ADMINISTRACION DE LA SEGURIDAD INFORMATICA Planes y Respuestas a Contingencias SAD-1205/974 2-3-5...

ADMINISTRACION DE LA SEGURIDAD INFORMATICA

Planes y Respuestas a Contingencias

SAD-1205/974

2-3-5

Dr. Heberto Ferreira Medina. UNAM/ITMorelia hferreir@dsc.itmorelia.edu.mx,

hferreir@itmorelia.edu.mx

Objetivos

• Objetivo de la Materia:• El alumno conocerá metodologías de seguridad y será capaz

administrar la seguridad informática utilizando las principales plataformas y el enfoque de los ISMS.

Estado del arte de la seguridad informática

• Get ahead of cybercrime. EY’s Global Information. Security Survey 2014

• Software Security Assurance. State-of-the-Art Report (SOAR). Joint endeavor by IATAC with DACS

Unidad 1

1. INTRODUCCION. 1.1. OBJETIVOS DE LA SEGURIDAD INFORMATICA.

1.2. DEFINICIONES: AMENAZA, VULNERABILIDAD, RIESGO, CONTROLES.

1.3. ISMS: SISTEMA DE ADMINISTRACION DE LA SEGURIDAD INFORMATICA.

1.4. NORMA ISO-27001.

1.1 Objetivos de la Seguridad Informática

• El mundo cambio de la era industrial a la era de la información• Donde la actividad económica esta basada en transacciones en

la Internet• El reto es proteger la información de actividades maliciosas• Garantizar las comunicaciones seguras obliga a conocer todas

las cosas sobre las que desarrolla la actividad humana de la comunicación

• Las certificaciones se convierten en un referente para los profesionales de esta área

• Areas de Certificación: CCNA, CCNP ROUTE, CCNP SWITCH, CCNP SECURE, CeH, CISSP (ISProfessional), CCSP (IS Cloud), CCNA Security, CCNA Wireless, CCNA Voice, CCVP

• ProfSIMS. http://www.networksims.com/

Seguridad CIA y AAA• CIA (Confidentiality, Integrity and Availability)• AAA (Authentication, Authorization, and Accounting)

Objetivos• La protección ante intrusos es nuestro trabajo• Niveles de protección que debemos considerar:

• Usuario en casa. Como garantiza un acceso seguro en hardware y software

• Data miner/hijacker (secuestro/minero de datos). Esta actividad se convierte en parte muy importante para la seguridad del usuario por el Malware, Spyware (pequeños programas) que infectan y pasan desapercibidos para la mayoría de los usuarios); “Careto”, “CryptoLocker”, “Conficker.c”, etc.

• Espionaje industrial. Este tipo de intrusión es utilizada por empresas competidoras y utilizan todo tipo de herramientas para acceder a empresas “interesantes”.

• Actividades de gobierno. Ataques a internos y externos a la información, deben de construirse planes complejos de contingencia

• Actividades militares a gran escala. Espionaje y contraespionaje son algunas de las actividades, cuando una persona o entidad es el objetivo es muy difícil de protegerse ante estos ataques.

Objetivos• Protección a usuarios, sistemas y datos

1.2 Amenazas, Vulnerabilidad y Riesgos

Amenazas

Amenazas en servicios, seguridad basada en roles y el cómputo en la nube

• Los ecosistemas de negocios y la interconexión es el reto, ¡como garantizar su funcionamiento!

• El costo que hay detrás de los servicios de red es el principal motivo para defenderse de ataques y amenazas

• La ubicuidad y el cómputo móvil agregan un grado de complejidad a la seguridad en los servicios

• Los servicios en la nube es un nuevo reto, ¡cómo garantizar su seguridad!

• La seguridad basada en roles ha logrado resolver el problema de acceso, pero no garantiza la suplantación y los ataques a los servicios

• CiberSociedad• Mitnick, Levin, Snowden, Assange, Anonymous, hackers famosos• Hackers, Crackers, Lamers, Copyhackers, Bucaneros, Phreaker,

Newbie, Scriptkiddie

Seguridad y Cómputo forense• Computo forense es la forma de cómo organizar, establecer,

buscar, ocultar, analizar y preservar evidencias • Como responder ante incidentes• Como organizar las evidencias para conformar un expediente

criminal• Investigación sobre intrusiones a los sistemas• Investigaciones sobre actividad criminal• Investigar infracciones a las políticas de seguridad• Conocer el derecho informático y leyes de criminalización• Conocer leyes sobre el derecho civil• Administrar las leyes y derechos• Cuidar y promover nuevas leyes de seguridad ante nuevos retos

o formas de ataques• Crear herramientas ante futuros cambios

1.3 ISMS -> ISO 27000• Riesgos en la seguridad:

• Espionaje visual• Tergiversar/representación falsa (misrepresentation)• Barrido de lógica (logical scavenging)• Espionaje (eavesdropping)• Interferencia• Ataques físicos• Remoción física. masquerading/spoofing• Interpretación de usuarios/dispositivos• Piggy back. Ataque de agregación (lengüeta)• Spoofing. Suplantación de dispositivos• Weaving. Tejer la red, o crear confusión en la red• Caballos de troya.• Bombas lógicas. Triggers• Gusanos que mutan y saturan la red• Virus• Ataques DoS y DDoS• Ataque incremental• Ataques activos• Puertas traseras• Browsin scrap• Interferencia agresión

1.4 ISO 27002• Planeación continua del negocio• Control de acceso• Adquisición de Sistema, Desarrollo y Mantenimiento• Seguridad física y del entorno• Cumplimiento• Seguridad en el recurso humano• Seguridad en la organización• Administración de las computadoras y la red• Clasificación y control de activos• Políticas de seguridad• Administración de incidentes de seguridad• Análisis de riesgos y planes de contingencia

Análisis de riesgos• Definición

• Podemos definir el riesgo como: la posibilidad de que ocurra algún evento negativo para las personas y/o empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).

Análisis de riesgos• Definición

• Podemos definir el riesgo como: la posibilidad de que ocurra algún evento negativo para las personas y/o empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).

Gestión del riesgo• El análisis de riesgo que tiene como propósito determinar los

componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo

Análisis del riesgo• Una vez clasificada la información, tenemos que verificar los

diferentes flujos existentes de información internos y externos, para saber quienes tienen acceso a que información y datos

Análisis• Riesgo = Probabilidad de Amenaza x Magnitud de Daño

Estimar la Probabilidad de Amenaza • ¿Cuál es el interés o la atracción por parte de individuos

externos, de atacarnos? • ¿Cuáles son nuestras vulnerabilidades?• ¿Cuántas veces ya han tratado de atacarnos?• ¿Cuál es la magnitud del daño en caso de una amenaza

ocurrida?

Magnitud del daño

Administración del riesgo (ontología):

CORAS Framework(Risk Analysis of Security Critical Systems)

Definición de políticos

Reglamento de cómputo (seguridad)• Objetivos• Definición de Roles• Definición de servicios• Acceso a la Red LAN• Acceso a la red WAN• Monitoreo • Sanciones• Tipos de servicios permitidos• Tipos de descargas permitidos• Tipos de páginas pemitidos• Políticas ante violación de derechos de autor