IntroducciónalaProblemáticade laseguridadinformáticaen OrganizacionesGubernamentales CEATS Rosario,1deAgostode2008
Agenda ConceptosBásicos(aprox.30minutos) SeguridadFísicayLógica Marcoconceptual:Confidencialidad,Integridad,DisponibilidadyNorepudio Documentaciónformalenseguridadinformática Modelodeadversario:InsidervsOutsider SeguridadLógica(aprox.90minutos) Fundamentos Principiosbásicos Elciclodevidadelaseguridad ClasificacióndeInformación Criptografíaclásicaydeclavepública Paradigmasdeamenazasaactivosinformáticos Infraestructuradedefensa:componentesbásicos
Agenda(cont) Practicum(aprox.120minutos) AnálisisRoSI AnálisisdeRiesgo AnálisisdeImpactoaNegocio EvoluciónenArquitecturadeProtección Rolesyactividadesenelárea/deptseguridadinformática Outsourcingvsprestacióndeserviciospropios PlanesdeContingenciayContinuidaddeNegocio NormasyEstándares AuditoríadelaSeguridad Referencias
Objetivos Alfinalizarlacapacitaciónelasistentedebería Entenderquelaseguridadinformáticaseocupadelaadministraciónderiesgos Sercapazdecomprenderlaimportanciadeunavisiónproactivaporsobreuna reactiva Comprenderlasdistintasactividadesquedebeencarareláreadeseguridaden unaorganizacióngubernamental Entenderlosdistintosaspectosinvolucradosconunprocesodeauditoríade seguridad ConocerlaexistenciadenormasinternacionalesISO,BS,etc Conocerloscomponentesfundamentalesdeunplanderecuperaciónante desastresycontinuidaddenegocios
Instructor GuillermoMarro MiembrofundadordeFlowgateSecurityConsulting SedesempeñacomocoordinadordeSeguridadInformáticadelprogramaSINTyS(gobiernonacional) ObtuvosuMSc.enseguridadinformáticaenlaUniversidaddeCalifornia(Davis USA) RecibiósutítulodeIngenieroElectrónicodelaUniversidadNacionaldeRosario(Rosario Argentina) EsinstructorinvitadodecursosdeseguridadinformáticaenlaUniversidadComplutensedeMadrid SedesempeñócomoGerentedeIntegraciónySeguridadenUNLB(BaseLogísticadeNacionesUnidas Italia) CuentaconexperienciacorporativainternacionalenrelevantesempresasyorganizacionesdeUSA, EuropayArgentina FuebecarioFulbright SedesempeñócomoresearchengineerenlaUniversidaddeArizona(USA),enelproyectoNeurolab'98 paralanasa.
ConceptosBásicos
SeguridadInformática ElISC2(InternationalInformationSystemsSecurityCertificationConsortium) describe10dominiosdentrodelcuerpodeconocimientosdelaseguridad Informática(SI): GerenciamientodelaSI OperacióndelaSI SeguridadFísica MétodosdeControldeAcceso Criptografía ArquitecturadeSeguridadCorporativa SeguridaddeAplicaciones SeguridadenlasTelecomunicaciones,InternetyRedes Leyes,InvestigacionesForensesyEtica PlanificacióndelaContinuidaddeNegocio
SeguridadInformática(cont) Noobstante,tradicionalmentelaSIsedesglosaendosgrandes componentes: SeguridadFísica(SF) SeguridadLógica(SL) Trataremosamboscomponentesporseparado
SeguridadFísica LaSFseocupadelapreservaciónfísicadelosactivosdeinformación deunaorganización Activomásimportante:elrecursohumano! Hastahaceunospocosaños,eraelúnico'tipo'deseguridadquese aplicabaasistemasdecómputo Cuerpodeconocimientosheredadosdelasprácticasmilitares ancestrales,adaptadosanuevastecnologías Tradicionalmenteadministradaporpersonaldevigilanciaofuerzas delorden
SeguridadLógica Coneladvenimientodelasredesinformáticas,dondeelofensor noprecisaestarfísicamenteenellugardelcrimen,surgelasl RequiereunenfoquemuydiferentealdelaSF ConsecuentementeesadministradaporexpertosenSL(cuerpo deconocimientosradicalmentediferenteydegrandinamismo) Esunaespecialidadensímisma,enplenaexpansión
PremisasBásicas Integridad Confidencialidad Disponibilidad No repudiación Autenticación Autorización Trazabilidad Privacidad
PolíticasyMecanismos PolíticadeSeguridad Definiciónconcisadeloqueestápermitidoyloquenoestápermitido MecanismodeSeguridad Procedimiento,herramientaométodoparagarantizarelcumplimientodelapolítica deseguridad
DocumentaciónFormal Esdeseablequetodaorganizacióntengaunsetdepolíticas,estándaresy procedimientosdeseguridadqueabarqueexhaustivamentetodalaoperatoriade lamisma. IMPLEMENTACION Comoloharemos? TECNOLOGIA ESTANDARES Conquetecnología? CULTURA POLITICAS ó n Niveldedetalle FrecuenciadeActualizaci PROCED Queesloqueharemos?
DocumentaciónFormal(cont) Loidealesqueladocumentaciónformal(políticas,estándaresy procedimientos)seaaprobadayendosadaporlajerarquíamáximadela organización EstopermiteposicionaralaSIcomoprioridaddelaorganizaciónydeesta manerafacilitarlaimposicióndecontrolesdesi Debeademásdifundirseladocumentaciónentretodoslosmiembrosdela organización(plandeconcientización) Además,dichadocumentacióndebeactualizarseconperiodicidad
Referencias I. MattBishop;ComputerSecurity.ArtandScience;AddisonWesley;2003 II. RossAnderson;SecurityEngineering;Wiley;2001. III.MorrieGasser;BuildingaSecureComputerSystem;VanNostrandReinhold;1988. IV.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication V. RickLehtinen;ComputerSecurityBasics;O'reilly;2006
SeguridadFísica
SeguridadFísica PartedelaSIqueseencargadeprotegerlainfraestructuradelaorganización deamenazasasociadasalaccesofísicoarecursosdelamismaydeamenazas ambientalesengeneral. Elrecursomásimportanteeselhumano! LoscontrolesdeSFseimplementanparaprotegerlosrecursoshumanos,los recursosdelasinstalaciones,losrecursosdeinfraestructurainformáticaylos decomunicaciones
AmenazascontralaSF Naturales Artificiales Terremotos Inundaciones Cataclismos Robos Rebelionespopulares Escapestóxicos Roturadecaños Cortesdeenergía Incendios Explosiones
Riesgos Interrupciónenlaprovisióndeservicios Dañofísico Filtracióndeinformación Compromisodeintegridad Robo
ControlesdeAccesoFísico Restriccióndeentrada/salidadepersonassegúnincumbenciasendiferentes accesosdelaorganización Muchasveceselcontroldesalidaentraenconflictoconlaseguridaddelas personas(particularmenteduranteemergencias)sinoestábienresuelto Suelerobustecerseconfactoresmúltiplesparalaautenticacióndeindividuos (biometría,tarjetasdeproximidad,pin,etc) CircuitosCCTVdemonitorizacióndeambientescríticosydeperímetro Suelecomplementarseconproteccióndeperímetrodefuerzasdelorden(públicas oprivadas)
ControlesdeIncendio Restriccióndeelementoscombustibles Sensoresdehumo,sobre temperatura,excesodepartículasensuspensióncon remotizacióndealarmas Mapasdeevacuación Salidasdeincendioclaramenteseñaladasysinobstrucción Extintoresbasadosenrociadoresdeagua,Halon,etc
ControlesAmbientales Funcionamientoapropiadodeacondicionamientodeaire Adecuacióndeinstalacionessanitarias Controlesdepurezadeaire Adecuacióndelespaciodetrabajo
ControldeDispositivosMóviles Ingreso/EgresonoautorizadodeLaptops/PDAs/Smartphones Adecuacióndemecanismosdeproteccióndedatosen Laptops/PDAs/Smartphones Mecanismosdedeteccióndeconexiónnoautorizadaarecursoslocalesdered (IDD)
OtrosControles CoberturadeSeguros Fuentesalternativasdeenergías(UPS,Generadores) Backups(on siteyoff site)
Recomendaciones Cumplirconleyesyregulacionesvigentes Implementarcontrolesqueseanviableseconómicamente(tenerencuenta costosoperativos) Hacerunbuenanálisisderiesgoydeimpactoanegocio ComojustificarmedidasdeSF? Requeridasporleyoregulación Costonosignificativoconbeneficiosimportantes Costosignificativo,peroevitaataquesdeconsecuenciascatastróficas RoSIapropiado
SeguridadLógica
Definiciones Riesgo Laposibilidaddequeocurraalgoadverso Amenaza Todaviolaciónpotencialmentefactibledelaspolíticasdeseguridad Ataque Todaintentoconsumadodeviolacióndelaspolíticasdeseguridad
TaxonomíasdeAmenazas Filtración Accesonoautorizado Decepción Provisióndeinformaciónfalsa Disrupción Interrupcióndeservicio Usurpación Controlnoautorizadodeunsistema
SistemaSeguro Laimplementaciónplasmaperfectamenteloespecificadoporla políticadeseguridad
HipóthesisdeConfianza Cadamecanismoimplementaunapartedelapolíticadeseguridad Launióndetodoslosmecanismosimplementatodoslosaspectosdela política Losmecanismosestánimplementadoscorrectamente Losmecanismossoninstaladosyadministradoscorrectamente
ConfianzaentodaslasEtapas Especificación Detallaformaloinformalmenteelfuncionamientodeseadodelsistema Diseño Traducelaespecificaciónencomponentesquelaimplementarán Implementación Materializaeldiseñoenalgoquelosatisface Operación Mantieneelsistemafuncionandoencondicionesaceptables
PrincipiosUniversalesdelaSI Mínimoprivilegio Lospermisosotorgadosaunsujetodebenestarbasadosenlanecesidaddesaber Valoresporomisiónseguros Amenosqueseotorgueexplícitamenteaunsujetoaccesoaunobjeto,éstedeberserdenegado Economíademecanismos Losmecanismosdeseguridaddebenserlosmássimplesposibles Mediacióncompleta Todoslosaccesosaobjetosdebenpoderauditarse
PrincipiosUniversalesdelaSI Diseñoabierto Laseguridaddeunsistemanodebedependerdesecretosensudiseñooimplementación Separacióndefunciones Elsistemanodebeconcederpermisosarecursoscríticosbasadoexclusivamenteenunaúnicacondición (DefensaenCapas) Menormecanismocomún Losmecanismosusadosparaaccederarecursosnodebensercompartidos Aceptaciónpsicológica Losmecanismosadoptadosnodebentornaralsistemaen'pocousable'
AceptaciónPsicológica?
CiclodelaSeguridad
ModeladodeAdversarios Disponibilidadderecursos Niveldeaccesoalsistema Nivelderiesgoqueestándispuestosatolerar Objetivosquepersiguenalatacaralsistema Puntodepartidaparalaplanificación decualquiersistemadeseguridad!
InsidervsOutsider Serequiereladiferenciacióndealmenosdostiposdeadversario: Outsider:Bajoniveldeaccesoalainformaciónreservadadelaorganización, accesoarecursoscorporativosescasoonulo Insider:Altoniveldeaccesoainformaciónreservada,altoaccesoarecursos corporativosdelaorganización,favorecidoporeltradicionalmodelodeconfianza
AAA Autenticación, Autorización y Auditoría (AAA) son tres mecanismos básicos de cualquier sistema de seguridad Autenticación: proceso por el cual un sistema verifica una identidad pretendida (correspondencia entre identidad real e identidad digital) Autorización: derechos de acceso otorgados a un sujeto. Control de acceso: mecanismo por el cual un sistema verifica que un sujeto está autorizado a acceder a un recurso. Auditoría: proceso por el cual se registran los eventos relacionados con aspectos de seguridad informática
Autenticación Loqueunosabe ej:usuarioycontraseña Loqueunotiene ej:token,smartcard,gpsphone,etc Loqueunoes ej:scanderetina,huelladactilar,etc Loqueunopuedehacer ej:firmamanuscrita,patronesdetipeo,etc Dondeunoestá ej:ubicacióngps Combinandocualquieradeestosfactoressetieneautenticacióndedoblefactor,detriple factor,etc
ContraseñaIdeal AlgoqueSOLOelusuarioconoce,quelacomputadorapuedeverificaryquenadie máspuedeadivinar,independientementedelpoderdecómputoquetenga Elproblemaesqueenlaprácticaesmuydifícilacercarseaesteideal! Típicoconflictoentreseguridadyusabilidad 'Yourpasswordmustbeatleast18770charactersandcannotrepeatanyofyour previous30689passwords' MicrosoftKnowledgeBaseArticle276304 http://support.microsoft.com/kb/276304
ContraseñasReales Dadalaimposibilidaddecontarconcontraseñasideales,setomanciertosrecaudos paralograrestetipodeautenticaciónviable Condiciones LongitudMínima:8caracteres Impedirpalabrasdediccionario ForzarlaNoRepeticióndelasúltimas10contraseñas Forzarladuraciónmáximadelascontraseñas(valorrelacionadoconlapotenciamáxima decómputodeladversario) Forzarladuraciónmínimadelacontraseña ComposiciónObligatoria: Almenosunaletraminúscula Almenosunaletramayúscula Almenosunnúmero Almenosunsímbolo
CrackeandoContraseñas Segúnestudiosde1993,basadosenunaestimacióndecapacidaddecómputocomoparaprobar6,4 millonesdecontraseñasporsegundo*enunataqueporfuerzabruta,setienenlassiguientestablas:
Autenticación: Token&Smartcards Dispositivosportátilessupuestamenteinviolables Puedencontenercertificadosdigitales,firmas digitales,clavesoanillosdeclaves Seproveesoftwarequerealizalasoperaciones criptográficasdesoporte Cuentanconproteccióndeaccesoalsistemade archivos,queevitanlamanipulaciónindiscriminada dedatosdesdeelso(blindajededatoscontenidosen eldispositivo)
Autenticación:OTP OneTimePasswords Enentornoscorporativosseobligaalusuarioarecordarunnúmeroimportantede contraseñas Dadalaimposibilidadhumanaenrecordarmuchascontraseñasrobustas,sesuelerequerir unúnicosetdecredenciales(singlesign On)paraautenticarseaunaplataformaAAA común,desdedondeelusuariopodráaccederalosdistintosaplicativosconlospermisos correspondientes Laventajaobviaeslasimplicidadparaelusuarioylaposibilidaddeemplearpolíticasde altarobustezparalascontraseñas Ladesventajaesquecuandosecomprometelacontraseñadelusuario,elatacantetiene accesoinmediatoatodoslosderechosdelavíctima
Autorización Mecanismomedianteelcual,unavezqueelsistemaasignaunaidentidadlógica conocidaaunaidentidadfísicapretendida(credencialesadecuadas),leasignalos permisoscorrespondientesasuperfilalosdistintosactivosinformáticos
ControldeAccesoenSSOO Discretionary(Identity Based)AccessControl(DACoIBAC) Elpropietariodeunobjetopuededelegarsuspermisosenotrosujeto OriginatorControlledAccessControl(ORCON) Elcreadordeunobjetopuededelegarsuspermisosenotrosujeto Mandatory(Rule Based)AccessControl(MAC) ElpropietariouoriginadordeunobjetoNOpuededelegarsuspermisosenotrosujeto,sinoque eladministradoresquienconfiguralasreglasdeacceso siguiendolapolíticadeseguridad y elsolasimplementa Role BasedAccessControl(RBAC) Controldeaccesobasadoenelrolquetieneelsujetoenelsistema.
ClasificacióndeInformación Sedefinenlossiguientesnivelesdeclasificacióndeinformación,en ordendecriticidaddecreciente: UltraSecreta Secreta Confidencial SinClasificaroIrrestricta
ClasificacióndeInformación(2) Elniveldeaccesodeunsujeto(SecurityClearance)eselque determinahastaqueniveldeclasificacióndichosujetopuede acceder (UltraSecreto) Secreto Confidencial Irrestricto
ModelodeConfidencialidad PropuestoporBell LaPadulaamediadosdelos'70 Nosepermitenescrituras'haciaabajo'nilecturas'haciaarriba' secreto confidencial Escritura irrestricto Lectura
ModelodeConfidencialidad PropuestoporBibaafinesdelos'70 Nosepermitenlecturas'haciaabajo'niescrituras'haciaarriba' secreto confidencial Lectura irrestricto Escritura
DeclasificacióndeInformación Hayotrosmodelosmáscomplejos(MurallaChina,Clark Wilson).Perolos modelosteóricospurosnocontemplannecesidadesreales LaDECLASIFICACIONdeinformaciónconsisteenlareasignacióndelosniveles declasificacióndeunciertoobjeto Ladegradacióndeniveldeclasificacióndeunobjetonosuelerepresentarun problema Laelevacióndeniveldeclasificacióndeunobjetoesunproblemadesolución notrivial
DeclasificacióndeInformación(2) Cuandounobjetopasaamanosdeunsujetodenivelinferioraldelobjetoqueda instantáneamentedeclasificadoalniveldelsujeto Elprocesodebesersupervisadoporsujetosespecialmentedesignadosatalfin (AutoridadesdeClasificacióndeInformaciónoACI) Enoportunidades,antesdedeclasificarlainformación,sesometeaunprocesode saneamiento(sanitization) EstorespetaelprincipiodeMediaciónCompleta Debenexistirprocedimientosquedescribanlospasosaseguirantecadatipode objetoqueesdeclasificado(impreso,archivodigital,correoelectrónico,etc) Anteunadeclasificaciónforzada(erroreneltratamientodelainformación),todos lossujetosinvolucradosenelincidentedebenreportarloenformainmediataala/s ACI/s.
SeguridadMultinivel(MLS) Matrizdepermisosdeaccesoquedeterminaquesujetosaccedenalos distintosobjetos('compartimentalizar'lainformación) Laideaesdefinirdichospermisosbasadosexclusivamenteenelnivelde accesodelusuario(clearance)yelprincipiodemínimoprivilegio(necesidadde saber) Soluciónmásadecuadaparaentornosoperativosconinformaciónclasificada Algunasimplementacionescomercialesyfuenteabierta,concapacidades limitadas,disponibles Dificultadoperativaparaadministradoresdesistemas,razóndesupoca aceptación Seimplementaentodasudimensióncasiconexclusividadenambientes militares
Accounting (RegistrosdeAuditoría) Eslaprovisióndeserviciosderesguardodeinformaciónotrazabilidadde accionesdeunsistemaconfinesforenses. Espartedelsoportetecnológicoparadeterminaraposterioriviolacionesalas políticasdeseguridadoparahacerdebuggingdeunciertosistemao aplicación. Engeneralconstadedosetapas:laregistracióndeeventosoacciones (logging)ylaauditoría(auditing)oanálisisdetaleseventosoacciones. Laregistracióndeeventosincluyeunaetiquetadetiempo(timestamp)que establecelahoraexactaalacualocurrióelevento. Ambasetapassoncrucialesparaelanálisispost mortemysonfundamentales entodosistemadeseguridad Eslaaplicacióndirectadelprincipiodemediacióncompleta
QueseRegistra? Eventosqueimpliquenunaviolaciónalaspolíticasdeseguridad EventosdelSOodeaplicacionesrelacionadosconlaseguridaddelosmismos Ejemplos: Logindeusuarios Intentosfallidosdeacceso Logoutdeusuarios Accesoarecursos Transacciones Intentosdeescalamientodeprivilegios Estadodeoperacióndeservicios Escasezdeciertosrecursosdesistema etc
Criptografía Provienedelacomposicióndedospalabrasgriegasquesignificanescriturasecreta. Eselmilenarioarte cienciadeocultarelsignificadodeciertosmensajes Tuvoprogresosrevolucionariosdurantela2daguerramundial(máquinaenigma) Sedivideendosgrandesfilosofías:CriptografíaSimétricaoClásicayCriptografía AsimétricaodeClavePública Criptoanálisis:arte cienciadequebrarcódigos Criptología:Criptografía+Criptoanálisis Laprincipalaspiracióndeuncriptosistema,esqueelmejorataqueposibleseaelde fuerzabrutacontraelespaciodeclaves
Criptosistemas
TiposdeAtaques Sobremensajecifrado(cyphertextonly) ElatacantesólocuentaconCyquiereobtenerMydeserposible,lasclaves Sobremensajeentextoclaroconocido(knownplaintext) Elatacanteconoceambos,CyM,yquiereobtenerlasclaves Sobretextoclaroseleccionado(chosenplaintext) Elatacanteproporcionaeltextoclaroasuelecciónyselesuministraeltextocifrado,ysuobjetivoes encontrarlasclaves
CriptografíaClásica TambiénllamadaSimétricaodeClaveComún Lamismaclavequeseutilizaparacifrar,seempleaparadescifrar
CriptografíaClásica:Propiedades Laseguridaddelcifradoconvencionalosimétricodependedevariosfactores: Primero,elalgoritmodecifradodebeserlobastantepotenteparaquenoseaprácticodescifrarel mensajesóloapartirdeltextocifrado. Ademásdeeso,laseguridaddelcifradoconvencionaldependedelsecretodelaclaveysulongitudyno delsecretodelalgoritmo. Laprincipalpremisaconelusodelcifradoconvencionalosimétricoes,pues, mantenerensecretolaclave. Losalgoritmosestánbasadosenpermutacionesysustitucionesdebits Elprincipalinconvenientequepresentaesque,alserdeclavecompartida,noprovee no repudiación Losalgoritmosconvencionalesmásimportantesson:DES,TripleDESyRijndael(AES).
CriptografíadeClavePública Lacriptografíadeclavepública(DiffieyHellman,1976)eselprimeravance revolucionarioenelcifradoenmilesdeaños. Estoesdebidoaunacausa:sebasaenfuncionesmatemáticas(logaritmosdiscretos, aritméticamodular,curvaselípticas)enlugardesustitucionesypermutaciones. Perolomásimportante,lacriptografíadeclavepúblicaesasimétricaysuponeelusode dosclavesindependientes,encontrasteconelcifradosimétricoconvencional,quesólo utilizaunaclave.utilizardosclavestieneconsecuenciasprofundasenlasáreasde confidencialidad,distribucióndeclavesyautenticación. Cadausuariousaráconservarásuclaveprivadaamáximoresguardoyharápúblicasu clavepúblicaenrepositorioshabilitadosatalfin Losalgoritmossontales,queconocidaunaclavedeunusuarioesimposiblederivarla otra.losmáspopularessonrsa,dsa,elgamal,etc
CriptografíadeClavePública(cont)
CriptografíadeClavePública(cont) ImaginemosdosusuariosBobyAliceconsusrespectivasclavesBpriv,BpubyApriv,Apub Discusióndediferentescasos: C[Msg,Bpriv] IntegridaddeOrigen Bob IntegridaddeOrigen yconfidencialidad C[Msg,Bpriv,Apub] Alice
CriptoSimétricavsAsimétrica CriptoSimétrica Confidencialidad Confidencialidad Autenticaciónparcial Autenticacióntotal Nopuedeusarseparafirmadigital Puedeusarseparafirmadigital Clavesrelativamentecortas,devidano prolongada Altavelocidaddecómputo Bajavelocidaddecómputo Noproveeno repudiación Proveeno repudiación Seusaparaclavesdesesión Seusaparaclavespermanentes CriptoAsimétrica Clavesrelativamentelargas,devida prolongada
FuncionesHash UnafunciónhashaceptaunmensajedelongitudvariableMcomoentradayproduce comosalidaunaetiquetadetamañofijoh(m),algunasvecesllamadaresumen (digest)delmensaje. Elresumenseenvíajuntoalmensajedetalformaqueelresumendelmensajese puedeutilizarenelreceptorparaautenticarlo(códigodeautenticacióndemensaje) Ademásdeautenticación,elresumenproporcionaintegridaddelosdatos.Sisealtera algúnbitaccidentalmenteeneltránsito,elresumendelmensajeproduciráunerror.
FuncionesHash(cont) Elobjetivodeunafunciónhashseguraesproduciruna huelladactilar enelmensaje. Debeverificarlosiguiente: Hpuedeseraplicadaabloquesdedatosdecualquiertamaño. Hproduceunasalidadelongitudfija. H(x)esrelativamentefácildecalcularparaunxdado,haciendoprácticalaimplementaciónenhardwarey software. Parauncódigodadom,escomputacionalmenteimposibleencontrarunxtalqueH(x)=m. Paraunbloquedadox,escomputacionalmenteimposibleencontraruny xconh(y)=h(x). Escomputacionalmenteimposibleencontrarunapareja(x,y)talqueH(x)=H(y). LosejemplosdefuncioneshashmáspopularessonMD5ySHA
FirmaDigital Permitefirmarmensajesenformadigitalconpremisasdeintegridadyno repudiación Basadaencriptografíaasimétrica(suimplementaciónrequiereinfraestructura PKI) Enmuchospaíses(cadavezmás)esaceptadaconvalidezjurídica EnArgentina,desdelaley25.506promulgadaenel2001,sereconocesu validezjurídicaconalgunaspocasexcepciones
FirmaDigital(cont) Secomputaelhash(digesto)del documentoafirmar Sefirmaconlaclavesecretadel remitentedichodigesto Seenvíaeldocumentooriginal+el digestofirmado Suelecomplementarseconun certificadodigitaldelremitenteque contieneunavalidacióndesuclave pública
Referencias I. MattBishop;IntroductiontoComputerSecurity.ArtandScience;Prenticehall;2004 II. MattBishop;ComputerSecurity.ArtandScience;AddisonWesley;2003 III.RossAnderson;SecurityEngineering;Wiley;2001. IV.MorrieGasser;BuildingaSecureComputerSystem;VanNostrandReinhold;1988. V.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication VI.JohnWylder;StrategicInformationSecurity;AurbachPublications;2004
Practicum
EvolucióndelaSI ANTES AHORA LaSIesunproblemapuramentetécnico LaSIesungasto LaSIesunainversión ElobjetivoeslaSI Elobjetivoeslacontinuidaddenegocio Vamosacomprarelgadgetquenos garantizalasi LaSIesunproblemaquecompetea todalaorganización LaSIesunproceso
AnálisisRoSI ReturnofSecurityInvestment:análisisqueintentacuantificarlarazonabilidaddeadoptar ciertasmedidasdeprotección Silavaloracióneconómicadeunactivodeinformaciónesmenoraldesumecanismode protecciónmásindicado,entoncesimplementartalmecanismonoesrentable Cuantitativamente: CMA=(CEIA CEIAPI)*POA Donde: CMA:CostosdeMitigacióndelaAmenaza CEIA:CostoEstimadodelImpactodelAtaque CEIAPI:CostoEstimadodelImpactodelAtaquePost Inversión POA:ProbablidaddeOcurrenciadelAtaque
AnálisisdeImpactoaNegocio BusinessImpactAnalysis(BIA):análisisqueordenalosactivosinformáticospor índicedecriticidad,deacuerdoacómoimpactanlosobjetivosdenegocio Realizadoporlosindividuosdelaorganizaciónquemejorconocimientotienendel negocioysusprincipalesprocesos Defundamentalimportanciaporquepermitecuantificarydimensionarlosesfuerzos deprotecciónadestinaracadaactivoinformático Requieredeactualizaciónfrecuente(anual,bi anual)
GerenciamientodeRiesgos Procesoqueinvolucra: Evaluarlosriesgos Tomarmedidasparareducirelriesgohastavaloresaceptables(mitigaciónderiesgos) Tomarmedidasparamantenerelnivelderiesgoenvaloresaceptables(riesgoresidual) LaprincipaltareadelCISO(ChiefInformationSecurityOfficer)esladegerenciar losriesgosderivadosdelusodelatiqueafectanasuorganización Elanálisisderiesgoaportaunconocimientomásprofundodelaorganizaciónque involucrarecurso,tecnologíasyprocedimientos
GerenciamientodeRiesgos(cont)
AnálisisdeRiesgos Comprende3actividades: determinarelalcanceylametodologíadelaevaluación recolecciónyanálisisdedatos interpretacióndedatos Elriesgoestáinfluenciadopormuchosfactores:activosexpuestos,amenazas, vulnerabilidades,mecanismosdeprotecciónactivos,impactoyprobabilidadde ocurrencia Enparticularlaestimacióndeprobabilidadesdeocurrenciadeataquesesuna suertedearte ciencia,enlacualelhistorialestadísticojuegaunpapelimportante (uncertaintyanalysis) Normalmentelasprincipalesdificultadessonlaestimacióndeprobabilidadesde ocurrenciaylavaloracióneconómicadelosactivos.
AnálisisdeRiesgos(cont) Elanálisisdebecontemplar: Identificaciónyevaluaciónderiesgos Identificaciónyevaluacióndelimpactodelosriesgos Recomendacióndemedidasdereducciónderiesgos Antecadaactivo,sedebeconstruirunamatrizderiesgo(MR)queconsiderecada premisaafectada(confidencialidad,integridadydisponibilidad)ycadaamenaza posible Elriesgosepodráexpresarentérminosporcentualesoenvaloreseconómicos según: Riesgo($)=ProbabilidadxImpacto($)
ConsecuenciasdelRiesgo
ConsecuenciasdelRiesgo
MitigacióndelRiesgo:Factibilidad Análisiscosto/beneficio Impactooperacional Viabilidaddeimplementación Efectividadenlamitigación Confiabilidad
MitigacióndelRiesgo:Estrategias Aceptacióndelriesgo Postergacióneneltratamientodelriesgo Minimizacióndelimpactodelriesgo Transferenciadelriesgo(ej:pólizadeseguro)
Evoluciónen ModelosdeProtección Tipo Fortaleza Tipo Aeropuerto Tipo Peer-to-Peer
ModeloFortaleza SeguridadPerimetral Modelobinariodeconfianza Estático,nodiferenciado Difícildeadaptar Inaceptableenorganizacionesde ciertaenvergadura(insiderproblem)
ModeloAeropuerto Mayorflexibilidad Múltipleszonasdeseguridadbasadasenmodelostransaccionalesynecesidades denegocio Proteccionesmultinivelinterzonas Colecciónjerárquicadefortalezasinteractuantes
ModeloAeropuerto
ModeloPeer to Peer Conceptosdinámicosdeconfianza,autenticaciónyautorización Requerimientoscomerciales Requerimientostecnológicos Inferirentiemporealquéquierohaceryconquiénquierohacerlo PuederequerirserviciosprovistosporTTP(TrustedThirdParties)
ModeloPeer to Peer(cont)
DispositivosdeDefensa Firewalls VPNProcessor MalwareDetectors SpamFilters AAAServers SBS(SecureBackupSolutions) IDS(IntrusionDetection Systems) IPS(IntrusionPrevention Systems) Honeypots,Honeynets PlataformasForenses CERTs IDD(InfrastructureDiscovery Devices) CorrelationEngines Biometría
RolesenunEquipodeSI Coordinador(CISO) Analistadesoportealcliente Especialistasdeplataformas(SSOO,Aplicaciones) Instructores EspecialistasenDocumentacióndeSI EspecialistasenRD&CN AuditoresdeSI AdministradoresdeSI AnalistasdeRespuestaaIncidencias ArquitectosdeSI Desarrolladores'Security Aware'
ContratandoAnalistasdeSI Cuidarelprocesodeselección:RRHHsuelenoentenderlosskillsdelosanalistasdeSI. Enestosmomentos,dadoquenoexisteformaciónacadémicaenSIenelpaís,esmuy difícildarconrecursosapropiados.considerarloparaelarmadodelaofertalaboral. Tenerencuentafactoreshumanos(ej:atenciónaldetalle,curiosidad,discreción, honorabilidad,etc)yfactorestécnicos(ej:conocimientostécnicos,capacidad intelectual,etc)
DesafectandoAnalistasdeSI Intentarladesafectaciónentérminosamistosos,yaquetienenaccesoainformación estratégicadelaorganización SeguirlasnormascorporativasquemanejaRRHH(lascualessupuestamentetienensoporte legal) Quitaraccesofísico Quitaraccesológico Comunicarapropiadamenteaproveedoresyclienteslasituación
GerenciamientodeSI: FactoresLegales ELChiefInformationSecurityOfficer(CISO)debeconocerelcuerpobásico deleyesqueafectanlaprácticadelasi.ademásdeberestarasesorado porelárealegalsobreelimpactodenuevasleyesenlaorganización LaimplementacióndeunaPolíticadeUsoAceptable(PUA)ydeun ConveniodeConfidencialidad(NDA)debenserprácticaestablecidaen todaorganización ElCISOtambiéndebeconocerlabasedelalegislacióninternacional vigenteenmateriadesiylosdistintostiposdeacuerdosdecooperación entreagenciasgubernamentalesenaspectosderespuestaaincidencias
GerenciamientodeSI: FactoresHumanos CorrectobalanceSeguridadvsUsabilidad SumaralosRRHHalalíneadedefensamedianteplanesdeconcientizaciónen distintosaspectosdelasi Imponerperoinformandolasrazones Factoresatenerencuentaenlacontratación Factoresatenerencuentaenladesafectación
OutsourcingvsInHouse Outsourcing Másalto Costo Valoragregado Mayor RapidezenelDelivery Másrápido Confidencialidad Menorconfidencialidad InHouse Másbajo Menor Máslento Mayorconfidencialidad
OrganizacionesdeGobierno: Complicaciones Generalmentelascomprasseresuelvenconprocesoslicitatorios,que llevanmuchosmesesparalaadquisición,vsladinámicaqueimponelasi Complejidadenlacontratacióndepersonalexperto Infraestructuratecnológicanoadecuada Dificultadesparafinanciarlicenciasdesoftwarecomercialsostenidamente Anivelsubnacional: faltadelegislaciónaplicable faltadegruposexclusivamentededicadosalasi faltadecerts(arcertsólodaserviciosalaadministraciónpública Nacional)
Referencias I. NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecialPublication II. Limoncelli&Hogan;ThePracticeofSystem&NetworkAdministration;Adisson Wesley; 2001 III.Wylder,J;StrategicInformationSecurity;AuerbachPublications;2004 IV.Snedaker,S;ITSecurityProjectManagementHandbook;Syngress;2006
Contingencia UnacontingenciadeSIesuneventoconelpotencialdeinterrumpirelfuncionamiento delossistemasyenconsecuencia,funcionescríticasdenegocio Sitalcontingenciaesdeciertagravedad,selaconsideradesastre ElPlandeContingencia(PC)oPlandeRecuperacióndeDesastresyContinuidadde Negocioo(PRDyCN)soportadirectamentelosobjetivosdelaorganización, garantizandolacontinuidaddelnegocio
TiposdeDesastres Natural Fuego,Inundación,Tormenta,Terremoto,Huracán Tecnológico Derrametóxico,Explosión,CortedeEnergía,CortedeComunicaciones,Virus Informático,etc Incitado Amenazadebomba,Terrorismo,Sabotaje,etc
TopTen 1.CortedeEnergía 2.Sobretensiones 3.ErrordeHardware 4.ErrordeSoftware 5.Dañosportormentas 6.Inundaciones 7.Huracanes 8.Incendios 9.Terremotos 10.Bombas
RazonesparaelPC ProtegerlosRRHH VentajasCompetitivas Evitarresignarsegmentosdemercado Evitarpérdidasmonetarias Evitarapercibimientosregulatorios Evitarimpactodeimagenanteclientesyaccionistas Bajarcostosdepólizasdeseguro Controlarelimpactooperativo
ImpactodeDesastres 43%delasorganizacionesafectadaspordesastresmayoresnovuelvenaoperar 29%continúanoperandoperocierranoperacionesdentrodelos2añosdeocurrido eldesastre 75%delasorganizacionesquepadecenundesastremayornuncaserecuperan
PlanesdeContingencia Unacontingenciasueleserestresante,conloqueesunerrorasumirquelos miembrosdelaorganizaciónpodránreaccionarimprovisandolasmedidasde recuperaciónmáseficientes Elobjetivofundamentaleseldeminimizarelimpactodedesastresenlaoperación continuadelasfuncionesdenegocio PlanificarvsImprovisar
PRDyCN:Etapas 1.Identificacióndefuncionescríticasdenegocio 2.Identificacióndelosrecursosquesoportandichasfunciones(RRHH,capacidadde cómputo,serviciosdecómputo,aplicacionesydatos,infraestructurafísica, documentosypapeles) 3.Anticipaciónacontingencias(desastres)potenciales 4.Seleccióndeestrategiasdecontingencia 5.Implementacióndelasestrategiasdecontingencia 6.Simulacióndecontingencia(testing)yrevisióndelplan
PRDyCN:Comité SedesignanmiembrosdelaorganizaciónparaintegrarelcomitédeRDyCN Dichosintegrantessuelensermiembrosdedistintasunidadesorganizativas(RRHH, Legal,Finanzas,Operaciones,Tecnología,Directorio,etc)ysuelenestarliderados poruncoordinadorderdycn ElComitédeRDyCNeselresponsabledeanalizarlanecesidaddeactivacióndel PRDyCNycomunicarloalrestodelaorganización TambiénesresponsabledelaactualizaciónyevaluaciónpermanentedelPRDyCN
PRDyCN:Fases Lasfasesdecontingenciasesuelendividirentrespartes: 1. Respuesta:abarcalasaccionesinicialesparaprotegerlasvidashumanasylimitar eldaño 2. Recuperación:pasosquesetomanparaelsoportecontinuodefuncionescríticasde negocio 3. Continuidad:eselretornoaoperaciónnormal
PRDyCN:Infraestructura HotSiteoRedundantSite ColdSite Sitiosreservadosensucursales(branchoffice) AcuerdoRecíprococonotraorganización Altadisponibilidadenequipamientoyenlacesencasamatriz(headquarters)
PRDyCN:Contenido ElPlandebeespecificar: Quénecesitahacerse Comosehará Dondesehará Cuandosehará Quienlohará
PRDyCN:Evaluación Muchosplanesnuncaevaluadosfallanmiserablementeenlacontingencia Elplandebeserevaluadoencondicionesrealistas Durantelasevaluacionesdelplansuelenencontrarseycorregirsevarioserrores Loserrorespuedenserenlalógicaoenlosprocedimientos Enciertoscasos,sesimulandesastresyseevalúanencondicionespseudo realesla validezyaplicabilidaddelplan(ejerciciosdeevacuación,etc) ElcomitédeRDyCNdebeorganizar,planificareimplementarlostestsconcierta periodicidad
Referencias I. BettyKildow;DisasterRecoveryPlanning:InsuringBusinessContinuity;AMA Seminars;2003 II.Maiwald&Sieglein;SecurityPlanning&DisasterRecovery;McGraw Hill;2002. III.NIST;AnIntroductiontoComputerSecurity:TheNISTHandbook;NISTSpecial Publication
NormasyEstándares Compilanlaexperienciadeprofesionalesdestacados,consensuandounconjuntode 'buenasprácticas'sobrelasqueeventualmenteseexigecumplimiento,por disposicionesregulatoriasquevaríandepaísenpaís Definenunaplataformaviableyunificadadeinteracciónentreorganizaciones,tanto paraelmundoprivadocomoparaelmundopúblico. Lasnormasdeestandarizacióntiendenaserabiertaseimparciales(vendor agnostic)paranofavoreceraciertosvendedoresdetecnología Algunasdeestasorganizacionessoninternacionalesytienenimpactoglobalporsu relevancia
Organizaciones ISO:InternationalOrganizationforStandarization(NGO) BSI:BritishStandardInstitute(UK) NIST:NationalInstituteofStandardsandTechnology(USA) IRAM:InstitutoArgentinodeNormalizaciónyCertificación ONTI:OficinaNacionaldeTecnologíadelaInformación(órganorectordelusodela TIparalaAdministraciónPúblicaNacional)
EstándaresenSI BS7799(1995,1999,2002,2005) ISO17799(1995) ISO/IEC/IRAM17799 ISO27001(2005)
ISO27001 EstábasadaenlaBS7799 3ydescribeunprocesode6etapas: I. DefinicióndeunapolíticadeSI II.DefinicióndelalcancedelgestióndelaSI III.ImplementacióndeunanálisisderiesgodeSI IV.Gestióndelosriesgosidentificados V.Seleccióndeloscontrolesaimplementarseyaplicarse VI.Elaboracióndelascondicionesdeaplicación AdiferenciadelaISO17799,permitelacertificaciónauditadaporciertasentidades homologadas(antiguamentesólolabs7799permitíalacertificación)
PlataformasdeITGovernance COSO(CommitteeofSponsoringOrganizationsoftheTreadway Commission) COBIT(ControlObjectivesforIT) SAC(SystemsAuditability&Control) SAS(StatementsonAuditingStandards)
AuditoríadeSI AuditoríaTradicional:basadaenlasrecomendacionesdeconsenso internacional(iso/bs17799,etc) AuditoríadeCódigodeSistemas Auditoríadeseguridad Auditoríafuncional(noladesarrollaremospornoserdenuestrointerés) AuditoríaPerimetral(penetrationtest) AuditoríabasadaenIngenieríaSocial AuditoríaForense
AuditoríadeCódigo Losauditoresinspeccionan,enformaautomatizadaprimero(con herramientasespecíficas)yenformamanualdespués,elcódigofuentede unaaplicaciónparadetectarvulnerabilidadesquepuedanserexplotadas poratacantes Seevalúalagravedaddelasvulnerabilidadesencontradas,sufactibilidad deexplotaciónlocaloremotaysecalculaelriesgoquelamisma representaparaelsistemaenestudio Enocasionespuedensugerirsealternativasparacorregirdichas vulnerabilidades Requiereespecializaciónentécnicasdeprogramaciónsegura
Pentest Implementadoporunequipodeanalistas(redteamotigerteam)quienes exploranelperímetroinformáticoydecomunicacionesdeuna organizaciónconelobjetivodeencontrarfallasdeseguridadexplotables Laideaessimularunataquetalcomoloharíanatacantesreales (proactividadvspasividad) Constadetresetapas Reconocimiento(fingerprintingdeSSOO,serviciosyaplicaciones) Explotación(demostracióncontroladadelaexplotacióndeunafalla) Reporte(presentaciónderesultadosalaorganizaciónquelocontrata) Requierepre acordarelalcancedemaneramuyprecisaconelcliente (infraestructuraaauditar,horariodeintervención,ndas,contactosante emergencias,etc)
IngenieríaSocial Implementadoporunequipodeanalistasquienesdiseñaneimplementan ataquesalaorganizaciónbasadoseningenieríasocial Departicularefectividadenorganizacionesgrandesconpolíticaslaxasde seguridadoconunplandeconcientizacióndeseguridadmuypobre Puedenalcanzarunniveldesofisticaciónsorprendente Ennumerososcasosselogranresultadosimpensados Contemplantécnicascomo Phonescreening E mailcontroyanos Escuchasilegales Phishing Presentacionesespontáneassimulandoserproveedores,etc Dumpsterdiving
AuditoríaForense Consisteenelanálisispost mortemdeunincidentedeseguridad Puedeserdeextremadadificultadpreservarlaevidenciaparaquetenga validezlegalanteposiblesaccionesqueinicielaorganizaciónvíctima Lasprincipalcomplicacióneslacapturadeinformacióndememorias volátiles Esunaespecialidadensímismaquerequiereprofundosconocimientosde bajoniveldessoo,lenguajesdeprogramación,compiladores,dispositivos dei/o
Referencias I. JackChamplain;AuditingInformationSystems;JohnWiley&Sons;2003 II.Senftetal;InformationTechnologyControl&Audit;Auerbach;2004. III.SusanSnedaker;ITSecurityProjectManagementHandbook;Syngress;2006
Gracias! GuillermoMarro gmmarro@flowgate.net