SESION 3: Seguridad de la Información
AGENDA ■
Auditoría de la Seguridad informática – – – –
■ ■ ■ ■ ■
Concepto e Importancia Administración de la Seguridad Seguridad Física Seguridad Lógica
Visión Global del Enfoque de Seguridad Qué es Seguridad de Información El Porqué de la Seguridad de la Información Establecimiento de Requerimientos de Seguridad Evaluación de Riesgos
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Informática: Es la estructura establecida para administrar la integridad, confidencialidad y disponibilidad de los sistemas de información, datos y recursos T.I. utilizados. Actualmente se trabaja el concepto de Seguridad Integral para contrarrestar el riesgo de afectar la Continuidad del Negocio.
Seguridad de la Información Prevenir Divulgación no autorizada de Activos de Información
Información Confidencialidad
Escrita Digital Transmitida Prevenir Cambios no autorizados en Activos de Información
Información
Integridad
Prevenir Destrucción no autorizada de Activos de Información
Disponibilidad
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Importancia de la Seguridad Informática: Sustenta la viabilidad de todos los procesos automatizados, inclusive el de la misma empresa. Equipos, sistemas y datos deben ser valorizados y registrados como activos para que se pueda dimensionar cualquier eventualidad que los afecte.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Los datos deben ser valorizados por las siguientes razones: ■ Importancia estratégica de los datos: Los SI contienen datos de importancia estratégica que por su contenido y valor garantizan la ventaja competitiva de la organización Estos datos sustentan la toma de decisiones, sean estas financieras u operativas
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA ■Confidencialidad de los datos: Pertenecen a la
organización y pueden tener requerimiento legal ■Expectativa de clientes, proveedores,....: Mantener la confianza en el manejo de su información ■Requerimientos externos: Leyes, Normas y estándares (p.e.: Transferencia de fondos EFT, intercambio electrónico de datos - EDI)
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Administración de la Seguridad ■ Clasificación de los datos: en función de su seguridad, facilita su tratamiento a los usuarios y dueños de la información ■ Razones de clasificación Eficiencia Implicancia Legal Costos
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Administración de la Seguridad ■ Criterios de clasificación: Sensibles a la destrucción Sensibles a la modificación Sensibles a la intromisión ■ Categorías de clasificación: Niveles (jerarquías), categorías (agrupaciones independientes) y mixtas
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Administración de la Seguridad ■ Determinación de responsabilidades entre los usuarios propietarios de los datos ■ Criterios de acceso: de lectura, borrado, modificación/cambios, combinación de fuentes separadas, ejecución de versión compilada
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Administración de la Seguridad ■Políticas operacionales: relativas al: Personal: contrato de trabajo, beneficios, trato al personal, remuneración Conectividad entre empresas Datos compartidos Violación de la seguridad Pistas de auditoría
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Administración de la Seguridad ■ Organización y recursos: Cartilla de seguridad: alcance, autoridad, objetivos y responsabilidades Organización establecida: ubicación para mantener nivel de independencia, definir función centralizada o descentralizada Asignar personal: nivel de staff, calificaciones, entrenamiento
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA
Administración de la Seguridad ■
Administración de los procedimientos de seguridad: Diseño de la estructura de seguridad: refleja los asignamientos a los datos y recursos en función de la organización Creación y desactivación de usuarios: sistema de acceso estandarizado, asignamiento y revocación, identificación del user ID que está inactivo y del que realiza una cantidad inusual de actividad
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA
Administración de la Seguridad
Controlar el acceso a los datos y otros recursos: procedimiento estandarizado de requerimiento de cambios y asignamiento o revocación de accesos a datos y recursos específicos Reporte y monitoreo: procedimiento de reporte de ocurrencias (intentos de violación de seguridad, logon inválidos, accesos a datos y recursos con privilegio de usuarios, modificaciones hechas por el personal de seguridad)
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Física: Control básico de una instalación informática. Los puntos de mayor vulnerabilidad son: ■Acceso Físico: se clasifica al personal autorizado a ingresar al ambiente de máquinas de acuerdo a la tarea que realizará y el tiempo que le dedicará. También se establece el procedimiento de acceso de los visitantes.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Física: ■Peligros del ambiente: se refiere a la amenazas naturales como terremotos incluyendo disturbios civiles y terrorismo. ■Protección contra el fuego e inundaciones: son las causas mas comunes de pérdidas de las instalaciones IS en el mundo.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica Son los controles del software que permiten identificar individualmente a los usuarios, limitar los accesos y establecer pistas de la actividad del sistema y de los usuarios en el sistema
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica ■ Caminos de Acceso - Rutas: Punto vital de la seguridad. Requiere clasificar al software para establecer los ingresos (Puntos de control) a las operaciones del sistema y cubrir el libre acceso a programas y datos.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica ■ Identificación de usuarios y autenticación: Este control es cada vez mas
utilizado por las acciones delictivas que debe prevenir. El proceso de identificación permite distinguir a un usuario de los otros y la autenticación permite reconocer al individuo que está efectuando la operación como el autorizado a hacerlo.
Herramientas de Autenticación de una persona
Manual
Posesión
Conocimiento
Ticket
Información biográfica
Llave Brevete Pasaporte Automatizado
Tarjeta del Banco Tarjeta de Acceso
Característica s Físicas
Cuenta de ahorros
Voz telefónica
PIN (ATM)
Firma
Código clave
Huella digital
Password
Foto Biométricas
Las herramientas se han clasificado de acuerdo a 3 métodos básicos y pueden combinarse para dar mayor nivel de seguridad
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica ■Identificación de usuarios y autenticación: Este control es cada vez mas utilizado por las acciones delictivas que debe prevenir. ■Control de Acceso al Software ■Seguridad en las PC’s
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica ■Control de Acceso al Software Se realiza al instalar el software (define la protección de los recursos, los ID’s y los passwords) y se crean las tablas de seguridad (pueden ser encriptadas). Cada usuario tiene accesos limitados y los recursos tienen niveles de protección.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica Consideraciones adicionales: Telecomunicaciones: control de invocación de programas, transmisión completa de las transacciones, restricción de uso de funciones, accesos restringidos. Monitores de teleproceso: acceso restringido, activan aplicaciones completas y mantienen un registro de las claves inválidas.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica Administración de librerías: generalmente los mismos software controlan el acceso y llevan el registro de la actividad realizada en logs. Los procedimientos a seguir deben estar documentados y al alcance del administrador. Administración de la Base de datos: el sistema debe identificar al usuario y a la sesión.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica Asimismo debe haber control de la obtención de respaldos y de su administración. Procedimiento de restore, reorganización, estadísticas, listas de chequeo interno. Utilitarios: usuarios con privilegios Sistemas Operativos: debe customizarse para el uso de Exits, los programadores deben ser seleccionados, uso de ID y passwords, límite de accesos, logs.
AUDITORÍA DE LA SEGURIDAD INFORMÁTICA Seguridad Lógica ■ Seguridad en las PC’s: Independientes: protegerla contra robos, uso de mecanismos de seguridad física, password de acceso al uso del equipo, controlar uso de software pirata, protegerla contra virus,.. En red: controles anteriores, más control de acceso a transmisión de datos y recepción.
Análisis de Riesgos Análisis de Impacto Análisis de Necesidades
Visión Global del Enfoque de Seguridad
Evaluación de Riesgos
Interpretación y Clasificación de Riesgos Identificación y Estimación de acciones para: •Actividades Preventivas •Actividades Correctivas •Actividades para la Reanudación y Continuidad del negocio
Elaboración de Planes
1-8
Plan de Seguridad de la Información •Identificación y Selección de los Mejores Mecanismos de Seguridad •Especificaciones de los Mecanismos de seguridad a Implantar. •Planificación del proceso de Implantación •Concientización del personal en la Seguridad.
9 Plan de Contingencias
•Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones. •Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia. Revisión de la Estrategia
10
Revisión del Plan Actual
Mejora Continua Revisión de Programas
Pruebas del Plan Actual
Plan de Continuidad del Negocio
•Inventario de Procesos del Negocio. •Identificación de Procesos Críticos •Especificaciones de los mecanismos de Acción a seguir para la continuidad •Plan de Recuperación de los estados de Seguridad
El Porqué de la Seguridad de la Información Preocupación por Seguridad : en primer nivel Riesgo y exposiciones a riesgos se están incrementando: • Mas del 40 % de empresas encuestadas (2001) detectaron que sus sistemas fueron penetrados desde el exterior • Casi un 85 % detectaron “rupturas de su seguridad” • 90 % de organizaciones fueron infectadas por virus (> 85% con Antivirus) • Empresas que sufrieron ataques a sus Web sites se duplicaron (2000 a 2001)
Preocupación de usuarios por “privacía” afectan negocios en línea • Mas del 36 % de consumidores en línea declararon que comprarían mas si no tuvieran preocupaciones por la privacidad de sus datos • 34 % que no compran en línea declararon que lo harían si no tuvieran preocupación por su privacía
Noticias al respecto • Historias de virus en primeras planas • Preocupaciones sobre privacidad regularmente publicadas
El Porqué de la Seguridad de la Información ANTES
Proceso de Negocio
Separación entre TI y Proc. Negocio SEGURIDAD COMPRADA (componente) Consumidor
Organización
TI
TI SD
PROLIA NT
8000
ESC
SD
RIESGO
DLT
Building 2
AHORA Convergencia de TI y Proc. Negocio Negocios interorganizacionales (B2B; B2C) Modelos e-Business SEGURIDAD COMO NECESIDAD AMPLIA DE LA EMPRESA Análisis de Riesgos y Continuidad de Negocio Mayor necesidad de entrenamiento de personal TI en Prácticas de Seguridad ESGO Consumidor
RI
TI
SD
PROLIANT
8000
Organización
ESC
SD
DLT
Building 2
Proceso de Negocio TI Necesidad de >
•Confianza •Privacía •Seguridad
Establecimiento de Requerimientos de Seguridad ORIGENES PRINCIPALES: 1.- Evaluación de Riesgos = Identificar amenazas + Evaluar vulnerabilidades + Estimar impacto potencial 2.- Requerimientos Legales, regulatorios y contractuales 3.- Principios, objetivos y requerimientos específicos desarrollados por la empresa de acuerdo a su Cultura Organizacional 4.- Incidente de seguridad 5.- Lecturas, o intuición de que algo está mal
Evaluación de Riesgos...... ....es la consideración sistemática de: 1.- Identificar el daño que pueda ocurrirle a la empresa en caso de vulnerarse su seguridad 2.- Probabilidad real que esta falla ocurra NECESIDAD de invertir en forma balanceada en controles y contramedidas para protegerse de estos riesgos AMENAZA: circunstancia o VULNERABILIDAD: debilidad evento con el potencial de en un sistema de información causar daño o interrupción al que podría ser explotada servicio PROBABILIDAD: que una amenaza particular pueda explotar una vulnerabilidad
Evaluación de Riesgos...... Se requiere seleccionar e implementar cuidadosamente una contramedida apropiada y de costo-efectivo que reduzca el nivel de riesgo
Contramedida= acción, dispositivo, procedimiento, técnica u otra medida que reduzca la vulnerabilidad o amenaza a un sistema
REDUCIR VULNERABILIDAD REDUCIR AMENAZA COSTO-EFECTIVO
Proceso de Evaluación de Riesgos Los 7 pasos: 1.- Identificar Activos 2.- Evaluar Amenazas (internas y externas) 3.- Evaluar Vulnerabilidades (Aplicaciones, BD, Red, Sw. Base, Procesos)
4.- Determinar Impacto 5.- Evaluar Riesgos 6.- Seleccionar contramedidas 7.- Documento de Riesgo Residual
Proceso de Evaluación de Riesgos Enfoques para evaluar riesgos: 1.- Cuantitativo: objetivo, basado en datos y fórmulas e intensivo en tiempo y recursos 2.- Cualitativo: subjetivo, basado en experiencia y de menor esfuerzo Selección de controles: “basados en costo de implementación en relación a riesgos a ser reducidos y a pérdidas potenciales si ocurriera una ruptura a la seguridad LAS MEJORES PRACTICAS: 1.- Elaborar documento de políticas de seguridad 2.- Asignar responsabilidades en seguridad de información 3.- Entrenamiento al personal sobre conciencia en la seguridad 4.- Reportes y respuestas a incidentes de seguridad 5.- Gestión de Continuidad del negocio
CASO a desarrollar • Grupos de 3 o 4 • Seleccionar la empresa objetivo (de uno de los participantes) • Definir el problema o problemas de seguridad (B2B, B2C, e-Business, etc) • Evaluación del riesgo
Control de Avance 14/05/03 Sustentación 9/07/03