Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

  • View
    104

  • Download
    1

Embed Size (px)

Text of Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos...

  • Diapositiva 1
  • Diapositiva 2
  • Seguridad de los Recursos de Informacin GSI732 Carmen R. Cintrn Ferrer 2003, Derechos Reservados
  • Diapositiva 3
  • Mdulos Introduccin Principios de seguridad Tecnologas de seguridad Redes inalmbricas y usuarios mviles Entorno del comercio-e Implantacin de programas de seguridad Perspectivas sociales y futuras Referencias
  • Diapositiva 4
  • Mdulo Implantacin de programas de seguridad Planificacin del proceso Establecer un programa de seguridad Avalar el margen de vulnerabilidad (Security assessment) Administradores de servicios de seguridad (Managed security services) Respuesta y recuperacin Seguridad en el Web e Internet
  • Diapositiva 5
  • Seguridad de sistemas Planificacin del proceso Proceso de seguridad Avalo Adoptar polticas Adiestrar Auditar programa Implantar el programa
  • Diapositiva 6
  • Seguridad de sistemas Planificacin del proceso FASE PlanificarCorregirActualizarUtilizar Recopilar Avalo de sistemas y servicios en uso Avalo nuevos sistemas Verificar uso continuo Adoptar Polticas Informacin Seguridad Revisar procesos DRP Probar procesos Revisar polticas Implantar Parchar sistemas crticos Nuevos sistemas seguridad y Cambios procesos Actualizar versiones de sistemas Adiestrar Desarrollar y ofrecer talleres con regularidad Auditar Itinerario verificar procesos y polticas
  • Diapositiva 7
  • Implantacin de un Programa de seguridad 1. Identificar personal responsable (CERT) 2. Establecer y documentar procesos crticos 3. Definir requerimientos para incrementar seguridad (CSO y RO) 4. Comunicar y diseminar programa de seguridad 5. Auditar y fiscalizar implantacin
  • Diapositiva 8
  • Implantacin de un Programa de seguridad 1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueos de los recursos (RO) Comit de emergencias (Corporate Emergency Response Team) Integrar personal de IT Integrar personal de las reas crticas Integrar personal de seguridad organizacin Consultores o personal de emergencias externo
  • Diapositiva 9
  • Implantacin de un Programa de seguridad 2. Establecer y documentar procesos crticos: Avalo de riesgos potenciales y priorizacin Clasificacin de los records o archivos de informacin (fsicos y electrnicos) Determinar fuentes de posible riesgo y medidas de seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser atendidos por el programa de seguridad Definir los niveles de acceso y controles: Procesos para administrar el acceso de usuarios, acorde a su desempeo o necesidad (Roles facilita scalability) Establecer controles (centralizado-descentralizado) Adoptar polticas para implantar los controles negociados Implantacin tcnica y asignacin de recursos (TIP)
  • Diapositiva 10
  • Implantacin de un Programa de seguridad 3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueos de los recursos (RO) Proponer soluciones que contraresten o minimizen los riesgos ponderados Centrarse en recursos crticos y riesgos probables Evaluar best practices Negociar plan de accin y pasos a seguir Definir medidas para evaluar implantacin exitosa
  • Diapositiva 11
  • Implantacin de un Programa de seguridad 4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensin y del impacto potencial de los riesgos (awareness program) Educar sobre cmo su comportamiento es afectado por las polticas y procedimientos de seguridad vigentes o propuestas Integrar diversos mecanismos de difusin: Talleres o conferencias Folletos Pginas de WEB Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribucin del proyecto
  • Diapositiva 12
  • Implantacin de un Programa de seguridad 5. Auditar y fiscalizar (monitor) Probar o validar el programa continuamente: Integrar las herramientas y tcnologas recientes Identificar cambios o amenazas y reaccionar con agilidad Configuracin y Control Escudriar y vigilar intrusos o acceso indebido Responder gilmente a los incidentes reportados Analizar los datos referentes a eventos o incidentes de violacin (Forensics) Notificar y cuantificar la ejecucin del programa
  • Diapositiva 13
  • Avalar el margen de vulnerabilidad (Security assessment) Descripcin del proceso Plan de evaluacin Tipos de prueba Revisin del programa de seguridad Auditora de seguridad Avalo de riesgos
  • Diapositiva 14
  • Avalar el margen de vulnerabilidad (Security assessment) En qu consiste? Determinar dnde estamos y dnde debemos estar Cules pasos debo seguir? Recopilar polticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (best practices) Comparar realidad operacional contra objetivos
  • Diapositiva 15
  • Avalar el margen de vulnerabilidad (Security assessment) Por qu hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el permetro de seguridad institucional Identificar los principales aspectos de seguridad que ameritan proyectos particulares Revisar y actualizar las polticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de adiestramientos sobre seguridad Determinar las reas de mayor riesgo para avalar los planes de BCP y DRP
  • Diapositiva 16
  • Avalar el margen de vulnerabilidad (Security assessment) Quin debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la divisin de seguridad Nuestros proveedores de HW/SW/OS Consultores externos
  • Diapositiva 17
  • Avalar el margen de vulnerabilidad (Security assessment) reas a examinar: Sistemas Red(es) Organizacin Tipos de prueba: Pruebas de penetracin Pruebas de vulnerabilidad
  • Diapositiva 18
  • Avalar el margen de vulnerabilidad (Security assessment) Objetivos de las pruebas de penetracin: Detectar ataques o posibles ataques Prevenir ataques Detectar violacin a polticas y procedimientos Hacer cumplir polticas y procedimientos Detectar huecos en conexiones Operacionalizar polticas sobre conexin Recopilar evidencia
  • Diapositiva 19
  • Avalar el margen de vulnerabilidad (Security assessment) Pruebas de vulnerabilidad (vulnerability test): Automticas mediante escudriadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio Verificadores de conexiones piratas (fax/modem, WLan) Manuales Experto verifica las listas, clasifica las deficiencias o posibles deficiencias Explora otras opciones menos obvias
  • Diapositiva 20
  • Avalar el margen de vulnerabilidad (Security assessment) Pruebas de intrusin: Stealth scans Identifican huecos en sistemas Port Scans Trojan scans Pruebas de vulnerabilidad: File snooping Compromised systems
  • Diapositiva 21
  • Avalar el margen de vulnerabilidad (Security assessment) Frecuencia del proceso: Anualmente como mnimo Depende del tipo y proporcin de presencia WEB Inversin en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daos Resultados del proceso: Medidas de seguridad adicionales o ms robustas Revisin y actualizacin de las polticas y procedimientos
  • Diapositiva 22
  • Avalar el margen de vulnerabilidad (Security assessment) Ejercicios: Web page defacement Web server protegido por FW y todo trfico bloqueado excepto P80 Trfico inexplicablemente voluminoso servidor de Web/FTP indica uso intenso de discos Archivos modificados por desconocido cambios en archivos encontrados por integrity checker Servicio no autorizado en sistema interno se encuentra un servicio nuevo en el servidor Usuario activa servicios Web en su mquina Desaparece el systems log se encuentra en hidden folder un proceso de actualizacin desconocido.
  • Diapositiva 23
  • Avalar el margen de vulnerabilidad (Security assessment) Ejercicios: Red lenta por trfico conflictivo Alarma de ataque a un router Servidor de correo lento y con volumen excesivo Alarma de ataque a la red Amenaza a un ejecutivo de extorsin con sistemas
  • Diapositiva 24
  • Respuesta y recuperacin (Response and Recovery) Respuesta a incidentes Continuidad en operaciones CERT
  • Diapositiva 25
  • Respuesta y recuperacin (Response and Recovery) Enfoques pasivos de respuesta: Recoger informacin y notificar para accin a autoridad correspondiente Obviar confianza en nivel de seguridad operacional o por abandono Levantar bitcoras o recoger informacin en servidores dedicados Notificar personal de seguridad de acuerdo a la severidad del incidente
  • Diapositiva 26
  • Respuesta y recuperacin (Response and Recovery) Enfoques activos de respuesta: Actuar rpidamente evitando afectar operaciones o aislar usuarios vlidos. Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o permanentemente Engaar al posible atacante hacindole creer que no ha sido descubierto (Honey pots)
  • Diapositiva 27
  • Respuesta y recuperacin (Response and Recovery) Respuesta a incidentes: Penetracin, intrusin o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activacin de procedimiento para confrontarlo Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evid