SEGURIDAD DE LA INFORMACION

CONTENIDO

Importancia de la Seguridad de la Informacin Exposiciones y Controles de Acceso Lgico Auditora de la Seguridad de la Informacin Exposiciones y Controles Ambientales Exposiciones de Acceso Fsico y Controles

IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACION

Los objetivos de seguridad para satisfacer los requerimientos del negocio de la organizacin incluyen los siguientes:
Asegurar la continua disponibilidad de sus sistemas de

informacin Asegurar la integridad de la informacin almacenada en sus sistemas informticos Preservar la confidencialidad de los datos sensibles Asegurar el cumplimiento de las leyes, regulaciones y estndares aplicables

Elementos clave relacionados

Compromiso y soporte de la gerencia
Piedra angular para el establecimiento y continuacin del programa

Polticas, normas, procedimientos

Poltica: declaracin concisa de instrucciones de alta gerencia
Importancia de la informacin Necesidad de la seguridad Importancia en la definicin de activos sensitivos Funciones y responsablidades

Normas: directrices a seguir Procedimientos: como se implementan o cumplen las normas

Elementos clave relacionados

Organizacin
La poltica provee una orientacin general de responsabilidades, debe ser suplementado donde sea necesario con designaciones detalladas de roles y responsabilidades para los sitios y servicios

Conciencia de Seguridad y Educacin Entrenamiento apropiado y peridico

Polticas de Seguridad Normas Responsabilidades legales Uso de las facilidades Uso y tratamiento de la informacin

Elementos clave relacionados

Conciencia de Seguridad y Educacin Mecanismos
Pginas web Correos electrnicos Videos Boletines impresos Cursos e-learning Incidentes simulados Auditoras peridicas de cumplimiento (clean desk) Cursos presenciales

Elementos clave relacionados

Conciencia de Seguridad y Educacin Monitoreo y Cumplimiento
Analizar la efectividad de los programas de seguridad y de los controles establecidos

Tratamiento y respuesta a incidentes

Incidente de seguridad: evento adverso que amenaza alguno de los objetivos de las poltica de la informacin

Roles y Responsabilidades de la Gestin de la Seguridad de la Informacin

Comit de direccin de seguridad de SI: conformado por

usuarios finales, gerencia ejecutiva, administracin de problemas, establecer y aprobar polticas de seguridad Gerencia ejecutiva: proteccin de los activos de informacin Grupo asesora en seguridad: revisin de los planes de seguridad de la organizacin Director de privacidad: Articula y hace cumplir las polticas que las empresas utilizan para proteger los derechos de privacidad de sus clientes y empleados Director de Seguridad: Articula y hace cumplir las polticas que las compaas utilizan para proteger sus activos de informacin

Roles y Responsabilidades de la Gestin de la Seguridad de la Informacin

Propietarios de procesos: Aseguran que las medidas

apropiadas de seguridad son consistentes con la poltica de la organizacin y que se mantienen Propietarios de los activos de informacin y propietarios de los datos: Determinan los niveles de clasificacin de los datos Usuarios: Cumplen con los procedimientos establecidos en la poltica de seguridad Tercera Partes: Especialistas /Asesores de Seguridad: Promulgan, asisten en el diseo, implementacin, administracin de las polticas, normas, procedimientos de SI Desarrolladores TI: Implementan la SI Auditores SI: Garanta independiente a la gerencia de lo apropiado o efectivo de los objetivos de SI

Inventarios de Activos de Informacin

Identificacin clara y distintiva del activo Ubicacin Clasificacin de seguridad / riesgo Grupo de activos (cuando el activo forma

parte de un sistema ms grande de informacin) Propietario

Clasificacin de Activos de Informacin

Para que se clasifican? Para poder aplicar los controles de seguridad que permitan cumplir con las directrices de acceso establecidos por la gerencia Base para el anlisis de riesgo Reduce el riesgo o costo de sobreproteger o sub proteger los recursos al vincular la seguridad con los objetivos del negocio Que se debe tomar en cuenta: Sensibilidad Criticidad Requerimientos legales

Clasificacin de Activos de Informacin

La clasificacin de la informacin como una medida de control debe definir Quin es el propietario de la informacin Quin tiene derechos de acceso y derecho a hacer qu El nivel de acceso a ser otorgado Quin es responsable de determinar los derechos de acceso y los niveles de acceso Qu aprobaciones se necesitan para tener acceso A QUE AMBIENTES APLICA?

Permisos de Acceso al Sistema

Lgicos: Medio tcnico para controlar que informacin

puede utilizar, que aplicaciones o transacciones pueden ejecutar y que modificaciones pueden ejecutar Fsicos: Control de ingreso a instalaciones donde se encuentran equipos de cmputo, comunicaciones, medios magnticos AUTORIZACIONES DEBEN SER VALIDADAS Cambios de personal Salida de personal Cambio de funciones de las reas Aplica a todo tipo de empleado Auditores acceso de solo lectura

Controles de Acceso Obligatorios y Discrecionales

Obligatorios: Hacen cumplir la poltica corporativa de la seguridad Lo configura el administrador Discrecionales: El dueo de la informacin define la comparticin de los accesos

FCE para la Administracin de SI

Poltica de Seguridad de la Informacin Compromiso y soporte por parte de la alta gerencia sobre entrenamiento de seguridad
Entrenamiento adaptado a diferentes necesidades de seguridad Adm BDD, entrenamiento tcnico Gerentes, entrenamiento que muestre vinculacin entre la gestin de SI y las necesidades de la organizacin

Enfoque profesional basado en riesgo

Seguridad de la Informacin y Terceros

Cualquier acceso a las instalaciones de

procesamiento de informacin y procesamiento y comunicacin de informacin por terceros debe ser controlado Llevar a cabo una evaluacin de riesgo para determinar las implicaciones y requerimientos de control de seguridad Los controles deben ser aceptados y definidos en un contrato con la parte externa

Seguridad de los Recursos Humanos y Terceros

Filtrado Trminos y condiciones de empleo Durante el empleo Retiro de los Derechos de Acceso

Problemas y Exposiciones del Crimen Informtico

Amenazas Prdida financiera Repercusiones legales Prdida de credibilidad o ventaja competitiva Chantaje / espionaje industrial Revelacin de informacin confidencial, sensitiva o embarazosa sabotaje Cuando se sospecha de un crimen.

Problemas y Exposiciones del Crimen Informtico

Posibles perpetradores
Hackers Script kiddies Crackers Empleados (autorizados o desautorizados)
Personal de SI Usuarios finales

Exempleados Interesados o especialistas Personal a tiempo parcial Terceros Ignorante accidental

Exposiciones y Controles de Acceso Lgico

Los controles de acceso lgico son el medio primario para administrar y proteger los activos de informacin Exposiciones de Acceso Lgico Caballo de troya: cdigo malicioso o fraudulento dentro de un programa autorizado o pseudo autorizacin de computadora Redondeo hacia abajo: Retira pequeas cantidades de dinero de cuentas, asignando montos a cuentas del perpetrador 54.234,59 54.234,55

Exposiciones de Acceso Lgico

Tcnicas Salami: similar a la tcnica de redondeo

hacia abajo la diferencia del monto 54.234,59 54.234,00 Virus Gusanos Bombas lgicas: destruccin o modificacin de informacin a una hora especfica en el futuro Puertas traseras: cdigo que evade los controles de acceso de los programas Filtrado de datos: vaciados de memoria direccionados a una impresora, robo de cintas

Exposiciones de Acceso Lgico

Intercepcin de lneas War driving: recibir datos inalmbricos desde una

laptop Piggybacking Paralizacin /cada computadora

Exposiciones de Acceso Lgico

Familiarizacin con el entorno de la Organizacin

de TI
La red Plataforma de sistema operativo Base de datos Capas de aplicacin

Las vas de acceso lgico

Puntos generales de entrada
Conectividad de red Estaciones de trabajo en lnea o terminales

Acceso Remoto

Software de Control de Acceso

Impedir el acceso y la modificacin no autorizados a los datos valiosos de una organizacin y el uso de las funciones crticas del sistema que incluyen: Mecanismos de identificacin y autenticacin de usuarios Aplicar reglas de limitacin de logon de usuarios Establecer reglas de acceso a recursos especficos de informacin Crear responsabilidad y auditibilidad individuales mediante actividades de logn de usuarios Crear o cambiar los perfiles de usuarios Registrar los eventos Registrar actividad de usuarios

Software de Control de Acceso

Funciones a nivel de base de datos: Crear o cambiar los archivos de datos y los perfiles de la base de datos Verificar las autorizaciones de usuarios al nivel de aplicacin y de transaccin Verificar las autorizaciones de usuarios a nivel del campo para los cambios dentro de una base de datos Verificar las autorizaciones de subsistemas para el usuario al nivel del archivo Registrar las actividades de acceso a base de datos / comunicaciones de datos para monitorear las violaciones de acceso

Identificacin y Autenticacin
Tcnicas: Algo que uno conoce, tiene, es Identificacin de inicio de sesin (logon ID) y contraseas
Caractersticas de las contraseas Sintaxis de las contraseas Donde guardar Periodicidad de cambio Reutilizacin Generacin de contrseas Reseteo Bloqueo Almacenamiento envo Dispositivos de Token (token devices), contrseas de una

sola vez Biomtrica

Identificacin y Autenticacin
Single Sign-on (SSO)

Proceso para consolidar todas las funciones de administracin, autenticacin y autorizacin basadas en la plataforma de la organizacin en una sola funcin administrativa centralizada. Esta funcin proporcionara las interfaces apropiadas a los recursos de informacin de la organizacin que pueden incluir
Sistema cliente-servidor y distribuidos Sistemas de mainframe Seguridad de la red, incluyendo mecanismos de acceso remoto

Identificacin y Autenticacin
Single Sign-on (SSO) Ventajas
No se requieren contraseas mltiples, por lo cual un usuario puede estar mas inclinado y motivado para seleccionar una contrasea ms fuerte Mejora la capacidad de un administrador para gestionar las cuentas y autorizaciones de los usuarios para todos los sistemas asociados Reduce los costos generales administrativos para volver a establecer contraseas olvidadas en mltiples plataformas y aplicaciones Reduce el tiempo que le lleva a los usuarios para conectarse con mltiples aplicaciones y plataformas

Identificacin y Autenticacin
Single Sign-on (SSO) Desventajas
El soporte para todos los principales entornos / ambientes de sistema operativo es difcil. Las implementaciones de SSO a menudo requerirn un nmero de soluciones integradas en una solucin total para la arquitectura de TI de una Empresa Los costos asociados con el desarrollo de SSO pueden ser significativos cuando se considera la naturaleza y el grado de desarrollo y mantenimiento de interfaz que puede ser necesario La naturaleza centralizada de SSO presenta la posibilidad de un solo punto de fallo y peligro total para los activos de informacin de una organizacin

Ingeniera Social
Aspecto humano usado para introducirse en los sistemas informticos. Se basa en las relaciones interpersonales y en el engao. El mejor medio de defensa para la ingeniera social es un programa contnuo de concientizacin de la seguridad, en el cual todos los empleados y terceros sean educados sobre los riesgos involucrados

Phishing
Normalmente toma la forma de un correo electrnico, a pesar de que puede ser un mtodo personal o telefnico, pretendiendo que es una persona autorizada o una organizacin que solicita informacin legtimamente

Problemas de Autorizacin
Tpicas restricciones de acceso a nivel de archivo

incluyen en general lo siguiente: Leer, interrogar o copiar solamente Escribir, crear, actualizar o eliminar solamente Ejecutar solamente Una combinacin de lo anterior Listas de control de Acceso Usuarios (incluyendo grupos, mquinas, procesos) a los que se les ha dado permiso para usar un recurso particular de sistema Los tipos de acceso permitido

Problemas de Autorizacin
Administracin de Seguridad de Acceso

Ambiente centralizado Ambiente descentralizado Ventajas de administrar la seguridad en forma descentralizada La administracin de seguridad est instalada en el mismo lugar de la ubicacin distribuida Los problemas de seguridad son resueltos ms rpidamente Los controles de seguridad son monitoreados con mayor frecuencia

Problemas de Autorizacin
Los riesgos asociados con la responsabilidad

distribuida para administrar la seguridad La posibilidad de que se pudiesen implementar las normas locales en vez de las que requiere la organizacin Los niveles de administracin de seguridad podran estar por debajo de los que pueden mantenerse en una administracin La falta de verificaciones gerenciales y auditoras que a menudo, son proporcionadas por una administracin central para asegurar que se cumplen las normas

Problemas de Autorizacin
Problemas de Acceso con Tecnologa Mvil

Deben ser controlados tanto por poltica como por negacin de uso Prohibir todo uso de dispositivos porttiles en la poltica de seguridad Cuando existen puertos USB no autorizados que se estn usando, deshabilitar el uso con un logon script que los elimine del directorio del sistema Si se consideran necesario para el uso del negocio, encriptar/cifrar todos los datos transportados o almacenados por estos dispositivos

Problemas de Autorizacin
Registros (logging) de Auditora en el Monitoreo de los

Accesos al Sistema Tienen funciones de seguridad que permiten que un administrador de seguridad registre y reporte automticamente todos los niveles de intentos de acceso xitos y fracasos Quin / qu tiene acceso a dichos registros (logs) Cunto tiempo se retienen los registros (punto de registro retencin) Consideraciones de costos Patrones o tendencias que indican abuso de privilegios de acceso, como por ejemplo concentracin de una aplicacin sensitiva Violaciones (como por ejemplo intentar el acceso a archivos informticos que no est autorizado) y/o uso de contraseas incorrectas

Auditora de la Estructura de Seguridad de la Informacin

Revisar las polticas, procedimientos y estndares

escritos Polticas de seguridad de acceso lgico Conciencia y entrenamiento formal de seguridad Propiedad de los datos Los propietarios de los datos Custodios de los datos Administrador de seguridad Nuevos usuarios de TI Usuarios de los datos Autorizaciones documentadas Acceso de empleado terminado Estndar de acceso Bases de seguridad

Auditoras de Acceso Lgico

Familiarizarse con el ambiente / entorno de TI Documentar las vas de acceso Entrevistar al personal de sistemas Revisar los reportes provenientes del

software de control de acceso Revisar el manual de operaciones de los sistemas de aplicacin

Tcnicas para probar la Seguridad

Uso de tarjetas y llaves para el uso de terminales Identificacin de terminales Identificadores de inicio de sesin (logon Ids) y

contraseas Controles sobre los recursos de produccin Bitcora y reporte de las violaciones de acceso a las computadoras Seguimiento de las violaciones de acceso Investigacin de crimen de computadora Proteccin de evidencia y cadena de custodia Evasin de la seguridad y controles compensatorios Revisar los controles de acceso y la administracin de las contraseas

Problemas y Exposiciones Ambientales

Las exposiciones ambientales se deben principalmente a acontecimientos que ocurren naturalmente como por ejemplo tormentas elctricas, terremotos, erupciones volcnicas, huracanes, tornados y otros tipos de condiciones climatolgicas extremas

Problemas y Exposiciones Ambientales

Fallas de energa
Falla total (apagn) Voltaje severamente reducido (caida de voltaje) Depresiones, picos y sobrevoltajes Interferencia electromgntica Panel de control de alarmas Detectores de agua Extintores de incendios Alarmas manuales de incendios Detectores de humo Sistemas de supresin de incendios Ubicacin estratgica de la sala de computadoras

Controles para las exposiciones ambientales

Problemas y Exposiciones Ambientales

Controles para las exposiciones ambientales
Inspeccin peridica por el departamento de bomberos Paredes, pisos y cielorrasos a prueba de incendios alrededor del centro de cmputo Protectores de voltaje Suministro /generador de energa elctrica ininterrumpida Interruptor de energa de emergencia Alambrado colocado en los paneles elctricos y conductos Actividades inhibidas dentro PED Materiales de oficina resistentes al fuego Planes documentados y probados de evacuacin de emergencia

Auditora de Controles Ambientales

Detectores de agua y de humo Extintores manuales de incendio Sistemas de supresin de incendios Inspeccin peridica del departamento de

bomberos Paredes, pisos y cielorrasos a prueba de incendios alrededor de PED Protectores de voltaje

Auditora de Controles Ambientales

Lneas de energa provenientes de dos

subestaciones Plan totalmente documentado y probado de la continuidad del negocio Alambrado colocado en paneles y conductos elctricos UPS / generador Planes documentados y probados de evacuacin durante emergencias Control de humedad / temperatura

Problemas y Exposiciones de Acceso Fsico

Entrada no autorizada Dao, vandalismo o robo de los equipos o

documentos Copia o visualizacin de informacin sensitiva o patentada Alteracin de equipos e informacin sensitivos Revelacin al pblico de informacin sensitiva Abuso de los recursos de procesamiento de datos Chantaje Fraude

Problemas y Exposiciones de Acceso Fsico

Posibles perpetradores
Empleados descontentos Empleados en huelga Amenazados con una accin disciplinaria o con despido Son adictos a un sustancia o al juego Estn experimentando problemas financieros o emocionales Se les haya notificado su despido

Controles de Acceso Fsico

Cerraduras biomtricas Bitcora o registro manual Registro (logging) electrnico Gafetes o carns de identificacin (Ids fotogrficas) Cmaras de video Guardias de seguridad Acceso contralado de visitas Personal afianzado Puertas esclusa No publicitar la ubicacin de las reas sensitivas Bloqueo de las terminales de computadoras Punto nico de entrada controlado Sistema de alarma Carretilla segura de distribucin de reportes /

documentos/

Auditora al Acceso Fsico

Recorrer el centro de procesamiento Pruebas de seguridad fsica