Seguridad Informática Cualquier medida que impida la
ejecución de operaciones no autorizadas sobre un sistema o
red informática, cuyos efectos pueden conllevar
daños sobre la información, comprometer su
confidencialidad, autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el acceso de usuarios
autorizados al sistema.
Seguridad El ISO/IEC 17799, define CIA (Confidentialy, Integrity,
Availability) como pilar fundamental de la Seguridad
Informática. Principios de “defensa en
profundidad”: cifrado de datos, gestión de usuarios,
configuración ribusta de equipos, segmentación de
redes (VLANs), Seguridad Perimetral.
Seguridad Informática Existen 4 planes de
actuación: técnico, humano, legal y organizativo.
La seguridad es un proceso. Se necesita de un Sistema de
Gestión de Seguridad de la Información (SGSI). La
información es un recurso vital en el mundo globalizado de
hoy en día.
Seguridad Informática SSE/CMM (Systems Security
Engineering/ Capability Maturity Model) define: Nivel 0: Nada de
seguridad Nivel 1: Prácticas de seguridad realizadas de
manera informal Nivel 2: Planificación y seguimiento de
las prácticas de seguridad
Seguridad Informática Nivel 3: Definición y
coordinación de las políticas y procedimientos de
seguridad. Nivel 4: Seguridad controlada a través de
distintos controles y objetivos de calidad. Nivel 5:
Implantación de un proceso de mejora continua.
Seguridad Informática Se tiene una jerarquía de
seguridad informática: CIA Políticas Planes
Procedimientos Tareas y Operaciones Registros y Evidencias.
Seguridad Informática Ejemplo de seguridad CIA
Política: protección del servidor Web de la
organización contra accesos no autorizados. Procedimiento
1: Actualización del software del servidor Web. Tarea1:
Revisión diaria de los parches publicados por el
fabricante.
Seguridad Informática Tarea2: Seguimiento de las noticias
sobre posibles fallos de seguridad. Procedimiento 2:
Revisión de los registros de actividad en el servidor.
Tarea1: revisión semanal de los “logs” del
servidor para detectar anomalías.
Seguridad Informática Tarea2: Configuraciones de alertas
de seguridad que permitan reaccionar de forma urgente ante
determinados tipos de ataques e intentos de intrusión.
Inventario de soportes físicos. Destructor de Discos
Duros
SGSI Un SGSI se encuentra estandarizado en la norma ISO
27001:2005. La ISO 17799:2005 define buenas prácticas de
SI pero en si no es certificable como tal. Se utilizó
hasta antes de definirse el ISO 27001:2005 Está basado en
la norma británica BS7799 utilizada en seguridad de
SI.
SGSI A continuación se muestran las principales versiones
del estándar: ISO 27000 Vocabulario y Glosario ISO 27001
Estándar certificable ISO 27002 Relevo del ISO/IEC
17799:2005
SGSI ISO 27003 Guía de implantación ISO 27004
Métricas e indicadores ISO 27005 Gestión de Riesgos
ISO 27006 Requerimientos para las entidades de auditoría y
certificación.
SGSI Se basa en la metodología de Dewey (Plan, Do, Check,
Act). La cual quedaría definida así: Plan:
Establecer el SGSI Do: Implantar y Operar el SGSI Check:
Monitorear y Revisar el SGSI
SGSI Act: Mantener y mejorar el SGSI Otras actividades: Control
de Documentos Capacitación Acción Correctiva
Acción preventiva
SGSI Se clasifican cada uno de los activos, se determinan
amenazas, vulnerabilidades, riesgos basándose en una
escala de 1 (muy bajo) a 5 (muy alto). Se debe realizar un Plan
de Continuidad del Negocio, el cual puede contener: DRP Disaster
Recovery Planning
SGSI BRP Business Resumption Planning COOP Continuity Operations
Planning CP Contingence Planning ERP Emergency Response
Planning
SGSI Pirámide Documental: Manual de Seguridad
Procedimientos Instrucciones de Trabajo Documentos
SGSI Se deben tomar en cuenta muchos aspectos para establecer
mecanismos de seguridad: Aspectos legales, sociales y
éticos Controles físicos Cuestiones de
política
SGSI Problemas operacionales Controles de hardware Soporte del
Sistema Operativo Existen dos enfoques de seguridad: discrecional
y obligatorio.
SGSI En el discrecional, los usuarios tienen derechos de acceso
diferentes (privilegios) por lo tanto son muy flexibles El
control obligatorio, cada objeto está etiquetado con un
nivel de clasificación y a cada usuario se le da un nivel
de acreditación. Son sistemas jerárquicos y
rígidos.
SGSI La autenticación es el proceso que consiste en
verificar que el usuario es quién dice ser. La
autorización es el proceso para que un usuario pueda
realizar una acción. Registro de auditoría es un
archivo o base de datos en el que el sistema lleva la cuenta de
las operaciones realizadas por los usuarios.
SGSI Los controles de acceso obligatorio se rigen en base al
principio de Bell-LaPadula: El usuario i puede recuperar el
objeto j sólo si el nivel de acreditación de i es
mayor o igual al nivel de clasificación de j
(“propiedad de seguridad simple”).
SGSI El usuario i puede actualizar el objeto j sólo si el
nivel de acreditación de i es igual al nivel de
clasificación de j. Los controles de acceso se dividen en
4: D, C, B y A. Donde D es la protección mínima, C
es discrecional, B es obligatoria y A es verificada.
SGSI Dentro de C, se encuentran los niveles C1 (menos segura) y
C2. La seguridad física es muy importante a tal punto que
se debe de considerar en todo SGSI. Una de las normas de
seguridad física más utilizada es: BS
7799-2:2002.
SGSI No sobrecargar los circuitos eléctricos y cordones de
extensión. Asegurarse que el voltaje combinado no exceda
la capacidad de los circuitos. Tener un extintor de fuegos tipos
C. No utilizar ningún tipo de electrodoméstico
dentro del site.
SGSI No tomar líquidos dentro del site. No fumar. Tener
letreros de seguridad. No situar equipos en sitios altos para
evitar caídas. No colocar equipos cerca de ventanas.
Amenazas de Seguridad Intercepción Interrupción
Modificación Fabricación
Amenazas de Seguridad Ingeniería Social Ataques pasivos
Ataques activos Análisis de Riesgos Interrupción
del Serivicio FPGA
Amenazas de Seguridad Virus informáticos Gusanos Troyanos
Spyware Adware Dialers Exploit Bots Pharming
Amenazas de Seguridad Backdoor Bomba fork Hijacker Keystroke o
Keyloggers Párasito Informático
Amenazas de Seguridad Phishings Pornware Rabbit Rootkit Spam
Pop-Ups Bomba Lógica Cookies (Malas) Trampas y/o
Inocentadas
Mecanismos de Seguridad Cifrado Autorización
Autenticación Auditoría
Mecanismos de Seguridad Derecho a la intimidad Elaboración
de perfiles Dispositivos biométricos Uso de VPN Uso de
certificados de autoridad
Mecanismos de Seguridad Antivirus Firewall Anti-Spyware
Anti-Rootkits Parches (Service Pack) Configuraciones Trucos,
Trucos y más trucos
Mecanismos de Seguridad Hacer copias de seguridad Habilitar las
zonas de seguridad Utilizar antivirus y dos firewalls* Control
para padres Utilización de sockets seguros (SSL)
Mecanismos de Seguridad Emplear claves difíciles de
acordar.* Comprobar el estado del sistema operativo.
Comprobación del estado del hardware Evitar descargas de
archivos. IDS Sistemas Detector de Intrusos Utilización de
Proxys
Firewall Es un monitor de redes cuya finalidad es el filtrado de
paquetes y funcionar de pasarela de alto nivel. Seguridad en un
Cisco Catalyst: permit tcp any host 209.98.208.33 established
acces-list 100 permit tcp any 179.12.244.1 eq smtp.
Herramientas Monitoreo Se encargan de ver el estado de algunos
procesos Los sniffers entran en esta categoría aunque no
son del todo herramientas de monitoreo. Algunos monitores: Cacti,
Nagios, Nessus Utilerías: Pathping, Tracert,
nslookup
Superusuario Se debe controlar esta cuenta por que este usuario
puede: Borrar, agregar o modificar cuentas de usuario Leer y
escribir todos los archivos y crear unos nuevos. Agregar o borrar
dispositivos
Superusuario Instalar nuevo software Leer el correo
electrónico de otros Husmear el tráfico de toda la
LAN Modificar las bitácoras del sistema
Certificados de Seguridad Es un documento emitido y firmado por
una Autoridad de Certificación CA. Se pueden obtener
certificados digitales de prueba, por ejemplo de VeriSign. Si se
planifica bien una red, se pueden reducir del 80-90% de los
problemas de la red.
Resolución de Problemas Desarrollar una estrategia para
resolver problemas Conocer la red Enseñar a los usuarios a
reconocer un problema Conocer el proceso de trabajo de la
organización
Mantener un registro con problemas y soluciones Ajustar los
servidores y estaciones de trabajo Revisar la memoria virtual
pagefile.sys Revisar si está conectado el cable Nbtstat
–n DMZ, DDNS.
Se recomienda tener un solo servicio por máquina. La
tendencia es a virtualizar servicios. La seguridad es una
cuestión de directivas y no de tecnología.
Utilización de NAT para enmascarar direcciones.
Solucionar los problemas paso a paso Obtener toda la
información que sea posible sobre el problema. Anotar los
mensajes de error cuando aparezcan o cuando un usuario los
envié. Comenzar con las soluciones más sencillas.
Determinar si alguien más está experimentando el
problema.
Comprobar si se ha registrado un evento recientemente Comprobar
los cortes de energía