Paper Physbiuts

Embed Size (px)

DESCRIPTION

Convergencia entre la seguridad fisica y logica

Citation preview

Convergencia entre seguridad fsica y seguridad lgica

Roberto Carlos Gallardo Inga, Jonathan Fernando Imbaquingo CastilloFacultad de Ingeniera en Sistemas Escuela Politcnica Nacional [email protected],[email protected]

Resumen En este artculo se analiza una propuesta de un Sistema de Seguridad Integral como un nico sistema, es decir, la convergencia entre los sistemas de seguridad fsica seguridad lgica. Para esto se utilizar como herramienta de acceso fsico la tarjeta inteligente y como herramienta de acceso lgico el patrn por tacto.

Abstract This article focuses on sizing requirements that are necessary for the implementation of a Computer Security Incident Response Computer Science at the National Polytechnic School. In this context it has conducted research on the requirements (hardware, software, resources and procedures) for creating the National Polytechnic School. In addition, concepts and definitions on what a Response Team Security Incident occur.

Keywords Equipo de Respuesta a Incidentes de SeguridadInformtica.

1. INTRODUCCIN

En toda organizacin se requiere de seguridad tanto fsica como tecnolgica. A lo largo de estos ltimos aos se han desarrollado nuevas tecnologas y nuevos sistemas de seguridad [1], que ha permitido dar soluciones tanto de acceso fsico como de acceso lgico dentro la organizacin. Llegando a reducir los accesos no autorizados por personas ajenas a la organizacin, por medio de la aplicacin de los dos tipos de seguridad. Un ejemplo puede ser la integracin de las grabaciones de las cmaras de tecnologa IP con la nube virtual.

Adems, estas nuevas tecnologas han permitido que la seguridad sea un ejercicio permanente y creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y as mantener un nivel de confiabilidad en el contexto del negocio [2]. Sin embargo, esto ha obligado a la necesidad de implementar nuevas medidas que son cada vez ms complejas con el objetivo de prevenir y actuar contra cualquier intrusin lgica o fsica.

1.1. Seguridad fsica

Al hablar de seguridad fsica estamos haciendo referencia a todo aquel sistema desarrollado para la proteccin fsica de personas y elementos materiales e inmateriales, que por su naturaleza y funcin slo reacciona ante una agresin, oponiendo resistencia [1]. En este sentido, la seguridad fsica busca estrategias de control que permitan mantener bajo proteccin los activos que tiene la organizacin.

El objetivo de la seguridad fsica es prevenir amenazas como [1]: Desastres naturales, incendios, tormentas e inundaciones Amenazas ocasionadas por el hombre Manipulaciones y sabotajes internos y externos

A la seguridad fsica se la puede clasificar en cuatro categoras que representan la caracterizacin de la seguridad misma en el mundo tangible. La Fig.1 muestra cuales son estas categoras.

Fig. 1: Categoras de la seguridad fsica [2].

Obstrucciones fsicas

Las obstrucciones fsicas constituyen castillos, puertas blindadas, paredes reforzadas, entre otras [2], es decir, dificulta el ingreso a personas no autorizadas, que quieran acceder a los activos de la organizacin.

Tcnicas de vigilancia

Es un elemento clave para alertar cualquier movimiento que suceda en el permetro de acceso de la organizacin [2].

Sistemas de inteligencia

La funcin de inteligencia muestra la capacidad del componente humano, que asistido por las tcnicas modernas de procesamiento de informacin, es capaz de simular escenarios para tomar decisiones claras ante situaciones no previstas por la organizacin, pero probables en el contexto de su anlisis [2]. Esto sistemas surgen para recabar informacin de los lugares ms importantes y crticos que tiene la organizacin, con el fin de proporcionar una ventaja tctica y operativa ante ataques que puedan afectar el nivel de proteccin de los sistemas que se tienen implementados.

Guardia humana

La guardia humana, los especialistas en proteccin fsica, son el componente de inteligencia humana y de efectividad operacional ante una amenaza [2], es decir, son las personas que actan y deciden cual es la mejor manera de hacer frente a un ataque o vulnerabilidad que pueda ser detectada.

Por ejemplo, dentro de los elementos que van a componer un sistema de seguridad completo podemos hacer referencia a los control de accesos.

1.1.1. Control de Accesos

Los sistemas de control de accesos son los sistemas de seguridad que ms demanda han obtenido en los ltimos aos en seguridad. Se dispone de varios tipos de tecnologas en base a la funcin a desempear [3].

Control de acceso peatonal

Los sistemas de control de acceso peatonal se implementan para tener el control de todo el personal que transita en un espacio pblico o privado, asegurando el paso de personas que cuentan con un libre trnsito y restringiendo el paso de personas no autorizadas. La Fig. 2 indica un ejemplo de los sistemas de alta tecnologa que se estn instalando en la actualidad.

Fig. 2: Control de accesos peatonal [3].

Control de personal

Un sistema de control de asistencia como los que se pueden ver en la Fig. 3, mediante lectores de tarjetas de proximidad o sistemas biomtricos como lectores de huella digital permite llevar el control exacto de todas las entradas y salidas a instalaciones.

Fig. 3: Control de accesos personal [3].

1.1.2. Seguridad lgica

Si en la antigedad los activos a proteger eran de condicin tangible y real, como el oro, los semovientes y las personalidades, entre otras, hoy el activo fundamental se llama informacin [2], porque la informacin se ha convertido en el activo ms importante al cual se debe proteger, ya que por medio de este activo las organizaciones toman sus decisiones para aplicar sus estrategias. Por lo tanto, la seguridad lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a la informacin que las organizaciones almacenan y slo se permita acceder a ellos a las personas autorizadas para hacerlo [3]. Los objetivos que se plantea la seguridad lgica son los siguientes [4]:

2. DEFINICIN DE CSIRT

Un Equipo de Respuesta a Incidentes de Seguridad Informtica (CSIRT) est conformado por un grupo de personas que son los responsables de identificar y dar soluciones a las diferentes amenazas y vulnerabilidades que se encuentran en la mayora de sistemas de informacin [3], y adems, se encarga de brindar respuesta, elaborar planes y estrategias para dar soluciones a cualquier tipo de incidentes, vulnerabilidades o ataques de terceros.

Los objetivos principales de un CSIRT son [3]:

- Minimizar los daos ante cualquier ataque o amenaza

- Proveer asistencia rpida y efectiva

- Ayudar a la prevencin de futuros incidentes

En un CSIRT se realizan varias funciones, entre ellas [1]:

- Informar sobre vulnerabilidades de seguridad y amenazas

- Documentar los incidentes de seguridad

- Realizar investigaciones relacionadas con la seguridad informtica

- Ofrecer servicios de consultora de seguridad

- Educar a la comunidad en general sobre temas de seguridad

Los servicios que brinda un CSIRT se clasifican en: reactivos, proactivos y servicios de calidad [3]. Estos servicios son establecidos de acuerdo a la misin y tipo de organizacin que la va a implementar.

A continuacin se presenta una lista con los servicios ms conocidos segn ENISA [4].2.1. Servicios reactivos

Los servicios reactivos consisten en brindar respuesta, a cualquier solicitud de asistencia y cualquier amenaza o ataque que hayan ocurrido en los sistemas, y estos pueden ser producidos por terceras personas. Los servicios reactivos son las estrategias posteriores al ataque. Algunos servicios reactivos son los siguientes [3]:

- Alertas y advertencias

- Tratamiento de incidentes

- Apoyo a la respuesta a incidentes

- Coordinacin de la respuesta a incidentes

- Tratamiento dela vulnerabilidad

- Anlisis de la vulnerabilidad

- Respuesta a la vulnerabilidad

- Coordinacin de la respuesta a la vulnerabilidad

2.2. Servicios proactivos

Los servicios proactivos estn diseados para mejorar los procedimientos de seguridad en la organizacin. Sus principales objetivos son evitar incidentes y minimizar el impacto cuando un ataque se produzca. Algunos servicios proactivos son los siguientes [3]:

- Anuncios

- Observatorio de tecnologa

- Evaluaciones o auditorias de la seguridad

- Configuracin y mantenimiento de la seguridad

- Desarrollo de herramientas de seguridad

- Servicios de deteccin de intrusos

2.3. Gestin de la calidad de la seguridad

Son servicios diseados para mejorar la seguridad de la organizacin, realizando evaluaciones de las experiencias obtenidas de la puesta en marcha de los servicios reactivos y proactivos. Algunos servicios de la gestin de la calidad de seguridad son los siguientes [3]:

- Anlisis de riesgos

- Continuidad del negocio y recuperacin tras un desastre

- Consultora de seguridad

- Sensibilizacin

- Evaluacin o certificacin de productos

3. METODOLOGA

La Escuela Politcnica Nacional no est exenta de riesgos que afecten a la seguridad de su informacin, por lo que es necesario realizar un mejoramiento de los controles de seguridad informtica y un adecuado manejo de requerimientos de tecnologa por parte de la comunidad

acadmica de la institucin, por estas razones en necesario implementar un CSIRT acadmico en la Escuela Politcnica Nacional.

Un modelo que puede ser implementado en la Universidad es el Modelo Universitario. Este modelo es adoptado por los CSIRTs acadmicos y de investigacin, la mayor parte de las organizaciones acadmicas estn formadas por diversas universidades y campus con diferentes ubicaciones que se extienden a lo largo de todo un pas. La mayora de organizaciones son independientes entre s y poseen su propio CSIRT [3].

Estos CSIRTs se organizan en torno a un CSIRT central que los coordina y es el nico punto de contacto con otros equipos. El CSIRT central es el encargado de distribuir informacin sobre incidentes con otros CSIRTs.

A continuacin en la Fig.1 se presenta un modelo de unCSIRT Universitario.

Fig. 1: Modelo Universitario [4].

Para la implementacin de un CSIRT Acadmico en la EPN, se seguirn los pasos que se han propuesto en el documento Creating a Computer Security Incident Response Team: A process for Getting Started [3]. Los pasos que propone este documento son los siguientes:

- Obtener el Apoyo de la Organizacin para la planificacin e implantacin del CSIRT

- Determinar el plan estratgico del CSIRT

- Obtener Informacin Relevante

- Comenzar la implementacin del CSIRT

- Evaluar la Efectividad del CSIRT

3.1. Obtener apoyo de la organizacin para la planificacin e implantacin del CSIRT

Es necesario tener el apoyo de las autoridades de laUniversidad para la planificacin y puesta en marcha del CSIRT, el mismo debe contar con apoyo econmico y los recursos necesarios.

3.2. Determinar el plan estratgico del CSIRT

Consiste en detallar todas las acciones que se llevarn a cabo para el cumplimiento de las actividades de implementacin del CSIRT, como pueden ser las siguientes [3]:

- Determinar el tiempo que tomar la implementacin delCSIRT

- El nmero de personas que conformarn el equipo(administradores de TI, recursos humanos, etc.)

- Definir el tipo de infraestructura fsica y tecnolgica que es necesaria para la implementacin del CSIRT

3.3. Obtener informacin relevante

Se necesita identificar qu informacin es necesaria para implementar un CSIRT, ya que est informacin proporciona una visin general de cmo est estructurada la Institucin. Algunos recursos para la recoleccin de informacin pueden ser los siguientes [3]:

- Organigramas y funciones especficas que se realizan en la organizacin

- Planes existentes de recuperacin de desastres y continuidad del negocio

- Instrucciones existentes para notificar a la organizacin sobre el incumplimiento de alguna poltica para la seguridad fsica

- Planes de respuesta a incidentes

- Polticas internas en la organizacin, y procedimientos de seguridad existentes

3.4. Comenzar la implementacin del CSIRT

3.4.1. Equipos e infraestructura

Dado que los CSIRT suelen manejar informacin muy delicada, es una buena prctica dejar que el equipo asuma el control de la seguridad fsica de la oficina [4]. Para esto un CSIRT requiere de un espacio fsico propio, adems del equipo de oficina, material de escritorio y telfonos. Adems, para la infraestructura fsica se tomar un plan para la recuperacin ante desastres.

En cuanto a infraestructura se requiere [3]:

- Espacio fsico propio para el funcionamiento del CSIRT

- Material de escritorio y oficina

- Repositorio para el manejo de la informacin relacionada con incidentes

Normas generales relativas al edificio [4]:

- Utilice controles de acceso

- Restrinja el acceso a la oficina del CSIRT, como mnimo, al personal del CSIRT

- Controle las oficinas y las entradas con cmaras

- Archive la informacin confidencial bajo llave o en una caja fuerte

- Use sistemas de TI seguros

En cuanto a equipos se requiere [3]:

- Equipo de cmputo

- Firewalls

- Proteccin contra ataques de virus

3.4.2. Herramientas disponibles para un CSIRT

Aqu se detalla las herramientas ms comunes que usan los CSIRT. Sin embargo, se podr encontrar ms herramientas en el Centro de Informacin para la Gestin de Herramientas de Incidentes (CHIHT) [5], el cul proporciona informacin acerca de cmo usar las herramientas para la implementacin de un CSIRT.

3.4.2.1. Software de encriptacin de correos electrnicos y mensajes

- GNUPG

GnuPG es un software completo y de aplicacin gratuita del proyecto GNU Not Unix (GNU) que permite encriptar y firmar los datos y comunicaciones [4].

3.4.2.2. Herramientas de tratamiento de incidentes

- RTIR

RTIR es un sistema gratuito y de cdigo fuente abierto para el tratamiento de incidentes. Su diseo responde a las necesidades de los CSIRT y otros equipos de respuesta a incidentes [4].

3.4.2.3. Herramientas de CRM

La Gestin sobre la Relacin con los Clientes (CRM) es un modelo de gestin de toda la organizacin, basada en la satisfaccin del cliente. Existen diferentes variedades, como por ejemplo los siguientes [4]:

- SugarCRM

- Sugarforce (versin libre de cdigo fuente abierto)

3.4.2.4. Verificacin de la informacin [4]

- Website watcher

Website watcher es un programa que detecta actualizaciones y cambios en los sitios web.- Watch that page

Es un servicio que enva por correo electrnico informacin sobre cambios en las pginas web.

Muchas otras herramientas que se usan en los CSIRT se puede encontrar en la base de datos de la CHIHT [5]. En la Fig.2 se puede observar las herramientas en trminos de su utilidad en los procedimientos de manejo de incidentes. Adems, estas herramientas estn disponibles tanto para sistemas Windows y UNIX.

Fig 2. Centro de Informacin para la Gestin de Herramientas de Incidentes[5].

4. CONCLUSIONES

- Crear un CSIRT en la Escuela Politcnica Nacional permitir a la institucin mantener la disponibilidad de los servicios tecnolgicos para el cumplimiento en sus actividades diarias y estar informada sobre nuevas vulnerabilidades.

- Al implementar un CSIRT acadmico los niveles de seguridad se incrementan, ya que permiten concientizar a los usuarios en temas de seguridad y sobre todo brinda soluciones oportunas a los diferentes tipos de incidentes y vulnerabilidades que se presentan en los sistemas de informacin.

- De acuerdo a la investigacin realizada, la implementacin de un CSIRT conlleva la utilizacin de guas, normas y estndares aceptados internacionalmente como: NIST 800-61, ISO 27000, ITIL, COBIT, CERT/CC, ISO 27035 y otros, que permitan estructurar un adecuado proceso de manejo de incidentes de seguridad informtica.

AGRADECIMIENTOS

Agradecimientos de los autores para la Ing. Jenny Torres, ya que con este tipo de trabajos, nos incentiva a desarrollar la habilidad de investigacin, la cual nos ser de gran utilidad en nuestra vida estudiantil y profesional.

REFERENCIAS

[1] R. Aranda, Estudio de Sistemas de Seguridad Basado en la Deteccin de Intrusin Fsica y Tecnolgica, Santander: Unican, 2013. [2] J. Cano, Seguridad Lgica y Seguridad Fsica: Dos Mundos Convergentes, ISACA Journal, vol. VI, pp. 1-6, 2009. [3] 10 2013. [En lnea]. Available: http://repositorio.unican.es/xmlui/bitstream/handle/10902/4531/TFM%20-%20Ricardo%20Aranda%20LuengoS.pdf?sequence=1. [ltimo acceso: 10 05 2015].

[3] A. Illescas y S. Daz, La Seguridad de las Redes Abiertas, Seguridad de la Informacin, vol. I, n 2, pp. 34-37, 2014. [4] M. Lescano y E. Zoraida, Universidad Nacional Mayor de San Marcos, 26 Agosto 2003. [En lnea]. Available: http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/basic/mattos_le/cap2.PDF. [ltimo acceso: 9 Mayo 2015].[5] COASIN, COASIN, COASIN GROUP, 2012. [En lnea]. Available: http://www.coasin.cl/?portfolio=seguridad-logica-y-fisica-2. [ltimo acceso: 9 Mayo 2015].[6] M. Sanchez, Convergencia de la Seguridad, 13 01 2011. [En lnea]. Available: http://manuelsanchez.com/2011/01/13/convergencia-de-la-seguridad-un-nuevo-desafio-para-la-seguridad-corporativa/. [ltimo acceso: 10 05 2015].[7] J. Marangunich , Felaban, [En lnea]. Available: https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&uact=8&ved=0CC0QFjAD&url=http%3A%2F%2Fwww.felaban.net%2Farchivos_memorias%2Farchivo20141120014905AM.pptx&ei=-vJOVY7eIoKdgwTNsoGwBw&usg=AFQjCNGAnCLd9xGCR-TdTHIqJc3hp1pJng&sig2=jDv3q. [ltimo acceso: 10 05 2015].[8] G. LaRoche, Information and Physical Security:, [En lnea]. Available: http://www.infosectoday.com/Articles/convergence.htm. [ltimo acceso: 10 05 2015].