Seguridad informática

Blog dedicado a la publicación de apuntes de clase relacionados con la Seguridad informática.

CLASIFICACIÓN DE LA INFORMACIÓN

Apuntes 19 de Marzo de 2010

Clasificación de la Información

• No todos los datos requieren los mismos niveles de seguridad
• Es necesario destinar más esfuerzo e inversión para proteger los datos más importantes o sensibles.
• Ayuda a determinar cuánto esfuerzo, dinero y recursos deben destinarse y definir cómo controlar su acceso.
• Hay dos esquemas tradicionales de clasificación de la información: comercial y militar.

Clasificación de la información (comercial)

• Pública: Información no incluida en las otras categorías, puede ser entregada y publicada sin restricciones
• Sensible(restringida): Si es divulgada podría afectar la confianza e imagen de la empresa y sus negocios
• Privada: Si es divulgada la información podría afectar negativamente al personal
• Confidencial: Si es divulgada la información podría afectar negativamente la empresa

Clasificación de la información (militar)

• Desclasificada Ninguna de las anteriores
• Sensible: Si es divulgada podría afectar la imagen del país
• Confidencial: Si es divulgada podría causar serios daños en la confianza hacia el país.
• Secreta: Podría causar serios daños a la seguridad nacional
• Ultrasecreta: Podría causar serios daños a la seguridad nacional

CONFIDENCIALIDAD

Apuntes 17 de Marzo de 2010

Confidencialidad de la información

•Los recursos (hardware, software, datos) son accesibles sólo a usuarios ó procesos autorizados.

•Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información.

Confidencialidad de la Información

1. Ataques a la confidencialidad de la información
2. Controles para garantizar la confidencialidad

Ataques contra la Confidencialidad de la Información

1. Acceso no autorizado a los archivos, sistemas de información ó bases de datos
2. Acceso remoto no autorizado
3. Sniffing
4. Keylogger

Ataques contra la Confidencialidad de la Información

• Acceso no autorizado a los archivos, sistemas de información ó bases de datos
• Errores o mala configuración de los mecanismos de autorización y autenticación permiten el acceso a usuarios no autorizados a archivos en servidores y computadores personales.
• Acceso remoto no autorizado
• Errores o mala configuración de los mecanismos de autorización y autenticación de la red permiten el acceso remoto a usuarios no autorizados a archivos en servidores y computadores personales.
• Sniffing: intercepción del tráfico de la red en busca de contraseñas e información sensible, mediante sniffers

Sniffer:

• -Rastreadores, analizadores de protocolos.
• •Detectar intrusos, tráfico anormal
• •Hacking: Obtener información-Ataque pasivo
• Herramienta: Wireshark(antes Ethereal)

Keylogger: del inglés: key (tecla) y logger (registrador);

Combinación de hardware y software que se encargan de capturar todas las pulsaciones que se realizan en el teclado, y almacenarlas en un archivo.

Controles para preservar la Confidencialidad de la Información

1. Autenticación
2. Autorización
3. Clasificación de la información
4. Encripción de la información (Ciframiento)

Autenticación

• Proceso apoyado en mecanismos para confirmar a alguien (usuario, proceso) como auténtico.
• Garantizar la identidad de quien solicita acceso a los recursos (harware, sofware, información)
• Mecanismos: usuario/contraseña, dispositivos biométricos, certificados digitales

Mecanismos de autenticación

• Algo que usted conoce (clave)
• Algo que usted tiene (token, smartcard)
• Algo que usted es (dispositivos biométricos)
• Algo que usted produce (firma, voz)

Factores de autenticación

• Niveles de autenticación es la cantidad de mecanismos o formas utilizadas en un proceso de autenticación de usuarios.
• Existen varios factores ó niveles de autenticación:
  • Factor 1 (clave o password)
  • Factor 2 (clave, token)
  • Factor 3 (clave, tarjetas magnéticas (token), biométrico)

Contraseñas

• Definir contraseñas fuertes: longitud apropiada
• Combinación letras, números, minúsculas, mayúsculas, caracteres espaciales
• No escribirlas
• Usar algoritmo para generarlas
• Evitar “ataques de diccionario” y de “fuerza bruta”

Dispositivos biométricos

• Autenticación de usuarios basados en sus características “únicas”, “propias de cada usuario”.
• Porcentaje alto de confiabilidad
• Huellas dactilares o palma de la mano
• Escaneo de iris, retina
• Geometría de la mano o facial
• Voz25

Problemas:

• Costo elevado de los dispositivos
• Algunos son intrusivos
• Administración engorrosa y almacenamiento voluminoso de patrones e comparación.
• Mala o deficiente configuración de los dispositivos, genera:
  • Falsos positivos: usuarios son aceptados como válidos sin serlos
  • Falsos negativos: usuarios válidos son rechazados

Autorización

• Los recursos son accedidos sólo por los usuarios que reúnen los permisos necesarios para ello.
• El proceso de autorización se usa para decidir si la persona, programa o dispositivo tiene permisos para acceder al dato, funcionalidad o servicio.

Mecanismos

• Permisos sobre directorios y archivos
• Perfiles de usuario
• Por medio de matrices funciones y permisos se diseñan los permisos y se implementan en perfiles.
• ACL –Listas de control de acceso: son para establecer los permisos de acceso a un determinado objeto, su principal en dispositivos de red.
• Firewall

ADMINISTRACIÓN DEL RIESGO

Apuntes 12 de Marzo de 2010

ADMINISTRACION DEL RIESGO

a. Priorizar los riesgos así como identificar las prioridades de la administración.

b. Aceptable el nivel de riesgo?

Formas para el tratamiento del Riesgo

• Riesgo: (Materialidad o consecuencia) x (Probabilidad)
• Reducir la probabilidad de ocurrencia
• Reducir la consecuencia

Formas de tratamiento del riesgo (2)

• Asumirlo: se acepta el riego potencial sin tomar medidas
• Evitarlo: eliminar proceso, o actividad donde puede materializarse el riesgo
• Controlarlo: establecer controles y contramedidas que permiten mitigar o limitar el riesgo a unos niveles aceptables
• Transferirlo: se traspasa el riesgo a otra compañía

Documentación de Administración de riesgos

• Matriz de riesgos: Herramienta para analizar de manera gráfica y con colores, la distribución de los riesgos (del negocio, proceso ó sistema de información) según su nivel.
• Mapa de riesgos
• Planes de tratamiento riesgo

TÉCNICAS DE IDENTIFICACIÓN DE RIESGOS

Apuntes 10 de Marzo de 2010

Técnicas de identificación de riesgos

• Análisis DOFA
• Lluvia de ideas
• Método Delphi
• Principio de Pareto

Análisis DOFA

Debilidades                  Oportunidades

Fortalezas                    Amenazas

Es una herramienta para identificar riesgos la idea es que las fortalezas no se conviertan en amenazas.

Lluvia de ideas

• Tormenta de ideas o brainstorming
• Nombrar a un moderador del ejercicio.
• idea por cada turno de emisión de ideas (riesgos).
• No se deben repetir las ideas (riesgo).
• No se critican las ideas (riesgos).
• Terminada la recepción de las ideas (riesgos), se les
• agrupa y preselecciona conforma a los criterios que
• predefina el equipo

Diagrama de pescado

• Diagrama causa/efecto, o de ISHIKAWA
• Utilizado en los procesos de calidad, de origen japonés.
• Diagrama gráfico representa el esqueleto de un pescado.
• La columna es el defecto (riesgo), de la cual se desprende espinas (causas del riesgo).

Diagrama de flujos y de procesos

• Flujogramas o diagramas de flujo.
• Diagrama de procesos
• Identificar riesgos en los procesos, entradas y salidas

Principio de Pareto

• “El 20% de las causas originan el 80% de los efectos”
• Identificar riesgos más críticos.
• Tratar estos riesgos.

NTC 5254  GESTION DEL RIESGO

Análisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud y la probabilidad. Ejemplo alto, medio, bajo, etc.

• Análisis semi-cuantitativo a las escalas descriptivas se les asocia un valor. Ejemplo: alto=25, medio= 12 y bajo=1.
• Análisis cuantitativo: Utiliza valores numérico par las consecuencias y las probabilidades

Calificación del riesgo (Análisis semi-cuantitativo)

RIESGO = Impacto X Probabilidad

CONSECUENCIA        PROBABILIDAD

1. Insignificante            Improbable

2. Bajo                         Remoto

3. Medio                       Factible

4. Grave                       Probable

5. Muy grave                Muy probable

RIESGO INHERENTE

Insignificante                1 a 3

Bajo                             4 a 6

Moderado                     8 a 12

Alto                              15 a 25

Riesgo Residual

Remanente queda después de aplicar un control. Riesgo sin cubrir.

Riesgo Inherente – control

ADMINISTRACIÓN DE RIESGOS INFORMÁTICOS

Apuntes 5 de Marzo de 2010

ADMINISTRACIÓN DE RIESGOS INFORMÁTICOS

1. Activo: Elemento que tiene valor tangible e intangible para la empresa

2. Amenaza: Agentes capaces de causar daños a los activos aprovechando sus vulnerabilidades.

3. Vulnerabilidad: debilidad (característica o riesgo inherente), asociada con un activo.

Riesgo= Vulnerabilidad + Amenazas

4. Controles: Acciones o mecanismos que impiden, mitigan o reducen el riesgo.

Ejemplo:

• Fuego (Amenaza)
• Desastre natural (Categoría)
• Extinguidores vencidos (vulnerabilidad)
• Destrucción de computadores personales y la información por incendio en los laboratorios (riesgo)

Amenazas vulnerabilidades

Para implantar controles de seguridad (contramedidas), debemos identificar y comprender cuáles son las amenazas a las que esta expuesta la infraestructura de TI y sus vulnerabilidades explotadas en los ataques.

Administración del riesgo

Método sistemático y lógico de identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos de una actividad, función o proceso.

METODOLOGÍAS DE ADMINISTRACIÓN DE RIESGOS

• Estándar Australiano-Neozeolandés AS/NZS 4360:2004-NTC 5254
• ISO 31000:2009 Risk Management. Principles and Guidelines
• MAGERIT 2.0 (España) http://www.csae.map.es/csi/pg5m20.htm
• NIST 800-30 (USA)
• OCTAVE (Cert-USA)

ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA

Apuntes 24 de febrero de 2010

Organización de la Seguridad Informática

Responsable de la seguridad Informática:

• Gerente general, mandato de Junta Directiva y socios.
• Gerente, director, jefe del área de sistemas o de informática
• CISO (Chief Security Officer’s), CSO (Chief Security Officer’s), aparecen en grandes empresas, es la persona encargada con las actividades relacionadas con la administración de seguridad informática, se encarga de seleccionar mecanismos y herramientas de seguridad y el desarrollo de políticas de seguridad.
• Dependencia del área del SI: La constituyen Sistemas/Informática en un 70%, Seguridad, administrativa/recursos humanos, auditoría control interno, jurídico/legal, Alta gerencia en cuanto a la aprobación de la planeación, riesgos, asesores, puede tener asesoría externa, casa matriz/oficina central.

Estructura del área de SGSI

• En las organizaciones empresas grandes: 20-30 personas, varias secciones
• En organizaciones medianas: 5 a 10 personas, máximo dos secciones
• En organizaciones pequeñas: 1 o 2 personas, sin secciones.

Roles funciones y responsabilidades

• Definir: Políticas, procedimientos y guías. Realizar análisis de riegos.
• Construir: Diseña arquitecturas de seguridad, crea, instala herramientas o controles de seguridad
• Administrar: Opera y administra herramientas o controles de seguridad.
• CISO
• Consultores/Ingenieros de Seguridad
• Administradores, herramientas de seguridad
• Operadores herramientas de seguridad
• Verificadores oficiales de cumplimiento
• Investigadores de cómputo forense.

Políticas de seguridad Informática

• Establecen directrices/reglas de seguridad de la información de la empresa (cumplimiento/castigo)
• Son emitidas y aprobadas por la alta dirección
• Son un medio para generar cultura de seguridad informática y concientización
• Establece las responsabilidades y marco de acción de los empleados y terceros en relación con los activos informáticos.
• En algunos empleados generan percepción negativa ya que las consideran como pérdida de tiempo o productividad, restringen y ponen trabas en los procesos.
• Ideal que el número de políticas no supere las 20 para facilitar el entendimiento y la recordación.
• En un grupo de documentos definidos en una jerarquía (varios niveles) políticas, estándares, guías y procedimientos.

GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

Apuntes 19 de febrero de 2010

GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

Iniciación del proyecto	Asegurar el compromiso de la dirección
Definición del SGSI	Identificar el alcance y los límites del marco de dirección de seguridad
Evaluación de riesgos	Realizar el inventario y evaluar el activo a proteger Identificar y evaluar amenazas y vulnerabilidades Calcular el valor de riesgos asociados
Administración de riesgos	Encontrar como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo aceptable.
Entrenamiento y concientización	Los empleados pueden ser el eslabón más débil en la seguridad de la información en la organización. Se debe establecer un programa de concientización de la seguridad de la información.
Preparación para la auditoría	Aprender a manejar el marco de seguridad y que se debe hacer antes de traerá un auditor externo para la certificación ISO 27001:2005.
Auditoría	Aprender más sobre los pasos realizados para auditores externos y averiguar sobre los cuerpos de certificación acreditados ISO 27001:2005.
Control y mejora continua	Aprender a mejorar la eficiencia del SGSI conforme al modelo de Administración reconocido por la ISO.

ISO 27001 – ISO 27002

Apuntes 17 de febrero de 2010

ISO 27001 – ISO 27002

• ISO 27001 Norma certificable. Requisitos SGSI
• ISO 27002 Controles

ISO/IEC 27000 Alineadas con las normas ISO 9000, no son normas técnicas, son el debe orientado al proceso no al producto.

ISO7/IEC 27001 Sistema de gestión de la seguridad de la Información (SGI) requisitos. Establece los requisitos para un sistema de seguridad de la información certificable.

• Basados en proceso (PHVA)
• Documentos obligatorios
• Define 39 objetivos y 133 controles (Anexo A).
• Se implementa de acuerdo al análisis de riesgos.

Ciclo Deming

PHVA

• P Planificar: Establecer el Sistema de Gestión de Seguridad de la Información
• H Hacer: Implementar y operar el Sistema de Gestión de Seguridad de la Información
• V Verificar: Hacer seguimiento y revisar el Sistema de Gestión de Seguridad de la Información
• A Actuar: Mantener y mejorar el Sistema de Gestión de Seguridad de la Información

Estructura de la ISO 27001

• Clausulas globales: aquellas que cubren todo el SGSI.
• Clausulas locales: Dan pautas puntuales SGSI, requisitos (generales, documentación, responsabilidad de la dirección, compromiso, gestión de recursos).

Manual de seguridad

Alcance:

• Cubre captación de recursos, cubrimiento de procesos
• Responsabilidad de la dirección
• Auditorías del SGSI
• Formación de auditores internos

Capítulos a tener en cuenta:

Capítulo 7:

• Revisión por parte de la gerencia
• Recibir indicadores métricos

Capítulo 8:

• Mejora del SGSI
• Acciones correctivas, acciones preventivas.

Documentos exigidos:

Documentos exigidos
Manual de seguridad	Clausula 4.3.1 Alcance SGSI, políticas de seguridad, metodologías, análisis de riesgos, descripción, procesos, quien hace qué y cuando.
Procedimientos	Descripción, procesos, ¿quien hace que y cuando?Análisis de riesgos: Identificación de amenazas Identificación de riesgos Identificación de controles
Instrucciones de trabajo	Cómo se realizan las tareas y las actividades específicas.
Documentos varios	Proporcionan evidencia, información del SGI.

ISO 27002 (Dominios I)

• Políticas de seguridad
• Aspectos organizacionales de la seguridad
• Gestión de activos
• Seguridad recursos: humanos, ingeniería social.
• Seguridad física y ambiental
• Gestión de operaciones y comunicaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas de información
• Gestión de incidentes de seguridad
• Gestión de la continuidad del proceso
• Cumplimiento

Dominio

· Objetivode Control

o Control(es)

§ Características control(es)

SEGURIDAD INFORMÁTICA

Apuntes del 12 de febrero de 2010

SEGURIDAD INFORMÁTICA

Estados de la información:

• Transmisión
• Almacenamiento
• Proceso

Medidas de seguridad

• Tecnología
• Normas
• Formación y cultura

Características de la información

• Confidencialidad
• Integridad
• Disponibilidad

La seguridad no es un producto es un proceso proactivo que requiere un análisis de riesgos, no reactivo. La seguridad es un proceso continúo. Para ello se requiere gestionar la información por medio de un SGSI.

Gestión: realización de actividades coordinadas para dirigir y controlar para lograr un objetivo determinado. Planificar, organizar, dirigir y controlar.

Gestión de seguridad informática:

Realización de actividades necesarias para organizar los niveles de seguridad en una organización.

MODELOS DE  GESTION DE SEGURIDAD INFORMÁTICA

Familia de Normas ISO 27000

NIST Instituto Nacional de Normas y Tecnología

NIST 800-12

• 800-18
• 800-30
• 800-34
• 800-53
• 800-100
• 800-115

ISO/IEC

• 27000   Vocabulario, estándar
• 27001   Certificación que debes tener las organizaciones
• 27002   Código de buenas prácticas (133) controles
• 27003   Directrices
• 27004   Indicadores de gestión
• 27005  Análisis de riesgos (metodología)