Seguridad en TI
Alfonso Arriaga Arriaga Portillo Portillo
[email protected]
Seguridad en TI 1.-Aplicar los principios básicos de la Seguridad de Informática. 2.-Analizar y gestionar los riesgos de un sistema Informático . 3.- Elaborar planes y procedimientos de seguridad informática. 4.- Identificar las amenazas y vulnerabilidades de los Sistemas Informáticos. 5.-Identificar la seguridad en las redes. 6.- Identificar los delitos informáticos y sus tratamiento
La Función de Seguridad
¿Quées la seg u rid ad in fo rm átic a?
Cualquier medida que evite que se ejecuten operaciones no deseadas ni autorizadas sobre un sistema o red informática, cuyos efectos puedan: Conllevar daños sobre la información Comprometer la confidencialidad Disminuir
el rendimiento de los equipos o de la red Bloquear el acceso de usuarios autorizados al sistema Otrass c uestion es a co nsid era Otra erarr c uando se habla d e segurid ad info rm ática Cumplimiento
de las regulaciones legales aplicables Control en el acceso a los servicios ofrecidos y la información guardada por un sistema Control en el acceso y utilización de ficheros protegidos por la ley: derechos de autor, datos de carácter personal, etc. Identificación de los autores de la información o de los mensajes Registro del uso de los servicios de un sistema
¿Qué es la seguridad informática?
La norma ISO/IEC 17799 define la seguridad de la información como la preservación de su Confidencialidad, su Integridad y su Disponibilidad (“CIA”, Confidentiality, Integrity, Availability)
La norma ISO 7498 define la Seguridad Informática como “una serie de
mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización”
INFOSEC Glossary 2000: “Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los Sistemas de Información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican”
La seguridad informática dependerá de factores como:
La sensibilización de los directivos y responsables de la organización, que deben ser conscientes de la necesidad de destinar recursos a esta función.
Los conocimientos, capacidades e implicación de los responsables del sistema (dominio de la tecnología utilizada en el sistema, y conocimiento sobre las posibles amenazas y tipos de ataques)
La mentalización, formación y asunción de responsabilidades de todos los usuarios del sistema: importancia del factor humano
La correcta instalación y configuración de los equipos
La limitación de los permisos y privilegios de los usuarios
La seguridad informática dependerá de factores como:
El soporte de los fabricantes de hardware y software, con la publicación de parches y actualizaciones de sus productos
Contemplar no sólo la seguridad frente a las amenazas del exterior, sino también las amenazas procedentes del interior de la organización
La adaptación de los objetivos de seguridad y de las actividades a realizar a las necesidades reales de la organización (se deberían evitar políticas y procedimientos genéricos, definidos para tratar de “quedar bien” de cara a otros organismos)
Principio de “Defensa en Profundidad” . Diseñar e implantar varios niveles de seguridad dentro del sistema informático de la organización. . Si medidas una de las franqueada por los atacantes, conviene disponer de“barreras” seguridades adicionales que dificulten y retrasen su acceso a de
información confidencial o al control de recursos críticos del sistema. – Seguridad perimetral (cortafuegos, proxies...); seguridad en los servidores;
auditorías y monitorización de eventos de seguridad; etc. – Por este motivo, no conviene c onviene descuidar la seguridad interna en los sistemas
informáticos (p. ej. mediante una configuración robusta de los servidores, con medidas como la actualización de parches para eliminar vulnerabilidades conocidas, la desactivación de servicios innecesarios o el cambio de las contraseñas y cuentas por defecto), de modo que no dependa todo el sistema de la seguridad perimetral (cortafuegos en la conexión de la organización a redes
externas como Internet)
Principio de “Defensa en Profundidad”
• Encriptación datos sensibles • Gestión de usuarios • Configuraci Configuración ón robusta de equipos • Separación de redes LAN- VLAN
El papel de la Seguridad en las Organizaciones Henry Fayol (1919): La Seguridad es una función empresarial, al igual que otras funciones (técnica, comercial, financiera, administrativa...) La Seguridad persigue “salvaguardar propiedades y personas contra el
robo, fuego, inundación, contrarrestar huelgas y felonías, y de forma amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del negocio”.
. Las Medidas de Seguridad en esta época se limitaban a las encaminadas a la protección de los activos físicos e instalaciones, ya que ese era el mayor activo de las organizaciones (no la información ni los empleados). Se pretendía combatir los sabotajes y daños ocasionados en los conflictos sociales y laborales.
IMP ORTANCIA ES NECESARIO TRASLADAR A LOS DIRECTIVOS LA IMPORTANCIA DE VALORAR Y PROTEGER LA INFORMACIÓN DE SUS EMPRESAS . El 72 % de las l as empresas quebraría en 4 días si perdiera los datos guardados en sus ordenadores . Según un estudio realizado por la Asociación Española para la Dirección Informática (AEDI) en mayo de 2002 . Otros datos de interés: – Sólo el 19 % de las empresas difunden las Políticas de Seguridad S eguridad de la Información
entre todos sus trabajadores c arecen de metodologías para el control de alertas en las redes – El 66 % carecen informáticas . Trasladar a los directivos cuál es el coste e impacto de los incidentes de seguridad en términos económicos, y no a través de confusos informes plagados de tecnicismos . Vender la idea de que la inversión en seguridad informática es como contratar un seguro contra robos, contra incendios o de responsabilidad civil frente a terceros
La Función de Seguridad • Objetivos de la Seguridad Informática:
. Prevención de riesgos y detección de problemas . Garantizar la adecuada utilización de los recursos y las aplicaciones del sistema
. Limitación de las pérdidas y recuperación del sistema en caso de un incidente de seguridad . Cumplir con el marco legal y los requisitos de los clientes
Debemos contemplar cuatro aspectos:
. Técnico: a nivel físico y a nivel lógico
. Legal: Algunos países obligan por Ley a que en algunos algunos sectores implanten determinadas medidas de seguridad (sector deseservicios financieros y sector sanitario en EEUU; protección de datos personales en la Unión Europea; etc.)
. Humano . Sensibilización y formación de empleados y directivos . Definición de funciones y obligaciones del personal
. Organizativo (Políticas de Seguridad) Planes, normas, procedimientos y prácticas
Consideraciones económicas Análisis de las posibles pérdidas para la organización organización . Evaluación de los riesgos – ¿Qué puede ir mal?, ¿con qué frecuencia puede ocurrir?, ¿cuáles serían sus consecuencias?... . Objetivos perseguidos: – Lograr que un ataque contra los recursos o la información protegida tenga un coste superior al valor en el mercado de estos bienes – Además, el coste de las medidas adoptadas por la organización ha de ser
menor que el valor de los activos a proteger. • Análisis de la relación coste-beneficio de cada medida de seguridad que se
desee implantar => no todas las organizaciones precisan de las mismas medidas de seguridad (distintas expectativas de seguridad).
Técnicas y herramientas de Seguridad: • Identificación de usuarios y política de contraseñas • Control de acceso a los recursos • Encriptaci Encriptación ón • Huella digital de mensajes • Sellado temporal de mensajes • Firma electrónica • Protocolos criptográficos • Análisis y filtrado del tráfico (cortafuegos) • Servidor proxy • Sistema de Detección de Intrusos (IDS) • Antivirus
Gestión de la Seguridad de la Información . Aspectos a tener en cuenta: . Existencia de un entorno hostil . Nivel de centralización / descentralización del sistema . Necesidad de garantizar un funcionamiento continuado del sistema informático . Nivel de sensibilidad de los datos y de los recursos . Cumplimiento del Entorno Legal (LOPD, LSSI-CE, Propiedad Intelectual, Delitos Informáticos, etc.) y de estándares (ISO 17799) Es imposible alcanzar la Seguridad al 100 %. Algunos expertos prefieren hablar de la Fia Fiabilid bilid ad del Sistem a de Info Info rm ación . Probabilidad de que un sistema se comporte tal y como se espera de él
Sistema de Gestión de la Seguridad de la Información . SGSI: Aquella parte del sistema sist ema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en una organización. . La gestión de la seguridad consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad exigibles en una organización
. Los riesgos no se pueden eliminar, pero sí se pueden gestionar . Política de Gestión de la Seguridad de la Información: Conjunto de normas reguladoras, procedimientos, reglas y prácticas que determinan el modo en que los activos, incluyendo la información considerada como sensible, son gestionados, protegidos y distribuidos dentro de una organización
El Modelo “Systems Security Engineering - Capability Maturity Model ” (SSE -CMM) -CMM)
. Desarrollado por la Asociación Internacional de Ingeniería de Seguridad de Sistemas (ISSEA, www.issea.org) . Este modelo representa las prácticas y competencias en materia de seguridad implantadas por la organización. Se distinguen 5 niveles de madurez:
. Nivel 1: Prácticas de seguridad realizadas de manera informal . Nivel 2: Planificación y seguimiento de las prácticas de seguridad . Nivel 3: Definición y coordinación de las políticas y procedimientos de seguridad . Nivel 4: Seguridad controlada a través de distintos controles y objetivos de calidadde un Proceso de Mejora Continua . Nivel 5: Implantación
Sistema de Gestión de la Seguridad de la Información . Formalizar la Gestión de la Seguridad la Información . Analizar y Gestionar los Riesgos . Establecer procesos de Gestión de la Seguridad, siguiendo la metodología PDCA . “Plan”: selección y definición de medidas y procedimientos . “Do”: implantación . “ Check ”: comprobación y verificación ”: C heck . “ A c t ”: ”: actuación para corregir las deficiencias detectadas . Certificación de la Gestión de la Seguridad
Gestión de Riesgos de un Sistema Informático . Un proceso de gestión de riesgos comprende una etapa de evaluación previa de los riesgos del sistema informático, que se debe realizar con rigor y objetividad para que cumpla su función con garantías . Aspectos clave: experiencia, formación y recursos del equipo responsable de la evaluación, así como apoyo de la Alta Dirección. . En el proceso propiamente dicho de gestión de riesgos se trata de definir un plan para la implantación de ciertas Salvaguardas o Contramedidas en el Sistema Informático. . Con ello se pretende disminuir la probabilidad de que se materialice una amenaza, o bien reducir la vulnerabilidad del sistema del o elsistema posible oimpacto en la organización, así como permitir la recuperación la
transferencia del problema a un tercero (contratación de un seguro)
• Ejemplos: • https://www.youtube.com https://www.youtube.com/watch?v=wAEaF4 /watch?v=wAEaF4ShEN8 ShEN8 • https://www.youtube.com/watch?v=9NrDVNI9qLM https://www.youtube.com/watch?v=9NrDVNI9qLM