Sensibilizacion Sobre Seguridad a

5/6/2018 Sensibilizacion Sobre Seguridad a - slidepdf.com

http://slidepdf.com/reader/full/sensibilizacion-sobre-seguridad-a 1/34

Sensibilización en Seguridad InformáticaSensibilización en Seguridad Informática ²² Septiembre 2003Septiembre 2003

Sensibilización en Seguridad InformáticaSensibilización en Seguridad Informática

Septiembre 2003Septiembre 2003

Enrique WitteEnrique Witte

Consultor Consultor

ArCERTArCERT ± ± Coordinación de Emergencias en Redes TeleinformáticasCoordinación de Emergencias en Redes Teleinformáticas

Oficina Nacional del Tecnologías InformáticasOficina Nacional del Tecnologías Informáticas

Subsecretaría de la Gestión Pública.Subsecretaría de la Gestión Pública.

Jefatura de Gabinete de Ministros.Jefatura de Gabinete de Ministros.

[email protected]@arcert.gov.ar -- http://www.arcert.gov.arhttp://www.arcert.gov.ar




Siendo que laSiendo que la informacióninformación debedebe

considerarse como un recurso con el queconsiderarse como un recurso con el quecuentan las Organizaciones y por lo tantocuentan las Organizaciones y por lo tantotiene valor para éstas, al igual que eltiene valor para éstas, al igual que el

resto de losresto de los activosactivos, debe estar, debe estardebidamente protegida.debidamente protegida.

:: Qué se debe asegurar ?:: Qué se debe asegurar ?




La Seguridad de la Información, protege aLa Seguridad de la Información, protege a

ésta de una amplia gama de amenazas,ésta de una amplia gama de amenazas,tanto de orden fortuito como destrucción,tanto de orden fortuito como destrucción,incendio o inundaciones, como de ordenincendio o inundaciones, como de orden

deliberado, tal como fraude, espionaje,deliberado, tal como fraude, espionaje,sabotaje, vandalismo, etc.sabotaje, vandalismo, etc.

:: Contra qué se debe proteger la Información ?:: Contra qué se debe proteger la Información ?




Confidencialidad:Confidencialidad: Se garantiza que la información esaccesible sólo a aquellas personas autorizadas a teneracceso a la misma.

Integridad:Integridad: Se salvaguarda la exactitud y totalidad de la

información y los métodos de procesamiento.Disponibilidad:Disponibilidad: Se garantiza que los usuarios autorizadostienen acceso a la información y a los recursos relacionadoscon la misma toda vez que se requiera.

:: Qué se debe garantizar ?:: Qué se debe garantizar ?




Las Organizaciones son cada vez masLas Organizaciones son cada vez mas

dependientes de sus Sistemas y Serviciosdependientes de sus Sistemas y Serviciosde Información, por lo tanto podemosde Información, por lo tanto podemosafirmar que son cada vez mas vulnerablesafirmar que son cada vez mas vulnerables

a las amenazas concernientes a sua las amenazas concernientes a suseguridad.seguridad.

:: Por qué aumentan las amenazas ?:: Por qué aumentan las amenazas ?




:: Por qué aumentan las amenazas ?:: Por qué aumentan las amenazas ?

Crecimiento exponencial de las RedesCrecimiento exponencial de las Redes

y Usuarios Interconectadosy Usuarios InterconectadosProfusión de las BD OnProfusión de las BD On--LineLine

Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías

Alta disponibilidad de HerramientasAlta disponibilidad de Herramientas

Automatizadas de AtaquesAutomatizadas de AtaquesNuevas Técnicas de Ataque DistribuidoNuevas Técnicas de Ataque Distribuido(Ej:DDoS)(Ej:DDoS)

Técnicas de Ingeniería SocialTécnicas de Ingeniería Social

AlgunasCausas




Accidentes:Accidentes: Averías, Catástrofes,

Interrupciones, ...Errores:Errores: de Uso, Diseño, Control, ....

Intencionales Presenciales:Intencionales Presenciales: Atentado con acceso

físico no autorizadoIntencionales Remotas:Intencionales Remotas: Requieren acceso alRequieren acceso alcanal de comunicacióncanal de comunicación

:: Cuáles son las amenazas ?:: Cuáles son las amenazas ?




��InterceptaciónInterceptación pasiva de la informaciónpasiva de la información

(amenaza a la CONFIDENCIALIDAD).(amenaza a la CONFIDENCIALIDAD).��Corrupción o destrucciónCorrupción o destrucción de lade lainformación (amenaza a la INTEGRIDAD).información (amenaza a la INTEGRIDAD).

��Suplantación de origenSuplantación de origen (amenaza a la(amenaza a laAUTENTICACIÓN).AUTENTICACIÓN).

:: Amenazas Intencionales Remotas:: Amenazas Intencionales Remotas




Las tres primeras tecnologías de protección más utilizadas son elLas tres primeras tecnologías de protección más utilizadas son elcontrol de acceso/passwords (100%), software anticontrol de acceso/passwords (100%), software anti--virus (97%) yvirus (97%) yfirewalls (86%)firewalls (86%)

Los ataques más comunes durante el último año fueron los virusLos ataques más comunes durante el último año fueron los virusinformáticos (27%) y el spammimg de correo electrónico (17%)informáticos (27%) y el spammimg de correo electrónico (17%)seguido de cerca (con un 10%) por los ataques de denegación deseguido de cerca (con un 10%) por los ataques de denegación deservicio y el robo de notebook.servicio y el robo de notebook. 11

:: Cómo resolver el desafío de la Seguridad Informática ?:: Cómo resolver el desafío de la Seguridad Informática ?

El problema de la Seguridad Informática está en suEl problema de la Seguridad Informática está en suGerenciamientoGerenciamiento

y no en las tecnologías disponiblesy no en las tecnologías disponiblesFuente: Centro de Investigación en Seguridad Informática ArgentinaFuente: Centro de Investigación en Seguridad Informática Argentina




SOBIG.FSOBIG.F

Según Trend Micro, en los últimos 7 días se infectaron 124.410Según Trend Micro, en los últimos 7 días se infectaron 124.410equipos en el mundo. Se dan todo tipo de cifras pero,equipos en el mundo. Se dan todo tipo de cifras pero,evidentemente, estas son solo estimaciones pues, como siempre,evidentemente, estas son solo estimaciones pues, como siempre,nadie puede saber exactamente cuantas máquinas se han infectadonadie puede saber exactamente cuantas máquinas se han infectadoy cuantos usuarios se han perjudicado por las técnicas de spam quey cuantos usuarios se han perjudicado por las técnicas de spam queutiliza el virus.utiliza el virus.

:: Ejemplo de problemas de Gerenciamiento ... I:: Ejemplo de problemas de Gerenciamiento ... I

�� El virus, desde el punto de vista técnico no contieneEl virus, desde el punto de vista técnico no contienegrandes novedadesgrandes novedades

�� Incorpora archivos adjuntos de formato .PIF y .SCR,Incorpora archivos adjuntos de formato .PIF y .SCR,que son los que producen la infección al abrirseque son los que producen la infección al abrirse




SOBIG.FSOBIG.F

Todo esto provoca varias reflexiones:Todo esto provoca varias reflexiones:1.1. Hoy en día, según diversas encuestas publicadas, la granHoy en día, según diversas encuestas publicadas, la gran

mayoría de las organizaciones cuentan con herramientasmayoría de las organizaciones cuentan con herramientasantivirus y existe la facilidad de actualizarlas vía Internetantivirus y existe la facilidad de actualizarlas vía Internet

2.2. Dadas las proporciones del caso, todos los medios han difundidoDadas las proporciones del caso, todos los medios han difundidocantidades de mensajes y de alertas. Todos los Directores decantidades de mensajes y de alertas. Todos los Directores deTIs, Administradores de Red y demás responsables de sistemasTIs, Administradores de Red y demás responsables de sistemasinformáticos han tenido información profusa, donde se indicabainformáticos han tenido información profusa, donde se indicabaque lo más peligroso era abrir los archivos adjuntos .PIF y .SCR .que lo más peligroso era abrir los archivos adjuntos .PIF y .SCR .

:: Ejemplo de problemas de Gerenciamiento ...II:: Ejemplo de problemas de Gerenciamiento ...II




SOBIG.FSOBIG.F

O sea, existían 3 medios importantes para evitar las infeccionesO sea, existían 3 medios importantes para evitar las infeccionesmasivas que se han producido:masivas que se han producido:

:: Ejemplo de problemas de Gerenciamiento ...III:: Ejemplo de problemas de Gerenciamiento ...III

Evidentemente esto no se ha hecho masivamente permitiendo,Evidentemente esto no se ha hecho masivamente permitiendo,así, la rápida propagación del virus y la pregunta que surge esasí, la rápida propagación del virus y la pregunta que surge es¿Por qué? ¿Por falta de información? ¿Por falta de medios?...¿Por qué? ¿Por falta de información? ¿Por falta de medios?...

a)Bloquear la entrada de estos archivos a las Redes.a)Bloquear la entrada de estos archivos a las Redes.

b)Actualizar rápidamente sus antivirus.b)Actualizar rápidamente sus antivirus.

c)Emitir inmediatamente las directivas necesarias para quec)Emitir inmediatamente las directivas necesarias para que

ningún usuario bajo su control activara los mismos. (¿o ya loningún usuario bajo su control activara los mismos. (¿o ya lodeberían saber ?)deberían saber ?)




:: Hasta acá ....:: Hasta acá ....

Protección de la Información

ConfidencialidadIntegridad

Disponibilidad

AmenazasInternas

Externas

Gerenciar Seguridad InformáticaGerenciar Seguridad Informática




PRESUPUESTOPRESUPUESTO

��Presupuestos pesificados y disminuidosPresupuestos pesificados y disminuidos��Mantenimiento o aumento de los objetivos aMantenimiento o aumento de los objetivos acumplircumplir

��La reducción de inversión en TI en laLa reducción de inversión en TI en la

Organización genera riesgos de SeguridadOrganización genera riesgos de SeguridadInformáticaInformática

��La reducción de inversión en TI de clientes,La reducción de inversión en TI de clientes,proveedores y aliados, genera riesgos deproveedores y aliados, genera riesgos deSeguridad InformáticaSeguridad Informática

:: Pero tenemos mas ...:: Pero tenemos mas ...




�� Redes ÚnicasRedes Únicas

�� Concentración de Servicios Telefónicos y DatosConcentración de Servicios Telefónicos y Datos

�� Problemas de Confidencialidad yProblemas de Confidencialidad yDisponibilidadDisponibilidad

:: Informática y Comunicaciones = Sistema de Seguridad:: Informática y Comunicaciones = Sistema de Seguridad




Presentación de Aspectos LegalesPresentación de Aspectos Legales

:: Aspecto Legal:: Aspecto Legal




:: Seguimos con Seguridad Informática ....:: Seguimos con Seguridad Informática ....




:: El éxito de un Sistema de Seguridad Informática ...:: El éxito de un Sistema de Seguridad Informática ...

GerenciamientoGerenciamiento

Diseño y ControlesDiseño y Controles

Equilibrio Seguridad yEquilibrio Seguridad yOperatividadOperatividad

Ecuación Económica deEcuación Económica deInversión en TIInversión en TI

Ecuación de RiesgoEcuación de RiesgoOrganizacionalOrganizacional

ReingenieríaReingeniería




Apoyo de la Alta GerenciaApoyo de la Alta Gerencia

��RRHH con conocimientos y experienciaRRHH con conocimientos y experiencia

��RRHH capacitados para el día a díaRRHH capacitados para el día a día

��Recursos EconómicosRecursos Económicos

��TiempoTiempo

:: Requerimiento básico:: Requerimiento básico




Análisis de RiesgosAnálisis de Riesgos

Se considera Riesgo Informático, a todo factorSe considera Riesgo Informático, a todo factorque pueda generar una disminución en:que pueda generar una disminución en:

ConfidencialidadConfidencialidad ²² DisponibilidadDisponibilidad -- IntegridadIntegridad

��Determina la probabilidad de ocurrenciaDetermina la probabilidad de ocurrencia

��Determina el impacto potencialDetermina el impacto potencial

:: Estructura de Seguridad:: Estructura de Seguridad ²² Análisis de RiesgosAnálisis de Riesgos




:: Análisis de Riesgos:: Análisis de Riesgos ²² Modelo de GestiónModelo de Gestión

ActivosActivos AmenazasAmenazas

ImpactosImpactos VulnerabilidadesVulnerabilidades

RiesgosRiesgos

FunciónFunciónCorrectivaCorrectiva

ReduceReduce

FunciónFunciónPreventivaPreventiva

ReduceReduce




Política de SeguridadPolítica de Seguridad

Ćonjunto de Normas y ProcedimientosĆonjunto de Normas y Procedimientosdocumentadosdocumentados yy comunicadoscomunicados, que tienen por, que tienen porobjetivo minimizar los riesgos informáticos masobjetivo minimizar los riesgos informáticos mas

probablesµprobablesµ

:: Estructura de Seguridad:: Estructura de Seguridad ²² Política de SeguridadPolítica de Seguridad

InvolucraInvolucra��Uso de herramientasUso de herramientas

��Cumplimiento de Tareas porCumplimiento de Tareas porparte de personasparte de personas




Ćonjunto de Normas y ProcedimientosĆonjunto de Normas y Procedimientos

documentadosdocumentados yy comunicadoscomunicados, cuyo objetivo, cuyo objetivoes recuperar operatividad mínima en un lapsoes recuperar operatividad mínima en un lapsoadecuado a la misión del sistema afectado,adecuado a la misión del sistema afectado,ante emergencias generadas por los riesgosante emergencias generadas por los riesgos

informáticosµinformáticosµ

:: Estructura de Seguridad:: Estructura de Seguridad ²² Plan de ContingenciasPlan de Contingencias

InvolucraInvolucra��Uso de herramientasUso de herramientas��Cumplimiento de Tareas porCumplimiento de Tareas porparte de personasparte de personas




�� Auditoría Informática Interna capacitadaAuditoría Informática Interna capacitada

�� Equipo de Control por OposiciónEquipo de Control por Oposición

FormalizadoFormalizado�� Outsourcing de AuditoríaOutsourcing de Auditoría

:: Control por Oposición:: Control por Oposición




�� Copias de ResguardoCopias de Resguardo�� Control de AccesoControl de Acceso

�� EncriptaciónEncriptación

�� AntivirusAntivirus�� Barreras de ProtecciónBarreras de Protección

�� Sistemas de Detección de IntrusionesSistemas de Detección de Intrusiones

:: Herramientas:: Herramientas




NORMA ISO/IRAM 17799NORMA ISO/IRAM 17799

:: Uso de Estándares:: Uso de Estándares




Estándares InternacionalesEstándares Internacionales

-- Norma basada en la BS 7799Norma basada en la BS 7799

-- Homologada por el IRAMHomologada por el IRAM

:: Norma ISO/IRAM 17.799:: Norma ISO/IRAM 17.799




ORGANIZACION DE LA SEGURIDADORGANIZACION DE LA SEGURIDAD

��Infraestructura de la Seguridad de la InformaciónInfraestructura de la Seguridad de la Información��Seguridad del Acceso de tercerosSeguridad del Acceso de terceros

��Servicios provistos por otras OrganizacionesServicios provistos por otras Organizaciones

CLASIFICACION Y CONTROL DE BIENESCLASIFICACION Y CONTROL DE BIENES��Responsabilidad de los BienesResponsabilidad de los Bienes

��Clasificación de la InformaciónClasificación de la Información





SEGURIDAD DEL PERSONALSEGURIDAD DEL PERSONAL

��Seguridad en la definición y la dotación de tareasSeguridad en la definición y la dotación de tareas��Capacitación del usuarioCapacitación del usuario

��Respuesta a incidentes y mal funcionamiento de laRespuesta a incidentes y mal funcionamiento de laSeguridadSeguridad

SEGURIDAD FISICA Y AMBIENTALSEGURIDAD FISICA Y AMBIENTAL��Áreas SegurasÁreas Seguras��Seguridad de los EquiposSeguridad de los Equipos��Controles generalesControles generales





GESTION DE LAS COMUNICACIONES Y LASGESTION DE LAS COMUNICACIONES Y LAS

OPERACIONESOPERACIONES��Procedimientos operativos y responsabilidadesProcedimientos operativos y responsabilidades

��Planificación y aceptación del SistemaPlanificación y aceptación del Sistema

��Protección contra el software malignoProtección contra el software maligno��Tares de acondicionamientoTares de acondicionamiento

��Administración de la redAdministración de la red

��Intercambio de información y softwareIntercambio de información y software





CONTROL DE ACCESOCONTROL DE ACCESO

��Requisitos de la Organización para el control de accesoRequisitos de la Organización para el control de acceso��Administración del acceso de usuariosAdministración del acceso de usuarios

��Responsabilidades de los usuariosResponsabilidades de los usuarios

��Control de acceso de la RedControl de acceso de la Red

��Control de acceso al Sistema OperativoControl de acceso al Sistema Operativo��Control de acceso de las AplicacionesControl de acceso de las Aplicaciones

��Acceso y uso del Sistema de MonitoreoAcceso y uso del Sistema de Monitoreo

��Computadoras móviles y trabajo a distanciaComputadoras móviles y trabajo a distancia





DESARROLLO Y MANTENIMIENTO DE LOSDESARROLLO Y MANTENIMIENTO DE LOS

SISTEMASSISTEMAS��Requisitos de Seguridad de los SistemasRequisitos de Seguridad de los Sistemas

��Seguridad de los Sistemas de AplicaciónSeguridad de los Sistemas de Aplicación

��Controles CriptográficosControles Criptográficos��Seguridad de los archivos del SistemaSeguridad de los archivos del Sistema

��Seguridad de los procesos de desarrollo y soporteSeguridad de los procesos de desarrollo y soporte





DIRECCION DE LA CONTINUIDAD DE LA ORGANIZACIONDIRECCION DE LA CONTINUIDAD DE LA ORGANIZACION

��Aspectos de la dirección de continuidad de laAspectos de la dirección de continuidad de laOrganizaciónOrganización

CUMPLIMIENTOCUMPLIMIENTO

��Cumplimiento con los requisitos legalesCumplimiento con los requisitos legales��Revisión de la Política de seguridad y del CumplimientoRevisión de la Política de seguridad y del Cumplimiento

TécnicoTécnico

��Consideración de las Auditorías del SistemaConsideración de las Auditorías del Sistema





Este material podrá obtenerlo enEste material podrá obtenerlo en

http://www.arcert.gov.ar/http://www.arcert.gov.ar/

en la Sección Ńovedadesµen la Sección Ńovedadesµ

También encontrará allí un documento completoTambién encontrará allí un documento completocon el resumen de las principales Normascon el resumen de las principales NormasLegales vigentes referidas a la SeguridadLegales vigentes referidas a la Seguridad

InformáticaInformática

:: Fin de la presentación:: Fin de la presentación

Documents

Sensibilizacion Sobre Seguridad a