Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 1
Esquema de una organización
Esquema de mi hogar, bar, la plaza, mi auto
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 2
Esquema de una organización o de mi dispositivo personal
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 3
Tecnologías de la Información (TI)y de las Comunicaciones (TIC)
¿Cuál es el alcance del concepto?
Un concepto gerencial que considera los datos, la información, los recursos de TI (tecnología, programas, instalaciones, redes y personal) como recursos valiosos de la organización que deberán manejarse de manera eficiente, económica y eficaz.
Es preciso administrar los recursos de información por medio de procesos de TI a fin de garantizar la obtención de la información que la organización necesita para lograr sus objetivos de negocio
Activos InformáticosEn la organización
DATO
INFORMACIÓNDigital – Impresa
DOCUMENTODIGITAL
Antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias
legítimas de un hecho - Es una representación simbólica (numérica, alfabética, algorítmica)
Es un conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema
que recibe dicho mensaje.
Información representada en bits en algún tipo de
soporte.http://legislaciondellibro.
wordpress.com/about/
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 4
En las aplicaciones….
Programa 1
Programa 2
Programa 3
Programa 4
Programa n
Archivos/Bases
de Datos
Archivos/Bases
de Datos
Ingreso de datos o soli-citud de eje-cución
Programa 6
Programa 5
Informes
Informes
Consultas
DatosProcesamiento Información
¿Qué tipo de información manejamos? ¿Dónde
podemos encontrarla?
• Información financiera, datos personales de clientes, proveedores o empleados, contratos privados o especificaciones y manuales técnicos. Y la nuestra?
• Las organizaciones suelen administrar grandes volúmenes de información que puede ser pública o bien crítica o sensible.
• Ésta puede estar almacenada en dispositivos informáticos, como computadoras (PC, servidores, etc.), CDs, pendrives, teléfonos, o en…
• … carpetas, biblioratos, sobre los escritorios, en los cestos de basura, en hojas impresas que han quedado desatendidas en la impresora o en el fax.
• En general, las organizaciones cuentan con procedimientos organizativos y técnicos para proteger la información, pero el pilar fundamental es que las personas que están en contacto con ella estén los suficientemente entrenadas y sepan cómo proceder para protegerla (concientización).
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 5
¿A quién pertenece la
información?
• Es personal (en mi equipo hogareño)
• Es personal (en el equipo de la
organización)
• Es de la organización (en el equipo de la
organización – no debiera llevarla a mi
equipo hogareño)
• Datos personales que administra la
organización (Ley de protección de Datos Personales
25.326 – CABA 1845)
Riesgos de la información
La información se encuentra expuesta a múltiples amenazas, que pueden causar, entre otros:– Su robo
– Su destrucción parcial o total
– Su desvío respecto al destino original
– Su modificación no autorizada
– Su intercepción
– Su eliminación
– Su uso para otros fines
Inclusive puede ser sustraída, sin desaparecer necesariamente del lugar donde se encuentra y sin que sus poseedores o custodios necesariamente lo noten.
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 6
Comercio Electrónico – B2C
- Computadora personal en
Internet– P2P
•Banco•Cliente
•Depósito $ 1000
•Depósito $ 100
Pérdida de integridad
UCP
Negación de servicio
•Soy José,•Envíeme toda la correspondencia
corporativa con Pisco
•José
Pérdida de ControlPérdida de privacidad
•m-i-c-o-n-t-r-a-s-e-ñ-a- d-a-n
•telnet foo.bar.org
•ID usuario: dan
•contraseña:
Fuente: Juan de Dios Bel
Riesgos
Amenazas y vulnerabilidades
Riesgos: Fuga de información – daños en el equipo – robo
de identidad – fraude – robos – destrucción –eliminación
No puedo trabajar!!!!
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 7
Todos tienen los mismos
riesgos
Desde cualquier lugar
Mayores riesgos:
• Locutorios
• Redes Wi-Fi públicas (sin clave)
DATO
INFORMACIÓNDigital - Impresa
SEGURIDAD DE LAINFORMACIÓN
Confidencialidad
Integridad
Disponibilidad
DOCUMENTODIGITAL
Antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias
legítimas de un hecho - Es una representación simbólica (numérica, alfabética, algorítmica)
Es un conjunto organizado de datos procesados, que constituyen un
mensaje que cambia el estado de conocimiento del sujeto o sistema
que recibe dicho mensaje.
Información representada en bits en algún tipo de
soporte.http://legislaciondellibro.
wordpress.com/about/
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 8
Propiedades de la información segura
CONFIDENCIALIDAD - la información no estará disponible o no será revelada a individuos, entidades o procesos no autorizados
INTEGRIDAD - la información será precisa y completa
DISPONIBILIDAD – la información será accesible y utilizable por un individuo, entidad o proceso autorizado cuando sea requerida
LEGALIDAD (que cumpla con leyes y normas)AUTORIA (tener certeza de donde proviene)AUDITABILIDAD (poder reconstruir su generación)NO REPUDIO (que la otra parte no pueda negar que la originó o recibió)CONFIABILIDAD (que se garantice su fiabilidad)
1ID del Usuario=
Contraseña=
“Logueo” del usuario
Solicitar una función o recurso
Actualización
del archivo de
nómina
3
2Verificar ID y
contraseña
de logueo
4 Controlar las
actividades
de logueo y
autorización
de recursos
del usuario
Computadora
Software de Control de Acceso
Perfil del
Usuario
Descripción
de Recursos
(incluye lista
de accceso
de usuario)
Registros de
actividad y
violaciones
5 Generar y revisar
informes sobre
actividades y
violaciones
(seguimientos y
comunicaciones
en línea)
Control de Acceso Lógico - Proceso
de autenticación, autorización y registro
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 9
Control de acceso lógico
• Las 3 ‘AAA’
• Autenticación:¿Quién es usted?
• Autorización:¿Qué puede hacer?
• Actividad:(Accounting/logging/registro)¿Qué hizo usted?
1 2 3
4 5 67
0
98
1 2 3
4 5 6
7
0
98
PolíticasOrg. Separación de funciones (puestos, perfiles)
Clasificación de activos informáticos
Administración de UsuariosTec. Seguridad de aplicaciones
Seguridad de sistemas operativos y redes
Seguridad Lógica
FIREWALL
Internet
Red Pública
Poblada de amenazas
En transferencia, almacenamiento y procesamiento de la información
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 10
Autenticación• Por conocimiento
– Passwords, Pin
• Por pertenencia
– Tarjetas magnéticas, inteligentes o tokens
• Por características
– Huella digital, verificación de iris,
reconocimiento del rostro
• Firma digital
Para explicar FD, primero veremos
el concepto de cifrado
Cifrado
Sistemas (algoritmos) criptográficos
Simétrico de clave secreta
Una única clave conocida por emisor y receptor. El inconveniente más importante es la seguridad de la clave al ser distribuida. Principal exponente, DES (Data Encryption Standard) – AES (Advanced Encryption Standard).
Transformación de datos en signos ilegibles para quien no disponga de la/s clave/s para descifrarlos
Texto original o plano
Clave
Texto cifrado
Cifrado
Descifrado
Texto original o plano
Clave
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 11
Sistemas (algoritmos) criptográficos (cont.)
Asimétrico de clave secreta
Emisor y receptor tienen un par de claves: una pública y otra privada. La necesidad de distribuir la clave queda eliminada.
Se encripta con la clave pública del destinatario. Se descifra con su clave privada. Principal exponente RAS (Rivest, Shamir, Adleman)
•- . + T ö
• 3 © k @e
• $ a # ñ
• o 9 1
•m x + t
• o : g
Cifrado
Ana y Bernardo tienen sus pares de claves
respectivas
Ana escribe un mensaje a Bernardo. Es necesario
que Bernardo pueda verificar que realmente es Ana
quien ha enviado el mensaje. Por lo tanto Ana debe
enviarlo firmado:
1. Resume el mensaje mediante una función hash.
2. Cifra el resultado de la función hash con su clave privada. De esta forma obtiene su firma digital.
3. Envía a Bernardo el mensaje original junto con la firma.
Bernardo recibe el mensaje junto a la firma
digital. Deberá comprobar la validez de ésta para
dar por bueno el mensaje y reconocer al autor
del mismo (integridad y autenticación).
4. Descifra el resumen del mensaje mediante la clave pública de Ana.
5. Aplica al mensaje la función hash para obtener el resumen.
6. Compara el resumen recibido con el obtenido a partir de la función hash. Si son iguales, Bernardo puede estar
seguro de que quien ha enviado el mensaje es Ana y que éste no ha sido modificado.
Con este sistema conseguimos: Autenticidad (la firma digital es equivalente a la firma física de un documento),
Integridad (el mensaje no podrá ser modificado), No repudio en origen (el emisor no puede negar haber
enviado el mensaje)
Firma digital - Proceso
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 12
Ejemplo de certificado digital
• Según el standard X509v3 contiene la siguiente información:
– Identificación del titular del certificado: Nombre, dirección, etc.
– Clave pública del titular del certificado.
– Fecha de validez.
– Número de serie.
– Identificación del emisor del certificado.
• Un ejemplo sería:
Ejemplo de certificado digital
issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez [email protected] subject: C=ES ST=O=OU=CN=Jaimito Email=Jaimito@jaimito serial:15 Certificate: Data: Version: 1 (0x0) Serial Number: 21 (0x15) Signature Algorithm: md5WithRSAEncryption Issuer: C=ES ST=L=Barcelona O=SECURITY ZUTANEZ OU=Division de certificados CN=Fulano Menganez [email protected] Validity Not Before: Nov 18 15:15:31 1998 GMT Not After : Nov 13 15:15:31 1999 GMT Subject: C=ES, ST=, O=, OU=, CN=Jaimito Email=Jaimito@jaimito Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:9e:74:de:c9:1a:6b:f4:fe:d1:04:30:58:7e:8b: 51:7a:98:23:e9:45:a9:c2:a7:7c:f8:f8:b5:9a:a2: ea:c1:99:68:ba:f7:c3:d8:06:05:1b:6a:47:a1:44: 5c:2c:a6:e0:4b:6f:ce:02:c4:06:32:20:34:be:13: 97:39:a3:aa:6f:2f:41:a7:bc:14:c8:f3:0c:ad:9d: 09:63:8a:f5:eb:60:5b:06:a6:01:fb:1a:07:b2:c6: 39:48:bb:b7:00:56:4e:20:6d:87:3f:67:0b:2f:f4: b0:5f:74:7f:90:6b:b4:47:6f:56:1a:b5:c5:42:54: 9b:e5:e3:00:e2:4f:e3:14:47 Exponent: 65537 (0x10001) Signature Algorithm: md5WithRSAEncryption 3b:2b:e9:ff:48:48:35:ab:30:5c:e2:d1:88:c9:29:8b:bc:09: b2:58:80:17:9c:e7:08:0a:7d:8a:5e:46:a8:83:3b:ee:84:de: 62:e3:ea:51:cb:92:bc:fa:db:90:bd:cd:9f:25:d4:4a:48:63: ac:b8:93:f9:dc:9c:cf:ef:fd:45
Uso Seguro de InternetAño 2014
Centro de Formación Judicial
C.A.B.A.
cfjMarcia L. Maggiore CISA, CRISC,
Especialista en Seguridad de la Información
Pág. 13
Ejemplo de certificado digital
- -----BEGIN CERTIFICATE-----MIICOzCCAeUCARUwDQYJKoZIhvcNAQEEBQAwgaYxCzAJBgNVBAYTAkVTMRIwEAYD VQQIEwlDYXRhbHVueWExDDAKBgNVBAcTA0JjbjEVMBMGA1UEChMMU0VDVVJJVFkg QkNOMRowGAYDVQQLExFzZWNjaW8gZCdlbXByZXNlczEdMBsGA1UEAxMURGF2aWQg R3VlcnJlcm8gVmlkYWwxIzAhBgkqhkiG9w0BCQEWFGd1ZXJyZXJvQGdyZWMudXBj LmVzMB4XDTk4MTExODE1MTUzMVoXDTk5MTExMzE1MTUzMVowZjELMAkGA1UEBhMC RVMxCTAHBgNVBAgTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxGDAWBgNVBAMUD0Nh bHZpbiAmIEhvYmJlczEcMBoGCSqGSIb3DQEJARYNY2FsdmluQGhvYmJlczCBnzAN BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAnnTeyRpr9P7RBDBYfotRepgj6UWpwqd8 +Pi1mqLqwZlouvfD2AYFG2pHoURcLKbgS2/OAsQGMiA0vhOXOaOqby9Bp7wUyPMM rZ0JY4r162BbBqYB+xoHssY5SLu3AFZOIG2HP2cLL/SwX3R/kGu0R29WGrXFQlSb 5eMA4k/jFEcCAwEAATANBgkqhkiG9w0BAQQFAANBADsr6f9ISDWrMFzi0YjJKYu8 CbJYgBec5wgKfYpeRqiDO+6E3mLj6lHLkrz625C9zZ8l1EpIY6y4k/ncnM/v/UU= - -----END CERTIFICATE-----
• Este es un certificado, válido durante un año, emitido por la autoridad certificadora SECURITY ZUTANEZ para el usuario “Fulano” cuya clave pública RSA es:
Ejemplo de certificado digital
exponente: 65537
modulo: 11127195552971827497702000105328725497115357432563948646524265 42649114539614030882310105443040321585401884991855044788817550 61645893205889184340440484177173313682979482908132499473623983 65177107544610936519826706567881109010715263259238888910151015 7610404623906744451048525264576885364836810773621503974118471
• Todos los datos están firmados por la AC usando la función hash MD5 y su clave privada RSA.