? Sistemas de información Personas, Procesos, Tecnología Procesamiento, Transporte, Almacenamiento Dueños, Custodios, Usuarios Activos de información deducida inferida
Cuánto necesitamos saber de Seguridad? Conceptos básicos Amenazas Posible peligro del sistema o atacante que aprovecha las debilidades (vulnerabilidades) del sistema. Origen Tipos Persona. Programa. Suceso natural o de otra índole Hardware: Sistema. Software: programas de usuario, aplicaciones, bases de datos, SO, etc. Datos Ejemplos desastres naturales (inundaciones, accidentes, incendios) abusos deliberados (fraudes, robos, virus)
Cuánto necesitamos saber de Seguridad? Conceptos básicos Vulnerabilidades Aspecto del sistema que es susceptible de ser atacado o de dañar la seguridad del mismo Tipos Vulnerabilidad física: Nivel de edificio o entorno físico. Vulnerabilidad natural: Desastres naturales/ambientales. Vulnerabilidad del hardware y del software: Bugs de los SO. Vulnerabilidad de los medios o dispositivos: robos, daños, etc. Vulnerabilidad por emanación: Radiaciones electromagnéticas. Vulnerabilidad de las comunicaciones: (1) penetrar en el sistema a través de la red, (2) interceptar información en la transmisión. Vulnerabilidad humana: El 50% de los problemas son debidos a los usuarios.
Cuánto necesitamos saber de Seguridad? Conceptos básicos Riesgo Proximidad o posibilidad de un daño, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Combinación de la probabilidad de un evento y de su consecuencia Conceptos asociados (ISO 27002): Análisis de riesgo: uso sistemático de la información para identificar fuentes y asignar valores a la probabilidad y las consecuencias de un riesgo Valoración del riesgo: proceso de comparación del riesgo estimado versus criterios de riesgo dados, para determinar la importancia del riesgo Evaluación del riesgo: proceso completo de análisis y valoración del riesgo Tratamiento del riesgo: selección e implementación de medidas para modificar el riesgo
Cuánto necesitamos saber de Seguridad? Conceptos básicos Contramedida Técnica de protección del sistema contra las amenazas Las medidas de seguridad llevan un coste asociado: A mayores y más restrictivas medidas, menos funcional es el sistema. El sistema es menos cómodo para los usuarios: Limita su actuación y establece unas reglas más estrictas que dificultan el manejo del sistema. Una posible reducción del rendimiento (Ej. Chequeo antivirus)
Cuánto necesitamos saber de Seguridad? Conceptos básicos - Contramedida Tipos de medidas: Lógicas. Incluyen las medidas de acceso a los recursos y a la información y al uso correcto de los mismos, así como la distribución de las responsabilidades. Se refiere a la protección de la información almacenada y transportada Físicas. Físicas. Aplican mecanismos para impedir el acceso directo o físico no autorizado al sistema. Protegen al sistema de desastres naturales o condiciones medioambientales adversas. Se trata de establecer un perímetro de seguridad en nuestro sistema Administrativas. Legales. Son aquellas que deben ser tomadas por las personas encargadas de definir la política de seguridad para ponerla en práctica, hacerla viable y vigilar su correcto funcionamiento Trascienden el ámbito de la empresa y normalmente son fijadas por instituciones gubernamentales e incluso instituciones internacionales.
Cuánto necesitamos saber de Seguridad? Conceptos básicos Controles Medios para gestionar el riesgo, incluyendo políticas, procedimientos, guías, ya sea técnicas, administrativas, de gestión, etc. Objetivo de control: Qué se quiere lograr aplicando controles
Puntos críticos de la seguridad empresarial
Retos de la seguridad Accesibilidad vs. Protección Aumento en: Identidades: empleados, clientes, proveedores y socios de negocios. Requerimientos de control: Importancia del control interno regulaciones como Sarbanes-Oxley(2002). Amenazas: aumento de tipos y medios de ataques. Las herramientas usadas para realizar ataques se pueden adquirir en Internet, permitiendo que gran número de usuarios inexpertos puedan generar ataques muy sofisticados. Vulnerabilidades: mayor complejidad y escala en ambientes distribuidos de TI Gran número de rutas de acceso a activos de información
Seguridad en las organizaciones Aspectos Seguridad física Seguridad lógica Seguridad organizativa se calcula que el 80% de la seguridad de los datos está asociado al factor humano y el 20% al tecnológico.
Seguridad en las organizaciones Seguridad Conjunto de medios que aseguran el correcto funcionamiento de alguna cosa Conjunto de medios (normas, procedimientos, controles, dispositivos, etc.) destinados a proteger la organización y sus recursos de diferentes tipos de amenazas. El concepto de seguridad aplica a todo tipo de información y hace referencia a la protección de valiosos activos y su resguardo contra pérdidas y daños
Objetivos de la Seguridad Garantizar la disponibilidad, confidencialidade integridadde la información relevante para el funcionamiento de la empresa.
Objetivos de la Seguridad Disponibilidad La información está disponible (en el lugar, tiempo y forma) cuando se precisa Confidencialidad La información corporativa sólo debe estar accesible al personal autorizado Integridad Que la información de la empresa sea y permanezca íntegra, confiable y completa No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados. No se realizan modificaciones no autorizadas de datos por personal o procesos autorizados. Los datos son consistentes, es decir, la información interna es consistente entre si misma y respecto de la situación real externa.
Objetivos complementarios de la Seguridad Autenticación dar y reconocer la autenticidad de los activos de información y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de estas 3 cuestiones
Objetivos complementarios de la Seguridad Autorización Auditoría Capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema y quién y cuándo los ha llevado a cabo. No repudio Propiedad que asegura que cualquier entidad que envía o recibe información no puede alegar ante terceros que no la envió o no la recibió.
Confidencialidad Seguridad Gubernamental: Los usuarios pueden acceder a la información que les está permitida en base a su grado o nivel de autoridad (disposiciones legales o administrativas). Entornos de Negocios: La confidencialidad asegura la protección en base a disposiciones legales o criterios estratégicos de información privada. Mecanismos para salvaguardar la confidencialidad de los datos: El uso de técnicas de control de acceso a los sistemas. El cifrado de la información confidencial o de las comunicaciones.
Integridad Relacionado con conceptos: precisión, integridad, autenticidad. El sistema no debe modificar o corromper la información que almacene, o permitir que alguien no autorizado lo haga. Modificaciones intencionadas, y cambios accidentales. Redes y comunicaciones Autenticidad: Se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos. Entornos financieros o bancarios: Al realizar transacciones es más importante mantener la integridad y precisión de los datos que estos sean interceptados o conocidos (confidencialidad). Criptografía: Hay métodos para mantener y asegurar la autenticidad de los mensajes y la precisión de los datos. Se usan códigos o firmas añadidos a los mensajes, asegurando integridad y autenticidad.
Disponibilidad Un sistema seguro debe mantener la información disponible para los usuarios. El sistema, tanto hardware como software, debe mantenerse funcionando eficientemente y ser capaz de recuperarse rápidamente en caso de fallo. Denegación de servicio: Los usuarios no pueden obtener los recursos deseados. Motivos: La computadora puede estar estropeada o el SO caído. No hay suficiente memoria para ejecutar los programas. Los discos, impresoras o cualquier otro recurso no están disponibles. No se puede acceder a la información
Disponibilidad
Ejemplos de amenazas y su impacto Spam Disponibilidad Virus Integridad, disponibilidad Spyware Confidencialidad Intrusiones Confidencialidad, Integridad, disponibilidad Phishing?
Evolución de Malware Fuente: CheckPoint Corporation
Ataques en 2014 por zona Fuente: CheckPoint Corporation
Ataques en el último año Fuente: Symantec Corporation
Ataques en dispositivos móviles Fuente: Symantec Corporation
Ataques en dispositivos móviles Más de 1,5 millones de programas maliciosos para Android fueron detectados el año pasado, lo que supone un 30 % más que los registrados en 2013 Fuente: G Data
Ataques financieros Fuente: Kaspersky Labs
Ataques financieros en 2013 Porcentaje de usuarios que se toparon con malware financiero entre el número total de usuarios atacados por malware en 2013 Fuente: Kaspersky Labs 0% - 3% 3% - 6% 6% - 9% 9% - 12% >12%
En el futuro Internet de las cosas Con la integración de nuevos dispositivos conectados a internet, se prevé que el panorama de El 1 er ataque de este tipo fue en 2011 en la Cámara de Comercio de EEUU, donde un termostato del edificio del Capitolio se comunicaba con una dirección IP que procedía de algún lugar de China desde la que se había accedido al sistema y robado email y documentos mercantiles e internos. Fuente: Kaspersky Lab dico. Fuente: Symantec
Cómo Mantenerse Protegido Conocer los datos. El foco de la protección debe estar en la información, no en el dispositivo o el centro de datos. Se debe saber dónde se almacena la información confidencial y por dónde circula para identificar las mejores políticas y procedimientos necesarios para protegerla. Educar al equipo.compartir con colaboradores información y recomendaciones sobre protección de datos, en especial sobre políticas y procedimientos existentes para proteger la información confidencial en dispositivos personales y corporativos. Implementar medidas de seguridad sólidas. Es importante fortalecer la seguridad de la infraestructura de TI con prevención de pérdida de datos, seguridad de redes y punto final, cifrado, autenticación e, incluso, cuestiones defensivas como las tecnologías basadas en reputación. Fuente: Symantec
Incidentes de seguridad Efectos Daño o perjuicio directo Pérdida de información Pérdida de capacidad de procesamiento, comunicación, almacenamiento Impacto en la imagen o percepción de la confiabilidad Daño o perjuicio indirecto Consecuencias legales: penales, comerciales Costos Recuperación Gastos por resarcimiento a terceros
Seguridad -objetivos de la gestión por qué los sistemas de información son tan vulnerables a la destrucción, abuso, error y problemas de calidad? Avances en telecomunicaciones y software Acceso no autorizado, abuso, o fraude Hackers Ataques de denegación de servicio Virus 2004 - Prentice Hall
Seguridad -objetivos de la gestión Preocupaciones de TI y usuarios: Desastres: naturales o no Seguridad: prevenir acceso no autorizado, robo, alteración, daño físico Errores: pueden ocasionar la destrucción o interrupción de registros de la organización o su operación Bugs: defectos de código Mantenimiento: costos altos debido a cambios organizacionales, complejidad de software, o problemas de análisis y diseño Problemas de calidad de datos: por errores de ingreso de datos o problemas de diseño del sistema
Seguridad -objetivos de la gestión Responder a las siguientes preguntas: qué medidas deberían tomarse para asegurar la confiabilidad, disponibilidad, y seguridad del comercio electrónico y los procesos de los negocios digitales? cuáles son las técnicas de aseguramiento de calidad a implementar? por qué es importante la salvaguarda de la calidad de datos y la auditoría de sistemas?
Seguridad -desafíos de gestión Diseñar sistemas que no tengan exceso ni carencias de controles Aplicar estándares de aseguramiento de calidad en proyectos de sistemas grandes