23
Caso Práctico
Seguridad para las Tecnologías de la Información
Robert English
Internet es considerado como una herramienta eficiente y económica para distribuir información, productosy servicios. Sin embargo, por sus características, Internet puede considerarse también un ambiente hostil paratrabajar. Por ello resulta necesario proteger los sistemas, la información y los servicios frente a posibles ataquesque pudiesen resultar, finalmente, en la pérdida de la confidencialidad, la integridad o la disponibilidad deéstos.
Los pasos para implementar el concepto de seguridad en las tecnologías de la información se puedenresumir en:
1. Considerar los requisitos de seguridad: Entre los principales elementos que están involucrados en elconcepto de seguridad se cuentan la confidencialidad, la no repudiación, la integridad, la autenticación, elcontrol de acceso y la disponibilidad.
2. Aplicar métodos y tecnologías conocidas: Evaluar marcos, políticas y estándares, gestión de riesgo deseguridad, impacto en la privacidad, definición de herramientas a usar (firewalls y gateways, servidores deautenticación, tecnología de encriptación, entre otros).
3. Realizar el análisis de amenazas y riesgos que permitan elegir las alternativas de seguridad, así como eldiseño del modelo de seguridad más eficientes y menos costosos.
4. Implementar las soluciones de seguridad que involucren y protejan todo el ciclo de operación de lastecnologías de la información, así como los procesos técnicos y administrativos.
5. Realizar estudios de impacto, donde se evalúe y confirme la protección de la data y sistemas.
Entre los beneficios de implementar el concepto de seguridad en las tecnologías de la información tenemosque ésta, definitivamente, facilita los negocios electrónicos, estandariza las transacciones electrónicas(mediante una Public Key Infrastructure), impulsa la transferencia de información entre partes que nomantienen una relación de negocios establecida, protege la información y activos de las empresas (tales comosecretos empresariales o propiedad intelectual), permite mantener una posición competitiva en el mercado,entre muchos otros.
El riesgo de no tomar en cuenta la seguridad en la aplicación de tecnologías de la información puederesultar en la alteración de la información, sin que se advierta, falta de seguridad para saber con quién estoymanteniendo comunicación y el riesgo de exponer información sensible a ser revelada. Como consecuencia deesto, se reduciría las oportunidades para realizar negocios, lo que a su vez, no permitirá el desarrollo ampliodel Internet.
25
Sesión 1
SEGURIDAD IT (ITS)
Caso de Negocios
Robert A. English
Director Administrativo, ITS & Privacidad
Cinnabar Networks Inc.
Cinnabar Net works Inc.
È ObjetivosÈ Definición de ITSÈ El Problema de NegociosÈ Por qué aplicar ITSÈ Cómo procederÈ Un enfoque de Infraestructura y sus
BeneficiosÈ El riesgo de no hacer nada
Esquema de la Presentación
Objetivos
È Definir Seguridad IT (ITS)
È Apreciar la necesidad de seguridad en las
operaciones de comercio electrónico
È Identificar los requerimientos de seguridad,
beneficios y limitaciones de una solución de
infraestructura
Session 1
IT SECURITY (ITS)
The Business Case
Robert A. English
Managing Principal, ITS & Privacy
Cinnabar Networks Inc.
Cinnabar Net works Inc.
È ObjectivesÈ Definition of ITSÈ The Business ProblemÈWhy Apply ITSÈ How to proceedÈ An Infrastructure Approach & BenefitsÈ The Risk of Doing Nothing
Presentation Outline
Objectives
È To define IT Security (ITS)
È To appreciate the need for security in electronic
business operations
È To identify security requirements and benefits and
limitations of an infrastructure solution
26
Sistemasatos
Servicios
IntegridadConfidencialidad
Disponibilidad
Definició n: Seguridad deSistemas Holistica
Protecció n de
Contra laperdida de
La protección de sistemas, datos y servicios contra amenazas accidentales y deliberadas que pudieran resultar en la pérdida de confidencialidad, integridad y
disponibilidad….un tema muy amplio y complejo
Scope - Definitionof ITS
È The protection of systems, data and servicesfrom accidental and deliberate threats thatcould result in the loss of confidentiality,integrity and availability
….... a very broad and complex issue
Alcance - Definiciónde ITS
È La protección de sistemas, datos y servicios
contra amenazas accidentales y deliberadas
que pudieran resultar en una pérdida de
confidencialidad, integridad y disponibilidad.
….... un tema muy amplio y complejo
Systemsata
Services
IntegrityConfidentiality
Availability
Definition: SystemSecurity Holistic
Protection of
Against loss of
The protection of systems, data and services from accidental and deliberate threats that could result in the loss of confidentiality, integrity and availability
….a very broad & complex issue
Definition:BalancedSecurity
È Practiced from a system perspective over thecomplete life cycle (planning, implementation& operational)
È IT security is balanced with physical &personnel security…..
Definición: SeguridadEquilibrada
È Se practica desde una perspectiva de sístema
durante todo el ciclo de vida (planificación,
implementación y operacional)
È La seguridad IT se compara a la seguridad física
y personal…..
27
El Desafio de Negocios
È ¿Cómo trabajar con seguridad en un
ambiente hostil?
 entender el problema
 identificar las soluciones prácticas
 implementar y monitorear
The Business Opportunity
È IT is the basis for new paradigms of e-business and e-government
È The Internet is seen as an efficient &inexpensive means of distributinginformation, products & services
The Business Challenge
È How to work safely in a hostile
environment?
 understand the problem
 identify the practical solutions
 implement and monitor
Approach• Product• 1st Principles• Best Practice
Requirements Analysis &Business Case
EnvironmentalAnalysis• Governance• Legal• Legislative• Accountability• Outsourcing• Threat Risk Factors• Bias• Culture
BusinessEnvironment
Strategic& Business
Plans
IM/IT/ITSPolicies &
Plans
Project Management - Change Management - Communications
UpdatePolicies Develop
SecurityArchi-tecture
Principles
DevelopCertification
Approach
Privacy• Impact Assessment• Code
ITSecurity
Plan
Threat/RiskAssessment• Threat Vulnerability• Safeguard Identification• Recommend- ations
Design• Infra- structure• Directory
PKI Infrastructure& Application• Due Diligence Testing
Acquisition• Evaluation Criteria• Technical Specification• Procurement Planning
ApplicationDesign &Development• Integration• Conformance Testing
Operations• New Apps Design & Integration• Change(s)• TRA Update• Security Profile Maintenance• Penetration Testing• Audit• CA Services
Implementation• Installation• Cut Over• Support
COMPREHENSIVE INFORMATION TECHNOLOGY SECURITY
SOLUTIONS
AuditRequirements
Product• Selection• Validation
TechnicalAssessment
SecurityMechanisms
Test & Acceptance
Planning
La Oportunidad deNegocios
È La IT es la base para los nuevos paradigmas
de comercio electrónico y gobierno
electrónico
È Internet es vista como un medio eficiente y
económico de distribuir información,
productos y servicios
Enfoque• Producto• 1eros Principios• Mejor Práctica
Análisis de Requerimien-tos y Caso de
Negocios
Análisis Ambiental• Gobernancia• Legal• Legislativo• Responsabilidad• Tercerización• Factores de Riesgo y Amenaza• Parcialización• Cultura
Ambiente deNegocios
PlanesEstratégicos
y de Negocios
Politicas yPlanes
IM/IT/ITS
Administración de Proyecto – Administración del Cambio - Communicaciones
PolíticasActualizadas Desarrollo
PrincipiosArquitectura
deSeguridad
Desarrollo deEnfoque de
Certificación
Privacidad• Evaluación de Impactos• Código
Plan deSeguridad
TI
Evaluación deAmenazas/Riesgos• Vulnerabili-
dad a las Amenazas• Identificación de Salvaguar-
das• Recomenda-
ciones
Diseño• Infra- estructura• Directorio
Infraestructura & Aplicación de PKI• Pruebas de
DiligenciaDebida
Adquisición• Criterios de Evaluación• Especificación Técnica• Planificación de Compras
Diseño &Desarrollo de Aplicación• Integración• Prueba de Conformidad
Operaciones• Diseño & Integración
de nuevasaplicaciones
• Cambio(s)• Actualización
de TRA • Mantenimiento del Perfil de Seguridad• Pruebas de Penetración• Auditoría• Servicios CA
Implementación• Instalación• Cut Over• Soporte
SOLUCIONES INTEGRALES DE SEGURIDAD DE TECNOLOGIA DE LA
INFORMACION
Requerimientos de Auditoria
Producto• Selección• Validación
Evaluación Técnica
Mecanismos deSeguridad
Planificación de Pruebas y Aceptación
28
El Problema de Negocios
È La orientación de las amenazas ha
cambiado de lo militar y diplomático a lo
económico y tecnológico
È El espionaje industrial ha estado en
aumento desde 1983 y continua sin abatir
(Ejemplo: Ottawa Business Journal --Sept 99 )
Environmental Assessment
ÈIncreased access (Internetworking)
ÈExpanded use of intranets and extranetsincreases vulnerability to illegal access andcomputer crime
ÈComputer power, new technology andinterconnection of networks pose a more seriousproblem
The Business Problem
È The threat orientation has changed frommilitary & diplomatic to economic andtechnological
È Industrial espionage has been on theincrease since 1983 and it continuesunabated
(Example: Ottawa Business Journal --Sept 99 )
The Business ProblemTechnologies Targeted
Technologies Targeted byCategory
Computer21%
Communications23%
Laser5%
Other23%
Biotechnology10%
Nuclear8%
Aerospace10%
Export Control: computers & communications switchesSept 13/99 Ottawa Business Journal
Evaluaciones Ambientales
ÈMayor acceso (Internetworking)
ÈEl uso expandido de intranets y extranets
aumenta la vulnerabilidad en cuanto a acceso
ilegal y delitos con computadoras
ÈLa potencia de las computadoras, la nueva
tecnología y la interconección de redes
plantean un problema más serio
El Problema de Negocios-Tecnologías Objetivo
Tecnologías Objetivo por
Categoría
Computa
ción
21%
Comunicaciones
23%
Laser
5%
Otras
23%
Biotecnología
10%
Nuclear
8%
Aeroespacial
10%
Control de Exportaciones: conmutadores para computadoras y comunicaciones
Sept 13/99 Ottawa Business Journal
29
El Problema de NegociosConfirmado
È Encuesta ICSA a 745 organizaciones
 Principales preocupaciones de seguridad
¸ hackers/crackers
¸ evitar códigos falsos
¸ acceso remoto seguro
¸ un sólo sign-on
¸ seguridad de correo electrónico
The Business ProblemConfirmed
È 1999 Information Security Industry Survey(ICSA) of 745 organizations
 E-business - growth in outside attacks
 1997 to 1998 has seen 92% increase inunauthorized accesses
The Business ProblemConfirmed
È ICSA Survey of 745 organizations
 Biggest security concerns
¸ hackers/crackers
¸ preventing malicious codes
¸ secure remote access
¸ single sign-on
¸ e-mail security
The Business Problem
È ICSA Survey of 745 organizations Security product purchasing trends (change:
1998 to 1999)
¸ firewalls ( 5th to 1st)
¸ access controls (3rd to 2nd)
¸ client server (6th to 3rd)
¸ LAN/WAN security (7th to 4th)
¸ Web security (10th to 5th)
El Problema de NegociosConfirmado
È 1999 - Encuesta a la Industria de Seguridad de la
Información (ICSA) a 745 organizaciones
 Comercio electrónico - aumento en ataques externos
 Entre 1997 y 1998 se ha visto un incremento del 92%en accesos no autorizados
El Problema de Negocios
È Encuesta ICSA a 745 organizaciones
 Tendencias en la compra de productos de
seguridad (cambio: 1998 a 1999)
¸ firewalls ( 5to al 1ero)
¸ Controles de acceso (3ero al 2do)
¸ Servidor de cliente (6to al 3ero)
¸ Seguridad LAN/WAN (7to al 4to)
¸ Seguridad Web (10mo al 5to)
30
È Para satisfacer los acuerdos y expectativas
de los socios comerciales
Por qué aplicar ITS(Continuación)
Why Apply ITS
È Protection of corporate information assets;including business secrets and intellectualproperty
È Maintenance of competitive position
È Maintenance of client confidence
È Mandated….corporate policy
È Meeting trading partner agreements andexpectations
Why Apply ITS (Cont’d)
How To ProceedTechnical Assessment
È Consider current security needs access control
 confidentiality
 non-repudiation
 integrity
 authentication
Por qué aplicar ITS
È Protección de los activos de informacióncorporativa; incluyendo secretos comerciales ypropiedad intelectual
È Mantenimiento de una posición competitiva
È Mantenimiento de la confianza de los clientes
È Política corporativa ….obligatoria
Cómo llevar a cabo unaEvaluación Técnica
È Considerar las necesidades actuales de
seguridad
 control de acceso
 confidentialidad
 no-repudio
 integridad
 autenticación
31
Cómo Manejar los Riesgospara la Seguridad
È Considerar enfoques y tecnologías
conocidas
 Marcos de seguridad, políticas y normas
 Manejo de riesgos para la seguridad
 Evaluaciones del impacto a la privacidad
 firewalls y gateways
 Servidores de autenticación seguros
 criptografía (encripción y firmas digitales)
Cómo proceder
È Construir una Arquitectura I & IT con ITS
como una arquitectura componente
È Desarrollar una estrategia ITS para toda la
empresa para encontrar economía y
eficiencia en IM/IT
Cómo proceder
È Buscar un proveedor de solución total
È Considerar una solución de infraestructura
È Implementar servicios y soluciones que
 cubran todo el ciclo de vida de los sistemas IT
 cubran tanto los desafíos administrativos como
los técnicos
How To ProceedSecurity Risk Management
È Consider known approaches & technology security frameworks, policy & standards
 security risk management
 privacy impact assessments
 firewalls & gateways
 secure authentication servers
 cryptography (encryption & digital signatures)
How To Proceed
È Complete an I & IT Architecture with ITSas a component architecture
È Develop an enterprise wide ITS strategy tofind economies and efficiencies in IM/IT
How to Proceed
È Look for a total solution provider
È Consider an infrastructure solution
È Implement services and solutions that cover the full life cycle for IT systems
 cover both administrative & technicalchallenges
32
Cómo proceder
È Caso de negocios y análisis de factibilidad sobre la
adopción de un enfoque de tecnología PKI
È Considerar qué es lo que los clientes y socios están
haciendo; ¿ son la interoperabilidad o certificación
cruzada un problema?
Cómo proceder
È Desarrollar políticas y prácticas de certificación
PKI
È Desarrollar un análisis de amenazas y riesgos para
asegurar altrernativas de diseño costo-efectivas y
selección de salvaguardas
Cómo proceder
È Realizar estudios de gobernancia IT para
encontrar eficiencias de administración
interna y ampliar los acuerdos para incluir a
los socios externos
È Realizar evaluaciones del impacto a la
privacidad para confirmar la protección de
datos cuando se introducen nuevas
tecnologías
How to Proceed
È Business case & feasibility analysis of adopting aPKI technology approach
È Consider what clients and partners are doing; isinteroperability or cross-certification an issue?
How to Proceed
È Develop PKI certificate policies & practices
È Complete a Threat and risk assessment to ensurecost-effective design alternatives & safeguardselection
How to Proceed
È Conduct ITS Governance studies to findinternal management efficiencies and toextend arrangements to include outsidepartners
È Conduct privacy impact assessments toconfirm data protection where newtechnologies are being introduced
33
Un Enfoque deInfraestructura
È Definir una Infraestructura de Clave Pública
 Permite transacciones electrónicas seguras e
intercambio de información sensible mediante
el uso de claves criptográficas y certificados
Un Enfoque deInfraestructura
È ¿ Servicios de Seguridad prestados por una PKI?
 Proceso de Autoridad de Certificación
 Administración de Claves
 Encripción
 Control de acceso
 No-repudio
 Firmas digitales
Un Enfoque deInfraestructura
 Proporciona un alto nivel de confianza en que:
¸ las claves privadas se mantengan seguras;
¸ los vínculos entre claves públicas y privadas
específicas sean confiables
¸ las partes que tienen las claves pública/privada sean
quien dicen ser
¸ Exista confianza y responsabilidad
An Infrastructure Approach
È Defining a Public Key Infrastructure
 Enables secure electronic transactions and
exchange of sensitive information through the
use of cryptographic keys and certificates
An Infrastructure Approach
È Security services provided by a PKI?
 Certification Authority Process
 Key Management
 Encryption
 Access control
 Non-repudiation
 Digital signatures
An InfrastructureApproach
 Provides a high degree of confidence that:¸ private keys are kept secure;
¸ linkages between specific private and public keys aretrustworthy
¸ parties holding public/private key pairs are who theysay they are
¸ trust & accountability exist
34
Un Enfoque deInfraestructura
Autoridad deCertificación (CA)
Confianza entre tres partes
ConfianzaConfianza
AliceAlice BobBob
Tenedores de Certificados
Confianza entre tres partes – La Confianza se establece mediante la confianza en una Autoridad de Certificación Común
Un Enfoque de Infraestructura
Confianza entre tres partes
Autoridades de
Certificación
ConfianzaConfianza
AliceAlice BobBob
Tenedores de
Certificados
Certificación cruzada
Confianza
Trust is Established Through Trust between theTrust is Established Through Trust between the
OrganizationsOrganizations
Certificaciones Cruzadas: La confianza se establece mediantela confianza entre Organizaciones
BNSCanada Post
Beneficios de una Solución deInfraestructura
Á Un facilitador para llevar a cabo
negocios electronicamente, facilita las
transacciones de negocios bajo normas
legalmente aceptadas (Infraestructura
de Clave Pública)
An InfrastructureApproach
CertificationCertification
Authority (CA)Authority (CA)
Third-party TrustThird-party Trust
TrustTrustTrustTrust
AliceAlice BobBob
CertificateCertificate
HoldersHolders
Third Party Trust - Trust is Established Through Trust in a Common Certificate Authority
An InfrastructureApproach
Third-party TrustThird-party Trust
Certification
Authorities
TrustTrustTrustTrust
AliceAlice BobBob
CertificateCertificate
HoldersHolders
Cross-CertificationCross-Certification
TrustTrust
Trust is Established Through Trust between theTrust is Established Through Trust between the
OrganizationsOrganizations
Cross-certifications: Trust is Established Through TrustBetween Organizations
BNSCanada Post
Benefits Of AnInfrastructure Solution
È An enabler to conducting businesselectronically; facilitates businesstransactions under commonly accepted legalstandards (Public Key Infrastructure)
35
Benefits Of AnInfrastructure Solution
È Retention of market share--security is marketed asa value added service (Bank of Nova Scotia)
È A vital element of national electronic commerce(E - business)
Beneficios de una Soluciónde Infraestructura
üRetención de la participación en el mercado - la
seguridad se comercializa como un servicio de
valor añadido (Bank of Nova Scotia)
üUn elemento vital del comercio electrónico
nacional (E - business)
Benefits Of AnInfrastructure Solution
È Ensures the security of electronictransactions in a virtual world and
È Exchange of sensitive information betweenparties that do not have an establishedbusiness relationship
Beneficios de una Soluciónde Infraestructura
È Asegura transacciones electrónicas seguras
en un mundo virtual y
È El intercambio de información sensible
entre partes que no tiene una relación de
negocios establecida
The Risk of doingNothing
È Electronic transactions could be alteredwithout a trace
È There is no trusted way to identify who iscommunicating electronically
È The advantage of the internet cannot befully realized
El riesgo de no hacernada
È Las transacciones electrónicas pueden ser
alteradas sin rastro
È No hay forma confiable de identificar quién
se está comunicando elctronicamente
È No se puede aprovechar plenamente la
ventaja del Internet
36
The Risk of DoingNothing
È There is a risk of exposing sensitiveinformation
È Electronic business opportunities will beconstrained
El riesgo de no hacernada
È Hay riesgo de exponer información sensible
È Las oportunidades de comercio electrónico
se verán limitadas
Discussion/Questions
È Issues is information considered a valuable asset?
 is the threat understood/accepted?
 is security treated as a life cycle issue?
 are the benefits & limitations of infrastructuresolutions understood?
 are I & IT architectures understood?
Discusión/Preguntas
È Temas
 ¿se considera que la información es un activo
valioso?
 ¿se acepta/entiende la amenaza?
 ¿se trata la seguridad como un asunto a lo largo
de todo el ciclo de vida?
 ¿se entienden los beneficios y limitaciones de las
soluciones de infraestructura?
 ¿se entienden las arquitecturas I & IT?
Top Related