Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados

  • Published on
    02-Apr-2015

  • View
    104

  • Download
    1

Embed Size (px)

Transcript

<ul><li> Diapositiva 1 </li> <li> Diapositiva 2 </li> <li> Seguridad de los Recursos de Informacin GSI732 Carmen R. Cintrn Ferrer 2003, Derechos Reservados </li> <li> Diapositiva 3 </li> <li> Mdulos Introduccin Principios de seguridad Tecnologas de seguridad Redes inalmbricas y usuarios mviles Entorno del comercio-e Implantacin de programas de seguridad Perspectivas sociales y futuras Referencias </li> <li> Diapositiva 4 </li> <li> Mdulo Implantacin de programas de seguridad Planificacin del proceso Establecer un programa de seguridad Avalar el margen de vulnerabilidad (Security assessment) Administradores de servicios de seguridad (Managed security services) Respuesta y recuperacin Seguridad en el Web e Internet </li> <li> Diapositiva 5 </li> <li> Seguridad de sistemas Planificacin del proceso Proceso de seguridad Avalo Adoptar polticas Adiestrar Auditar programa Implantar el programa </li> <li> Diapositiva 6 </li> <li> Seguridad de sistemas Planificacin del proceso FASE PlanificarCorregirActualizarUtilizar Recopilar Avalo de sistemas y servicios en uso Avalo nuevos sistemas Verificar uso continuo Adoptar Polticas Informacin Seguridad Revisar procesos DRP Probar procesos Revisar polticas Implantar Parchar sistemas crticos Nuevos sistemas seguridad y Cambios procesos Actualizar versiones de sistemas Adiestrar Desarrollar y ofrecer talleres con regularidad Auditar Itinerario verificar procesos y polticas </li> <li> Diapositiva 7 </li> <li> Implantacin de un Programa de seguridad 1. Identificar personal responsable (CERT) 2. Establecer y documentar procesos crticos 3. Definir requerimientos para incrementar seguridad (CSO y RO) 4. Comunicar y diseminar programa de seguridad 5. Auditar y fiscalizar implantacin </li> <li> Diapositiva 8 </li> <li> Implantacin de un Programa de seguridad 1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueos de los recursos (RO) Comit de emergencias (Corporate Emergency Response Team) Integrar personal de IT Integrar personal de las reas crticas Integrar personal de seguridad organizacin Consultores o personal de emergencias externo </li> <li> Diapositiva 9 </li> <li> Implantacin de un Programa de seguridad 2. Establecer y documentar procesos crticos: Avalo de riesgos potenciales y priorizacin Clasificacin de los records o archivos de informacin (fsicos y electrnicos) Determinar fuentes de posible riesgo y medidas de seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser atendidos por el programa de seguridad Definir los niveles de acceso y controles: Procesos para administrar el acceso de usuarios, acorde a su desempeo o necesidad (Roles facilita scalability) Establecer controles (centralizado-descentralizado) Adoptar polticas para implantar los controles negociados Implantacin tcnica y asignacin de recursos (TIP) </li> <li> Diapositiva 10 </li> <li> Implantacin de un Programa de seguridad 3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueos de los recursos (RO) Proponer soluciones que contraresten o minimizen los riesgos ponderados Centrarse en recursos crticos y riesgos probables Evaluar best practices Negociar plan de accin y pasos a seguir Definir medidas para evaluar implantacin exitosa </li> <li> Diapositiva 11 </li> <li> Implantacin de un Programa de seguridad 4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensin y del impacto potencial de los riesgos (awareness program) Educar sobre cmo su comportamiento es afectado por las polticas y procedimientos de seguridad vigentes o propuestas Integrar diversos mecanismos de difusin: Talleres o conferencias Folletos Pginas de WEB Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribucin del proyecto </li> <li> Diapositiva 12 </li> <li> Implantacin de un Programa de seguridad 5. Auditar y fiscalizar (monitor) Probar o validar el programa continuamente: Integrar las herramientas y tcnologas recientes Identificar cambios o amenazas y reaccionar con agilidad Configuracin y Control Escudriar y vigilar intrusos o acceso indebido Responder gilmente a los incidentes reportados Analizar los datos referentes a eventos o incidentes de violacin (Forensics) Notificar y cuantificar la ejecucin del programa </li> <li> Diapositiva 13 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Descripcin del proceso Plan de evaluacin Tipos de prueba Revisin del programa de seguridad Auditora de seguridad Avalo de riesgos </li> <li> Diapositiva 14 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) En qu consiste? Determinar dnde estamos y dnde debemos estar Cules pasos debo seguir? Recopilar polticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (best practices) Comparar realidad operacional contra objetivos </li> <li> Diapositiva 15 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Por qu hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el permetro de seguridad institucional Identificar los principales aspectos de seguridad que ameritan proyectos particulares Revisar y actualizar las polticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de adiestramientos sobre seguridad Determinar las reas de mayor riesgo para avalar los planes de BCP y DRP </li> <li> Diapositiva 16 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Quin debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la divisin de seguridad Nuestros proveedores de HW/SW/OS Consultores externos </li> <li> Diapositiva 17 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) reas a examinar: Sistemas Red(es) Organizacin Tipos de prueba: Pruebas de penetracin Pruebas de vulnerabilidad </li> <li> Diapositiva 18 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Objetivos de las pruebas de penetracin: Detectar ataques o posibles ataques Prevenir ataques Detectar violacin a polticas y procedimientos Hacer cumplir polticas y procedimientos Detectar huecos en conexiones Operacionalizar polticas sobre conexin Recopilar evidencia </li> <li> Diapositiva 19 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Pruebas de vulnerabilidad (vulnerability test): Automticas mediante escudriadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio Verificadores de conexiones piratas (fax/modem, WLan) Manuales Experto verifica las listas, clasifica las deficiencias o posibles deficiencias Explora otras opciones menos obvias </li> <li> Diapositiva 20 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Pruebas de intrusin: Stealth scans Identifican huecos en sistemas Port Scans Trojan scans Pruebas de vulnerabilidad: File snooping Compromised systems </li> <li> Diapositiva 21 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Frecuencia del proceso: Anualmente como mnimo Depende del tipo y proporcin de presencia WEB Inversin en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daos Resultados del proceso: Medidas de seguridad adicionales o ms robustas Revisin y actualizacin de las polticas y procedimientos </li> <li> Diapositiva 22 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Ejercicios: Web page defacement Web server protegido por FW y todo trfico bloqueado excepto P80 Trfico inexplicablemente voluminoso servidor de Web/FTP indica uso intenso de discos Archivos modificados por desconocido cambios en archivos encontrados por integrity checker Servicio no autorizado en sistema interno se encuentra un servicio nuevo en el servidor Usuario activa servicios Web en su mquina Desaparece el systems log se encuentra en hidden folder un proceso de actualizacin desconocido. </li> <li> Diapositiva 23 </li> <li> Avalar el margen de vulnerabilidad (Security assessment) Ejercicios: Red lenta por trfico conflictivo Alarma de ataque a un router Servidor de correo lento y con volumen excesivo Alarma de ataque a la red Amenaza a un ejecutivo de extorsin con sistemas </li> <li> Diapositiva 24 </li> <li> Respuesta y recuperacin (Response and Recovery) Respuesta a incidentes Continuidad en operaciones CERT </li> <li> Diapositiva 25 </li> <li> Respuesta y recuperacin (Response and Recovery) Enfoques pasivos de respuesta: Recoger informacin y notificar para accin a autoridad correspondiente Obviar confianza en nivel de seguridad operacional o por abandono Levantar bitcoras o recoger informacin en servidores dedicados Notificar personal de seguridad de acuerdo a la severidad del incidente </li> <li> Diapositiva 26 </li> <li> Respuesta y recuperacin (Response and Recovery) Enfoques activos de respuesta: Actuar rpidamente evitando afectar operaciones o aislar usuarios vlidos. Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o permanentemente Engaar al posible atacante hacindole creer que no ha sido descubierto (Honey pots) </li> <li> Diapositiva 27 </li> <li> Respuesta y recuperacin (Response and Recovery) Respuesta a incidentes: Penetracin, intrusin o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activacin de procedimiento para confrontarlo Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evidencia y documentar hallazgos Integrar nivel gerencial adecuado Proteger la organizacin </li> <li> Diapositiva 28 </li> <li> Respuesta y recuperacin (Response and Recovery) Establecer parmetros: Definir nmero de conexiones esperado Sensibilidad de los sensores automticos Velocidad de respuesta de la red Vulnerabilidades conocidas Peritaje del personal tcnico Peritaje de usuarios Consecuencias de falsas alarmas Consecuencias de incidentes no detectados </li> <li> Diapositiva 29 </li> <li> Respuesta y recuperacin (Response and Recovery) Revisin del programa de seguridad: Corregir brechas reveladas por auditoras o por informes de programas integrados Armonizar con los cambios en el entorno: Tecnolgico Operacional/procesal Legal Divulgar modificaciones a la comunidad </li> <li> Diapositiva 30 </li> <li> Respuesta y recuperacin (Response and Recovery) Riesgos: Amenazas que atentan contra la vulnerabilidad en seguridad de la organizacin o sus recursos. Elementos del riesgo: Agentes quienes originan la amenaza Eventos tipo de accin o suceso Objeto o blanco servicios de seguridad Dimensin del riesgo: Costo o impacto Probabilidad de ocurrencia: best/worst/most likely Medidas para afrontar o compensar </li> <li> Diapositiva 31 </li> <li> Respuesta y recuperacin (Response and Recovery) Plan de Continuidad de Operaciones (BCP): Herramienta para anticipar riesgos, su impacto y definir pasos a seguir para mantener o restaurar las operaciones crticas en su nivel operacional adecuado. Plan de Recuperacin de Desastres (DRP): Bosquejo documental detallando los pasos en la secuencia adecuada para restaurar operaciones basadas en sistemas de informacin. </li> <li> Diapositiva 32 </li> <li> Respuesta y recuperacin (Response and Recovery) Componentes y etapas del BCP: Evaluacin y minimizacin de riesgos Analisis y cuantificacin de impacto(s) Formulacin de estrategias Identificacin de solucin(es) de emergencia Desarrollo, implantacin y pruebas Divulgacin y adiestramiento Relaciones pblicas y manejo de crisis Actualizacin y mantenimiento </li> <li> Diapositiva 33 </li> <li> Respuesta y recuperacin (Response and Recovery) Componentes del DRP: Descripcin de sistemas de informacin crticos Identificacin de bancos de datos crticos Descripcin de procesos de resguardo Descripcin de procesos de recuperacin Escenarios primarios cubiertos Soluciones alternas priorizadas y convenios Equipos de trabajo y recursos externos Actualizacin, pruebas o simulacros </li> <li> Diapositiva 34 </li> <li> Respuesta y recuperacin (Response and Recovery) Proceso operar escenario desastre: Acaece evento catastrfico o extraordinario Respuesta o reaccin inmediata Resumir operaciones crticas ASAP Recuperar otras funciones no inmediatas Restaurar operaciones normales </li> <li> Diapositiva 35 </li> <li> Respuesta y recuperacin (Response and Recovery) Computer Emergency Response Team Organizacin creada por CMU para responder a escenarios de ataque contra sus sistemas. Actualmente es modelo para una red internacional de centros que proveen respaldo y publican informacin sobre eventos de riesgo. CERT Equipo de trabajo institucional para asumir responsabilidad directa del proceso de reaccionar gilmente a incidentes o eventos de riesgo. </li> <li> Diapositiva 36 </li> <li> Respuesta y recuperacin (Response and Recovery) Quines deben integrar el CERT? CIO CSO Network manager Sistems manager Technical support for critical equipment/services RO for critical functional/service areas Physical security manager/officer Public relations representative </li> <li> Diapositiva 37 </li> <li> Administradores de servicios de seguridad (Managed security services) Descripcin de MSS Por qu contratar fuera? Cunto debe contratarse fuera? Qu debe asegurarse fuera? Proceso de seleccin de un proveedor </li> <li> Diapositiva 38 </li> <li> Administradores de servicios de seguridad (Managed security services) En qu consiste la administracin de servicios de seguridad? Administrar Firewalls Autenticar usuarios Establecer y administrar VPNs Implantar y mantener filtros de contenido Detectar intrusos Escudriar virus Colaborar en reaccionar a eventos de penetracin </li> <li> Diapositiva 39 </li> <li> Administradores de servicios de seguridad (Managed security services) Por qu contratar terceros? Costo total de operacin menor Personal tcnico capacitado escaso Inversin de tiempo y esfuerzo en operar proceso continuo Reduccin de riesgos al integrar peritos Necesidad de adiestramiento continuo Tamao de la organizacin y volumen </li> <li> Diapositiva 40 </li> <li> Administradores de servicios de seguridad (Managed security services) Cunto debe contratarse a terceros? El mnimo necesario. Qu debe contratarse a terceros? Respaldo tcnico Respaldo operacional Respaldo para recuperacin Criterios de contratacin: Servicios vs. necesidades Service level agreements Infraestructura del SOC Referencias </li> <li> Diapositiva 41 </li> <li> Seguridad en el Web e Internet Polticas y procedimientos bsicos Diseo de la(s) aplicacin(es) Diseo de la infraestructura Operacin de seguridad Integracin de las partes </li> <li> Diapositiva 42 </li> <li> Seguridad en el Web e Internet Polticas bsicas: Uso y proteccin de tecnologa y recursos Uso de Internet y de correo electrnico Manejo de cuentas y claves de acceso de usuarios Servicios autorizados y no autorizados Proteccin...</li></ul>