Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Nuevos Escenarios: Seguridad de la Información
Qué se debe asegurar? La información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estar debidamente protegida.
Contra qué se debe proteger la Contra qué se debe proteger la Información?
Amenazas Password cracking Fraudes informáticos Escalamiento de privilegios Puertos vulnerables abiertos Exploits Man in the middle Violación de la privacidad de los empleados Servicios de log inexistentes o que no son chequeados Denegación de servicio Últimos parches no instalados Desactualización Backups inexistentes Destrucción de equipamiento Instalaciones default Keylogging Hacking de Centrales Telefónicas Port scanning
Más Amenazas!! Spamming Violación de contraseñas Virus Mails anónimos con agresiones Interrupción de los servicios Intercepción y modificación y violación de e-mails Captura de PC desde el exterior Incumplimiento de leyes y regulaciones Acceso clandestino a redes Acceso indebido a documentos impresos Indisponibilidad de información clave Falsificación de información para terceros Ingeniería social empleados deshonestos Programas bomba, troyanos Destrucción de soportes documentales Robo o extravío de notebooks, palms Propiedad de la información Robo de información Intercepción de comunicaciones voz y wireless Agujeros de seguridad de redes conectadas
BOTNETS Facilitando Ataques DDoS Seguridad de la Información Extorsionador CE Ruteador del Borde del ISP Conexión de la Última Milla Zombies Instalación del cliente: Servidor/FW/Switch/Ruteador BOTNETs para Rentar! Un BOTNET está compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños. Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s El tamaño de los ataques está aumentando constantemente!
Por qué aumentan las amenazas? Algunas Causas Crecimiento exponencial de las Redes y Usuarios Interconectados Dependencia. Profusión de las BD On-Line Inmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Técnicas de Ataque Distribuido (Ej:DDoS) Técnicas de Ingeniería Social
Vulnerabilidades Comunes Inadecuado compromiso de la dirección. Personal inadecuadamente capacitado y concientizado. Inadecuada asignación de responsabilidades. Ausencia de políticas/ procedimientos. Ausencia de controles (físicos/lógicos) (disuasivos/preventivos/detectivos/correctivos) Ausencia de reportes de incidentes y vulnerabilidades. Inadecuado seguimiento y monitoreo de los controles.
Qué se debe garantizar?
Dimensiones críticas de la información E Información D T Prevenir Cambios no autorizados en Activos de Información E-commerce I 6 + 5 = Prevenir Divulgación no autorizada de Activos de Información C Seguridad de la Información Información (dimensiones) Validez y Precisión de información y sistemas. SINO: Información manipulada, incompleta, corrupta y por lo tanto mal desempeño de funciones Secreto impuesto de acuerdo con políticas de seguridad SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento Autenticidad de leyes y de compromisos) D quien hace uso de datos o servicios Trazabilidad del uso de servicios (quién, cuándo) o datos (quien y que hace) 7x24x365 No repudio (Compromisos) Confiabilidad Prevenir Destrucción no autorizada de Activos de Información Acceso en tiempo correcto y confiable a datos y recursos. SINO: Interrupción de Servicios o Baja Productividad
Acciones de la ONGEI Seguridad de la Información
Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios: Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la información Boletines de Alertas de Antivirus. Presentaciones técnicas sobre seguridad. Consultorías y apoyo en recomendaciones técnicas.
ONGEI Firewall Estaciones de Trabajo Red Intena Servidores Análisis de Vulnerabilidades Web Server E-Mail Server
Análisis de Vulnerabilidades en números al 2009 Estadística General Info; 24; 19% Bajo; 62; 49% Alto; 40; 32% Alto Bajo Info
Política de Seguridad para el Sector Público
Que se entiende por Politica de Seguridad? Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en términos generales qué está permitido y qué no lo está en el área de seguridad durante la operación general de dicho sistema Diferencias entre Política, Estándar y Procedimiento o Política: el porqué una organización protege la información o Estándares: lo que la organización quiere hacer para implementar y administrar la seguridad de la información o Procedimientos: cómo la organización obtendrá los requerimientos de seguridad
Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información en entidades del Sistema Nacional de Informática. Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana NTP ISO/IEC 17799:2007 EDI.
Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?
Los 11 dominios de control de ISO 17799 1. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. 2. Aspectos organizativos para la seguridad: Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
3. Clasificación y Control de Activos: Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. 4. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes. 5. Seguridad física y del Entorno: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
6. Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. Garantizar la protección de la información en las redes y de la infraestructura de soporte. Evitar daños a los recursos de información e interrupciones en las actividades de la institución. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8. Adquisición, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
9. Gestión de Incidentes de la Seguridad de la información Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. 10. Gestión de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
Los 11 Dominios de la NTP ISO 17799-2007 Gestión de la continuidad Gestión de incidentes Desarrollo y mantenimiento Cumplimiento integridad Política de seguridad Información disponibilidad Confidencialidad Organización de la Seguridad Gestiòn de Activos Seguridad del personal Control de accesos Gestión de comunicaciones y operaciones Seguridad física y medioambiental
SGSI - Modelo P-H-V-A Metodología de la ISO/IEC 27001
SGSI El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. Incluye. Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros.
(Planificar /Hacer /Verificar Seguridad /Actuar) de la Información El SGSI adopta el siguiente modelo: Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Planificar PHVA Hacer Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Adoptar acciones correctivas Adoptar acciones preventivas Actuar Verificar Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI
Establecer el SGSI (Plan) Seguridad de la Información Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización. Definir el alcance del SGSI a la luz de la organización. Definir la Política de Seguridad. Aplicar un enfoque sistémico para evaluar el riesgo.
Establecer el SGSI (Plan) Seguridad de la Información Identificar y evaluar opciones para tratar el riesgo Mitigar, eliminar, transferir, aceptar Seleccionar objetivos de Control y controles a implementar (Mitigar). A partir de los controles definidos por la ISO/IEC 17799 Establecer enunciado de aplicabilidad
Implementar y operar (Do) Seguridad de la Información Implementar y operar la política de seguridad, controles, procesos y procedimientos. Implementar plan de tratamiento de riesgos. Transferir, eliminar, aceptar Implementar los controles seleccionados. Mitigar Aceptar riesgo residual. Firma de la alta dirección para riesgos que superan el nivel definido.
Implementar y operar (Do) Seguridad de la Información Implementar medidas para evaluar la eficacia de los controles Gestionar operaciones y recursos. Implementar programas de Capacitación y concientización. Implementar procedimientos y controles de detección y respuesta a incidentes.
Monitoreo y Revisión (Check) Seguridad de la Información Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión. Revisar el nivel de riesgo residual aceptable, considerando: Cambios en la organización. Cambios en la tecnologías. Cambios en los objetivos del negocio. Cambios en las amenazas. Cambios en las condiciones externas (ej. Regulaciones, leyes). Realizar auditorias internas. Realizar revisiones por parte de la dirección del SGSI.
Monitoreo y Revisión (Check) Seguridad de la Información Se debe establecer y ejecutar procedimientos de monitoreo para: Detectar errores. Identificar ataques a la seguridad fallidos y exitosos. Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad. Determinar las acciones realizadas para resolver brechas a la seguridad. Mantener registros de las acciones y eventos que pueden impactar al SGSI. Realizar revisiones regulares a la eficiencia del SGSI.
Mantenimiento y mejora del SGSI (Act) Seguridad de la Información Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. Medir el desempeño del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
PECERT
Con fecha 22 de Agosto del 2009, en el diario oficial el Peruano la Resolución Ministerial 360-2009-PCM, que crea el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú PECERT La cual permitirá generar un marco de trabajo de cooperación entre los ministerios del sector público para mejorar los niveles de seguridad de la información en las entidades públicas.
La norma permitirá que: ONGEI será un CSIRT de coordinación Cada Ministerio creara un CSIRT operativo.
Portal de Coordinación de Emergencias en Redes Teleinformáticas http://www.pecert.gob.pe
Establecimiento e Implementación PeCERT Equipo Formal PeCERT Cantidad Ministerios del Perú 17 Entrenamiento al Personal PeCERT (Ministerios, ODP s) Asistentes Ponentes Taller de Seguridad de la Información en el Gobierno (Julio 2009) 80 E & Y, OSINERMING, IRIARTE & ASOCIADOS, ONP, DIVINDAT, RENIEC, CONASEV, TELEFONICA. Taller de Seguridad de la Información (Febrero 2010) 50 BI ARGENTINA Reunión de Coordinación PeCERT (Marzo 2010) 30 TELEFONICA Taller de Asistencia Técnica en Materia de Seguridad Cibernética (Mayo 2010) 40 OEA, ARCERT, VENCERT, CTIRGov BRASIL, CERTuy, ESPAÑA Taller de Gestión de Riesgos (Junio 2010) 30 SIDIF Latinoamérica Reunión de Grupo de Trabajo PeCERT (Setiembre 2010) 22 Enhacke
Actividades del PeCERT 168 informes de vulnerabilidad de Páginas Web a Nivel Nacional con vulnerabilidades (Julio 2009 a Mayo 2010). 30% páginas altamente criticas. Avisos de seguridad para usuarios técnicos avanzados, publicados en el portal Web. Campaña de difusión del Proyecto PeCERT en las Redes Sociales de ONGEI (Facebook: Gobierno Electrónico Perú- Ongei, Twitter: @Peru_e_Gobierno). 21 Plantillas de Políticas de Seguridad según los 11 dominios de la NTP-ISO/ IEC 17799:2007 EDI, publicados en el portal Web. Elaboración de un formato estándar para reportar incidentes de seguridad a las diversas entidades.
Incidentes - Seguridad de la Información Estadísticas 109 Incidentes de Seguridad en Portales Web de la Administración Pública (Octubre 2009 a la Actualidad 2011) 54 Entidades de provincia, y 55 Lima metropolitana. 25 notificaciones de Incidentes a las Entidades públicas (Octubre 2010 a la actualidad 2011) Fuente: http://www.zone-h.org, http://bohemioshackersteam.blogspot.com/ Foros de google, etc etc.
Incidentes - Seguridad de la Información Estadísticas Seguridad de la Información 109 Incidentes de Seguridad en Portales Web de la Administración Pública (Octubre 2009 a la Actualidad 2011) 54 Entidades de provincia, y 55 Lima metropolitana. 25 notificaciones de Incidentes a las Entidades públicas (Octubre 2010 a la actualidad 2011) Fuente: http://www.zone-h.org, Web Hackeadas http://bohemioshackersteam.blogspot.com/ Cantidad 20 3 8 4 5 4 14 11 11 8 9 7 5 Oct-09 Nov-09 Dic-09 Ene-10 Feb-10 Mar-10 Abr-10 May-10 Jun-10 Jul-10 Ago-10 Sep-10 Oct-10 Nov-10 Dic-10 Ene-11 Feb-11
Encuesta de Seguridad 2010 Según la Resolución Ministerial 187-2010-PCM autoriza la ejecución de la Encuesta de Seguridad 2010, publicado en el Diario El Peruano el 15 de Junio 2010, la cuál abarca preguntas de los 11 dominios de la NTP-ISO/ IEC 17799:2007 EDI. Segunda Edición. i) Se ha recepcionado 150 reportes. ii) 150 entidades de las 271, lo cuál corresponde al 56% del total.
Clasificación de la Encuesta de Seguridad 2010: Poder Legislativo (1) Poder Judicial (1) Poder Ejecutivo (86) Organismos Autónomos (20) Gobiernos Regionales (8) Gobiernos Provinciales (4) Municipalidades (30) Personal para la implementacion 17% Personal propio de la entidad consultoria contratada 83% 39% Política de Seguridad de la Información 31% 30% No iniciado Elaborada y en revision emitida mediante normativa Elaboración de Análisis de Riesgos 47% Documento de Brecha 39% 14% 8% 39% 53% No iniciado En proceso Concluido No iniciado En proceso Concluido
1. Politicas de Seguridad 75 75 71 60 62 25 25 29 40 38 Si % No % A B C D E Preguntas
2. Organización para la seguridad de la información 34 66 14 86 91 75 77 75 25 23 25 9 54 46 Si % No % A B C D E F G Preguntas
3. Clasificación y control de activos informáticos 91 88 9 41 59 12 51 49 Si % No % A B C D preguntas
4. Políticas del personal respecto a la SI 47 53 57 43 73 67 27 33 18 82 Si % No % A B C D E Preguntas
5.Con relación a la seguridad física y ambiental de los sistemas de Información 89 11 79 21 79 69 69 31 31 21 89 11 35 65 Si % No % A B C D E F G preguntas
6. Con relación a la gestión de las comunicaciones de datos y operaciones de los sistemas informáticos 80 20 69 63 31 37 96 4 66 59 34 41 91 9 80 20 4753 83 17 Si % No % A B C D E F G H I J Preguntas
7. Con relación al control de acceso a los sistemas informáticos 88 87 12 13 65 35 93 89 7 11 81 75 19 25 25 75 85 15 62 38 4753 Si % No % A B C D E F G H I J K Pregunta s
8. Con relación al desarrollo y mantenimiento de sistemas informáticos 74 26 82 83 82 82 69 60 40 31 18 17 18 18 62 38 53 47 5149 Si % No % A B C D E F G H I J Preguntas
9. Con relación a la gestión de incidentes de sistemas informáticos 65 63 53 47 49 51 55 45 35 37 37 63 Si % No % A B C D E F Preguntas
10. Con relación a la administración de la continuidad de los sistemas Informáticos 59 56 41 44 29 71 Si % No % A B C Preguntas
11. Con relación al cumplimiento legal referido a los sistemas Informáticos 75 25 67 33 62 38 41 59 47 53 Si % No % A B C D E Preguntas
Este material podrá obtenerlo en http://www.pecert.gob.pe en la Sección Documentos También encontrará allí plantillas para la implementación de políticas especificas
La rapidez con que una organización puede reconocer, analizar y responder a un incidente limitará el daño y reducir el costo de la recuperación Incluso la mejor infraestructura de seguridad de la información no puede garantizar que las intrusiones u otros actos dolosos no va a suceder. Cuando se producen incidentes de información o de tecnología, siempre se critica a la organización el no tener un medio eficaz para responder
Las organizaciones requieren de un enfoque de varias capas para asegurar y proteger sus activos críticos y las infraestructuras. Como defensa ante las amenazas y los riesgos de la internet, las organizaciones deben: Identificar los principales activos, su ubicación, los propietarios de los procesos de negocio, y la criticidad. Realizar evaluaciones de riesgos. Mantenerse al día con los últimos parches de sistema operativo y actualizaciones de productos. Instalar defensas interna en el perímetro de la red tales como routers, firewalls, scanners, y monitorización de red y sistemas de análisis. Actualizar y ampliar las políticas de seguridad de la tecnología de información y los procedimientos. Proporcionar capacitación de seguridad de sensibilización para los empleados, clientes y mandantes. Formalizar un proceso de gestión de incidentes.
www.ongei.gob.pe mlazaro@pcm.gob.pe Muchas gracias..