Anytime, Anybody, Anywhere

Enterprise Risk Management

Connect Everywhere www.connecteverywhere.com.mx

Jaime Murow Israel Quiroz (CISSP) 1 Pgina May/05 1

Confidential

www.connecteverywhere.com.mx

Objetivo Administracin del Riesgo de las instalaciones, infraestructura de IT y Activos de negocios de una empresa u organizacin Confidencialidad Integridad Disponibilidad

Confidential

www.connecteverywhere.com.mx

Pgina

2 2

Los negocios hoy en da

Confidential

www.connecteverywhere.com.mx

Pgina

3 3

Identificacin de Problemas
Problemas que afectan a la organizacin: Necesidad de acceder a la informacin en cualquier lugar y a cualquier hora Altos riesgos de tecnologa, fraudes, hacking, ataques, criminal, etc. Surgimiento de Servicios de confianza en terceros Administracin de certificados Falta de personal capacitado y actualizado en seguridad Falta de auditorias de seguridad / vulnerabilidades asociadas Falta de privacidad
Confidential www.connecteverywhere.com.mx
Pgina 4 4

Incremento en la sofisticacin tcnicas de intrusin

Intruder Knowledge High
automated probes & scans sniffers back doors exploting known vulnerabilities self replicating code disabling audits password guessing password cracking sweepers GUI packet spoofing hijacking sessions stealth diagnostics www attacks & incidents DDoS

Tools

Denial Of Service

Attackers

Low

1980

1985

1990

1995

2000

2004

Attack Sophistication
Confidential www.connecteverywhere.com.mx
Pgina 5 5

Como son los ataques

Web Server crack rlogin Trin00 NT Unix NT Unix

Internet Ruteador Unix Firewall

Confidential

Paso 2. El 4. 5. 3. 1: atacante roba explota El realiza Si existen un Seatacante usa informacin las debilidades las claves relaciones escaneo dede sensible para identificadas con puertos, para robadas a travs confianza el utilizarla en los el fin de obtener de firewall. destruir las atacanteo robar intentos de privilegios de informacin explota para obtener administrador en confidencial entrar a las de la privilegios las maquinas Organizacin. maquinas importantes de pblicas o internas. los servicios que desprotegidas. ofrece el servidor.

Mail
IMAP

Red Corporativa Clientes y Estaciones de Trabajo

www.connecteverywhere.com.mx

Pgina

6 6

Que se necesita?
Hacer posible la movilidad de los empleados Proteccin de bienes tangible e intangibles Fortalecer y mejorar la disponibilidad, integridad y confidencialidad de la informacin de la compaa Reducir las vulnerabilidades de la infraestructura de IT Desarrollar las mejores prcticas de seguridad para las tecnologas de informacin Administrar y monitorear la infraestructura de seguridad de la organizacin
Confidential www.connecteverywhere.com.mx
Pgina 7 7

Servicios de Implementacin de Seguridad de TI

Confidential

www.connecteverywhere.com.mx

Pgina

8 8

Portafolio de Soluciones
Productos de Diseo Productos de Diseo
Networking Mobile solutions Architecture Design Best Practices Technical Recommendations E-Business Intelligence IT Infrastructure Assessment Security Assessment Corporate Security Police Secure IT Contracting, Subcontracting & Management

Estrategia Productos de Estrategia Diseo e Integracin Implementacin, Operacin y Administracin

IT Services design based on standards ITIL Security Architecture Security framework design based on standards ISO17999, True Secure Network monitoring tools Analysis and Generation of Web Sites Statistics

Productos Tecnolgicos Connect Everywhere

Corporate VPN Wireless Security Corporate WAN Directory Services Content Filter PKI Infraestructure Secure SSO and Two factor authentication Intrusion Detection and Prevention (IDS & IDP) Enterprise Messaging Voice, Data & Image Seamless Communication Data Security Corporate Applications Network monitoring

Productos de Implementacin, Operacin y Administracin

Applications and system Fine Tunning Data Hosting & ASP Managed Services and Service Center IT cost reduction & optimization Unified access control facility Incident Response Remote Security Administration SOC, Security Operations Center Computer Forensics Intrusion Detection Security Monitoring and Tracebility Platforms Deployment Platforms Migration Platforms Coexistence WarDialing Ethical Hacking Vulnerability Assessment Hardering

Confidential

www.connecteverywhere.com.mx

Pgina

9 9

Seguridad de Activos de IT

Estrategia de Seguridad

Confidential

www.connecteverywhere.com.mx

Pgina

10 10

Confidential

Telecomunicaciones

Proveedores Accionistas

Servicos de Voz

Modelo de Soluciones

Ambiente de Operaciones de IT

Empleados

Seguridad

Aplicaciones Corporativas

www.connecteverywhere.com.mx

Centrso de datos E Infraestructura

Clientes

Servicos de Video

Centro de Servicios

Polticas y procedimientos
Pgina 11 11

Infraestructura Integral de Seguridad

Anlisis de Riesgos Diseo de la Arquitectura Implementacin de la Infraestructura Mantenimiento y Administracin

.

Seguridad

Confidential

www.connecteverywhere.com.mx

Pgina

12 12

Nuestra Metodologa ...

Anlisis de Riesgo

Diseo

Implementacin

Mantenimiento

Basada en estndares internacionales.

Seguridad
Confidential www.connecteverywhere.com.mx
Pgina 13 13

Metodologa

Anlisis de Riesgos
Necesidades y alcance de la seguridad Identificacin de objetivos de negocio Identificacin de activos y procesos de negocio Identificacin y evaluacin de controles Clasificacin y administracin de riesgos Definicin de Estrategia

Diseo
Normas y estndares aplicables Manual de polticas y procedimientos de seguridad Prcticas de seguridad Diseo de la solucin tcnica de seguridad Modelo de acceso de usuarios Implementacin del prototipo de la solucin Equipo de Respuesta a Incidentes (IRT)

Implementacin
Plan de migracin Implementacin de las soluciones tcnicas de seguridad Puesta a punto de la solucin Ejecucin de pruebas Pruebas de penetracin interna y externa

Mantenimiento
Administracin y monitoreo de la seguridad Medicin de la seguridad Anlisis de riesgos peridicos Afinacin de la infraestructura

Confidential

www.connecteverywhere.com.mx

Pgina

14 14

HIPAA Security Presentation to The American Hospital Association

HIPAA Regulations

Confidential

www.connecteverywhere.com.mx

Pgina

15 15

HIPAA: Que es?

Health Insurance Portability and Accountability Act of 1996

Tambin conocido como Kennedy-Kassebaum Act

Legislacin regulatoria de alto impacto

Previene fraudes con el cuidado de la salud para proteger las cuentas financieras de los pacientes

Department of Health and Human Services

Responsable de regulacin Oficina de Derechos Humanos responsable de ejecucin

Vigencia en todos sus puntos desde finales del 2004

Confidential

www.connecteverywhere.com.mx

Pgina

16 16

Que contempla HIPAA

1. Define estndares para proteger la privacidad de la informacin de la salud (PHI) 2. Define estndares para la seguridad en informacin de la salud 3. Define estndares para el intercambio electrnico de informacin de la salud 4. Requiere las acciones tomadas como una sola entidad 5. Regla de privacidad demando el entrenamiento de 25000 miembros del personal de la salud en EU
Confidential www.connecteverywhere.com.mx
Pgina 17 17

Definiciones Informacin de Salud Identificable al Individuo

Relacionado al individuo: provisin de cuidado a la salud del individuo; o al pago por el cuidado de la salud

Protected Health Information (PHI)

Informacin de Salud Identificable al Individuo
Electrnica, Papel, Oral Informacin creada o recibida por un entidad de cuidados de la salud, una autoridad pblica de la salud, un empleador, escuela o universidad

Confidential

www.connecteverywhere.com.mx

Pgina

18 18

Definiciones

Entidades Cubiertas
Proveedor de servicios de salud quien transmite informacin en alguna forma electrnica bajo los estndares de HIPAA
Proveedor de Servicios de Salud significa a un provedor de servicios mdicos o de salud, y cualquier otra persona u organizacin provee, factura o paga por algn servicio mdico o de cuidado de la salud.

Confidential

www.connecteverywhere.com.mx

Pgina

19 19

4 Categoras

1. Procedimietos Administrativos 2. Seguridad Fsica 3. Servicios Tcnicos para seguridad de datos 4. Mecanismos de Seguridad de Datos

Confidential

www.connecteverywhere.com.mx

Pgina

20 20

Procedimientos Adminitrativos 12 Requerimietos 1. Certificacin 2. Acuerdos de Cadenas de Contingencia 3. Planes de Contingencia 4. Mecanismos de procesamiento de registros 5. Control de Acceso a la Informacin 6. Auditorias Internas
Confidential

7. Seguridad del Personal 8. Adminitracin de la configuracin de la seguridad 9. Procedimientos de Respuesta a Incidentes 10. Procesos de adminitracin de la seguridad 11. Procedimientos de terminacin 12. Capacitacin

www.connecteverywhere.com.mx

Pgina

21 21

Controles Fscos: 6 Requerimientos

1. Asignacin de la responsabilidad de la seguridad 2. Seguridad en Medios 3. Controles de acceso fsicos 4. Poltica de uso de las Workstations 5. Seguridad en la locacin de las Workstations 6. Entrenamiento de concienciacin en seguridad informtica
Confidential www.connecteverywhere.com.mx
Pgina 22 22

Servicios tcnicos de seguridad de datos: 5 requerimientos

1. 2. 3. 4. 5.

Controles de Acceso Controles de auditora Controles de autorizacin Autenticacin de datos Autenticacin de la entidad

Confidential

www.connecteverywhere.com.mx

Pgina

23 23

Mecanismos tcnicos de seguridd:1 requerimiento

1. Proteccin de la informacin cuando es transmitida por redes abiertas:

Controles de integridad Autenticacin del mensaje Controles de acceso o cifrado

Confidential

www.connecteverywhere.com.mx

Pgina

24 24

Enfoque Estrategico
Integridad
100% 80%

Banco Gobierno ISP

60% 40% 20%

Informacin

Telco
80%

40% 60%

40% 60% 80% 100%

Otros

100%

Disponibilidad Confidencialidad

Autenticacin de Single Signyyy y Clasificacin por Administracin Infraestructura Redes Privadas Verificacin Respuestas Deteccinde Deteccinde Acuerdos On Biomtricos Balancede Filtrado yde Pruebas de Seguridad Filtrado Rastreo de Planes Polticas Caches Firewalls Antivirus Roles Administracin de Aceleradores de Vulnerabilidades 2Recuperacin Confidencialidad de Integridad y Procedimientos Administracin Cargas factores Contingencia Intrusiones Informacin de Ancho de o Llave y Alta Contenido Intrusin Intrusos mas Pblica Virtuales Fsica URLs Recopilacin de Disponibilidad de Usuarios Aplicaciones Centralizada Incidentes Banda (Firmas Electrnicas y Certificados Digitales) Evidencia

Estrategia de Seguridad de Acuerdo a los Objetivos de Negocio de la Organizacin

www.connecteverywhere.com.mx
Pgina 25 25

Confidential

Servicios y Tecnologas

Confidential

www.connecteverywhere.com.mx

Pgina

26 26

Polticas y procedimientos de Seguridad

Poltica de Seguridad Corporativa (Senior Management Security Statement) Polticas Organizacionales Generales Polticas Funcionales Estndares Obligatorios Guidelines recomendadas (Best Practices) Baselines
Polticas de seguridad Organizacin y Prcticas de Seguridad Control y clasificacin de bienes Seguridad del personal Acatamiento de requisitos legales y contractuales Seguridad fsica y ambiental Continuidad de los negocios Administracin de operaciones y comunicaciones Control de acceso Desarrollo y mantenimiento de sistemas Cumplimiento de la seguridad

ISO 17799

Procedimientos detallados

Confidential

www.connecteverywhere.com.mx

Pgina

27 27

Anlisis, Deteccin y Correccin de Vulnerabilidades

Etapas
Recabacin de Informacin Descubrimientos de vulnerabilidades Identificacin Enumeracin Correccin Internet, Extranet, Internet Sistemas y Bases de Datos
Oracle, Sybase, Microsoft SQL, Informix
1
Inadecuadas listas de control de acceso en los routers Falta de sistemas para deteccin de intrusos y sistemas de logs

2
Inseguros puntos de acceso remoto

3
Servidores crticos en Internet (Web, Mail, Remote DNS, etc) access server

Servidores corriendo servicios innecesarios (FTP, SMTP, DNS)

Mala configuracin en Firewall, Web Server, Mail Server (CGI en web server, FTP annimo, Etc)

Metodologa
6

Servidores crticos internos (Bases de datos, sistemas operativos, aplicaciones)

Falta de actualizacin de los software crticos (Update, path, o fix)

Recopilacin de Informacin Descubrimiento

Alcance

4
Password debiles o ausentes

7
Firewall Excesivos archivos y falta de control de acceso a a los directorios

Internet
Router

8
Circuitos dedicados Usuarios Falta de lineamientos, procedimientos y polticas de seguridad

Identificacin

Metodologa
Uso de herramientas comerciales y pblicas
ISS, Retina, Cybercop Nessus, Satan, Saint, Strobe Scanners de Web

5
Usuarios o cuentas de pruebas con excesivos derechos o privilegios

Enumeracin

10

Correccin

Confidential

www.connecteverywhere.com.mx

Pgina

28 28

Hacking tico (Penetration Testing)

Etapas
Anlisis Descubrimiento Enumeracin Explotacin Correccin A nivel Internet o a nivel Intranet
Dirigido o No-dirigido

Anlisis

Descubrimiento

Enumeracin Obteniendo Acceso Escalacin de privilegios Infiltracin Respaldo y encubrimiento de evidencias Creacin de puertas traseras Bloqueo de servicio
Pgina 29 29

Alcance

Metodologa
Se usan Tcnicas de hacking conocidas como propias Se plantean escenarios de Ingeniera Social Se apoyan en herramientas comerciales como pblicas
Retina, ISS, Nessus

Explotacin

Sniffers, War Dialing

Confidential

www.connecteverywhere.com.mx

Administracin de Identidades
Datos

Aplicaciones Identidades Mtodos Canles

Enterprise Web Phone PDA
92381 jsmith 232-21-8123
Password

wackyj@aol.com

ln = smith fn = john

Confidential

www.connecteverywhere.com.mx

Pgina

30 30

Security Information Management

Soluciones de Seguridad

Confidential

www.connecteverywhere.com.mx

Pgina

31 31

Gracias Israel Quiroz (iquiroz@connecteverywhere.com.mx)

Confidential

www.connecteverywhere.com.mx

Pgina

32 32