Origen de la Seguridad y su Problemtica

1
Origen de la Seguridad y su Problemática

• M.C. Juan Carlos Olivares Rojas
• Septiembre 2009

2
Agenda

• Qué es la seguridad?
• Evolución de la seguridad
• Los grandes problemas
• Organismos internacionales
• Normatividad en seguridad

3
Qué es la seguridad?

• El término seguridad proviene del latín
  securitas. Se refiere a la seguridad como la
  ausencia de riesgo o también a la confianza en
  algo o alguien.
• Otras definiciones de seguridad
• Mecanismos de control que evitan el uso no
  autorizado de recursos.
• Protección de información (datos) de daño
  intencionado o accidental

4
Conceptos Básicos de Seguridad

• Para Peter Drucker, gurú de la administración
  El primer deber del negocio es sobrevivir y el
  principio guía de la economía comercial no es la
  maximización de las utilidades, sino el evitar
  las pérdidas.
• Esto refleja la importancia que tiene la
  seguridad en el ámbito empresarial en cuestión a
  la pérdida de activos.

5
Conceptos Básicos de Seguridad

• Los requisitos básicos de seguridad en TICs son
• Autenticación
• Control de Acceso
• Confidencialidad
• Integridad
• No repudio
• Disponibilidad
• Privacidad

6
Evolución de la seguridad

• Al inicio de la computación, al sólo existir
  pocas máquinas y pocos usuario la seguridad era
  prácticamente nula ya que se tenía confianza
  plena en las personas.
• Al popularizarse la computación personal trajo
  consigo que muchas personas pudiesen manejar
  computadoras. Esto originó que se dejará de
  confiar en las personas (diferencia entre vivir
  en un pueblo chico y uno grande).

7
Evolución de la Seguridad

• Hasta este momento la seguridad era aun
  controlable. Con la llegada de redes de
  computadoras (LAN) y el acceso a redes externas
  (WAN) como Internet el problema se agravó
  exponencialmente.
• Actualmente es cada vez mayor la cultura con
  respecto a la seguridad de las tecnologías de la
  información.

8
Evolución de la Seguridad

• En un principio cuando las empresas empezaron a
  considerar a las TICs como factores claves de
  éxito fue necesario que hubiese una persona
  encargada de la seguridad de dichos activos
  (1970s).
• En la década de 1980 fue necesaria la creación de
  grupos de trabajos de seguridad dentro de las
  empresas. Para la década de los 2000 la seguridad
  es cosa de todos los miembros.

9
Los grandes problemas

• Cuál es el elemento más importante en una
  oganización? Los activos, principalmente activos
  de información.
• cuál es el principal activo en una firma como
  ATT, Telmex, etc.?
• Cobre en 1976 60
• Cobre, Fibra e Infraestructura 30 aprox. en 2008.

10
Los grandes problemas

• Dónde está el demás dinero?
• Sistemas de Información
• Cúal es el activo más importante en Coca-Cola?
• La fórmula secreta. Es la misma desde 1886, sólo
  3 personas la conocen en el mundo.
• Esta fórmula está protegida como secreto
  comercial.

11
Los grandes problemas

• El principal problema con la seguridad en TICs es
  que vivimos en una sociedad de información
  (conocimiento) donde está representa poder y el
  poder se ve reflejado en muchos factores,
  principalmente dinero.
• En México el 30 de los encargados de seguridad
  informática nunca se reúne con los altos
  directivos para hablar del aseguramiento de los
  activos de información.

12
Problemas de Seguridad

• Prncipales mitos de la seguridad en TICs
• Ya compramos un Firewall, ya tenemos seguridad
  no?.
• Manejar el oscurantismo de lo inesperado.
• Nunca ha pasado nada, o al menos no nos hemos
  dado cuenta.

13
Problemas de Seguridad

• No estoy en Internet, no necesito seguridad.
• Mis empleados son gente de confianza!!!
• Ver el problema de la seguridad como un problema
  tecnológico.
• La seguridad es relativa. Lo único seguro es la
  muerte y los impuestos.

14
Problemas de Seguridad

• El 1 de Mayo de 2004, el gusano Sasser en una
  semana infectó a 18 millones de computadoras en
  el mundo, trajo a miles de negocios de rodillas y
  costó un estimado de 3,500 millones de Dólares.
• Algunas estadísticas en cuestión de problemas de
  seguridad son
• 32 de la pérdida de datos es causada por errores
  humanos.

15
Problemas de Seguridad

• 25 de la pérdida de datos se deben a fallas
  físicas
• 15 de la pérdida de datos es por la pérdida o
  robo del activo de información.
• La seguridad debe verse como una inversión no
  como un gasto. Es cierto que la seguridad es
  costosa pero es más costosa la inseguridad.
  Ninguna medicina es útil si el paciente no la
  toma

16
Problemas de Seguridad

• La seguridad en TICs no solo afecta a recursos
  computacionales, sino a cualquier activo de
  información de la empresa. Los activos pueden
  ser
• Información propiamente tal bases de datos,
  archivos, conocimiento de las personas.
• Documentos contratos, manuales, facturas,
  pagarés, solicitudes de créditos.

17
Problemas de Seguridad

• Software aplicaciones, sistemas operativos,
  utilitarios.
• Físicos equipos, edificios, redes
• Recursos humanos empleados internos y externos
• Servicios electricidad, soporte, mantención.

18
Organismos internacionales

• Existen muchas organizaciones internacionales
  encargadas de la seguridad informática entre las
  principales destacan ISO, IEEE, ACM, ISACA
  (Information System Audit and Control
  Association), ALSI (Academia Latinoamericana de
  Seguridad Informática).
• Dichos organismos se encargan de regular mejores
  prácticas (estándares, metodologías, guías base,
  etc.) en cuestión de seguridad informática.

19
Normatividad en seguridad

• Una de las responsabilidades de la administración
  de la función informática (administración de
  TICs) es garantizar la seguridad de los activos
  de información.
• El proceso de aseguramiento de los activos de
  información sigue una serie de pasos comunes
• Identificación de activos de información y
  priorización de los mismos.

20
Normatividad de Seguridad

• Se debe evaluar el activo para ver si merece la
  pena implementar controles de seguridad.
• Se debe de guiar el trabajo a través de una
  normatividad o estándares los cuales nos
  indicarán Qué trabajo hay que hacer, Quién lo
  debe hacer, Cuándo se hará y con qué frecuencia.
• Los estándares deben de ser claros (se deben
  adaptar a las necesidades internas)

21
Normatividad en Seguridad

• No se puede administrar lo que no se puede medir,
  es una de las máximas premisas de la
  administración. La seguridad debe de poderse
  cuantificar su desempeño en términos objetivos y
  tangibles.
• Después de medir hay que evaluar el desempeño e
  indicar que acciones se deben de tomar.

22
Normatividad en Seguridad

• El componente crítico en todo sistema es el
  usuario y la seguridad no es la excepción.
• De qué sirve tener todo un sistema de seguridad
  avanzada en una casa si el usuario deja su llave
  pegada a la puerta (o su contraseña pegada al
  monitor de su computadora)?
• Se debe capacitar a los usuarios.

23
Normatividad de Seguridad

• La gran mayoría de los incidentes de seguridad
  ocurren desde dentro, teniendo el mito que es más
  frecuente hacia el exterior.
• La mejor forma de garantizar seguridad es a
  través de la planeación.
• La planeación se compone de tres fases
  estimación, itinerario y seguimiento.

24
Normatividad de Seguridad

• Existen dos enfoques de seguridad
• En el discrecional, los usuarios tienen derechos
  de acceso diferentes (privilegios) por lo tanto
  son muy flexibles
• El control obligatorio, cada objeto está
  etiquetado con un nivel de clasificación y a cada
  usuario se le da un nivel de acreditación. Son
  sistemas jerárquicos y rígidos.

25
Normatividad de Seguridad

• La autenticación es el proceso que consiste en
  verificar que el usuario es quién dice ser.
• La autorización es el proceso para que un usuario
  pueda realizar una acción.
• Registro de auditoría es un archivo o base de
  datos en el que el sistema lleva la cuenta de las
  operaciones realizadas por los usuarios.

26
Normatividad de Seguridad

• Los controles de acceso obligatorio se rigen en
  base al principio de Bell-LaPadula
• El usuario i puede recuperar el objeto j sólo si
  el nivel de acreditación de i es mayor o igual al
  nivel de clasificación de j (propiedad de
  seguridad simple).

27
Normatividad de Seguridad

• El usuario i puede actualizar el objeto j sólo si
  el nivel de acreditación de i es igual al nivel
  de clasificación de j.
• Los controles de acceso se dividen en 4 D, C, B
  y A.
• Donde D es la protección mínima, C es
  discrecional, B es obligatoria y A es verificada.

28
Nomrmatividad de Seguridad

• Dentro de C, se encuentran los niveles C1 (menos
  segura) y C2.
• DOS está clasificado en D
• Qué es más seguro Windows o Linux?
• Linux C1
• Windows C2

29
Seguridad Física

• No sobrecargar los circuitos eléctricos y
  cordones de extensión. Asegurarse que el voltaje
  combinado no exceda la capacidad de los
  circuitos.
• Tener un extintor de fuegos tipos C.
• No utilizar ningún tipo de electrodoméstico
  dentro del site.

30
Seguridad Física

• No tomar líquidos dentro del site.
• No fumar.
• Tener letreros de seguridad.
• No situar equipos en sitios altos para evitar
  caídas. No colocar equipos cerca de ventanas.

31
Seguridad Lógica

• La seguridad lógica está encargada de proveer una
  serie de controles que ayuden a asegurar los
  activos de información
• Ejemplo un acuerdo en papel por el cual un
  usuario que desea obtener un bien o servicio de
  la compañía está de acuerdo en su uso y respeta
  lo estipulado.

32
Seguridad del Personal

• El recurso humano o capital intelectual es de
  suma importancia y garantizar su seguridad física
  en entornos donde la tecnología ayuda en los
  procesos de negocio es vital.
• Todos los controles deben de tener indicado la
  forma en que deben de ser utilizados por los
  miembros de la organización.

33
Actividad

• Discusión las máquinas virtuales garantizan
  mayor seguridad que los sistemas operativos
  anfitriones?
• Tarea Instalar una máquina virtual tanto de
  Windows como de un sistema X (Linux, Solaris,
  FreeBSD, etc.)
• Discusión qué sucede si utilizando Word ocurre
  una falla y pierdo mi información se puede
  demandar a Microsoft

34
Certificación CISA

• Está compuesta por 200 preguntas
• Proceso de Auditoria de SI 10
• Gobernanza TI 15
• Gestión del Ciclo de Vida de Infraestructura y
  Systemas 16
• Soporte y Entrega de Servicios de TI 14
• Protección de Activos de Información 31
• Continuidad del Negocio y Recuperación de
  Desastres 14

35
Por qué usar Mejores Prácticas?

• Nos orientan hacia mejores resultados

36
ISO 17799- ISO 27001

• Política de seguridad
• Aspectos organizativos para la seguridad
• Clasificación y control de activos
• Seguridad ligada al personal
• Seguridad física y del entorno
• Gestión de comunicaciones y operaciones
• Control de accesos
• Desarrollo y mantenimiento de sistemas
• Gestión de incidentes de seguridad
• Gestión de continuidad de negocio
• Conformidad

37
Seguridad

• El ISO/IEC 17799, define CIA (Confidentialy,
  Integrity, Availability) como pilar fundamental
  de la Seguridad Informática.
• Existen 4 planes de actuación técnico, humano,
  legal y organizativo.
• Para nuestro curso se tomaran los siguientes
  técnico, físico y logístico.

38
Seguridad

• La seguridad es un proceso. Se necesita de un
  Sistema de Gestión de Seguridad de la Información
  (SGSI).
• ISO 27000 es un estándar de SGSI como el ISO 9000
  pero enfocado en seguridad.
• Existen otras nrmativas como SSE/CMM (Systems
  Security Engineering/ Capability Maturity Model).

39
Seguridad

• Esta metodología define niveles de madurez de los
  procesos entendiendose por madurez el grado de
  definición de un proceso. Los niveles son
• Nivel 0 Nada de seguridad
• Nivel 1 Prácticas de seguridad realizadas de
  manera informal.

40
Seguridad

• Nivel 2 Planificación y seguimiento de las
  prácticas de seguridad
• Nivel 3 Definición y coordinación de las
  políticas y procedimientos de seguridad.
• Nivel 4 Seguridad controlada a través de
  distintos controles y objetivos de calidad.
• Nivel 5 Implantación de un proceso de mejora
  continua.

41
Seguridad Informática

• Se tiene una jerarquía de seguridad informática
• CIA
• Políticas
• Planes
• Procedimientos
• Tareas y Operaciones
• Registros y Evidencias.

42
Seguridad Informática

• Ejemplo de seguridad CIA
• Política protección del servidor Web de la
  organización contra accesos no autorizados.
• Procedimiento 1 Actualización del software del
  servidor Web.
• Tarea1 Revisión diaria de los parches publicados
  por el fabricante.

43
Seguridad Informática

• Tarea2 Seguimiento de las noticias sobre
  posibles fallos de seguridad.
• Procedimiento 2 Revisión de los registros de
  actividad en el servidor.
• Tarea1 revisión semanal de los logs del
  servidor para detectar anomalías.

44
Seguridad Informática

• Tarea2 Configuraciones de alertas de seguridad
  que permitan reaccionar de forma urgente ante
  determinados tipos de ataques e intentos de
  intrusión.
• Otros
• Inventario de soportes físicos.
• Destructor de Discos Duros

45
Seguridad Informática

• Política de uso de Correo ElectrónicoEl
  servicio de correo electrónico se proporciona
  para que los empleados realicen funciones propias
  del negocio, cualquier uso personal deberá
  limitarse al mínimo posible
• Prohibiciones expresas Se prohíbe el envío de
  mensajes ofensivos. Deberá evitarse el envío
  de archivos peligrosos.

46
Seguridad Informática

• Declaración de intención de monitorear su uso
  La empresa podrá monitorear el uso de los
  correos en caso que se sospeche del mal uso
• Procedimiento de Alta de Usuarios
• Cada vez que se contrate a una persona, su jefe
  directo debe enviar al Adminsitrador de
  Privilegios una solicitud formal de creación de
  cuenta, identificando claramente los sistemas a
  los cuales tendrá accesos y tipos de privilegios.

47
Seguridad Informática

• El Administrador de privilegios debe validar que
  la solicitud formal recibida indique fecha de
  ingreso, perfil del usuario, nombre, rut, sección
  o unidad a la que pertenece.
• El Administrador de privilegios creará la cuenta
  del usuario a través del Sistema de
  Administración de privilegios y asignará una
  clave inicial para que el usuario acceda
  inicialmente.

48
Seguridad Informática

• El Administrados de privilegios formalizará la
  creación de la cuenta al usuario e instruirá
  sobre su uso.
• Este tipo de control hacia que tipo de seguridad
  afecta?
• Aunque es más del tipo lógico por ser un control
  de acceso, también tiene que ver con el control
  técnico del servicio.

49
SGSI

• Un SGSI se encuentra estandarizado en la norma
  ISO 270012005.
• La ISO 177992005 define buenas prácticas de SI
  pero en si no es certificable como tal. Se
  utilizó hasta antes de definirse el ISO
  270012005
• Está basado en la norma británica BS7799
  utilizada en seguridad de SI.

50
SGSI

• A continuación se muestran las principales
  versiones del estándar
• ISO 27000 Vocabulario y Glosario
• ISO 27001 Estándar certificable
• ISO 27002 Relevo del ISO/IEC 177992005

51
SGSI

• ISO 27003 Guía de implantación
• ISO 27004 Métricas e indicadores
• ISO 27005 Gestión de Riesgos
• ISO 27006 Requerimientos para las entidades de
  auditoría y certificación.

52
SGSI

• Se basa en la metodología de Dewey (Plan, Do,
  Check, Act). La cual quedaría definida así
• Plan Establecer el SGSI
• Do Implantar y Operar el SGSI
• Check Monitorear y Revisar el SGSI

53
Sistema de Gestión de Seguridad de la Información
54
(No Transcript)
55
SGSI

• Act Mantener y mejorar el SGSI
• Otras actividades
• Control de Documentos
• Capacitación
• Acción Correctiva
• Acción preventiva

56
SGSI

• Se clasifican cada uno de los activos, se
  determinan amenazas, vulnerabilidades, riesgos
  basándose en una escala de 1 (muy bajo) a 5 (muy
  alto).
• Se debe realizar un Plan de Continuidad del
  Negocio, el cual puede contener
• DRP Disaster Recovery Planning

57
SGSI

• BRP Business Resumption Planning
• COOP Continuity Operations Planning
• CP Contingence Planning
• ERP Emergency Response Planning

58
SGSI

• Pirámide Documental
• Manual de Seguridad
• Procedimientos
• Instrucciones de Trabajo
• Documentos

59
COBIT

• Control Objective for Information related
  Technology.

60
COBIT

• Modelo de Gobernanza de TI
• Sirve de base para saber cómo debe de organizarse
  de forma eficiente una organización que maneje
  TI.
• Se basa en el supuesto de que si una organización
  está bien estructurada en sus procesos hay menos
  problemas de seguridad.

61
ITIL

• IT Infrastructure Library, incluye definiciones
  de las mejores prácticas para la gestión de
  Servicios. La definición se divide en dos
  volúmenes
• Soporte de Servicios
• Distribución de Servicios
• Sirve de base para estructurar la parte de
  infraestructura (física y lógica de una
  organización).

62
Proyecto Final

• Implementación de un SGSI realizando el diseño
  del SGSI en ISO27000 u otra metodología, la
  implementación y la validación de controles.
• La empresa deberá ser de preferencia real aunque
  se trabaje o no actualmente en ella.
• El número de activos y de controles dependerá del
  problema planteado. Se espera que esto funcione
  de manera adecuada.

63
Referencias

• Morales, R. (2008) Curso de Seguridad
  Informática, SI040001, ITESM.
• González, H. (2008), Curso de Seguridad
  Informática II, UNID Sede Morelia.
• Gómez, A. (2007). Enciclopedia de la Seguridad
  Informática, Alfaomega, México, ISBN
  978-970-15-1266-1.

64
Referencias

• McNab, C. (2004). Seguridad de Redes. Anaya
  Multimedia OReilly, España, ISBN 84-415-1751-1
• Senft, S. And Gallegos, F. (2008) Information
  Technology Control and Audit, Third Edition, CRC
  Press, United States

65
Preguntas?