Download ppt - Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

Seguridad de los Seguridad de los Recursos de Recursos de Información – GSI732Información – GSI732

Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

MódulosMódulos Introducción Principios de seguridad Tecnologías de seguridad Redes inalámbricas y usuarios móviles Entorno del comercio-e Implantación de programas de seguridad Perspectivas sociales y futuras Referencias

MóduloMóduloImplantación de programas de seguridadImplantación de programas de seguridad

Planificación del proceso Establecer un programa de seguridad Avalar el margen de vulnerabilidad

(“Security assessment”) Administradores de servicios de

seguridad (“Managed security services”) Respuesta y recuperación Seguridad en el Web e Internet

Seguridad de sistemas Seguridad de sistemas Planificación del procesoPlanificación del proceso

Proceso de seguridad

Avalúo

Adoptar políticas Adiestrar

Auditar programa

Implantar el programa

Seguridad de sistemas Seguridad de sistemas Planificación del procesoPlanificación del proceso

FASE Planificar Corregir Actualizar Utilizar

Recopilar Avalúo de sistemas y servicios en uso

Avalúo nuevos sistemas

Verificar uso continuo

Adoptar Políticas

Información

Seguridad

Revisar procesos

DRP

Probar procesos

Revisar políticas

Implantar

Parchar sistemas críticos

Nuevos sistemas seguridad y

Cambios procesos

Actualizar versiones de

sistemas

Adiestrar Desarrollar y ofrecer talleres con regularidad

Auditar Itinerario verificar procesos y

políticas

Implantación de un Implantación de un Programa de seguridadPrograma de seguridad

1. Identificar personal responsable (CERT)

2. Establecer y documentar procesos críticos

3. Definir requerimientos para incrementar seguridad (CSO y RO)

4. Comunicar y diseminar programa de seguridad

5. Auditar y fiscalizar implantación


1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Comité de emergencias (“Corporate Emergency

Response Team”) Integrar personal de IT Integrar personal de las áreas críticas Integrar personal de seguridad organización Consultores o personal de emergencias externo


2. Establecer y documentar procesos críticos: Avalúo de riesgos potenciales y priorización Clasificación de los records o archivos de información

(físicos y electrónicos) Determinar fuentes de posible riesgo y medidas de

seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser

atendidos por el programa de seguridad Definir los niveles de acceso y controles:

Procesos para administrar el acceso de usuarios, acorde a su desempeño o necesidad (Roles – facilita “scalability”)

Establecer controles (centralizado-descentralizado) Adoptar políticas para implantar los controles negociados

Implantación técnica y asignación de recursos (TIP)


3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Proponer soluciones que contraresten o

minimizen los riesgos ponderados Centrarse en recursos críticos y riesgos probables Evaluar “best practices” Negociar plan de acción y pasos a seguir Definir medidas para evaluar implantación exitosa


4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensión y del

impacto potencial de los riesgos (“awareness program”) Educar sobre cómo su comportamiento es afectado por las

políticas y procedimientos de seguridad vigentes o propuestas

Integrar diversos mecanismos de difusión: Talleres o conferencias Folletos Páginas de WEB

Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribución del proyecto


5. Auditar y fiscalizar (“monitor”) Probar o validar el programa continuamente:

Integrar las herramientas y técnologías recientes Identificar cambios o amenazas y reaccionar con agilidad

Configuración y Control Escudriñar y vigilar intrusos o acceso indebido Responder ágilmente a los incidentes reportados Analizar los datos referentes a eventos o

incidentes de violación (“Forensics”) Notificar y cuantificar la ejecución del programa

Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)

Descripción del proceso Plan de evaluación Tipos de prueba Revisión del programa de seguridad Auditoría de seguridad Avalúo de riesgos


¿En qué consiste?

“Determinar dónde estamos y dónde debemos estar”

¿Cuáles pasos debo seguir? Recopilar políticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (“best practices”) Comparar realidad operacional contra objetivos


¿Por qué hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el perímetro de

seguridad institucional Identificar los principales aspectos de seguridad que

ameritan proyectos particulares Revisar y actualizar las políticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de

adiestramientos sobre seguridad Determinar las áreas de mayor riesgo para avalar los planes

de BCP y DRP


¿Quién debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la división de seguridad Nuestros proveedores de HW/SW/OS Consultores externos


Áreas a examinar: Sistemas Red(es) Organización

Tipos de prueba: Pruebas de penetración Pruebas de vulnerabilidad


Objetivos de las pruebas de penetración: Detectar ataques o posibles ataques Prevenir ataques Detectar violación a políticas y procedimientos Hacer cumplir políticas y procedimientos Detectar huecos en conexiones Operacionalizar políticas sobre conexión Recopilar evidencia


Pruebas de vulnerabilidad (“vulnerability test”): Automáticas –

mediante escudriñadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio

Verificadores de conexiones piratas (fax/modem, WLan) Manuales –

Experto verifica las listas, clasifica las deficiencias o posibles deficiencias

Explora otras opciones menos obvias


Pruebas de intrusión: “Stealth scans” – Identifican huecos en sistemas “Port Scans” “Trojan scans”

Pruebas de vulnerabilidad: “File snooping” “Compromised systems”


Frecuencia del proceso: Anualmente como mínimo Depende del tipo y proporción de presencia WEB

Inversión en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daños

Resultados del proceso: Medidas de seguridad adicionales o más robustas Revisión y actualización de las políticas y procedimientos


Ejercicios: “Web page defacement” – Web server protegido por FW

y todo tráfico bloqueado excepto P80 Tráfico inexplicablemente voluminoso – servidor de

Web/FTP indica uso intenso de discos Archivos modificados por desconocido – cambios en

archivos encontrados por “integrity checker” Servicio no autorizado en sistema interno – se encuentra

un servicio nuevo en el servidor Usuario activa servicios Web en su máquina Desaparece el “systems log” – se encuentra en “hidden

folder” un proceso de actualización desconocido.


Ejercicios: Red lenta por tráfico conflictivo Alarma de ataque a un router Servidor de correo lento y con volumen excesivo Alarma de ataque a la red Amenaza a un ejecutivo de extorsión con sistemas

Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)

Respuesta a incidentes Continuidad en operaciones CERT


Enfoques pasivos de respuesta:Recoger información y notificar para acción a autoridad correspondiente

Obviar – confianza en nivel de seguridad operacional o por abandono

Levantar bitácoras o recoger información en servidores dedicados

Notificar – personal de seguridad de acuerdo a la severidad del incidente


Enfoques activos de respuesta:Actuar rápidamente evitando afectar operaciones o aislar usuarios válidos.

Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o

permanentemente Engañar al posible atacante haciéndole creer que

no ha sido descubierto (“Honey pots”)


Respuesta a incidentes: Penetración, intrusión o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activación de procedimiento para confrontarlo

Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evidencia y documentar hallazgos Integrar nivel gerencial adecuado Proteger la organización


Establecer parámetros: Definir número de conexiones esperado Sensibilidad de los sensores automáticos Velocidad de respuesta de la red Vulnerabilidades conocidas Peritaje del personal técnico Peritaje de usuarios Consecuencias de falsas alarmas Consecuencias de incidentes no detectados


Revisión del programa de seguridad: Corregir brechas reveladas por auditorías o

por informes de programas integrados Armonizar con los cambios en el entorno:

Tecnológico Operacional/procesal Legal

Divulgar modificaciones a la comunidad


Riesgos: Amenazas que atentan contra la vulnerabilidad en seguridad de la organización o sus recursos.

Elementos del riesgo: Agentes – quienes originan la amenaza Eventos – tipo de acción o suceso Objeto o blanco – servicios de seguridad

Dimensión del riesgo: Costo o impacto Probabilidad de ocurrencia: “best/worst/most likely” Medidas para afrontar o compensar


Plan de Continuidad de Operaciones (BCP):

Herramienta para anticipar riesgos, su impacto y definir pasos a seguir para mantener o restaurar las operaciones críticas en su nivel operacional adecuado.

Plan de Recuperación de Desastres (DRP):Bosquejo documental detallando los pasos en la secuencia adecuada para restaurar operaciones basadas en sistemas de información.


Componentes y etapas del BCP: Evaluación y minimización de riesgos Analisis y cuantificación de impacto(s) Formulación de estrategias Identificación de solución(es) de emergencia Desarrollo, implantación y pruebas Divulgación y adiestramiento Relaciones públicas y manejo de crisis Actualización y mantenimiento


Componentes del DRP: Descripción de sistemas de información críticos Identificación de bancos de datos críticos Descripción de procesos de resguardo Descripción de procesos de recuperación Escenarios primarios cubiertos Soluciones alternas priorizadas y convenios Equipos de trabajo y recursos externos Actualización, pruebas o simulacros


Proceso operar escenario desastre:

Acaece evento catastrófico o extraordinario Respuesta o reacción inmediata Resumir operaciones críticas ASAP Recuperar otras funciones no inmediatas Restaurar operaciones normales


“Computer Emergency Response Team”Organización creada por CMU para responder a escenarios de ataque contra sus sistemas. Actualmente es modelo para una red internacional de centros que proveen respaldo

y publican información sobre eventos de riesgo.

CERT Equipo de trabajo institucional para asumir responsabilidad directa del proceso de reaccionar ágilmente a incidentes o eventos de riesgo.


¿Quiénes deben integrar el CERT? CIO CSO Network manager Sistems manager Technical support for critical equipment/services RO for critical functional/service areas Physical security manager/officer Public relations representative

Administradores de servicios de Administradores de servicios de seguridad seguridad (“Managed security services”)(“Managed security services”)

Descripción de MSS ¿Por qué contratar fuera? ¿Cuánto debe contratarse fuera? ¿Qué debe asegurarse fuera? Proceso de selección de un proveedor


¿En qué consiste la administración de servicios de seguridad? Administrar Firewalls Autenticar usuarios Establecer y administrar VPN’s Implantar y mantener filtros de contenido Detectar intrusos Escudriñar virus Colaborar en reaccionar a eventos de penetración


¿Por qué contratar terceros? Costo total de operación menor Personal técnico capacitado escaso Inversión de tiempo y esfuerzo en operar

proceso continuo Reducción de riesgos al integrar peritos Necesidad de adiestramiento continuo Tamaño de la organización y volumen


¿Cuánto debe contratarse a terceros?El mínimo necesario.

¿Qué debe contratarse a terceros? Respaldo técnico Respaldo operacional Respaldo para recuperación

Criterios de contratación: Servicios vs. necesidades “Service level agreements Infraestructura del SOC Referencias

Seguridad en el Web e InternetSeguridad en el Web e Internet

Políticas y procedimientos básicos Diseño de la(s) aplicación(es) Diseño de la infraestructura Operación de seguridad Integración de las partes


Políticas básicas: Uso y protección de tecnología y recursos Uso de Internet y de correo electrónico Manejo de cuentas y claves de acceso de usuarios Servicios autorizados y no autorizados Protección de la confidencialidad, integridad y privacidad de

la información Derechos de propiedad industrial e individual Prohibiciones relativas a la responsabilidad legal

Procedimientos mínimos: Administración de sistemas Configuración y copias de resguardo Metodologías o estándares de diseño


Desarrollo de políticas o procedimientos: Revisar modelos o “best practices” Definir qué es importante para la organización Determinar comportamiento aceptable Identificar las partes (“stakeholders”) Formular bosquejo Desarrollar e implantar Allegar adeptos Divulgar Emplearla adecuadamente


Diseño de la(s) aplicación(es): Integración de requerimientos de autenticación Integración de seguridad Jerarquía o niveles de autorización Tipos de permiso o privilegios Tracto de transacciones Registro de sesiones Validación de insumo Recuperación o restauración en caso de errores


Diseño y mantenimiento de la infraestructura: Niveles de Firewalls Ubicación en DMZ Segmentación de “clusters” Conexividad entre segmentos y servidores Integración de VPN’s y VLAN’s Configuración y actualización de los sistemas

operativos Documentación, implantación y fiscalización de

cambios

PreguntasPreguntas

ReferenciasReferencias

Tanenbaum, Computer Networks Maiwald, Network Security Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment Gast, Seven security problems of 802.11 Wireless www.80211-planet.com: Wireless Privacy: An Oxymoron (April 26,

2001) Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO

Insight July 2002) Trilling, How to tighten loose security in wireless networks?

(Computerworld Feb.12,2003) daCruz, Safe networking computing (Columbia U., Sep 2001) McHugh,Christie & Allen, The role of intrusion detection systems

(IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked systems (STSC

Crosstalk Oct, 2000)