introducción al control de acceso
Post on 30-Nov-2015
71 Views
Preview:
DESCRIPTION
TRANSCRIPT
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
José Alfredo Torres SolanoDSA 213
Introducción al Control de Acceso
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Temario
Tipos de Control de AccesoImplementación de Controles de AccesoPolíticasAdministración de la Privacidad y el Rol de los AuditoresExposiciones y Control de Acceso LógicoIdentificación y Autentificación
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Tipos de Control de Acceso
Acceso a los SistemasPermiso de acceso a un sistema es la prerrogativa o acto sobre un recurso de cómputoDos tipos:
LógicoProvee medios técnicos para controlar la información que
los usuarios pueden utilizar, los programas que pueden ejecutar y las modificaciones que pueden hacer. Los controles pueden estar en el sistema operativo, aplicaciones, bases de datos, dispositivos de red y utilerías
FísicoRestringen la entrada y salida de personal, equipos y
medios de áreas como edificios, centros de datos o cuartos de servidores
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Tipos de Control de AccesoDefiniciones de Control de Acceso
La habilidad para permitir el acceso a recursos del sistema sólo a usuarios, programas o procesos del sistemas autorizadosEl permitir o negar determinado tipo de acceso a los recursos, de acuerdo a un modelo de seguridad en particularUn conjunto de procedimientos efectuados por hardware, software y administradores; para monitorear el acceso, identificar requerimientos de acceso de los usuarios, registrar los intentos de acceso, y proporcionar o negar el acceso basado en reglas preestablecidas
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Tipos de Control de AccesoDiferentes tipos de Control de Acceso
Discrecional (DAC)Mandatorio (MAC)Basado en Roles (RBAC)Modelos formales:
Clark/WilsonBibaTake/GrantBell/LaPadula
El conjunto de teorías es usado para definir el concepto de estado seguro, el modo de acceso, y las reglas para la asignación de derechos de acceso
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Tipos de Control de AccesoProblemas con los modelos formales
Basados en infraestructura estáticaDefine en forma breve las políticasNo trabajan bien con sistemas corporativos que son extremadamente dinámicos y cambian constantementeNinguno de los modelos previos contempla:
Virus/MacrosCaballos de TroyaFirewalls
Limitada documentación de cómo construir estos sistemas
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Tipos de Control de AccesoMAC v.s. DAC
Control de Acceso Discrecional (DAC)Este se basa en la definición de propiedad para cada recurso y la posibilidad de compartir dicho recurso de información con otros.Tu decides como quieres proteger y compartir tus datos
Control de Acceso Mandatorio (MAC)Este se lleva acabo comparando el nivel de sensibilidad de la información con el nivel de permisos que posee el usuario o la aplicaciónEl sistema decide como los datos deben ser compartidos
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Tipos de Control de Acceso
Control de Acceso Basado en Roles (RBAC)En lugar de especificar todos los accesos que le son permitidos para cada usuario, el acceso a los objetos es especificado en base a rolesDe acuerdo al rol que juega el usuario, se le conceden los permisos especificados para dicho rolVentajas
Administración de la autorizaciónRoles jerárquicosMenor Privilegio
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de Acceso
Políticas y MecanismosEn control de acceso, es necesario distinguir entre
políticas y mecanismosPolíticas – Son las directrices de nivel alto que determinan como los controles de acceso son administrados y como la decisiones de acceso son determinadasMecanismos – Son las funciones de software y hardware de nivel bajo que pueden ser configuradas para implantar las políticas
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de Acceso
¿Cómo se puede implantar el Control de Acceso?Forma físicaHardwareSoftware
AplicaciónProtocolos (Kerberos, IPSec)
Lógico (Políticas)
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de Acceso
¿Qué es lo que pretende proteger el Control de Acceso?Datos.- Visualización no autorizada, modificación o copiaSistemas.- Uso no autorizado, modificación o negación de servicio
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de Acceso
Controles de Acceso FísicoGuardiasCandadosCarnés de identificaciónCCTV, sensores y alarmasBiométricosAlambrados (mayor el voltaje es mejor)Card-key y tokensPerros guardianes
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de AccesoControl de Acceso
El acceso físico y lógico debe estar documentado sobre la base de necesidad de conocer, y requerimientos legítimos basados en los principios de menor privilegio y segregación de funcionesEstos principios se encuentran relacionados con cuatro niveles de seguridad de TI:
RedPlataformasBases de datosAplicaciones
Este concepto provee un gran alcance y granularidad de control sobre los recursos de información
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Políticas
Políticas y Requerimientos del NegocioLos requerimientos del negocio para el control de acceso deben ser definidos y documentadosLas reglas de control de acceso y derechos para cada usuario y grupo de usuarios debe ser claramente definido dentro de las políticas de accesoLos usuarios y proveedores de servicio deben expresar claramente los requerimientos de negocio a ser satisfechos por los controles de acceso
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
PolíticasPolíticas y Requerimientos del Negocio
Las políticas deben tomar en cuenta los siguiente:Requerimientos de seguridad para cada aplicación de negocio en forma individual Identificación de toda la información relacionada con las aplicaciones del negocioPolíticas para la diseminación y autorización de la información (principios de necesidad de conocer y niveles de clasificación de la información)Consistencia entre los controles de acceso y las políticas de clasificación de la información para acceder a la información o serviciosLegislación relevante cualquier obligación contractual con respecto al acceso de los datos o servicios
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de Acceso
Los dueños de la información o los administradores responsables de la actualización deben de proveer autorización escrita para que los usuarios tengan derecho de acceder a la información
El administrador debe de entregar el documento directamente al administrador de seguridad para evitar alteracionesLas capacidades de acceso son implantados por los administradores de seguridad dentro del conjunto de reglas de acceso que estipulan que usuarios están autorizados para acceder a los recursos a un nivel específicoLos administradores de seguridad invocan los mecanismos de control de acceso apropiados a la recepción de la autorización para proporcionar los derechos de acceso
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de Acceso
La autorización de acceso debe ser evaluada en forma regular para asegurar que permanece válida
Los dueños de la información deben revisar los controles de acceso periódicamenteCualquier acceso que exceda la filosofía de acceso debe ser cambiada en concordancia
Externos con acceso a los sistemas deben ajustarse a las políticas y responsabilidades
Empleados contratadosProgramadores y analistas del vendedorPersonal de mantenimientoClientes
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Implantación de Control de AccesoFactores Críticos de Éxito para la Administración de la Seguridad de la Información
Aceptación y soporte por parte de la administración senior, esto puede requerir de capacitación de acuerdo a su nivelProgramas basados en análisis de riesgo profesional debe ser usado en forma sistemáticaPolíticas de seguridad y procedimientos actualizados basados en análisis de riesgo. Medidas deben ser tomadas para llevar el riesgo residual a niveles aceptablesEl desarrollo de políticas de seguridad para los sistemas de información, base para el control de acceso, es responsabilidad de la alta dirección. Las políticas contribuyen a la protección de los activos de información, contra todos tipos de riesgos accidentales o intencionales. Debe de estar de acuerdo con leyes y regulaciones, integridad de datos, confidencialidad y disponibilidad
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Administración de la Privacidad y el Rol de los Auditores
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Administración de la Privacidad y el Rol de los Auditores
Privacidad significa adherencia de confianza y obligación en relación a cualquier información relacionada con la identidad o identificación de individuosLa privacidad abarca toda la empresa y por su naturaleza requiere de un acercamiento homogéneo a través de ella. Por ello debe estar integrada dentro de las políticas, estándares y procedimientos desde el principioProblemas de Privacidad y Seguridad de la Información
Activos de información a proteger =>estrategia de administraciónCómo la organización debe de usar la privacidad de los datos dentro y fuera de la organización
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Administración de la Privacidad y el Rol de los Auditores
Metas de un análisis de impacto a la PrivacidadIdentificar la información personal asociada con los procesos del negocioDocumentar la obtención, uso, divulgación y destrucción de información personalAsegurar la responsabilidad de los problemas relacionados con la privacidadSer el fundamento para la comunicación de políticas, operaciones y diseño de sistemas basado en el entendimiento de los riesgos de la privacidad y las opciones disponibles para mitigar dicho riesgo
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Administración de la Privacidad y el Rol de los Auditores
Metas de un análisis de impacto a la PrivacidadBasado en los resultados es posible crear un formato consistente y proceso estructurado para el análisis del cumplimento técnico y legal con las regulaciones correspondientes.
Por ello es necesario:Asegurar que la responsabilidad del problema de privacidad está claramente incorporada en los proyectosLlevar a cabo revisiones y retroalimentaciones de los sistemas de información en relación al cumplimiento de la privacidad
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Administración de la Privacidad y el Rol de los AuditoresEl foco y la extensión del análisis de impacto
a la privacidad depende de cambios en:
•Tecnología–Nuevos programas–Cambios a los ya existentes–Ligas adicionalesa los sistemas–Data warehouse–Nuevos productos
•Procesos–Cambios deAdministración–Reingeniería de procesos–Nuevos sistemas–Nuevas operaciones
•Personal–Socios del negocio–Vendedores–Proveedores de servicio
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Administración de la Privacidad y el Rol de los Auditores
Los Auditores de SI deben de revisar:Identificar y entender los requerimientos legales con respecto a la privacidad de leyes, regulaciones y contratosRevisar donde los datos personales son correctamente manejados con respecto a los requerimientosVerificar que las medidas de seguridad correctas sean adoptadasRevisar las políticas de administración de la privacidad para validar que toma en consideración los requerimientos legales y regulaciones aplicables a la privacidad. Esto incluye requerimientos de transfrontera (transborder data flow)
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
AmenazasPerdida financieraRepercusiones legalesPerdida de credibilidad o de la ventaja competitivaChantaje/Espionaje industrialRevelación de Información confidencial, sensitiva o embarazosaSabotaje
Es importante que el auditor conozca la diferencia entre crimen y abuso para soportar las metodologías de análisis de riesgo y prácticas de control relacionadas
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
VioladoresIntrusos (“hackers”, “script kiddies”, “crackers”)EmpleadosPersonal de SIUsuarios finalesEx empleadosAjenos interesados o educandos
CompetidoresExtranjerosCriminales organizadosCrackers (pagados por terceros)PhreackersPersonal de tiempo parcial y temporalVendedores y consultoresIgnorantes accidentales
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
El control de acceso lógico es el medio primario para la administración y protección de los recursos, reduciendo el riesgo a un nivel aceptable. Controles de acceso inadecuados incrementan la pérdida potencial resultado de exposiciones
Exposiciones de acceso lógicoExposiciones técnicas son las actividades no autorizadas (intencionales o no intencionales) que interfieren con el procesamiento normal
Caballos de TroyaVirusGusanosBombas lógicas
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
Exposiciones de acceso lógico ...Puertas traserasAtaques asíncronosFuga de datosIntercepción de líneas (wire-trapping)War drivingDispositivos adosados (piggybacking)Cierre de computadoras (shutdown)Ataques de negación de servicioRedondeo hacia abajoTécnicas de salami
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso LógicoPara el auditor es necesario
Familiarizarse con el ambiente de TI de la organizaciónEl propósito es determinar la áreas de riesgo, esto incluye el revisar los niveles de seguridad existentes para redes, plataformas de sistemas operativos, bases de datos y aplicaciones
Conocer las trayectorias de acceso lógicoPuntos generales de acceso
Conectividad de la redAcceso remotoConsola del operadorEstaciones de trabajo o terminales
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
Software de Control de Acceso LógicoEl propósito del software de control de acceso es el prevenir acceso no autorizado y la modificación de los datos sensibles de la organización y el uso de las funciones críticas de los sistemasPara alcanzar este nivel de control es necesario el aplicar controles de acceso a todos los niveles de la arquitectura de los sistemas de información (redes, sistemas operativos, bases de datos y aplicaciones)Los mayores grados de protección para la aplicación de software de control de acceso es los niveles de red y sistemas operativosEl software de control de acceso de los sistemas operativos tiene interfaz con otros elementos de control de acceso como las interfaces de red, bases de datos, aplicaciones
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
Software de Control de Acceso Lógico …Funciones de control de acceso de sistemas operativos
Mecanismos de identificación y autentificaciónRestricción de uso a terminales/estaciones de trabajo específicas y a tiempo específicosEstablecer reglas de acceso a los recursos de informaciónManejar la contabilidad y auditabilidad individualCrear o cambiar perfiles de usuariosRegistro de eventosRegistro de actividades de los usuariosReporte de capacidades (“capabilities”)
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Exposiciones y Control de Acceso Lógico
Software de Control de Acceso Lógico ...Funciones de control de acceso a bases de datos o aplicaciones
Crear o cambiar archivos de datos y perfiles de base de datosVerificar la autorización de los usuarios a nivel de aplicación y transacciónVerificar la autorización de los usuarios dentro de la aplicaciónVerificar la autorización a nivel de campo para cambios en la base de datosVerificar la autorización de los usuarios a nivel de archivoRegistrar las actividades de acceso vía comunicaciones a los datos y bases de datos para monitorear violaciones de acceso
En resumen, software de control de acceso es proveído a diferentes niveles dentro de la arquitectura de información, donde cada nivel provee un cierto nivel de seguridad.
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y AutentificaciónElemento crítico en la seguridad de la computadora, ya que es la base para la mayoría de los controles de acceso y para establecer la responsabilidad a los usuariosSe basan en “algo que se conoce”, en “algo que se tiene” o en “algo que se es”Vulnerabilidades comunes
Métodos débiles de autentificaciónBrincarse los métodos de autentificaciónPérdida de confidencialidad e integridad de la información de autentificaciónInformación de autentificación transmitida sobre la red no cifradaLa falta de conocimiento de los usuarios sobre el riesgo asociado con compartir elementos de autentificación
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Es necesario hacer notar que identificar y autentificar son tareas separadas. Mientras que algunos tipos de autentificación pueden ser suficientes para identificar usuarios, la identificación y la autentificación difiere debido a:
SentidoMétodos, periféricos y técnicas que lo soportanRequerimientos en términos de secrecía y administraciónAtributos. Autentificación no tiene atributos por si mismo, mientras que una identidad puede tener una validez definida en el tiempo y otra información ligada a ella mismaLa identidad es algo que normalmente no cambia, mientras que tokens de autentificación ligada a la secrecía puede ser reemplazada regularmente para preservar su confiabilidad
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Es importante hacer una distinción entre autenticación y control de accesoLa correcta identificación del usuario es responsabilidad del sistema de identificaciónEl control de acceso asume que la identificación del usuario ha sido satisfactoriamente verificada antes de que el sistema de control de acceso haga su trabajo
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Logon ID y contraseñas (passwords)Algo que se conoce – Contraseña, PIN, Dirección, passcode, importe último pagoProceso de identificación/autentificación de dos fases usado para restringir el acceso a los sistemas computarizados, bases de datos, transacciones y aplicaciones. El login ID es usado para identificar y la contraseña para autentificarLas reglas de acceso son usualmente aplicadas a nivel de sistema operativo, o dentro de las aplicaciones
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Características de las contraseñasFácil de recordar difícil de adivinarContraseña inicial asignada por el administradorNúmero predeterminado de intentos fallidos (tres)Los usuarios que olvidaron su contraseña debe ser notificado al administradorDebe ser cifrada usando algoritmos de una sola víaDeben ser cambiadas periódicamente (ejemplo 30 días)Deben ser únicas y conocidas sólo por su propietario
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y AutentificaciónMejores prácticas
Si una cuenta se encuentra inactiva por un tiempo debe ser desactivadaLa sesión debe ser desconectada después de un período de tiempo sin uso (una hora)
Reglas de sintaxis de las contraseñasUn mínimo de ocho caracteres de longitud. Una frase de seguridad es generalmente aceptada como una contraseña más seguraCombinación de alfanuméricos, números, minúsculas, mayúsculas y caracteres especialesNo debe ser identificable con los usuariosNo debe permitir que la última contraseña sea repetida cuando menos durante un año
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Problemas con los passwordsInseguros – Si se les da la oportunidad, la gente escogerá uno fácil de recordad y por ello fácil de adivinar, tales como nombres de parientes, mascotas, número de teléfono, cumpleaños, pasatiempos, etcFácilmente pueden ser rotos – Programas tales como l0phcrack, pueden fácilmente descifrar contraseñas
Los ataques por diccionario son posibles cuando los usuarios seleccionan contraseñas adivinables
Inconvenientes – Con la intención de mejorar la seguridad, las organizaciones hacen uso de contraseñas generadas por computadora y que son difíciles mas no imposibles de recordarRepudiables – A diferencia de las firmas escritas, cuando una transacción es firmada con sólo una contraseña, no existe una prueba real de la identidad del individuo que hizo la transacción
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
TokensUsados para facilitar las contraseñas de una sola vezTarjeta físicaIdentificación segura (SecureID)S/KeyTarjeta InteligenteToken de acceso
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
BiométricosEl mejor medio de identificación de usuarios basados sobre un único atributo y/o rasgo medible, para la verificación de un ser humanoEl uso de biométricos involucra el uso de un dispositivo de lectura, sin embargo este no es a prueba de fallas debido a que ciertas características biométricas pueden cambiar. Por esta razón no todos son igualmente efectivos
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Biométricos …El rendimiento de los dispositivos de control biométricos se basan en cantidades mediblespara asignar el nivel de confiabilidad
Error tipo I el rechazo en falso (FRR)Aunado al anterior es la falla de caracterización (FER)Error tipo II aceptación en falso (FAR)Una métrica global es la tasa de error igual (EER)
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y AutentificaciónBiométricos …
Palma de la manoGeometría de la manoIrisRetinaHuella digital (bajo costo y dispositivos pequeños)RostroReconocimiento de firmaReconocimiento de voz
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y AutentificaciónVentajas del uso de huellas dactilares basados en biométricos
No puede ser prestada como una llave física o tokeny no puede ser olvidada como una contraseñaBuena relación entre su uso, costo y veracidadLas huellas dactilares contiene suficiente variabilidad que permite la identificación única aún en grandes bases de datos (millones de registros)Es prácticamente para siempre (o al menos hasta una amputación o desmembramiento)Permite a las redes una buena identificación y autentificación
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Desventajas de los biométricosPueden ser relativamente caros por usuarioPuede existir resistencia por parte del usuarioAlgunas compañías y productos son relativamente nuevos e inmaduros
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Administración de biométricosIntegridad de datos, autenticidad y no repudioAdministración durante el tiempo de contratación, transmisión, almacenamiento, identificación y terminación de relacionesEl uso de biométricos incluye concordancia de uno-a-uno, uno-a-muchos para la identificación y autentificación de los usuariosAplicación control de acceso interno, externo asícomo lógico y físico
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Administración de biométricos …Encapsulamiento de datos biométricosTécnicas para transmisión segura y almacenamiento de los datos biométricosSeguridad del hardware usado a través del ciclo de vida de los datos biométricosTécnicas para la protección de la integridad y protección de los datos biométricos
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y Autentificación
Administración debe ser desarrollada para aprobar las políticas sobre administración y seguridad sobre información biométricas (BIMS)El auditor debe usar las políticas de BIMS para entender el sistema biométrico en usoEste punto debe ser tomado como todo sistema crítico de información
Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones
Identificación y AutentificaciónAutenticación Multifactor
Autenticación de 2 factores. Para incrementar el nivel de seguridad, muchos sistemas requieren que el usuario provea 2 o 3 tipos de autenticación
Tarjeta + PINTarjeta de crédito + firmaPIN + huella dactilarUsername + password
Autenticación de 3 factores. Para alta seguridadUsername + password + huella dactilarUsername + password + SecureID Token
top related