Seguridad de la Informacin Preservacin de la Confidencialidad, Integridad y Disponibilidad de la informacin. Triada de la Seguridad.

Confidencialidad La informacin debe ser divulgada solo a personas y procesos autorizados. Integridad La informacin debe estar libre de modificaciones no autorizadas Disponibilidad La informacin debe encontrarse a disposicin de quienes deben acceder a ella. Seguridad de la Informacin : Directiva Norma la operacin de la seguridad de la Informacin. Seguridad Informtica : Ejecutiva Ejecuta las acciones dirigidas por la seguridad de la Informacin. Control de Acceso. Control de acceso (red) opera a nivel de capa de red Def: Es aquel que permite o deniega el acceso a recursos de red: Ej: Listas de control de acceso , acceso a una red WI-Fi. Control de acceso (plataforma) opera a nivel de capa de sesin Def: Es aquel que permite o deniega el acceso a los recursos a nivel de sistema operativo o plataforma. EJ: login de Windows o Linux. Control de acceso (aplicaciones) opera a nivel de capa de aplicacin. Def: Es el que permite o deniega el acceso a aplicaciones de alto nivel Ej: Acceso al portal de un banco

Control de Acceso a la red (NAC) Objetivo: Mitigar los ataques de da cero (Son aquellos ataques de los que NO existen antecedentes. ) Filosofa de NAC Pre y Pos -admision (revisin a la conexin a la red) Con agente (para usuarios internos) Sin agente (para usuarios externos o dispositivos) Cuarentena o portal cautivo (zona de seguridad intermedia) Hoy el mtodo mas utilizado se denomina RBAC (Control de Acceso Basado en Roles) Roles : Asignacin de privilegios segn su funcin en la organizacin. Basa los privilegios del usuario en su Rol en la organizacin. Ej: Lder de Proyecto , Administrador de Sistemas .

Otros modelos de Control de Acceso Modelo usuarios con PAC A cada usuario se le asigna un PAC (Certificado de Atributos de Privilegio) Modelo de Sistema Centralizado : Se instalaba un agente en cada servidor que controlaba el acceso Modelo de Sistema Distribuido Se utiliza en aplicaciones cliente/servidor , usa el concepto de token

Modelo PKI Es el mas utilizado en la actualidad, basado en Certificados Digitales. La regulacin de la seguridad es delegado a un tercero, llamado CA (Autoridad Certificadora)

La CA tiene la autoridad para entregar los Certificados Digitales. La CA publica peridicamente las CRL (Listas de revocacin). LA CA debe ser una autoridad reconocida El formato de los certificados es X.509 versin 3 Amenazas al Control de Acceso Qu dice ISO27000 sobre Control de Acceso? Gestin de acceso de usuario. Gestin de privilegios. Gestin de contraseas de usuario. Revisin de los derechos de acceso de los usuarios. Registro de actividad de un usuario.

Definicin de Amenaza: Tipo de accin que tiende a ser daina, en el caso de la Seguridad Informtica es que la Informacin pierda algunos de sus atributos: Confidencialidad Integridad Disponibilidad El tro perfecto !!! Amenaza Accin que tiende a ser daina Vulnerabilidad Falla en el sistema de sistema de proteccin Ataque Explotacin de una vulnerabilidad en forma exitosa

Mtodos de ataques: Ataque de Diccionario (Prueba utilizando todas las letras del diccionario) Fuerza Bruta (Prueba de combinaciones de letras hasta lograr la combinacin) Spoofing (Suplantacin de identidad). Denegacin de Servicio (DoS y DDoS) (Sobrecarga de los recursos computacionales) Hombre en el Medio (Robo de credenciales interceptando la comunicacin) Spamming (Mensajes no deseados en gran cantidad). Def: Conjunto de acciones tendientes a disminuir el riesgo o el impacto de un incidente. Consta de 4 fases : F1: Deteccin de amenazas Evaluacin de posibles amenazas en funcin de los atributos de la Informacin. Las amenazas se clasifican en funcin de su probabilidad de ocurrencia. F2: Deteccin de vulnerabilidades Se deben clasificar en funcin de los activos informticos involucrados. Se clasifican segn su nivel de riesgo, es decir el nivel de dao que pueden causar F3: Polticas de prevencin Es un conjunto de acciones tendientes a prevenir incidentes de seguridad. Se evala su efectividad en caso de ocurrir un incidente. Se priorizan en funcin de las amenazas y vulnerabilidades. F4: Recuperacin ante desastres Se aplican para recuperar informacin en caso de que ocurra un incidente. Administracin de la Seguridad Def: - Conjunto de polticas para realizar una administracin eficiente de la Seguridad de la Informacin La herramienta mas utilizada para este efecto es el Sistema de Gestin de la Informacin (SGSI), propuesta por la norma ISO 27001 un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): Alcance Plan de tratamientos de Riesgos Poltica Procedimientos documentados Procedimientos Registros Evaluacin de Riesgos Declaracin de aplicabilidad Procedimiento de Seguridad

Segn ISO 27001 se proponen 4 fases Fase 1: Planear Plan: Establecer el SGSI Alcance Poltica de seguridad Metodologa de evaluacin de riesgo Identificar los riesgos Analizar y Evaluar los riesgos Fase 2: Hacer DO: Utilizar el SGSI Definir un plan de tratamiento de riesgos Implantar el Plan de Riesgos Implementar controles Gestionar la operacin del SGSI Gestionar recursos Fase 3: Revisar - Check: Monitorear y revisar el SGSI Ejecutar procedimientos de monitoreo y revisin Revisar la efectividad del SGSI Medir la efectividad de los controles Actualizar los planes de seguridad Registrar acciones y eventos Fase 4: Actuar Act: Mantener y mejorar el SGSI Implantar las mejoras identificadas Aplicar las acciones correctivas y preventivas Comunicar las acciones y mejoras Asegurar cumplimiento de los objetivos a travs de los cambios introducidos

Riesgo

Es una accin posible que pueda causar la perdida total o parcial de los atributos de la Informacin (C, D, e I). Depende del posible dao que pueda producir. RIESGO = Amenaza * Vulnerabilidad * Impacto Amenaza: Nos da una idea de la probabilidad de ocurrencia. Vulnerabilidad: Nos da una idea del valor de la falla y de su grado de exposicin. Impacto: Nos da una idea del valor del dao que se podra causar. Fases del Ciclo de Administracin del Riesgo Identificacin Anlisis Planificacin Monitoreo y Control

Clculo de Riesgo

En seguridad Informtica existen dos clase de Riesgo: Riesgo Cuantitativo: Evala la posible perdida en dinero producto del riesgo. Ej: compaas de seguro . Riesgo Cualitativo: Evaluar el riesgo segn valores estimados basados en criterios. Ej: Matriz de riesgo. Para esto se utiliza la formula de: ARO: Razn de Ocurrencia Anual SLE: Prdida Esperada Simple ALE: Prdida Esperada Anual ALE = ARO * SLE SLE = Valor del Activo * Factor de Exposicin

Una empresa sufre un ataque DoS con una probabilidad de 10% de ocurrencia por ao, cada vez indispone el servidor se produce una perdida de USD 40.000. Calcular ALE. ARO = 10% SLE = USD 40.000 ALE = USD 4.000 por ao

En una compaa trabajan 200 usuarios que producen USD 20 por hora cada uno, se acaban de conectar a Internet lo que produce un ndice de falla anual de 40%, cada vez que ocurre un incidente, se demoran 3 horas en restablecer la red. Calcule ALE y SLE ARO = 40% SLE = USD 20 * 200 *3 = USD 12.000 ALE = USD 4.800 por ao

Una empresa de comercio electrnico vende USD 10.000 por hora, a travs de su portal web. Histricamente ha sufrido un ataque que inutiliza el servidor con 15% de probabilidad anual y TI se demora 2 horas en reponerlo, el costo del servidor es de USD 6.000. Calcular ALE ARO = 15% SLE = USD 10.000 * 2 +USD 6.000 ALE = 15%* USD 26.000 ALE = USD 3.900 por ao

Si esta misma empresa tiene su sitio de ventas replicados en otro site, por lo tanto en caso de ocurrir el incidente solo pierde la mitad de las ventas. Factor de exposicin = 50% ARO = 15% SLE = (USD 10.000 * 2 +USD 6.000 ) *50% ALE = 15%* USD 13.000 ALE = USD 1.950 por ao

Pregunta 1: Activo 1: USD 20.000 Activo 2: USD 50.000 Activo 3: USD 5.000 ARO = 20% ALE 1 = USD 20.000 * 20% = USD 4.000 por ao ALE 2 = USD 50.000 * 20% = 10.000 por ao ALE 3 = USD 5.000 * 20% = USD 1.000 por ao ALE Total = ALE 1 + ALE 2 + ALE 3 = USD 15.000 por ao ALE Total = ALE 1 + ALE 3 = USD 5.000 por ao Ahorro = USD 10.000 por ao. Pregunta 2: ARO = 10% N = cantidad de empleados SLE = USD 30 * 2 * N Sin antivirus ALE = 60 * N *10% = 6 *N Con antivirus ALE = 60 * N *1% = 0,6 * N Tenemos que la diferencia es de USD 5.400 por ao: ALE ALE = USD 5.400 por ao 6 * N 0,6 * N = 5.400 = > N = 1.000 usuarios ALE = 60 * N *10% ALE = USD 6.000 por ao Costo mximo es = Costo mximo = USD 6 por usuario. Pregunta 3: Antes: SLE = USD 10.000 * H H : cantidad de horas ARO = 30% ALE = USD 10.000 * H * 30% = 3.000 * H Despus: SLE = USD 15.000 * H * 50% ALE = USD 15.000 * H * 50% * 30% = 2.250 * H Ahorro = 3.000 * H 2.250 * H = 3000 H = 4 horas ARO = 20% SLE = USD 10.000 * 5 (antes) SLE = USD 50.000 SLE = 15.000 *5 *50% (despus) SLE = USD 37.500 Valor = ALE ALE = (50.000 37.500) * 20% Valor = USD 2.500 por ao

Factor de Riesgo Nos indica el valor general de riesgo de todos los activos involucrados en el anlisis: Factor de riesgo = Riesgo Mximo = Cant. Riesgos * Max. Impacto * Max. Probabilidad Riesgo Total = sumatoria de todos los riesgos.