Seguridad Informática
Algunas definiciones
SEGURIDAD Cualidad de seguro Seguro: Libre y exento de todo peligro, daño o riesgo PROTEGIDO
Información Conocimiento Un Unactivo activoque, que,al aligual igualque quecualquier cualquierotro otro activo activoimportante importantedel delnegocio, negocio,es esesencial esencial yypor porlo lotanto tantoestá estásujeto sujetoaaser serprotegido protegido ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management
Seguridad Informática Protección de información (datos) Sin importar el formato o el almacenamiento
Seguridad Informática Seguridad Seguridadde delalainformación informaciónes eslalaprotección protecciónde delala información informaciónde deuna unaamplia ampliagama gamade deamenazas, amenazas,con conelel fin finde deasegurar asegurarlalacontinuidad continuidaddel delnegocio, negocio,minimizar minimizar los losriesgos riesgosyymaximizar maximizarelelretorno retornode delalainversión inversiónyylas las oportunidades oportunidadesde denegocio. negocio. ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management
Seguridad computacional Protección de información en sistemas computacionales Criptografía Programas Sistemas operativos Redes Bases de datos Procedimientos y políticas
Metas de la seguridad
Confidencialidad Solo personas autorizadas tienen acceso a los recursos de un sistema Acceso incluye lectura, impresión, conocimiento de existencis, etc. Partes pequeñas de información también son importantes
Integridad La información puede ser modificada sólo de manera autorizada Depende mucho de las políticas del sistema Información Precisa, exacta, no modificada o modificada sólo por gentes o procesos autorizados y de manera aceptable
Disponibilidad Los servicios y los datos son accesibles a los usuarios autorizados cuando lo necesitan Tiempo adecuado
Metas de la seguridad Confidencialidad SEGURO Disponibilidad Integridad
Componentes de la Seguridad Alfredo Aranguren, CISSP, CISA, CISM
Tendencias que afectan la seguridad Asuntos legales y privacidad Demandas y requisitos federales Acceso inalámbrico Muchos usuarios, muchos dispositivos La necesidad de velocidad Soluciones de software no escalan bien Escasez de personal de TI Soluciones externas Cisco
Vulnerabilidad, amenaza, control Una amenaza es bloqueada controlando una vulnerabilidad Ataque: Explotación de una vulnerabilidad
Vulnerabilidades Hardware Software Medios de almacenamiento Datos Procedimientos y políticas Redes Servidores Personas
Riesgo ISO 31000 Risk Assesment Process Evaluar activos Identificar, caracterizar y evaluar amenzas Evaluar vulnerabilidades de activos críticos Determinar el riesgo Consecuencias posibles de ciertos ataques sobre ciertos activos (Impacto) Identificar maneras de reducir el riesgo Priorizar medidas para reducir el riesgo
Frecuencia Administración del riesgo REDUCIRLO EVITARLO ASUMIRLO TRANSFERIRLO Severidad
Administración del Riesgo Riesgo Riesgo Impacto Impacto negocio negocio Am en aza s Controles Controles Activos Activos negocio negocio Vulnerabilidades Vulnerabilidades internas y externas internas y externas
Probabilidad de ataque Impacto al negocio Nivel De Riesgo Cálculo del riesgo ROI Productividad Conexión Riesgo Riesgo==Probabilidad Probabilidadde deataque ataque**impacto Impacto The purpose of risk management is to change the future, not to explain the past The book of risk, Dan Borge
Proceso (gobierno)
Cubo de McCumber
Proceso (gobierno) Objetivo del sistema Políticas (normas, directrices) Procedimientos Y prácticas Concientización Sistema Seguro Auditoría
Tipos de vulnerabilidades Físicas Falta de protección (candados, alarmas, TV, etc.) Ambiente no adecuado (clima) Lógicas Sistemas, errores (bugs, buffer overflow, etc.) Humanas Falta de entrenamiento (contraseñas, introducción de datos, etc.) Enfermedades
Top 10 en servidores Instalaciones con mala configuración (default) Sistemas no actualizados (parches) Autenticación pobre Contraseñas débiles Cuentas default Exceso de privilegios en los usuarios Protección no adecuada de archivos Supervisión de sistemas no adecuada (logs) Respaldos (estrategia) Seguridad física débil Gartner 2006
Amenazas Una amenza explota una vulnerabilidad Humanas Maliciosas Personas externas (piratas informáticos) Personas internas (empleados descontentos) No maliciosas Empleados ignorantes Desastres naturales Inundaciones, incendios, terremotos, huracanes
Impactos (dimensiones) Reputación Imagen (pérdida de clientes) Financiero Incremento en costos operativos Pérdida de ingresos Multas por SLA Productividad Desempeño de los procesos Legales y regulatorios Privacidad de datos
Controles Tecnología Política Proceso Procedimiento Contrarresta una amenaza Disminuye riesgo asociado a un activo
Métodos de control Controles técnicos Protecciones que se incluyen en hardware y software Controles no técnicos Controles gerenciales y operativos Políticas de seguridad Procedimientos operativos Seguridad del personal, física y ambiental
Tipos de controles Controles tecnológicos Controles físicos Edificios, CCTV, bardas, etc. Controles lógicos Sistemas, redes, etc. Controles normativos Políticas Procedimientos Controles humanos Personal Entrenamiento
Tipos de controles (físicos) Disuasivos Bardas, señales de aviso, guardias, perros Para retardos Cerraduras, Controles de acceso Detección de intrusos Externos, internos, CCTV Respuesta Procedimiento de emergencia, policía, bomberos
Tipos de controles (funcionalidaad) Preventivos Detectivos Correctivos Disuasivos Recuperación Compensatorios
Principio de protección adecuada Los recursos de cómputo deben ser protegidos solamente hasta que pierdan su valor El nivel de protección debe ser consistente con su valor Seguridad absoluta Precio infinito
Principio de más fácil penetración El eslabón más débil Intruso utilizará cualquier medio disponible La penetración no será necesariamente por el medio más obvio Tampoco será por el punto con defensa más sólida
Seguridad por niveles (Defense in depth) Defensa por capas No un solo punto de defensa infalible Esquema de la cebolla (onion)
Seguridad Informática
Seguridad de la información El problema no es solamente tecnológico. El ser humano es el eslabón más débil La información se debe proteger sin importar el formato digital, impresa, verbal, almacenada, destruida, procesada, perdida, etc.