Subido por Gonzalo Santana Ossandón

Blue Team Seguridad 1

Anuncio
SEGURIDAD INFORMÁTICA
BLUE TEAM: Herramientas, Planes y
Políticas de Seguridad
SEGURIDAD INFORMÁTICA
Seguridad de información es:
Un bien que, como otros bienes de la empresa,
tiene
valor
para
una
organización
y
consecuentemente necesita ser protegida en forma
apropiada.
La seguridad de la información protege la
información de una amplia gama de amenazas con
el fin de asegurar la continuidad del negocio,
minimizar el daño del negocio y maximizar el
retorno de la inversión y las oportunidades del
negocio.
Seguridad de información es:
La información puede existir de muchas formas.
Puede estar impresa o escrita en papel,
almacenada electrónicamente, transmitida por
correo o usando medios electrónicos.
Cualquier forma que tome la información, o los
dispositivos por los cuales es compartida o
almacenada, siempre debería estar protegida en
forma adecuada.
Activos que protege la Seguridad Informática:
Los recursos son los activos a proteger del sistema
informático de la organización.
➢ Recursos hardware: servidores y estaciones de
trabajo, ordenadores portátiles, impresoras, escáneres y
otros periféricos.
➢ Recursos software: sistemas operativos, herramientas
ofimáticas, software de gestión, herramientas de
programación, aplicaciones desarrolladas a medida,
etc.
➢ Elementos de comunicaciones: dispositivos de
conectividad (hubs, switches, routers), armarios con
paneles de conexión, cableado, puntos de acceso a la
red, líneas de comunicación con el exterior, etc.
Activos que protege la Seguridad Informática:
➢ Información que se almacena, procesa y distribuye a
través del sistema (activo de naturaleza intangible).
➢ Locales y oficinas donde se ubican los recursos físicos
y desde los que acceden al sistema los usuarios finales.
➢ Personas que utilizan y se benefician directa o
indirectamente del funcionamiento del sistema.
➢ Imagen y reputación de la organización.
Activos que protege la Seguridad Informática:
Cada recurso o activo de la organización se
podría caracterizar por un código, su
descripción, su costo o precio de adquisición, su
coste de reposición, su nivel de criticidad o
importancia para el mantenimiento de las
actividades de la organización, el nivel
requerido de integridad y de confidencialidad,
etc.
Seguridad es:
“Una Estrategia de Negocio”
conjunto de recursos (metodologías, documentos,
programas y dispositivos físicos) encaminados a lograr
que los recursos de cómputo disponibles en un
ambiente
dado,
sean
accedidos
única
y
exclusivamente por quienes tienen la autorización
para hacerlo.
Los principios de la seguridad informática son
mantener la integridad, la Confidencialidad y la
Disponibilidad de la Información manejada por los
recursos computacionales.
Seguridad
Confidencialidad
Un sistema no debe permitir que la información
contenida en él sea accesible a nadie que no tenga la
autorización adecuada. No bastando con sólo controlar quien
recibe o usa la información dado que el lugar y el tiempo en se
recibe también es relevante.
Integridad
Un sistema no debe permitir modificaciones no
autorizadas a los datos o la información contenida en él. Este
punto comprende cualquier tipo de modificaciones: Por
errores de hardware y/o software. Causadas por alguna
persona de forma intencional. Causadas por alguna persona de
forma accidental.
Seguridad
Disponibilidad
Significa que los recursos del sistema, tanto de
hardware como de software, se mantendrán funcionando
de forma eficiente, y que los usuarios lo podrán utilizar en
el momento que lo necesiten. También significa que el
sistema sea capaz de recuperarse rápidamente en caso de
ocurrir un problema de cualquier especie.
Seguridad Física y Ambiental
Brinda el marco para minimizar los riesgos de daños e interferencias a la
información y a las operaciones del Organismo. Asimismo, pretende evitar
al máximo el riesgo de accesos físicos no autorizados, mediante el
establecimiento de perímetros de seguridad.
Objetivo
▪ Prevenir e impedir accesos no autorizados, daños e interferencia a las
sedes, instalaciones e información.
▪ Proteger el equipamiento de procesamiento de información crítica
ubicándolo en áreas protegidas y resguardadas por un perímetro de
seguridad definido, con medidas de seguridad y controles de acceso
apropiados.
▪ Controlar los factores ambientales que podrían perjudicar el correcto
funcionamiento del equipamiento informático.
▪ Implementar medidas para proteger la información manejada por el
personal en las oficinas, en el marco normal de sus labores habituales.
Seguridad en las Comunicaciones y Operaciones
La proliferación de software malicioso, como virus, troyanos, etc.,
hace necesario que se adopten medidas de prevención, a efectos de
evitar la acción de tales amenazas.
Los sistemas de información están comunicados entre si, tanto
dentro de la compañía, como con terceros fuera de ella. Por lo tanto
es necesario establecer criterios de seguridad en las comunicaciones
que se establezcan, permitiendo el intercambio de información, de
manera regulada para garantizar las condiciones de confidencialidad,
integridad y disponibilidad de la información que se emite o recibe
por los distintos canales.
Objetivo
▪ Garantizar el funcionamiento correcto y
instalaciones de procesamiento de la
comunicaciones.
seguro de las
información y
▪ Establecer responsabilidades y procedimientos para su gestión y
operación, incluyendo instrucciones operativas, procedimientos
para la respuesta a incidentes y separación de funciones.
Seguridad
Definiciones:
Análisis de Riesgos
Se considera Riesgo Informático, a todo factor que
pueda generar una disminución en:
Confidencialidad – Disponibilidad – Integridad
Determina la probabilidad de ocurrencia
Determina el impacto potencial
Seguridad
Definiciones:
•AMENAZA: Una(s) persona(s) o cosa(s) vista(s) como posible fuente
de peligro o catástrofe. Ejm. Incendio, robo de datos, sabotaje,
aplicaciones mal diseñadas, implicaciones con la ley, falta de
procedimientos de emergencia, divulgación de datos, etc. Las amenazas
son eventos que pueden causar alteraciones a la información de la
organización ocasionándole pérdidas materiales, económicas, de
información y de prestigio.
VULNERABILIDAD: La situación creada, por falta de uno o varios
controles, con la que la amenaza pudiera acaecer y así afectar el
entorno informático. Ejm. Falta de control de acceso lógico, de
versiones, falta de cifrado en telecomunicaciones, inexistencia de un
control de soportes magnéticos, etc. Las vulnerabilidades son elementos
que al ser explotados por amenazas afectan la integridad,
confidencialidad y disponibilidad de la información, siendo una vía de
ataque potencial.
Seguridad
Definiciones:
RIESGO: La probabilidad de que una amenaza llegue a
acaecer por una vulnerabilidad. Ejm. Los datos
estadísticos de cada evento, de una base de datos de
incidentes.
Los
riesgos
se
pueden
EVITAR,
TRANSFERIR, REDUCIR, ASUMIR:
EXPOSICIÓN O IMPACTO: La evaluación del efecto del
riesgo. Ejm. Es frecuente evaluar el impacto en términos
económicos, aunque no siempre lo es, como vidas
humanas, imagen de la empresa, honor, defensa nacional,
etc.
Objetivos de la Seguridad
1. Disuadir. En este nivel la meta es prevenir
cualquier tipo de amenaza o desastre que pueda
ocurrir.
2. Detectar. La disuasión total generalmente no se
consigue; por lo tanto, en este nivel se establecen
métodos de monitoreo y vigilancia que reporten
cualquier riesgo o peligro, y que permitan tomar
las acciones correctivas pertinentes.
3. Minimizar el impacto de pérdida o desastre. Si un
accidente o contratiempo ocurre, deben
establecerse procedimientos que ayuden a reducir
la pérdida o el daño.
Objetivos de la Seguridad
4. Investigar. Si la perdida ocurre, puede realizarse
una investigación que ayude a determinar lo que
pasó. La información que derive de esta
investigación
puede
servir
para
futuras
planeaciones de seguridad.
5. Recuperar. Las medidas de seguridad implican
que debe de haber un plan de acción para
recuperación en caso de que un accidente o
desastre ocurra – sea cual fuere su causa–, y
hacerlo de la manera más pronta posible.
Amenazas para la seguridad
AMENAZAS
HUMANAS
MALICIOSAS
DESASTRES NATURALES
NO MALICIOSAS
INCENDIOS
INUNDACIONES
TERREMOTOS
EXTERNAS
INTERNAS
EMPLEADOS
IGNORANTES
Ciclo de Seguridad
Monitorear
Actuar
Detectar
Vulnerabilidades y
Amenazas
Pasos que considera una Estrategia de Seguridad
❖Identificación de Riesgos:
✓ Brechas de seguridad en individuos y sistemas.
✓ Ataques (modos de explotar riesgos y
vulnerabilidades)
✓ Amenazas (adversarios motivados en montar
ataques).
❖Desarrollar una política de Seguridad.
❖Establecer un Plan para llevarla a cabo.
❖Realizar reevaluaciones periódicas.
Identificación de ríesgos (Vulnerabilidades)
➢ Privacidad de información (sistemas y usuarios).
➢ Integridad de la Información.
➢ Disponibilidad de información y servicios.
➢ Utilización de recursos.
➢ Acceso a recursos (quien, cómo, cuando).
➢ Seguridad Física.
➢ Seguridad Procedural.
➢ Seguridad del personal.
➢ Seguridad de Emanaciones
➢ Seguridad en Sistemas Operativos
➢ Seguridad en comunicaciones
Estrategia Seguridad con relación a los
ríesgos (Vulnerabilidades)
Ya se trate de actos naturales, errores u omisiones
humanas y actos intencionales, cada riesgo debería ser
atacado de varias maneras:
➢ Minimizando la posibilidad de su ocurrencia.
➢ Reduciendo al mínimo el perjuicio sufrido, si no a
podido evitarse que ocurriera.
➢ Diseño de método para la más rápida recuperación de
los daños experimentados.
➢ Correción de las medidas de seguridad en función de la
experiencia recogida.
POLÍTICA DE SEGURIDAD
Autorización
Protección Física
Confiabilidad
Confidencialidad
Propiedad
Política de
Seguridad
Disponibilidad
Legalidad
Eficiencia
Integridad
Eficacia
Exactitud
POLÍTICA DE SEGURIDAD
Debe incluir:
❖objetivos y alcance generales de seguridad
❖apoyo expreso de la dirección
❖breve explicación de los valores de seguridad de
organización
❖definición de las responsabilidades generales
específicas en materia de gestión de la seguridad de
información
❖referencias a documentos que puedan respaldar
política
la
y
la
la
Plan de Seguridad
La Política de seguridad permitirá dictar un Plan de
Seguridad para su implemetación considera:
➢ Topología apropiada para los sistemas de información.
➢ Típo de seguridad para el sistema de información:
Software, sistemas de autentificación, seguridad
física..etc.
➢ Establecer logging de eventos apropiados.
➢ Plan de capacitación para personas.
➢ Plan de contingencias.
La Piramide Organizacional y la Seguridad
Usuarios de la Información
Tipo de Información
Niveles de Toma de
Decisiones Estratégicas
SECRETA
Niveles Operativos
RESTRINGIDA
Medidas de Seguridad
ESTRICTAS
SUFICIENTES
Comunidad en General
QUIEN?
PUBLICA
QUE?
PROPIETARIOS DE DATOS
MINIMAS
COMO?
Consideraciones Sobre Seguridad
¿Qué se quiere proteger?
Es muy importante determinar el valor del
equipamiento computacional y las tareas que realiza
(qué tan importante es para la organización en que se
está trabajando). Esta valoración debe hacerse de
forma individual, pues lo que es valioso para algunos no
lo es para otros.
¿Contra qué se quiere proteger?
Es importante determinar cuáles son los riesgos
reales a los que está expuesto el sistema. La seguridad
efectiva debe garantizar la prevención y detección de
accidentes, ataques, daños por causas naturales, así
como la existencia de medidas definidas para afrontar
los desastres y lograr el restablecimiento de las
Consideraciones Sobre Seguridad
¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a
invertir?
Se refiere a la cantidad de recursos que dispone o
que está dispuesta a invertir la organización, lo que
determinará en última instancia las medidas que se van
a tomar.
Estos recursos son:
Tiempo. Para tener un nivel de seguridad alto es
necesario que alguien dedique tiempo a configurar los
parámetros de seguridad del sistema, el ambiente de
trabajo de los usuarios, revisar y fijar los permisos de
acceso a los archivos, ejecutar programas de monitoreo
de seguridad, revisar las bitácoras del sistema, etc.
Consideraciones Sobre Seguridad
Esfuerzo. Establecer y mantener un nivel adecuado
de seguridad puede significar un esfuerzo considerable
por parte del encargado, sobre todo si ocurren
problemas de seguridad.
Dinero. El tener a alguien que se encargue de la
seguridad en forma responsable cuesta dinero. De igual
forma cuesta dinero adquirir los productos de
seguridad que se vayan a utilizar, ya sean programas o
equipos.
Es importante también analizar los costos que
tendría la pérdida o acceso no autorizado a la
información. Dependiendo de esto, y en el caso de que
alguien tenga acceso no autorizado, el efecto pueden ser
pérdidas monetarias.
¿Cómo garantizar un alto nivel de Seguridad?
✓Tener una Política definida sobre seguridad de
Sistemas.
✓Organización
y
división
de
las
responsabilidades.
✓Tener una Política hacia el personal.
✓Contratar Seguros.
✓Clasificación de los datos.
✓Contar con Procesos de Auditoria y Control.
Seguridad Física y Seguridad Lógica
La Seguridad Física: puede asociarse a la
protección del sistema ante las amenazas físicas,
incendios, inundaciones, edificios, cables, control
de accesos de personas, etc.
La Seguridad Lógica: protección de la información
en su propio medio, es el conjunto de medidas que
defina la organización o el responsable de
seguridad para que sus recursos computacionales
queden protegidos y así minimizar el riesgo de que
personas internas o externas puedan afectarlos.
ESQUEMA DE LA SEGURIDAD
Seguridad Física:
➢Recursos
➢Edificios
➢Maquinas
➢Equipos
➢Bibliotecas
➢Suministros
➢Redes
Seguridad Lógica:
➢Datos
➢Programas
➢ Procedimientos
LA SEGURIDAD FÍSICA
Las medidas de seguridad física son las mas
conocidas
por
cuanto
se
hallan
adecuadamente cubiertas "en general" por la
documentación de los proveedores de equipos
instalaciones y en general por todos los recursos
computacionales. Por otra parte, todas las
disposiciones convenientes en materia de control
físico de acceso a las instalaciones, registro sobre
ingreso y egreso de personas, vigilancia por circuitos
cerrados de T.V., etc; forman parte de un aspecto
importante entre si, pero que integran la seguridad
general de cualquier entorno.
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
SALA DE COMPUTADORES
CONSIDERACIONES GENERALES
✓Es necesario realizar un sellado de la sala de
computación considerando las ventanas, cielo (falso o
natural) y el piso (falso o natural). Esto es con el
objeto de evitar el ingreso de sustancias
contaminantes a este recinto. Para sellar se
recomienda el uso de materiales apropiados.
✓Los materiales de las murallas y cielo de la sala no
deben desprender polvo o partículas contaminantes.
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
SALA DE COMPUTADORES
✓Proporcionar
gabinetes
cerrados
de
almacenamiento para cintas magnéticas y discos, con
el objeto de minimizar su contaminación.
✓Dotar la
puerta de entrada a la sala de
computación con un mecanismo que impida que esta
permanezca abierta indefinidamente (cierra-puerta).
✓Las impresoras de linea deben quedar aisladas del
resto de los equipos.
✓ Se recomienda que el piso de la sala sea de flexit,
vinilico o baldosa ya que estos materiales no
acumulan polvo y son de fácil limpieza.
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
SALA DE COMPUTADORES
✓Se recomienda tener en la sala dos extinguidores
para fuego de tipo eléctrico (Dioxido de Carbono
o Halón). preferentemente Halón.
✓La temperatura ambiental debe ser de 18 A 24
grados C. La humedad de 40% A 60% (sin
condensación).
✓Se recomienda instalar un termohigrografo a fin de
monitorear la temperatura y humedad de la sala. A
lo menos se debería instalar un termómetro que
registre la temperatura actual, máxima y mínima de
la sala.
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
SALA DE COMPUTADORES
La intensidad de la luz recomendada en la sala debe
ser cercana a 540 (lumenes/m2),(50 foot-candios)
medida a nivel de escritorio, aproximadamente 76
(cm) sobre el piso. En las áreas cercanas a pantallas,
es conveniente reducir la iluminación a 371
(lumenes/m2) (35 foot-candies), medida en las
mismas condiciones anteriores. Se recomienda evitar
la luz solar directa sobre los equipos. Es necesario
instalar cortinas, persianas o material polarizadores
en las ventanas. Se recomienda instalar luces de
emergencia a fin de proteger al personal y equipos
contra situaciones de emergencia.
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
INSTALACIÓN ELÉCTRICA
✓La alimentación eléctrica a la sala del computador
debe proveer circuitos
independientes(separados)
para el computador del resto de los servicios.
✓ El aire acondicionado e iluminación para la sala, en
cuanto sea posible, no se alimentara de las mismas fases
que los equipos de computación.
✓ Malla de tierra adecuada para los requerimientos
del sistema, la que se especifica.
✓ Todos los enchufes de la instalación deben ser de tres
terminales y de seguridad (en Chile modelo magic).
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
INSTALACIÓN ELÉCTRICA
✓Es recomendable que el tablero eléctrico incluya
indicadores de alto voltaje, frecuencia de la red y
corriente de cada fase. Además que cuente con un
contactor y su respectiva botonera de parada y de
partida.
✓El tablero debe estar señalizado, de manera de que se
identifique claramente el uso de cada circuito.
✓ La alimentación eléctrica en algunos casos puede no
ser estable, se recomienda instalar relés de sobre/bajo
voltaje y de frecuencia. Con ellos, se proteje la
información y los equipos de las variaciones
inesperadas de voltaje o frecuencia.
LA SEGURIDAD FÍSICA
INSTALACIÓN FÍSICA EDIFICIOS
AIRE ACONDICIONADO
✓La sala debe estar dotada de unidades de aire
acondicionado capaces de mantener las condiciones
ambientales dentro de los limites especificados.
✓Se recomienda instalar una unidad con capacidad
de 230 de las BTU/HR disipadas por los equipos.
Estas unidades deben trabajar recirculando el aire de la
sala (sin tomar aire desde el exterior).
✓ El aire debe estar limpio y no transportar
contaminantes, los cuales de existir, deben ser
eliminados con filtros apropiados
LA SEGURIDAD LÓGICA
"Seguridad Lógica" se refiere a los controles de
software o controles internos de hardware existente
en el sistema para prevenir o detectar el ingreso de la
información no autorizada al sistema o acceso no
autorizado a la información de la empresa.
Los elementos de hardware y software que
comprenden los mecanismos de control de acceso al
computador constituyen un "sistema de Control
Lógico" perfectamente diferenciado de los controles
"Físicos" los cuales pueden ser puertas, paredes y
guardias.
LA SEGURIDAD LÓGICA
Seguridad de Datos
Se refiere al plan y conjunto de medidas destinadas a
proteger los datos, capacidad
de procesamiento,
información de daños por destrucción, modificación y
revelación accidentales o intencionales son medidas
que tienden a miminizar los daños, recuperación la
capacidad de almacenamiento.
Se Clasifican en:
Integridad:
Manipulacón de Fraude
Responsabilidad Legal
Valor Finaciero
LA SEGURIDAD LÓGICA
Seguridad de Datos
Mecanismos de Seguridad y Control:
Medidas que registran el acceso a nivel de
actualización/Modificación
Privacidad:
Valor Competitivo o estratégico
Valor periodístico
Responsabilidad Legal
Medidas que registran el acceso.
Disponibilidad:
Dificultad de reconstrucción
Impacto en las decisiones
LA SEGURIDAD LÓGICA
Seguridad de Datos
Clasificación sugerida:
✓ Información confidencial
✓ Información restringida
✓ Información sólo uso interno
✓ Información no clasificada
LA SEGURIDAD LÓGICA
Propiedad, Custodia, y Responsabilidad sobre el
manejo de la información
Premisas Básicas:
✓Todo dato debe tener un propietario que define
requerimiento de custodia y control.
✓El jefe de informática tiene la responsabilidad por la
custodia con el aporte de la auditoria y el encargado de
seguridad de datos.
✓ Se deben definir guias de recompensas ante quienes aportan
y cumplen las normas de seguridad y acciones correctivas ante
quienes violen o no cumplan dichas normas.
✓Los usuarios son los responsables por la información que
manejan y no por el área de computación e informática.
LA SEGURIDAD LÓGICA
PROGRAMAS y SISTEMAS
La seguridad de los programas y sistemas se
interrelacionan con los siguientes puntos:
✓La integridad de los Sistemas
✓Control de los Accesos
✓Manejo de la Seguridad de Software
Actualmente el mercado del área de software se a
visto en la necesidad de implantar una protección
juridica la cual consiste en el derecho de autor de la
propiedad intelectual, lo cual prohibe a los usuarios
producir copias no autorizadas por la licencia. Los
Contratos sobre software estándar o paquetes de
software
LA SEGURIDAD LÓGICA
PROGRAMAS y SISTEMAS
Los paquetes de software o software estándar son
programas computacionales producidos por grandes
compañías multinacionales, destinadas a servir
necesidades de un gran número de usuarios.
Comprenden el denominado software base y software
de aplicación. El primero es elaborado para el
hardware, es el que lleva a cabo su funcionamiento,
mientras
que
el
segundo
se
desarrolla
especificamente, (software para la contabilidad,
administración de un almacén, para administrar
personal, etc.). El software es el objeto de contrato
entre fabricante o provedores, por una parte y el
cliente.
RESUMEN
▪ La información y los sistemas son activos muy
valiosos sobre los que existen amenazas, por lo que
se deben proteger.
▪ Asociado a cada amenaza existe un riesgo
(probabilidad de que la amenaza se materialice) y un
impacto (daño que causa la materialización).
▪ Para minimizar o eliminar el riesgo y el impacto
aplicamos salvaguardas, controles, etc. de todo tipo.
No únicamente técnicos.
▪ Seguridad = Confidencialidad + Integridad +
Disponibilidad.
RESUMEN
▪ La seguridad es una propiedad dinámica: el que hoy sea
seguro no implica que mañana se siga siendo.
▪ Se suele decir que la seguridad es un proceso, no un
producto.
Seguridad del entorno
▪ Sobre un sistema de información, simplemente por estar
en un momento y lugar determinados, existen amenazas.
▪ Se debe garantizar responder de forma adecuada ante
problemas en el entorno a diferentes niveles, desde los
mas simples a los mas catastróficos.
▪ Los problemas de seguridad físicos se agravan con la
introducción del factor humano.
RESU MEN
LAS 20 VULNERABILIDADES MÁS CRÍTICAS SEGÚN
THE SANS INSTITUTE:
http://www.sans.org/top20/
Descargar