sensibilizacion

Sensibilización en Seguridad Informática – Septiembre 2003Sensibilización en Seguridad Informática – Septiembre 2003

Sensibilización en Seguridad InformáticaSensibilización en Seguridad Informática

Septiembre 2003Septiembre 2003

Enrique WitteEnrique WitteConsultorConsultor

ArCERT – Coordinación de Emergencias en Redes TeleinformáticasArCERT – Coordinación de Emergencias en Redes TeleinformáticasOficina Nacional del Tecnologías InformáticasOficina Nacional del Tecnologías Informáticas

Subsecretaría de la Gestión Pública. Subsecretaría de la Gestión Pública. Jefatura de Gabinete de Ministros. Jefatura de Gabinete de Ministros.

[email protected] - http://[email protected] - http://www.arcert.gov.ar


Siendo que la Siendo que la informacióninformación debe debe considerarse como un recurso con el que considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el tiene valor para éstas, al igual que el resto de los resto de los activosactivos, debe estar , debe estar debidamente protegida.debidamente protegida.

:: Qué se debe asegurar ?:: Qué se debe asegurar ?


La Seguridad de la Información, protege a La Seguridad de la Información, protege a ésta de una amplia gama de amenazas, ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.sabotaje, vandalismo, etc.

:: Contra qué se debe proteger la Información ?:: Contra qué se debe proteger la Información ?


Confidencialidad:Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.

Integridad:Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

Disponibilidad:Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.

:: Qué se debe garantizar ?:: Qué se debe garantizar ?


Las Organizaciones son cada vez mas Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos de Información, por lo tanto podemos afirmar que son cada vez mas vulnerables afirmar que son cada vez mas vulnerables a las amenazas concernientes a su a las amenazas concernientes a su seguridad.seguridad.

:: Por qué aumentan las amenazas ?:: Por qué aumentan las amenazas ?


:: Por qué aumentan las amenazas ?:: Por qué aumentan las amenazas ?

Crecimiento exponencial de las Redes Crecimiento exponencial de las Redes y Usuarios Interconectadosy Usuarios Interconectados

Profusión de las BD On-LineProfusión de las BD On-Line

Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías

Alta disponibilidad de Herramientas Alta disponibilidad de Herramientas Automatizadas de AtaquesAutomatizadas de Ataques

Nuevas Técnicas de Ataque Distribuido Nuevas Técnicas de Ataque Distribuido (Ej:DDoS)(Ej:DDoS)

Técnicas de Ingeniería SocialTécnicas de Ingeniería Social

AlgunasCausas


Accidentes:Accidentes: Averías, Catástrofes, Interrupciones, ...

Errores:Errores: de Uso, Diseño, Control, ....

Intencionales Presenciales:Intencionales Presenciales: Atentado con acceso físico no autorizado

Intencionales Remotas:Intencionales Remotas: Requieren acceso al Requieren acceso al canal de comunicacióncanal de comunicación

:: Cuáles son las amenazas ?:: Cuáles son las amenazas ?


•InterceptaciónInterceptación pasiva de la información pasiva de la información (amenaza a la CONFIDENCIALIDAD).(amenaza a la CONFIDENCIALIDAD).

•Corrupción o destrucciónCorrupción o destrucción de la de la información (amenaza a la INTEGRIDAD).información (amenaza a la INTEGRIDAD).

•Suplantación de origenSuplantación de origen (amenaza a la (amenaza a la AUTENTICACIÓN).AUTENTICACIÓN).

:: Amenazas Intencionales Remotas:: Amenazas Intencionales Remotas


Las tres primeras tecnologías de protección más utilizadas son el Las tres primeras tecnologías de protección más utilizadas son el control de acceso/passwords (100%), software anti-virus (97%) y control de acceso/passwords (100%), software anti-virus (97%) y firewalls (86%)firewalls (86%)

Los ataques más comunes durante el último año fueron los virus Los ataques más comunes durante el último año fueron los virus informáticos (27%) y el spammimg de correo electrónico (17%) informáticos (27%) y el spammimg de correo electrónico (17%) seguido de cerca (con un 10%) por los ataques de denegación de seguido de cerca (con un 10%) por los ataques de denegación de servicio y el robo de notebook. servicio y el robo de notebook. 11

:: Cómo resolver el desafío de la Seguridad Informática ?:: Cómo resolver el desafío de la Seguridad Informática ?

El problema de la Seguridad Informática está en su El problema de la Seguridad Informática está en su Gerenciamiento Gerenciamiento

y no en las tecnologías disponiblesy no en las tecnologías disponibles Fuente: Centro de Investigación en Seguridad Informática ArgentinaFuente: Centro de Investigación en Seguridad Informática Argentina


SOBIG.FSOBIG.F

Según Trend Micro, en los últimos 7 días se infectaron 124.410 Según Trend Micro, en los últimos 7 días se infectaron 124.410 equipos en el mundo. Se dan todo tipo de cifras pero, equipos en el mundo. Se dan todo tipo de cifras pero, evidentemente, estas son solo estimaciones pues, como siempre, evidentemente, estas son solo estimaciones pues, como siempre, nadie puede saber exactamente cuantas máquinas se han infectado nadie puede saber exactamente cuantas máquinas se han infectado y cuantos usuarios se han perjudicado por las técnicas de spam que y cuantos usuarios se han perjudicado por las técnicas de spam que utiliza el virus.utiliza el virus.

:: Ejemplo de problemas de Gerenciamiento ... I:: Ejemplo de problemas de Gerenciamiento ... I

• El virus, desde el punto de vista técnico no contiene El virus, desde el punto de vista técnico no contiene grandes novedadesgrandes novedades

• Incorpora archivos adjuntos de formato .PIF y .SCR, Incorpora archivos adjuntos de formato .PIF y .SCR, que son los que producen la infección al abrirseque son los que producen la infección al abrirse


SOBIG.FSOBIG.F

Todo esto provoca varias reflexiones:Todo esto provoca varias reflexiones:

3.3. Hoy en día, según diversas encuestas publicadas, la gran Hoy en día, según diversas encuestas publicadas, la gran mayoría de las organizaciones cuentan con herramientas mayoría de las organizaciones cuentan con herramientas antivirus y existe la facilidad de actualizarlas vía Internet antivirus y existe la facilidad de actualizarlas vía Internet

4.4. Dadas las proporciones del caso, todos los medios han difundido Dadas las proporciones del caso, todos los medios han difundido cantidades de mensajes y de alertas. Todos los Directores de cantidades de mensajes y de alertas. Todos los Directores de TIs, Administradores de Red y demás responsables de sistemas TIs, Administradores de Red y demás responsables de sistemas informáticos han tenido información profusa, donde se indicaba informáticos han tenido información profusa, donde se indicaba que lo más peligroso era abrir los archivos adjuntos .PIF y .SCR .que lo más peligroso era abrir los archivos adjuntos .PIF y .SCR .

:: Ejemplo de problemas de Gerenciamiento ...II:: Ejemplo de problemas de Gerenciamiento ...II


SOBIG.FSOBIG.F

O sea, existían 3 medios importantes para evitar las infecciones O sea, existían 3 medios importantes para evitar las infecciones masivas que se han producido:masivas que se han producido:

:: Ejemplo de problemas de Gerenciamiento ...III:: Ejemplo de problemas de Gerenciamiento ...III

Evidentemente esto no se ha hecho masivamente permitiendo, Evidentemente esto no se ha hecho masivamente permitiendo, así, la rápida propagación del virus y la pregunta que surge es así, la rápida propagación del virus y la pregunta que surge es ¿Por qué? ¿Por falta de información? ¿Por falta de medios?...¿Por qué? ¿Por falta de información? ¿Por falta de medios?...

a)Bloquear la entrada de estos archivos a las Redes.a)Bloquear la entrada de estos archivos a las Redes.

b)Actualizar rápidamente sus antivirus.b)Actualizar rápidamente sus antivirus.

c)Emitir inmediatamente las directivas necesarias para que c)Emitir inmediatamente las directivas necesarias para que ningún usuario bajo su control activara los mismos. (¿o ya lo ningún usuario bajo su control activara los mismos. (¿o ya lo deberían saber ?)deberían saber ?)


:: Hasta acá ....:: Hasta acá ....

Protección de la Información

ConfidencialidadIntegridadDisponibilidad

AmenazasInternas

Externas

Gerenciar Seguridad InformáticaGerenciar Seguridad Informática


PRESUPUESTOPRESUPUESTO

•Presupuestos pesificados y disminuidosPresupuestos pesificados y disminuidos•Mantenimiento o aumento de los objetivos a Mantenimiento o aumento de los objetivos a cumplircumplir

•La reducción de inversión en TI en la La reducción de inversión en TI en la Organización genera riesgos de Seguridad Organización genera riesgos de Seguridad InformáticaInformática

•La reducción de inversión en TI de clientes, La reducción de inversión en TI de clientes, proveedores y aliados, genera riesgos de proveedores y aliados, genera riesgos de Seguridad InformáticaSeguridad Informática

:: Pero tenemos mas ...:: Pero tenemos mas ...


• Redes ÚnicasRedes Únicas

• Concentración de Servicios Telefónicos y Concentración de Servicios Telefónicos y DatosDatos

• Problemas de Confidencialidad y Problemas de Confidencialidad y DisponibilidadDisponibilidad

:: Informática y Comunicaciones = Sistema de Seguridad:: Informática y Comunicaciones = Sistema de Seguridad


Presentación de Aspectos LegalesPresentación de Aspectos Legales

:: Aspecto Legal:: Aspecto Legal


:: Seguimos con Seguridad Informática ....:: Seguimos con Seguridad Informática ....


:: El éxito de un Sistema de Seguridad Informática ...:: El éxito de un Sistema de Seguridad Informática ...

GerenciamientoGerenciamiento

Diseño y ControlesDiseño y Controles

Equilibrio Seguridad y Equilibrio Seguridad y OperatividadOperatividad

Ecuación Económica de Ecuación Económica de Inversión en TIInversión en TI

Ecuación de Riesgo Ecuación de Riesgo OrganizacionalOrganizacional

ReingenieríaReingeniería


Apoyo de la Alta GerenciaApoyo de la Alta Gerencia

•RRHH con conocimientos y experienciaRRHH con conocimientos y experiencia

•RRHH capacitados para el día a díaRRHH capacitados para el día a día

•Recursos EconómicosRecursos Económicos

•Tiempo Tiempo

:: Requerimiento básico:: Requerimiento básico


Análisis de RiesgosAnálisis de Riesgos

Se considera Riesgo Informático, a todo factor Se considera Riesgo Informático, a todo factor que pueda generar una disminución en:que pueda generar una disminución en:

Confidencialidad – Disponibilidad - IntegridadConfidencialidad – Disponibilidad - Integridad

•Determina la probabilidad de ocurrenciaDetermina la probabilidad de ocurrencia

•Determina el impacto potencialDetermina el impacto potencial

:: Estructura de Seguridad – Análisis de Riesgos:: Estructura de Seguridad – Análisis de Riesgos


:: Análisis de Riesgos – Modelo de Gestión:: Análisis de Riesgos – Modelo de Gestión

ActivosActivos AmenazasAmenazas

ImpactosImpactos VulnerabilidadesVulnerabilidades

RiesgosRiesgos

Función Función CorrectivaCorrectiva

ReduceReduce

Función Función PreventivaPreventiva

ReduceReduce


Política de SeguridadPolítica de Seguridad

““Conjunto de Normas y Procedimientos Conjunto de Normas y Procedimientos documentadosdocumentados y y comunicadoscomunicados, que tienen por , que tienen por objetivo minimizar los riesgos informáticos mas objetivo minimizar los riesgos informáticos mas probables”probables”

:: Estructura de Seguridad – Política de Seguridad:: Estructura de Seguridad – Política de Seguridad

InvolucraInvolucra•Uso de herramientasUso de herramientas

•Cumplimiento de Tareas por Cumplimiento de Tareas por parte de personasparte de personas


““Conjunto de Normas y Procedimientos Conjunto de Normas y Procedimientos documentadosdocumentados y y comunicadoscomunicados, cuyo objetivo es , cuyo objetivo es recuperar operatividad mínima en un lapso recuperar operatividad mínima en un lapso adecuado a la misión del sistema afectado, adecuado a la misión del sistema afectado, ante emergencias generadas por los riesgos ante emergencias generadas por los riesgos informáticos”informáticos”

:: Estructura de Seguridad – Plan de Contingencias:: Estructura de Seguridad – Plan de Contingencias

InvolucraInvolucra•Uso de herramientasUso de herramientas•Cumplimiento de Tareas por Cumplimiento de Tareas por parte de personasparte de personas


• Auditoría Informática Interna capacitadaAuditoría Informática Interna capacitada

• Equipo de Control por Oposición Equipo de Control por Oposición FormalizadoFormalizado

• Outsourcing de AuditoríaOutsourcing de Auditoría

:: Control por Oposición:: Control por Oposición


• Copias de ResguardoCopias de Resguardo

• Control de AccesoControl de Acceso

• EncriptaciónEncriptación

• AntivirusAntivirus

• Barreras de ProtecciónBarreras de Protección

• Sistemas de Detección de IntrusionesSistemas de Detección de Intrusiones

:: Herramientas:: Herramientas


NORMA ISO/IRAM 17799NORMA ISO/IRAM 17799

:: Uso de Estándares:: Uso de Estándares


Estándares InternacionalesEstándares Internacionales

- Norma basada en la BS 7799- Norma basada en la BS 7799

- Homologada por el IRAM- Homologada por el IRAM

:: Norma ISO/IRAM 17.799:: Norma ISO/IRAM 17.799


ORGANIZACION DE LA SEGURIDADORGANIZACION DE LA SEGURIDAD

•Infraestructura de la Seguridad de la InformaciónInfraestructura de la Seguridad de la Información

•Seguridad del Acceso de tercerosSeguridad del Acceso de terceros

•Servicios provistos por otras OrganizacionesServicios provistos por otras Organizaciones

CLASIFICACION Y CONTROL DE BIENESCLASIFICACION Y CONTROL DE BIENES

•Responsabilidad de los BienesResponsabilidad de los Bienes

•Clasificación de la InformaciónClasificación de la Información



SEGURIDAD DEL PERSONALSEGURIDAD DEL PERSONAL•Seguridad en la definición y la dotación de tareasSeguridad en la definición y la dotación de tareas•Capacitación del usuarioCapacitación del usuario•Respuesta a incidentes y mal funcionamiento de la Respuesta a incidentes y mal funcionamiento de la

SeguridadSeguridad

SEGURIDAD FISICA Y AMBIENTALSEGURIDAD FISICA Y AMBIENTAL•Áreas SegurasÁreas Seguras•Seguridad de los EquiposSeguridad de los Equipos•Controles generalesControles generales



GESTION DE LAS COMUNICACIONES Y LAS GESTION DE LAS COMUNICACIONES Y LAS OPERACIONESOPERACIONES

•Procedimientos operativos y responsabilidadesProcedimientos operativos y responsabilidades

•Planificación y aceptación del SistemaPlanificación y aceptación del Sistema

•Protección contra el software malignoProtección contra el software maligno

•Tares de acondicionamientoTares de acondicionamiento

•Administración de la redAdministración de la red

•Intercambio de información y softwareIntercambio de información y software



CONTROL DE ACCESOCONTROL DE ACCESO•Requisitos de la Organización para el control de accesoRequisitos de la Organización para el control de acceso•Administración del acceso de usuariosAdministración del acceso de usuarios•Responsabilidades de los usuariosResponsabilidades de los usuarios•Control de acceso de la RedControl de acceso de la Red•Control de acceso al Sistema OperativoControl de acceso al Sistema Operativo•Control de acceso de las AplicacionesControl de acceso de las Aplicaciones•Acceso y uso del Sistema de MonitoreoAcceso y uso del Sistema de Monitoreo•Computadoras móviles y trabajo a distanciaComputadoras móviles y trabajo a distancia



DESARROLLO Y MANTENIMIENTO DE LOS DESARROLLO Y MANTENIMIENTO DE LOS SISTEMASSISTEMAS

•Requisitos de Seguridad de los SistemasRequisitos de Seguridad de los Sistemas

•Seguridad de los Sistemas de AplicaciónSeguridad de los Sistemas de Aplicación

•Controles CriptográficosControles Criptográficos

•Seguridad de los archivos del SistemaSeguridad de los archivos del Sistema

•Seguridad de los procesos de desarrollo y soporteSeguridad de los procesos de desarrollo y soporte



DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACIONDIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION

•Aspectos de la dirección de continuidad de la Aspectos de la dirección de continuidad de la OrganizaciónOrganización

CUMPLIMIENTOCUMPLIMIENTO

•Cumplimiento con los requisitos legalesCumplimiento con los requisitos legales

•Revisión de la Política de seguridad y del Cumplimiento Revisión de la Política de seguridad y del Cumplimiento TécnicoTécnico

•Consideración de las Auditorías del SistemaConsideración de las Auditorías del Sistema



Este material podrá obtenerlo en Este material podrá obtenerlo en

http://www.arcert.gov.ar/http://www.arcert.gov.ar/

en la Sección “Novedades”en la Sección “Novedades”

También encontrará allí un documento También encontrará allí un documento completo con el resumen de las principales completo con el resumen de las principales

Normas Legales vigentes referidas a la Seguridad Normas Legales vigentes referidas a la Seguridad InformáticaInformática

:: Fin de la presentación:: Fin de la presentación

sensibilizacion

Business