Post on 27-Sep-2015
description
Seguridad de la Informacin
SeguridadInformacinDe la
Ing. Max Lazaro Oficina Nacional de Gobierno
Electrnico e Informtica
Seguridad de la Informacin
Nuevos Escenarios
Seguridad de la Informacin
La informacin debe considerarse como un
recurso con el que cuentan las Organizaciones
y por lo tanto tiene valor para stas, al igual
que el resto de los activos, debe estar
debidamente protegida.
Qu se debe asegurar ?
Seguridad de la Informacin
Contra qu se debe proteger la
Informacin ?
Seguridad de la Informacin
Password cracking
Man in the middle
Exploits
Denegacin de servicio
Escalamiento de privilegios
Hacking de Centrales Telefnicas
Keylogging Port scanningInstalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualizacin
Backups inexistentes
ltimos parches no instalados
Amenazas
Violacin de la privacidad de los empleados
Fraudes informticos
Destruccin de equipamiento
Seguridad de la Informacin
Captura de PC desde el exteriorViolacin de contraseas
Interrupcin de los servicios
Intercepcin y modificacin y violacin de e-mails
VirusMails annimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravo de notebooks, palms
empleados deshonestos
Robo de informacin
Destruccin de soportes documentales
Acceso clandestino a redes
Intercepcin de comunicaciones voz y wireless
Acceso indebido a documentos impresosPropiedad de la informacin
Agujeros de seguridad de redes conectadasFalsificacin de informacin
para terceros
Indisponibilidad de informacin clave
Spamming
Ingeniera social
Ms Amenazas!!
Seguridad de la InformacinBOTNETS Facilitando Ataques DDoS
CE
Instalacin del cliente:
Servidor/FW/Switch/Ruteador
Zombies
Extorsionador
Conexin de la
ltima Milla
Ruteador del Borde del ISP
BOTNETs para Rentar!
Un BOTNET est compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central
Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http
Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades ms recientes de los sistemas
Un BOTNET relativamente pequeo con nicamente 1000 zombies puede causar una gran cantidad de daos.
Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer ms de 100MBit/s
El tamao de los ataques est aumentando constantemente!
Seguridad de la Informacin
Seguridad de la Informacin
Por qu aumentan las amenazas ?
Crecimiento exponencial de las Redes y Usuarios Interconectados Dependencia.
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS)
Tcnicas de Ingeniera Social
Algunas
Causas
Seguridad de la Informacin
Vulnerabilidades
Inadecuado compromiso de la direccin.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles
(fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos)
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles.
Seguridad de la Informacin
Qu se debe garantizar ?
Seguridad de la InformacinDimensiones crticas de la informacin
C
I D
Informacin
(dimensiones)
Prevenir
Divulgacinno autorizadade
Activos de Informacin
Prevenir
Cambios no autorizadosen
Activos de Informacin
Prevenir
Destruccinno autorizadade
Activos de Informacin
Secreto impuesto de acuerdo con polticas de seguridad
SINO: Fugas y filtraciones de informacin; accesos no autorizados; prdida de confianza de los dems (incumplimiento de leyes y compromisos)
Validez y Precisin de informacin y sistemas.SINO: Informacin manipulada, incompleta,
corrupta y por lo tanto mal desempeo de funciones
Acceso en tiempo correcto y confiable a datos y recursos.
SINO: Interrupcin de Servicios o Baja Productividad
Informacin
E
D
T
6
+ 5
=
7x24x365
Autenticidad de quien hace uso de datos o
servicios
Trazabilidad del uso de servicios (quin, cundo)
o datos (quien y que hace)
E-commerce
No repudio
(Compromisos)
Confiabilidad
Seguridad de la Informacin
Acciones de la ONGEI
Seguridad de la Informacin
Actualmente la ONGEI apoya a las entidades pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores Web de las Entidades Publicas.
Boletines de Seguridad de la informacin
Boletines de Alertas de Antivirus.
Presentaciones tcnicas sobre seguridad.
Consultoras y apoyo en recomendaciones tcnicas.
Seguridad de la Informacin
Poltica de Seguridad de la
Informacin para el Sector Pblico
Seguridad de la Informacin
Las polticas de seguridad son las reglas y
procedimientos que regulan la forma en que una
organizacin previene, protege y maneja los riesgos de
diferentes daos.
Que se entiende por Politica de Seguridad ?
Si se quiere que las polticas de seguridad sean aceptadas, deben
integrarse a las estrategias del negocio, a su misin y visin,con el propsito de que los que toman las decisiones reconozcan
su importancia e incidencias en las proyecciones y utilidades de la
organizacin.
Como tiene xito una Politica ?
Seguridad de la Informacin
Con fecha 23 de julio del 2004 la PCM a travs
de la ONGEI, dispone el uso obligatorio de la
ISO/IEC
17799:2004 EDI. Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la Gestin de
Sistema Nacional de Informtica.
Se Actualiz el 25 de Agosto del 2007 con la
ISO/IEC
17799:2007 EDI.
Seguridad de la Informacin
Cuales son los temas o dominios a
considerar dentro de un plan de
Seguridad?
Seguridad de la Informacin
Los 11 dominios de control de ISO 17799 (27002)
1. Poltica de seguridad:
Se necesita una poltica que refleje las expectativas dela organizacin en materia de seguridad, a fin desuministrar administracin con direccin y soporte. Lapoltica tambin se puede utilizar como base para elestudio y evaluacin en curso.
2. Aspectos organizativos para la seguridad:
Sugiere disear una estructura de administracindentro la organizacin, que establezca laresponsabilidad de los grupos en ciertas reas de laseguridad y un proceso para el manejo de respuesta aincidentes.
Seguridad de la Informacin
3. Clasificacin y Control de Activos:
Inventario de los recursos de informacin de laorganizacin y con base en este conocimiento, debeasegurar que se brinde un nivel adecuado deproteccin.
4. Seguridad de Recursos Humanos:
Necesidad de educar e informar a los empleadosactuales y potenciales sobre lo que se espera de ellosen materia de seguridad y asuntos deconfidencialidad. Implementa un plan para reportarlos incidentes.
5. Seguridad fsica y del Entorno:
Responde a la necesidad de proteger las reas, elequipo y los controles generales.
Seguridad de la Informacin
6. Gestin de Comunicaciones y Operaciones: Los objetivos de esta seccin son:
Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin.
Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte.
Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin.
Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.
Seguridad de la Informacin
7. Control de accesos:
Establece la importancia de monitorear ycontrolar el acceso a la red y los recursos deaplicacin como proteccin contra los abusosinternos e intrusos externos.
8. Adquisicin, Desarrollo y Mantenimiento de los sistemas:
Recuerda que en toda labor de la tecnologa de lainformacin, se debe implementar y mantener laseguridad mediante el uso de controles deseguridad en todas las etapas del proceso.
Seguridad de la Informacin
9. Gestin de Incidentes de la Seguridad de la informacin
Asegurar que los eventos y debilidades en laseguridad de la informacin sean comunicados demanera que permitan una accin correctiva a tiempo.
10. Gestin de Continuidad del Negocio
Aconseja estar preparado para contrarrestar lasinterrupciones en las actividades de la organizacin ypara proteger los procesos importantes de laorganizacin en caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,estatutos, obligaciones regulatorias o contractuales yde cualquier requerimiento de seguridad.
Seguridad de la Informacin
Los 11 Dominios de la NTP ISO 17799 - 2007
Control de accesos
Gestin de
Activos
Poltica de
seguridad Organizacin de la Seguridad
Seguridad
del personal
Seguridad fsica
y medioambientalGestin de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Gestin de
la continuidad
Cumplimiento
Informacin
Confidencialidad
disponibilidad
integridadGestin de
incidentes
Seguridad de la Informacin
Seguridad de la Informacin
SGSI
Modelo P-H-V-A
Metodologa de la ISO/IEC
27001
Seguridad de la Informacin
El sistema de gestin de la seguridad de la informacin(SGSI) es la parte del sistema de gestin de la empresa,basado en un enfoque de riesgos del negocio, para:
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la informacin.
Incluye.
Estructura, polticas, actividades, responsabilidades, prcticas,procedimientos, procesos y recursos.
SGSI
Seguridad de la Informacin(Planificar /Hacer /Verificar /Actuar)
El SGSI adopta el siguiente modelo:
PHVA
Planificar
Verificar
Hacer
Actuar
Definir la poltica de
seguridad
Establecer el alcance del SGSI
Realizar los anlisis de riesgos
Seleccionar los controles
Implantar el plan de gestin de
riesgos
Implantar el SGSI
Implantar los controles.
Implantar indicadores.
Revisiones del SGSI por parte de
la Direccin.
Realizar auditoras internas del SGSI
Adoptar acciones correctivas
Adoptar acciones preventivas
Seguridad de la InformacinEstablecer el SGSI (Plan)
Establecer la poltica de seguridad, objetivos, metas, procesos yprocedimientos relevantes para manejar riesgos y mejorar laseguridad de la informacin para generar resultados de acuerdo conuna poltica y objetivos marco de la organizacin.
Definir el alcance del SGSI a la luz de la organizacin.
Definir la Poltica de Seguridad.
Aplicar un enfoque sistmico para evaluar el riesgo.
Seguridad de la InformacinEstablecer el SGSI (Plan)
Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar
Seleccionar objetivos de control y controles a
implementar.
A partir de los controles definidos por la ISO/IEC 17799
Establecer enunciado de aplicabilidad
Seguridad de la InformacinImplementar y operar (Do)
Implementar y operar la poltica de seguridad, controles, procesos y
procedimientos.
Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar
Implementar los controles seleccionados.
Mitigar
Aceptar riesgo residual.
Firma de la alta direccin para riesgos que superan el nivel
definido.
Seguridad de la InformacinImplementar y operar (Do)
Implementar medidas para evaluar la eficacia de los controles
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y respuesta a
incidentes.
Seguridad de la InformacinMonitoreo y Revisin (Check)
Evaluar y medir la performance de los procesos contra la poltica deseguridad, los objetivos y experiencia practica y reportar losresultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable, considerando:
Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej. Regulaciones, leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la direccin del SGSI.
Seguridad de la InformacinMonitoreo y Revisin (Check)
Se debe establecer y ejecutar procedimientos de monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y exitosos.
Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.
Determinar las acciones realizadas para resolver brechas a la seguridad.
Mantener registros de las acciones y eventos que pueden impactar al SGSI.
Realizar revisiones regulares a la eficiencia del SGSI.
Seguridad de la InformacinMantenimiento y mejora del SGSI (Act)
Tomar acciones correctivas y preventivas, basadas en los
resultados de la revisin de la direccin, para lograr la mejora
continua del SGSI.
Medir el desempeo del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las acciones apropiadas a implementar en el ciclo en
cuestin (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.
Seguridad de la Informacin
PECERT
Seguridad de la Informacin
Con fecha 22 de Agosto del 2009, en el diario
oficial el Peruano la Resolucin Ministerial
360-2009-PCM, que crea el Grupo de Trabajo
denominado Coordinadora de Respuestas a
Emergencias en Redes Teleinformticas de la
Administracin Pblica del Per PECERT
La cual permitir generar un marco de trabajo
de cooperacin entre los ministerios del sector
pblico para mejorar los niveles de seguridad de
la informacin en las entidades pblicas.
Seguridad de la Informacin
La norma permitir que:
ONGEI ser un CSIRT de coordinacin
Cada Ministerio creara un CSIRT
operativo.
Seguridad de la Informacin
Portal de Coordinacin de Emergencias en Redes Teleinformticas
http://www.pecert.gob.pe