SEGURIDAD INFORMÁTICA BLUE TEAM: Herramientas, Planes y Políticas de Seguridad SEGURIDAD INFORMÁTICA Seguridad de información es: Un bien que, como otros bienes de la empresa, tiene valor para una organización y consecuentemente necesita ser protegida en forma apropiada. La seguridad de la información protege la información de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el daño del negocio y maximizar el retorno de la inversión y las oportunidades del negocio. Seguridad de información es: La información puede existir de muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o usando medios electrónicos. Cualquier forma que tome la información, o los dispositivos por los cuales es compartida o almacenada, siempre debería estar protegida en forma adecuada. Activos que protege la Seguridad Informática: Los recursos son los activos a proteger del sistema informático de la organización. ➢ Recursos hardware: servidores y estaciones de trabajo, ordenadores portátiles, impresoras, escáneres y otros periféricos. ➢ Recursos software: sistemas operativos, herramientas ofimáticas, software de gestión, herramientas de programación, aplicaciones desarrolladas a medida, etc. ➢ Elementos de comunicaciones: dispositivos de conectividad (hubs, switches, routers), armarios con paneles de conexión, cableado, puntos de acceso a la red, líneas de comunicación con el exterior, etc. Activos que protege la Seguridad Informática: ➢ Información que se almacena, procesa y distribuye a través del sistema (activo de naturaleza intangible). ➢ Locales y oficinas donde se ubican los recursos físicos y desde los que acceden al sistema los usuarios finales. ➢ Personas que utilizan y se benefician directa o indirectamente del funcionamiento del sistema. ➢ Imagen y reputación de la organización. Activos que protege la Seguridad Informática: Cada recurso o activo de la organización se podría caracterizar por un código, su descripción, su costo o precio de adquisición, su coste de reposición, su nivel de criticidad o importancia para el mantenimiento de las actividades de la organización, el nivel requerido de integridad y de confidencialidad, etc. Seguridad es: “Una Estrategia de Negocio” conjunto de recursos (metodologías, documentos, programas y dispositivos físicos) encaminados a lograr que los recursos de cómputo disponibles en un ambiente dado, sean accedidos única y exclusivamente por quienes tienen la autorización para hacerlo. Los principios de la seguridad informática son mantener la integridad, la Confidencialidad y la Disponibilidad de la Información manejada por los recursos computacionales. Seguridad Confidencialidad Un sistema no debe permitir que la información contenida en él sea accesible a nadie que no tenga la autorización adecuada. No bastando con sólo controlar quien recibe o usa la información dado que el lugar y el tiempo en se recibe también es relevante. Integridad Un sistema no debe permitir modificaciones no autorizadas a los datos o la información contenida en él. Este punto comprende cualquier tipo de modificaciones: Por errores de hardware y/o software. Causadas por alguna persona de forma intencional. Causadas por alguna persona de forma accidental. Seguridad Disponibilidad Significa que los recursos del sistema, tanto de hardware como de software, se mantendrán funcionando de forma eficiente, y que los usuarios lo podrán utilizar en el momento que lo necesiten. También significa que el sistema sea capaz de recuperarse rápidamente en caso de ocurrir un problema de cualquier especie. Seguridad Física y Ambiental Brinda el marco para minimizar los riesgos de daños e interferencias a la información y a las operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad. Objetivo ▪ Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información. ▪ Proteger el equipamiento de procesamiento de información crítica ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. ▪ Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático. ▪ Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales. Seguridad en las Comunicaciones y Operaciones La proliferación de software malicioso, como virus, troyanos, etc., hace necesario que se adopten medidas de prevención, a efectos de evitar la acción de tales amenazas. Los sistemas de información están comunicados entre si, tanto dentro de la compañía, como con terceros fuera de ella. Por lo tanto es necesario establecer criterios de seguridad en las comunicaciones que se establezcan, permitiendo el intercambio de información, de manera regulada para garantizar las condiciones de confidencialidad, integridad y disponibilidad de la información que se emite o recibe por los distintos canales. Objetivo ▪ Garantizar el funcionamiento correcto y instalaciones de procesamiento de la comunicaciones. seguro de las información y ▪ Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones. Seguridad Definiciones: Análisis de Riesgos Se considera Riesgo Informático, a todo factor que pueda generar una disminución en: Confidencialidad – Disponibilidad – Integridad Determina la probabilidad de ocurrencia Determina el impacto potencial Seguridad Definiciones: •AMENAZA: Una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catástrofe. Ejm. Incendio, robo de datos, sabotaje, aplicaciones mal diseñadas, implicaciones con la ley, falta de procedimientos de emergencia, divulgación de datos, etc. Las amenazas son eventos que pueden causar alteraciones a la información de la organización ocasionándole pérdidas materiales, económicas, de información y de prestigio. VULNERABILIDAD: La situación creada, por falta de uno o varios controles, con la que la amenaza pudiera acaecer y así afectar el entorno informático. Ejm. Falta de control de acceso lógico, de versiones, falta de cifrado en telecomunicaciones, inexistencia de un control de soportes magnéticos, etc. Las vulnerabilidades son elementos que al ser explotados por amenazas afectan la integridad, confidencialidad y disponibilidad de la información, siendo una vía de ataque potencial. Seguridad Definiciones: RIESGO: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. Ejm. Los datos estadísticos de cada evento, de una base de datos de incidentes. Los riesgos se pueden EVITAR, TRANSFERIR, REDUCIR, ASUMIR: EXPOSICIÓN O IMPACTO: La evaluación del efecto del riesgo. Ejm. Es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imagen de la empresa, honor, defensa nacional, etc. Objetivos de la Seguridad 1. Disuadir. En este nivel la meta es prevenir cualquier tipo de amenaza o desastre que pueda ocurrir. 2. Detectar. La disuasión total generalmente no se consigue; por lo tanto, en este nivel se establecen métodos de monitoreo y vigilancia que reporten cualquier riesgo o peligro, y que permitan tomar las acciones correctivas pertinentes. 3. Minimizar el impacto de pérdida o desastre. Si un accidente o contratiempo ocurre, deben establecerse procedimientos que ayuden a reducir la pérdida o el daño. Objetivos de la Seguridad 4. Investigar. Si la perdida ocurre, puede realizarse una investigación que ayude a determinar lo que pasó. La información que derive de esta investigación puede servir para futuras planeaciones de seguridad. 5. Recuperar. Las medidas de seguridad implican que debe de haber un plan de acción para recuperación en caso de que un accidente o desastre ocurra – sea cual fuere su causa–, y hacerlo de la manera más pronta posible. Amenazas para la seguridad AMENAZAS HUMANAS MALICIOSAS DESASTRES NATURALES NO MALICIOSAS INCENDIOS INUNDACIONES TERREMOTOS EXTERNAS INTERNAS EMPLEADOS IGNORANTES Ciclo de Seguridad Monitorear Actuar Detectar Vulnerabilidades y Amenazas Pasos que considera una Estrategia de Seguridad ❖Identificación de Riesgos: ✓ Brechas de seguridad en individuos y sistemas. ✓ Ataques (modos de explotar riesgos y vulnerabilidades) ✓ Amenazas (adversarios motivados en montar ataques). ❖Desarrollar una política de Seguridad. ❖Establecer un Plan para llevarla a cabo. ❖Realizar reevaluaciones periódicas. Identificación de ríesgos (Vulnerabilidades) ➢ Privacidad de información (sistemas y usuarios). ➢ Integridad de la Información. ➢ Disponibilidad de información y servicios. ➢ Utilización de recursos. ➢ Acceso a recursos (quien, cómo, cuando). ➢ Seguridad Física. ➢ Seguridad Procedural. ➢ Seguridad del personal. ➢ Seguridad de Emanaciones ➢ Seguridad en Sistemas Operativos ➢ Seguridad en comunicaciones Estrategia Seguridad con relación a los ríesgos (Vulnerabilidades) Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales, cada riesgo debería ser atacado de varias maneras: ➢ Minimizando la posibilidad de su ocurrencia. ➢ Reduciendo al mínimo el perjuicio sufrido, si no a podido evitarse que ocurriera. ➢ Diseño de método para la más rápida recuperación de los daños experimentados. ➢ Correción de las medidas de seguridad en función de la experiencia recogida. POLÍTICA DE SEGURIDAD Autorización Protección Física Confiabilidad Confidencialidad Propiedad Política de Seguridad Disponibilidad Legalidad Eficiencia Integridad Eficacia Exactitud POLÍTICA DE SEGURIDAD Debe incluir: ❖objetivos y alcance generales de seguridad ❖apoyo expreso de la dirección ❖breve explicación de los valores de seguridad de organización ❖definición de las responsabilidades generales específicas en materia de gestión de la seguridad de información ❖referencias a documentos que puedan respaldar política la y la la Plan de Seguridad La Política de seguridad permitirá dictar un Plan de Seguridad para su implemetación considera: ➢ Topología apropiada para los sistemas de información. ➢ Típo de seguridad para el sistema de información: Software, sistemas de autentificación, seguridad física..etc. ➢ Establecer logging de eventos apropiados. ➢ Plan de capacitación para personas. ➢ Plan de contingencias. La Piramide Organizacional y la Seguridad Usuarios de la Información Tipo de Información Niveles de Toma de Decisiones Estratégicas SECRETA Niveles Operativos RESTRINGIDA Medidas de Seguridad ESTRICTAS SUFICIENTES Comunidad en General QUIEN? PUBLICA QUE? PROPIETARIOS DE DATOS MINIMAS COMO? Consideraciones Sobre Seguridad ¿Qué se quiere proteger? Es muy importante determinar el valor del equipamiento computacional y las tareas que realiza (qué tan importante es para la organización en que se está trabajando). Esta valoración debe hacerse de forma individual, pues lo que es valioso para algunos no lo es para otros. ¿Contra qué se quiere proteger? Es importante determinar cuáles son los riesgos reales a los que está expuesto el sistema. La seguridad efectiva debe garantizar la prevención y detección de accidentes, ataques, daños por causas naturales, así como la existencia de medidas definidas para afrontar los desastres y lograr el restablecimiento de las Consideraciones Sobre Seguridad ¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a invertir? Se refiere a la cantidad de recursos que dispone o que está dispuesta a invertir la organización, lo que determinará en última instancia las medidas que se van a tomar. Estos recursos son: Tiempo. Para tener un nivel de seguridad alto es necesario que alguien dedique tiempo a configurar los parámetros de seguridad del sistema, el ambiente de trabajo de los usuarios, revisar y fijar los permisos de acceso a los archivos, ejecutar programas de monitoreo de seguridad, revisar las bitácoras del sistema, etc. Consideraciones Sobre Seguridad Esfuerzo. Establecer y mantener un nivel adecuado de seguridad puede significar un esfuerzo considerable por parte del encargado, sobre todo si ocurren problemas de seguridad. Dinero. El tener a alguien que se encargue de la seguridad en forma responsable cuesta dinero. De igual forma cuesta dinero adquirir los productos de seguridad que se vayan a utilizar, ya sean programas o equipos. Es importante también analizar los costos que tendría la pérdida o acceso no autorizado a la información. Dependiendo de esto, y en el caso de que alguien tenga acceso no autorizado, el efecto pueden ser pérdidas monetarias. ¿Cómo garantizar un alto nivel de Seguridad? ✓Tener una Política definida sobre seguridad de Sistemas. ✓Organización y división de las responsabilidades. ✓Tener una Política hacia el personal. ✓Contratar Seguros. ✓Clasificación de los datos. ✓Contar con Procesos de Auditoria y Control. Seguridad Física y Seguridad Lógica La Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc. La Seguridad Lógica: protección de la información en su propio medio, es el conjunto de medidas que defina la organización o el responsable de seguridad para que sus recursos computacionales queden protegidos y así minimizar el riesgo de que personas internas o externas puedan afectarlos. ESQUEMA DE LA SEGURIDAD Seguridad Física: ➢Recursos ➢Edificios ➢Maquinas ➢Equipos ➢Bibliotecas ➢Suministros ➢Redes Seguridad Lógica: ➢Datos ➢Programas ➢ Procedimientos LA SEGURIDAD FÍSICA Las medidas de seguridad física son las mas conocidas por cuanto se hallan adecuadamente cubiertas "en general" por la documentación de los proveedores de equipos instalaciones y en general por todos los recursos computacionales. Por otra parte, todas las disposiciones convenientes en materia de control físico de acceso a las instalaciones, registro sobre ingreso y egreso de personas, vigilancia por circuitos cerrados de T.V., etc; forman parte de un aspecto importante entre si, pero que integran la seguridad general de cualquier entorno. LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS SALA DE COMPUTADORES CONSIDERACIONES GENERALES ✓Es necesario realizar un sellado de la sala de computación considerando las ventanas, cielo (falso o natural) y el piso (falso o natural). Esto es con el objeto de evitar el ingreso de sustancias contaminantes a este recinto. Para sellar se recomienda el uso de materiales apropiados. ✓Los materiales de las murallas y cielo de la sala no deben desprender polvo o partículas contaminantes. LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS SALA DE COMPUTADORES ✓Proporcionar gabinetes cerrados de almacenamiento para cintas magnéticas y discos, con el objeto de minimizar su contaminación. ✓Dotar la puerta de entrada a la sala de computación con un mecanismo que impida que esta permanezca abierta indefinidamente (cierra-puerta). ✓Las impresoras de linea deben quedar aisladas del resto de los equipos. ✓ Se recomienda que el piso de la sala sea de flexit, vinilico o baldosa ya que estos materiales no acumulan polvo y son de fácil limpieza. LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS SALA DE COMPUTADORES ✓Se recomienda tener en la sala dos extinguidores para fuego de tipo eléctrico (Dioxido de Carbono o Halón). preferentemente Halón. ✓La temperatura ambiental debe ser de 18 A 24 grados C. La humedad de 40% A 60% (sin condensación). ✓Se recomienda instalar un termohigrografo a fin de monitorear la temperatura y humedad de la sala. A lo menos se debería instalar un termómetro que registre la temperatura actual, máxima y mínima de la sala. LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS SALA DE COMPUTADORES La intensidad de la luz recomendada en la sala debe ser cercana a 540 (lumenes/m2),(50 foot-candios) medida a nivel de escritorio, aproximadamente 76 (cm) sobre el piso. En las áreas cercanas a pantallas, es conveniente reducir la iluminación a 371 (lumenes/m2) (35 foot-candies), medida en las mismas condiciones anteriores. Se recomienda evitar la luz solar directa sobre los equipos. Es necesario instalar cortinas, persianas o material polarizadores en las ventanas. Se recomienda instalar luces de emergencia a fin de proteger al personal y equipos contra situaciones de emergencia. LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS INSTALACIÓN ELÉCTRICA ✓La alimentación eléctrica a la sala del computador debe proveer circuitos independientes(separados) para el computador del resto de los servicios. ✓ El aire acondicionado e iluminación para la sala, en cuanto sea posible, no se alimentara de las mismas fases que los equipos de computación. ✓ Malla de tierra adecuada para los requerimientos del sistema, la que se especifica. ✓ Todos los enchufes de la instalación deben ser de tres terminales y de seguridad (en Chile modelo magic). LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS INSTALACIÓN ELÉCTRICA ✓Es recomendable que el tablero eléctrico incluya indicadores de alto voltaje, frecuencia de la red y corriente de cada fase. Además que cuente con un contactor y su respectiva botonera de parada y de partida. ✓El tablero debe estar señalizado, de manera de que se identifique claramente el uso de cada circuito. ✓ La alimentación eléctrica en algunos casos puede no ser estable, se recomienda instalar relés de sobre/bajo voltaje y de frecuencia. Con ellos, se proteje la información y los equipos de las variaciones inesperadas de voltaje o frecuencia. LA SEGURIDAD FÍSICA INSTALACIÓN FÍSICA EDIFICIOS AIRE ACONDICIONADO ✓La sala debe estar dotada de unidades de aire acondicionado capaces de mantener las condiciones ambientales dentro de los limites especificados. ✓Se recomienda instalar una unidad con capacidad de 230 de las BTU/HR disipadas por los equipos. Estas unidades deben trabajar recirculando el aire de la sala (sin tomar aire desde el exterior). ✓ El aire debe estar limpio y no transportar contaminantes, los cuales de existir, deben ser eliminados con filtros apropiados LA SEGURIDAD LÓGICA "Seguridad Lógica" se refiere a los controles de software o controles internos de hardware existente en el sistema para prevenir o detectar el ingreso de la información no autorizada al sistema o acceso no autorizado a la información de la empresa. Los elementos de hardware y software que comprenden los mecanismos de control de acceso al computador constituyen un "sistema de Control Lógico" perfectamente diferenciado de los controles "Físicos" los cuales pueden ser puertas, paredes y guardias. LA SEGURIDAD LÓGICA Seguridad de Datos Se refiere al plan y conjunto de medidas destinadas a proteger los datos, capacidad de procesamiento, información de daños por destrucción, modificación y revelación accidentales o intencionales son medidas que tienden a miminizar los daños, recuperación la capacidad de almacenamiento. Se Clasifican en: Integridad: Manipulacón de Fraude Responsabilidad Legal Valor Finaciero LA SEGURIDAD LÓGICA Seguridad de Datos Mecanismos de Seguridad y Control: Medidas que registran el acceso a nivel de actualización/Modificación Privacidad: Valor Competitivo o estratégico Valor periodístico Responsabilidad Legal Medidas que registran el acceso. Disponibilidad: Dificultad de reconstrucción Impacto en las decisiones LA SEGURIDAD LÓGICA Seguridad de Datos Clasificación sugerida: ✓ Información confidencial ✓ Información restringida ✓ Información sólo uso interno ✓ Información no clasificada LA SEGURIDAD LÓGICA Propiedad, Custodia, y Responsabilidad sobre el manejo de la información Premisas Básicas: ✓Todo dato debe tener un propietario que define requerimiento de custodia y control. ✓El jefe de informática tiene la responsabilidad por la custodia con el aporte de la auditoria y el encargado de seguridad de datos. ✓ Se deben definir guias de recompensas ante quienes aportan y cumplen las normas de seguridad y acciones correctivas ante quienes violen o no cumplan dichas normas. ✓Los usuarios son los responsables por la información que manejan y no por el área de computación e informática. LA SEGURIDAD LÓGICA PROGRAMAS y SISTEMAS La seguridad de los programas y sistemas se interrelacionan con los siguientes puntos: ✓La integridad de los Sistemas ✓Control de los Accesos ✓Manejo de la Seguridad de Software Actualmente el mercado del área de software se a visto en la necesidad de implantar una protección juridica la cual consiste en el derecho de autor de la propiedad intelectual, lo cual prohibe a los usuarios producir copias no autorizadas por la licencia. Los Contratos sobre software estándar o paquetes de software LA SEGURIDAD LÓGICA PROGRAMAS y SISTEMAS Los paquetes de software o software estándar son programas computacionales producidos por grandes compañías multinacionales, destinadas a servir necesidades de un gran número de usuarios. Comprenden el denominado software base y software de aplicación. El primero es elaborado para el hardware, es el que lleva a cabo su funcionamiento, mientras que el segundo se desarrolla especificamente, (software para la contabilidad, administración de un almacén, para administrar personal, etc.). El software es el objeto de contrato entre fabricante o provedores, por una parte y el cliente. RESUMEN ▪ La información y los sistemas son activos muy valiosos sobre los que existen amenazas, por lo que se deben proteger. ▪ Asociado a cada amenaza existe un riesgo (probabilidad de que la amenaza se materialice) y un impacto (daño que causa la materialización). ▪ Para minimizar o eliminar el riesgo y el impacto aplicamos salvaguardas, controles, etc. de todo tipo. No únicamente técnicos. ▪ Seguridad = Confidencialidad + Integridad + Disponibilidad. RESUMEN ▪ La seguridad es una propiedad dinámica: el que hoy sea seguro no implica que mañana se siga siendo. ▪ Se suele decir que la seguridad es un proceso, no un producto. Seguridad del entorno ▪ Sobre un sistema de información, simplemente por estar en un momento y lugar determinados, existen amenazas. ▪ Se debe garantizar responder de forma adecuada ante problemas en el entorno a diferentes niveles, desde los mas simples a los mas catastróficos. ▪ Los problemas de seguridad físicos se agravan con la introducción del factor humano. RESU MEN LAS 20 VULNERABILIDADES MÁS CRÍTICAS SEGÚN THE SANS INSTITUTE: http://www.sans.org/top20/