Embed Size (px)
Citation preview
Seguridad en Redes
Ing. Jerdy Sotelo Marticorena
NORMAS DE SEGURIDAD EN TI
OBJETIVOS DEL CURSO• Desarrollar la terminología y los conceptos necesarios
para realizar una adecuada Gestión de la Seguridad de la Información.
• Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI.
• Comprender los principales modelos, normas y estándares de Seguridad de la Información.
• Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.
CONTENIDO DEL DOMINIO• D1: Gobierno de Seguridad de la Información y Gestión de
Riesgos.
• D2: Seguridad de Operaciones.
• D3: Control de Accesos.
• D4: Diseño y Arquitectura de Seguridad.
• D5: Legislación, Regulación, Cumplimiento e Investigación.
• D6: Seguridad Física.
• D7: Seguridad de Aplicaciones.
• D8: Seguridad de Red y Telecomunicaciones.
• D9: Plan de Continuidad de Negocios y Recuperación de Desastres.
• D10: Criptografía.
PRESENTACIÓN DE LOS ALUMNOS
• Nombres.
• Nombre de la empresa (trabaja y/o práctica pre profesionales)
• Puesto.
• Experiencia en Seguridad de la Información.
• Conocimiento de GNU/Linux.
• Pasatiempos / Aficiones.
• Expectativas del curso.
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD Y GESTIÓN DE RIESGOS
GESTIÓN CENTRALIZADA
Análisis de Riesgos y determinación de controles
Evaluación y MonitoreoImplementación de Políticas
y Controles
Promover la Concientización
CICLO DE VIDA DE LA INFORMACIÓN
1.
CLASIFICACIÓN
DESTRUCCIÓN
DISPOSICIÓN
3.
MIGRACIÓN
2.
ALMACENAMIENTO
Seguridad y Recuperación
Seguridad y Recuperación
Seguridad y Recuperación
Seguridad y Recuperación
SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA
Tecnología
ProcesosPersonas
LA SEGURIDAD INFORMÁTICA: Se refiere a laprotección de las infraestructuras de lastecnologías de la información y comunicación quesoportan nuestro negocio.
SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de informaciónfundamentales para el éxito de cualquier organización.
Que es la Seguridad de la Información (video)
CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN
• Confidencialidad: Es la propiedad porla que la información, no se pone adisposición o se revela a individuos,entidades o procesos no autorizados.
• Integridad: Es la propiedad desalvaguardar la exactitud ycompletitud de los activos.
• Disponibilidad: Es la propiedad deser accesible y utilizable por unaentidad autorizada.
• Confidencialidad:• Mínimo privilegios.• Basado en la función del usuario• Se soporta en clasificación de información.• Cifrado de información.
• Integridad: • Cambios no autorizados, intencionales o accidentales.• Información almacenada en diversos medios• Información modificada solo por el personal y controles
autorizados.
• Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo
necesiten.• Se ve afectada por ataques de DoS.• Pérdida o paralización de servicio por la presencia de incidente o
desastre.
OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
Porqué es necesaria la Seguridad de la Información?
La información y los procesos que la apoyan, lossistemas y las redes son activos importantes para laorganización, por lo tanto, es esencial definir, realizar,mantener y mejorar la seguridad de la informaciónpara:
• Mantener la competitividad de la empresa.
• lograr el flujo de liquidez requerido.
• Lograr el cumplimiento legal de la normatividadvigente a nivel nacional.
Somos conscientes de nuestras debilidades?
• Internas o Externas.
OSSTM – MAPA DE SEGURIDAD
NOTA: LOS ATAQUES
INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES
RECIBIDOS
AMENAZAS PARA LA SEGURIDAD
DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS
DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS
Categorización de usuarios
OPERATIVIDAD VS SEGURIDAD
TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN
Terminología en Seguridad de la Información
• Activos de información
• Amenaza
• Vulnerabilidad
• Riesgo
• Exposición
• Salvaguarda
• Impacto
• Activo: Recurso relacionado al sistema de informaciónnecesario para el funcionamiento correcto y para elcumplimiento de los objetivos de una organización.
• Amenaza: Cualquier evento que ocasione incidencias ,produciendo daños materiales o inmateriales sobre un activo deal organización.
• Vulnerabilidad: Es una posibilidad de ocurrencia de lamaterialización de una amenaza hacia la seguridad de laorganización.
• Riesgo: Es la posibilidad de que se produzca un impactodeterminado en la organización
• Exposición: Es un caso de exponer la organización o parte deella, a riesgos que causen daño posibles.
• Salvaguarda: Es un proceso que elimina o minimiza los riesgosde seguridad, desde antes que se active una vulnerabilidad.
• Impacto: Consecuencia de la materialización de una amenaza.
Activos de Información• Documentos en papel: Contratos, guías, etc.• Software: aplicativos y software de sistemas.• Dispositivos físicos: computadoras, medios removibles
(USB, DVD, etc).• Personas: clientes, personal, etc.• Imagen y reputación de la empresa: Marca, logotipo,
razón social.• Servicios: Comunicaciones, internet, energía.
ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible ointangible que genera, procesa o almacena información al cual unaorganización directamente le atribuye un valor y por tanto requiereuna adecuada protección y cuidado.
DOCUMENTOS
• En papel:
• Electrónico:
ACTIVOS DE SOFTWARE
• Sistemas
• Aplicaciones
• Herramientas y programas
ACTIVOS FÍSICOS
• Procesamiento
• Comunicación
• Medios de almacenamiento
• Otros
SERVICIOS (Terceros)
• Procesamiento y comunicaciones.
• Servicios generales.
• Otros proveedores.
FRECUENCIA MARCADO
UBICACIÓN
CUSTODIO VALORACIÓN
CLASIFICACIÓN
PROPIETARIO
USUARIOACTIVO DE
INFORMACIÓN
CLASIFICACIÓN DE LA INFORMACIÓN
Restringida
Confidencial
Interna
Pública
Ubicación (Física o Lógica)
• Lugares donde se almacena los Activos de información más importantes:
• Oficinas.
• Archivos.
• Centro de cómputo.
• Bóvedas.
• Custodio de información
(Proveedor).
PropietarioEl propietario de los activos debe ser responsable pordefinir apropiadamente la clasificación de seguridad ylos derechos de acceso a los activos y establecer lossistemas de control.
Ejemplo:
• Activo de información: Sistema Contabilidad.
• Propietario del activo: Gerente de Contabilidad y Finanzas.
• Custodio de la Base de Datos: Gerencia de TI.
• Derecho de propietario del activo: Empresa.
Amenazas• Potencial para causar un incidente indeseado que
puede resultar en daño al sistema, a la empresa o a sus activos.
• Puede ser accidental o intencional
• Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades:
• Desastres Naturales: Terremoto, incendio, etc.
• Humanas: Errores de mantenimiento, huelgas, etc
• Tecnológicas: Caída de Red, Sobretráfico, etc
Ingeniería Social
• Consiste en engañar a alguien para que entregueinformación o permita el acceso no autorizado odivulgación no autorizada, que usualmente nos daríaacceso a un sistema de información, aplicativo orecurso informático.
«EL ARTE DE ENGAÑAR A LAS PERSONAS»
Video de Ing. Social
SGSI(Sistema de Gestión de la Seguridad de la Información)
Sistema de Gestión de la Seguridad de la Información
SGSI son las siglas utilizadas para referirsea un Sistema de Gestión de la Seguridadde la Información, una herramienta degran utilidad y de importante ayuda para lagestión de las organizaciones. Además delconcepto central sobre el que se construyela norma ISO 27001.
ISO 27000
A semejanza de otras normas ISO, la
27000 es realmente una serie de
estándares. A continuación se
incorpora una relación con la serie de
normas ISO 27000 y una descripción
de las más significativas.
ISO 27001
• Esta norma es la definición delos procesos de gestión de laseguridad, por lo tanto, es unaespecificación para un SGSI y, eneste momento, es la única normaCertificable, dentro de lafamilia ISO 27000.
ISO 27002• La ISO 27002 viene a ser un código de buenas
prácticas en el que se recoge un catálogo de loscontroles de seguridad y una guía para la implantaciónde un SGSI.
• Se compone de 11 dominios, 39 objetivos de seguridady 133 controles de seguridad.
• Cada uno de los dominios conforma un capítulo de lanorma y se centra en un determinado aspecto de laseguridad de la información.
Distribución de los dominios de la Norma ISO 27002
ISO 27002 (documentación)La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.
GESTIÓN DE RIESGOS
Requerimientos del Negocio
• Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones.
• No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.
Requerimientos del Negocio
• En una organizaciónprivada los servicios dedisponibilidad eintegridad de lainformación, cobranmayor valor que laconfidencialidad, ya quesus objetivos, apuntanhacía la competencia enmarketing y ventas.
• En una organización militar,el servicio deconfidencialidad cobramayor valor que ladisponibilidad e integridadde la información, ya queadministra informacióncrítica que NO PUEDE NIDEBE tener accesosdesautorizados.
Introducción al Análisis de Riesgos
• Es necesario recordar que:
• No existe SEGURIDAD AL 100%.
• No existe 0% de Riesgos.
• Ningún control es infalible.
• Cada organización tiene vulnerabilidades y riesgos diferentes.
• Los riesgos no se puede eliminar pero si darle un tratamiento
Análisis de Riesgos Métodos para analizar los riesgos:
• Cuantitativo.
• Cualitativo.
Existen algunas metodologías para el análisis y gestión de riesgos:
Magerit
Octave
ISO 27005
RISK IT
ISO 31000
AS/NZS 4360
Que persigue con el Análisis de Riesgos
• Identificar y clasificar los activos críticos de la organización.
• Determinar a que amenazas están expuestas.
• Determinar que salvaguardas existen y cuan eficaces son frente al riesgo.
• Estimar el impacto.
• Estimar el riesgo.
1. Inventariar 2. Análisis
4. Tratamiento 3. Evaluación
Basado en la Norma ISO
27005
Ciclo del Análisis y Evaluación de Riesgos
Proceso de evaluación del Riesgo
Nivel de Riesgo Aceptable• Es el Riesgo que queda en la organización
luego de implementar controles.
• Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual.
• Siempre existirán Riesgos Residual.
• ¿Cuál es el nivel de Riesgo Residual aceptable en su organización?
- La alta dirección debe decidir.
OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS
Tratando los Riesgos de Seguridad
• Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.
Tratando los Riesgos de Seguridad
Posibles opciones para el tratamiento del riesgo incluye:
a) Aplicar controles apropiados para reducir el riesgo.
b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización.
c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran.
d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
Dirección de Tratamiento del Riesgo
Opciones:
• ACEPTAR el riesgo efectivo.
• TRANSFERIR el Riesgo.
• REDUCIR el Riesgo a un nivel aceptado.
• EVITAR Riesgos.
Aceptando el Riesgo
CONDICIONES:
• La organización no encuentra controles para mitigar el riesgo efectivo.
• La implementación de controles tiene un costo superior que las consecuencias del riesgo.
• Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.
Transferir el Riesgo
CONDICIONES:
• Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable.
• La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias.
• Las transferencia del riesgo no elimina el riesgo residual.
Reducir el Riesgo
CONDICIONES:
• Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable.
• Los controles a implementar pueden reducir el riesgo estimado en dos maneras:
Reduciendo la probabilidad de ocurrencia de la amena.
Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.
Evitar el Riesgo
GENERALIDADES:
• Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo.
• El riesgo se puede evitar por medio de:
• No continuar desarrollando una actividad en particular.
• Trasladar nuestros activos a otro lugar o área segura.
• Decidir no procesar cierta información considerada muy sensitiva.
Resultados del Análisis de Riesgos
• Asignación de valores monetarios a los activos.
• Lista de todos los posibles y potenciales amenazas.
• Probabilidad de cantidad de ocurrencias por cada amenaza.
• Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza.
• Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
Inventario de Activos
• Relación de todos los activos importantes.
• Cada activo debe tener un propietario y custodio (responsabilidades definidas)
• Los activos se identifican, no se inventan.
Seguridad de Redes
Ing. Jerdy Sotelo Marticorena
