Embed Size (px)
Citation preview
Seguridad de la Información
Juan Heguiabehere
Temario
¿Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones Estándares
¿Qué es seguridad de la información?
Seguridad de la información significa proteger la información y los sistemas de información del acceso, uso, difusión, entorpecimiento, modificación o destrucción no autorizados.
Dos sentidos para el término seguridad: Como condición en la que no se produce daño, a
pesar de la ocurrencia de amenazas. Como conjunto de salvaguardas que permiten
alcanzar esta condición.
Atributos esenciales
Confidencialidad: La información debe ser accedida sólo por personal autorizado.
Integridad: La información no debe ser modificada o destruida sin autorización, y no debe contradecirse.
Disponibilidad: Los sistemas deben funcionar correctamente y la información debe estar disponible cuando se la requiere.
Autenticidad: Las transacciones, datos, comunicaciones y documentos deben ser genuinos.
No repudiación: En una transacción, las partes no deben poder negar que ésta tuvo lugar.
Arquitectura de seguridad de la información
Seguridad específica de la aplicación
Gestión de vulnerabilidad
Análisis, Detección, Investigación, Adaptación
Gestión de amenazasAnálisis, prevención,
Aseguramiento, Planes de recuperación
Seguridad de infraestructura
Seguridad técnicaHardware, software,
redes
Seguridad organizacionalEstructura y procesos
Gestión del riesgo
Riesgo es la probabilidad de que algo malo suceda y cause daño (o pérdida total) a un activo de información.
Vulnerabilidad es una debilidad que puede ser usada para hacer peligrar o dañar un activo de información.
Amenaza es cualquier cosa (natural o artificial) que tiene el potencial de causar daño.
El Proceso de Seguridad de la Información
Definiciónde alcance
Evaluación de amenazas
Evaluación de vulnerabilidades
Evaluaciónde riesgos
Estr. de gestión de riesgo y plan de
seguridad
Implementación de plan de seguridad
Auditoría de seguridad
Alcance del plan de seguridad
Identificación de grupos de interés Representantes de estos grupos Intereses de estos grupos Importancia de la seguridad para la estrategia del
negocio Importancia de la visibilidad de la seguridad Requerimientos legales
Evaluación de amenazas
Inventario de información y procesos
Naturaleza de las amenazas Acceso Destrucción Alteración Divulgación
Fuentes de las amenazas Una persona autorizada a acceder a la información, que la utiliza de
manera no autorizada Intrusos que acceden sin autorización Terceros a los que se les envía la información “Actos de Dios”
Situación de las amenazas
Situación de las amenazas Procesos manuales, almacenimiento de contenidos y datos
Edificios de la organización
Instalaciones de computación y comunicaciones, incluyendo:
Almacenamiento de datos Permanente Temporario Archivo
Software que realiza: Recepción de datos Almacenamiento Visualización Envío Acceso a los medios de almacenamiento
Transmisión de los datos Instalaciones de terceros
Infraestructura
Evaluación de vulnerabilidades
La existencia de una amenaza no implica un daño
Debe concretarse la amenaza Debe existir una susceptibilidad a la amenaza
La evaluación de vulnerabilidades apunta a descubrir las susceptibilidades existentes a las amenazas relevadas
Se contrarrestan por medio de salvaguardas Las salvaguardas introducen sus propias vulnerabilidades
La probabilidad de que una amenaza cause daño a través de una vulnerabilidad es lo que conocemos como riesgo
Evaluación de riesgos
Análisis de varios factores:
Probabilidad de que la amenaza se concrete Costo del daño causado por la amenaza Costo de mitigar ese riesgo, entre otros:
Tiempo de gestión, para planificar y controlar Tiempo de staff y tiempo de máquina, para backups
periódicos Pérdida de servicio durante el tiempo de backup Media adicional para software y datos Tiempo de staff, para entrenamiento Hardware redundante Hosting alternativo
Estrategias de gestión de riesgo
Estrategias proactivas:
Evitación: el no uso de procesos o tecnologías riesgosos Disuasión: Carteles, publicidad de políticas de despido, publicidad en caso de juicios Prevención:
Control de accesos lógico y físico UPS, protectores de línea, hardware de calidad Entrenamiento del personal, asignación de responsabilidades, políticas de
despido
Estrategias reactivas:
Detección: Detectores de incendio, logs, reporte de excepciones Recuperación: BCP, sitios redundantes Aseguramiento: Pólizas de seguro, fideicomiso (escrow) de software de terceros,
contratos de mantenimiento
Estrategias no reactivas:
Tolerancia (si cuesta más prevenirse del daño que el daño mismo)
Estrategias de gestión de riesgo y plan de seguridad
Diseñar una estrategia de gestión de riesgo implica:
Seleccionar una serie de medidas que reflejen las evaluaciones hechas. Esto incluye:
Salvaguardas técnicas: Prevención, detección, monitoreo Políticas y procedimientos
Formulación de un Plan de Seguridad, mediante el cual las políticas y salvaguardas se hacen efectivas
Asignar recursos al plan de seguridad Diseñar e implementar controles, para detectar incidentes de
seguridad, investigarlos y enfrentarlos, y verificar que todos los elementos del plan de seguridad estén operativos
Inclusión de procesos de auditoría, para evaluar periódicamente las salvaguardas, las políticas y procedimientos, las prácticas que realmente se llevan a cabo, y la implementación de los controles planeados
Implementación del plan de seguridad
El plan de seguridad se debe implementar con una fuerte gestión de proyecto:
Comunicación de políticas Creación y modificación de procesos manuales, de acuerdo a
las nuevas políticas Implementación de salvaguardas Cambio de cultura:
Concienciación Educación en los conceptos generales Capacitación en las actitudes y herramientas específicas Mantenimiento de la nueva cultura
Auditoría
Periódica Exhaustiva No limitada a las salvaguardas técnicas Fuerte compromiso de la dirección
Herramientas
Para ayudar con las salvaguardas organizacionales: Checklists para evaluaciones de amenazas, vulnerabilidades y riesgos Checklists de salvaguardas Guías para el diseño de salvaguardas, como políticas de contraseñas Checklists de sitios de alertas de seguridad Checklists de sitios de los que bajar versiones nuevas y parches para el software
Herramientas internas de seguridad: Métodos de encriptación Antivirus Herramientas de análisis de logs Herramientas de auditoría de seguridad interna Herramientas de detección de intrusiones Chequeo de vulnerabilidad de sistemas internos
Herramientas (Cont.)
Herramientas de seguridad de red: Herramientas de control de acceso Herramientas de gestión de la identidad:
especificación de privilegios y grupos creación y administración de usuarios
Programas seguros para acceso remoto Métodos de encriptación y decriptación de mensajes Soporte de manejo de claves privadas Herramientas de chequeo de validez de certificados Herramientas de monitoreo de tráfico de red Herramientas de filtrado de contenido externo (proxies) Herramientas de bloqueo de tráfico no autorizado (firewalls) Herramientas de detección de intrusión Herramientas de testeo de la seguridad externa
Encriptación: RSA
Encriptación asimétrica – una clave para encriptar, otra para desencriptar.
Se generan enteros d, e, p, q tales que para cualquier entero m < p.q, si
c=(m^e) mod p.q
entonces
m=(c^d) mod p.q Los pares (e, pq) y (d, pq) son las claves.
RSA – Explicación somera
Según un teorema de Fermat, si p es un número primo, entonces
a^(p1) mod p=1
para a entero no divisible por p
Si se toman dos enteros primos grandes p y q, y se buscan dos enteros d y e menores que (p1).(q1) tales que
d.e mod ((p1).(q1)) = 1,
d.e=1+s.(p1).(q1)
para algún entero s. Entonces para cualquier m<p,
m^(p1) mod p = 1
Elevando a s.(q1) y multiplicando por m,
m^(1+s.(p1).(q1)) mod p = m
m^(d.e) mod p = m
Lo mismo para q, y por lo tanto para p.q, por lo tanto m^(d.e) mod p.q = m
Infraestructura de clave pública (PKI)
Una autoridad certificante (CA) certifica que un ente (persona, empresa, servidor) es quien dice ser. El certificado contiene la clave pública del ente.
Al encriptar con la clave privada, el dueño del certificado puede garantizar que un mensaje es de él.
Al encriptar con la clave pública, otros pueden enviar mensajes que sólo el dueño del certificado puede descifrar.
Si A quiere comunicar un mensaje m de manera segura a B, el proceso es el siguiente:
A encripta m con su clave privada y lo vuelve a encriptar con la clave pública de B. B desencripta el mensaje con su clave privada y lo vuelve a desencriptar con la clave
pública de A. Normalmente se intercambia de esta manera una clave de sesión, que se usa para
encriptar el resto de la comunicación de una manera menos computacionalmente costosa.
Regulaciones
BCRA A4609 Organización funcional Protección de activos Continuidad del procesamiento Operaciones y procesamiento de datos Banca electrónica Delegación en terceros Aplicativos
SarbanesOxley (SOX) Sección 302. Exige que el CEO y el CFO certifiquen personalmente la
veracidad de los reportes financieros Sección 404. Requiere la implementación de controles internos efectivos Sección 409. Requiere acceso en tiempo real de cualquier cambio en la
condición financiera de la empresa
Estándares en Seguridad de la información
ISO15443: "Information technology Security techniques A framework for IT security assurance"
ISO17799: "Information technology Security techniques Code of practice for information security management"
ISO20000: "Information technology Service management"
ISO27001: "Information technology Security techniques Information security management systems"
Seguridad en las comunicaciones:Estándares y protocolos
SSL/TLS – Encriptación para HTTP IPSec – VPNs X.509 v3 – Certificados digitales AADS – PKI sin transmisión de PK SDSI – Alternativa a X.509 P3P – Preferencias de privacidad SSH – Secure Shell
Conclusión
La información como el objeto de la seguridad La seguridad como un proceso continuo La necesidad de poder demostrar diligencia y
cuidado
Muchas gracias por su atención
