KELA Presentacion Costa Rica 2024 - evento Protégeles
Guia de ti7
1. GUIA de TI7
Principiosde la seguridadeninformática
En las propiasempresas,lacrecientecomplejidadyel elevadonúmerode transaccionesrealizadashanpropiciadoel soporteautomatizadode
muchosde sus procesos.
De ahí la gran importanciaque se deberíaconcederatodoslos aspectosrelacionadosconlaSeguridadInformáticaenunaorganización.
Seguridadinformática
Cualquiermedidaque impidalaejecuciónde operacionesnoautorizadassobre unsistemaoredinformáticacuyosefectospuedanconllevar
dañossobre la información,comprometersu confidencialidad,autenticidadointegridad,disminuirel rendimientode losequiposbloquearel
acceso de usuariosautorizadosal sistema.
Seguridadde la Información segúnla Norma ISO/IEC 17799
La NormaISO/IEC17799 define laseguridad de lainformacióncomolapreservación
de suconfidencialidad,suintegridad ysu disponibilidad(conocidasporsuacrónimo“CIA”)
eninglésConfidentiality,Integrity, Availability”)
La NormaISO7498 define laSeguridad Informáticacomounaserie de mecanismos
que minimizanlavulnerabilidadde bienesyrecursosenunaorganización.
3. Objetivosde la seguridad de informática.
• Minimizarygestionarriesgosydetectarproblemasyamenazasala seguridad
• Garantizar laadecuadautilizaciónde losrecursosyde las aplicacionesde sistema
• Limitarlaspérdidasyconseguirlaadecuadarecuperacióndel sistemaencasode unincidente de seguridad
• Cumplirconel marco legal y con losrequisitosimpuestosporlosclientesensuscontratos
Planos de actuación enla seguridad informática.
• PLANOHUMANO
Sensibilizaciónyformación
Funciones,obligacionesyresponsabilidadesdel personal
Control y supervisiónde losempleados
• PLANOTÉCNICO
Selección,instalación,configuraciónyactualizaciónde solucionesHWySW
Criptografía
Estandarizaciónde productos
Desarrollosegurode aplicaciones
• ORGANIZACIÓN
Políticas,NormasyProcedimientos
Planesde ContingenciayRespuestaaIncidentes
RelacionesconTerceros(Clientes,Proveedores,etc)
• LEGISLACIÓN
4. Cumplimientoyadaptaciónala legislaciónvigente.
LOPD,LSSI, LGT, Firma electrónica,CódigoPenal,PropiedadIntelectual.
LA SEGURIDAD DE INFORMATICACOMO PROCESO Y NO COMO PRODUCTO
Seguridadcomo proceso.
• Reducirlaposibilidadde que se produzcanincidentesde seguridad
• Revisiónyactualizaciónde lasmedidasde seguridadimplantadas(Auditoría)
• Conseguirlarápidarecuperaciónde losdañosexperimentados
• Minimizarel impactoenel sistemade información
• Facilitarlarápidadetecciónde losincidentesde seguridad
Serviciosde seguridad de la información.
• CONFIDENCIALIDAD
• AUTENTICACIÓN
• INTEGRIDAD
• NO REPUDIACIÓN
• DISPONIBILIDAD
• AUTORIZACIÓN
• AUDITABILIDAD
• RECLAMACIÓN DE ORIGEN
• RECLAMACIÓN DE PROPIEDAD
• ANONIMATOEN EL USO DE LOS SERVICIOS
5. • PROTECCIÓN A LA RÉPLICA
• CONFIRMACIÓN DELA PRESTACIÓN DE UN SERVICIO
• REFERENCIA TEMPORAL (CERTIFICACIONESDEFECHAS)
• CERTIFICACIÓN MEDIANTETERCEROS DE CONFIANZA
PRINCIPIODE “DEFENSA EN PROFUNDIDAD”
• Consiste enel diseñoe implantaciónde variosnivelesde seguridaddentrodelsistemainformáticode laorganización.
• Seguridadperimetral (Cortafuegos,proxiesyotrosdispositivosque constituyenlaprimera“líneade defensa”.
6. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN(SGSI)
Es aquellaparte del sistemageneral de gestiónque comprende la política,laestructuraorganizativa, losrecursos necesarios,los
procedimientosylosprocesosnecesariosparaimplantarlagestiónde laseguridadde lainformaciónenunaorganización.
POLÍTICAS GESTIÓNDE LA SEGURIDAD DE LA INFORMACIÓN
Está constituidaporel conjuntode normas reguladoras, procedimientos,reglasybuenasprácticas que determinanel modoenque todoslos
activosy recursos,incluyendolainformación,songestionados,protegidosydistribuidosdentrode unaorganización.
7. NIVELES DE MADUREZ EN LA GESTIONDE LA SEGURIDAD DE LA INFORMACIONEN UNA ORGANIZACIÓN.
• ETAPA 1
Implantaciónde medidasbásicasde seguridadpor“sentidocomún”:
Copiasde seguridad
Control de acceso a recursos…
• ETAPA 2
Cumplimientode lalegislaciónvigente:
LOPD,LSSI, Delitosinformáticos,etc
• ETAPA 3
GestiónGlobal de laSeguridadde laInformación:
Definiciónde unapolíticade seguridad
Implantaciónde planesyprocedimientosde seguridad
AnálisisyGestiónde Riesgos
Definiciónde unPlande RespuestaaIncidentesyde Continuidadde Negocio
• ETAPA 4
Certificaciónde laGestiónde laSeguridad:
UNE 71501 y 71502
BS 7799-2
Confianzayverificabilidadporparte de terceros
ANALISIS Y GESTIONDE RIESGOS EN UNAORGANIZACIÓN
8. • Análisisy Detecciónde Vulnerabilidadesdel Sistemade Información
Impactoen losactivosafectados
• Detecciónde Amenazas
Intencionadas
No Intencionadas
Naturales
• Evaluación y Gestióndel Riesgo
RECURSOS DEL SISTEMA.
Los recursossonlos activosa protegerdel sistemainformáticode laorganización.
9. • Recursosde Hardware
• Recursossoftware
• Elementosde Comunicaciones
• Informaciónque se almacena,procesaydistribuye sistema
• Localesy oficinasdonde se ubicanlosrecursosfísicos
AMENAZAS
Se consideraamenazaa cualquiereventoaccidental ointencionadoque puedaocasionaralgúndañoenel sistemainformático,provocando
pérdidasmateriales,financierasode otrotipoa la organización.
• AmenazasNaturales
• Amenazasde AgentesExternos
• Amenazasde AgentesInternos
• Accidente
• Errores
• Actuacionesmal intencionadas
VULNERABILIDADES
• Es cualquierdebilidadenel sistemainformáticoque puedapermitiralasamenazascausarle dañosy producirpérdidasenla
organización.
• Fallosenlossistemasfísicosy/ológicos
• Defectosde ubicación,instalación,configuraciónymantenimientode losequipos
Aspectosorganizativos(Procedimientos mal definidos,al factorhumano,etc)
10. INCIDENTES DE SEGURidad
• Es cualquiereventoque tengaopuedatenercomoresultadolainterrupciónde losserviciossuministradosporunsistemainformático
y/oposiblespérdidasfísicasde activosofinancieras.
Es la medicióny valoración del daño que podría producir a la organización un incidente de seguridad.
IMPACTOS
Alto • Pérdidaso inhabilitaciónde recursos críticos
• Interrupciónde los procesosde negocio
• Daños en la imageny reputaciónde la organización
• Robo o revelaciónde informaciónestratégicao especialmente protegida
Moderado • Pérdidasoinhabilitaciónde recursoscríticosperoque cuentanconelementosde respaldo
• Caída notable enel rendimientode losprocesosde negociooenlaactividadnormal de la organización
• Roboo revelaciónde informaciónconfidencial,peroNOconsideradaestratégica
11. Bajo • Pérdidaoinhabilitaciónde recursossecundarios
• Disminucióndel rendimientode losprocesosde negocio
• Roboo revelaciónde informacióninternanopublicada
RIESGOS
Es la probabilidadde que unaamenazase materialice sobre unavulnerabilidaddel sistemainformático,causandoundeterminadoimpactoenla
organización.
12. DEFENSAS, SALVAGUARDASO MEDIDAS DE SEGURIDAD
Es cualquiermedioempleadoparaeliminaro reducirun riesgo.Suobjetivoesreducirlasvulnerabilidadesde losactivos,laprobabilidadde
ocurrenciade las amenazasy/oel nivel de impactoenlaorganización.
13. POLITICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD.
PodemosdefinirunaPolíticade Seguridadcomo una “declaraciónde intencionesde altonivel que cubre laseguridadde lossistemas
informáticosyque proporcionalasbasespara definiry delimitarresponsabilidades paralasdiversasactuacionestécnicasyorganizativasque se
requieren.
14. Un Plan de Seguridades unconjuntode decisionesque definen cursosde acciónfuturos, así como los mediosque se van a utilizar para
conseguirlos.
Un Procedimientode Seguridades ladefinicióndetalladade los pasosa ejecutarpara llevara cabo unas tareas determinadas.Los
Procedimientosde Seguridadpermiten aplicare implantar las Políticasde Seguridadque hansidoaprobadasporla organización.
Políticas Procedimientos Tareas a realizar
Proteccióndel ServidorWebde la
organizacióncontraaccesosno autorizados
Actualizacióndel software del servidorWeb Revisióndiariade losparches
publicadosporel fabricante
Seguimientode lasnoticiassobre
posiblesfallosde seguridad
Revisiónde losregistrosde actividadenel
servidor
Revisiónsemanalde los“logs”del
servidorparadetectarsituaciones
anómalas
Configuracionesde alertasde
seguridadque permitanreaccionar
de forma urgente ante
determinadostiposde ataquese
intentosde intrusión.
SEGURIDAD FRENTE AL PERSONAL
Altade Empleados
Baja de Empleados
Funciones,obligacionesyderechosde losusuarios
ADQUISICIONDE PRODUCTOS
15. Evaluaciónde productosde acuerdocon lasnecesidadesyrequisitosdelsistemainformáticoimplantadoenlaorganización
Evaluaciónde proveedoresydel nivel de servicioque ofrecen:garantías,mantenimiento,asistenciapostventa..
Análisiscomparativode ofertas
Definiciónde lostérminosycondicionesde lacompra,que deberíanestarreflejadosenuncontratopreviamente establecido
Instalaciónyconfiguraciónde losproductos
Formacióny soporte a usuariosya personal técnico
Tareas de soporte y mantenimientopostventa
Actualizaciónde losproductosconnuevasversionesyparchesde seguridad
RELACION CON PROVEEDORES
Se debe de estipularlascláusulasyexigenciashabitualesenlafirmade contratoscon losproveedores,afinde delimitarlas responsabilidadesy
losrequisitosdel serviciocontratado.
SEGURIDAD FISICADE LAS INSTALACIONES
Debende contemplarenprimerlugarlascaracterísticasde construcciónde losedificiosoinstalacionesdondese vayanaubicar losrecursos
informáticosydel Sistemade información,analizandoaspectoscomolossiguientes:
Protecciónfrente adañospor fuego,inundación,explosiones,accesosnoautorizados,etc.
Selecciónde loselementosconstructivosinternosmasadecuados;puertas,paredes,suelosytechosfalsos,canalizacioneseléctricas,
canalizacionesde comunicaciones.
Definiciónde distintasáreasozonasde seguridaddentrodel edificio:
Áreas Públicas:puedenaccedersinrestriccionespersonasajenasala organización
Áreas Internas: reservadaalos empleados
16. Áreas de Acceso Restringido:áreas críticas a las que solopuedenaccederungruporeducidode empleadosconel nivel de
autorizaciónrequerido.
Disponibilidadde zonasdestinadasala carga, descargay almacenamientode suministros
Implantaciónde sistemasde vigilanciabasadoencámarasencircuitocerrado de televisiónyenalarmasy detectoresde movimiento.
Control de las condicionesambientalesenlasinstalaciones,medianteunsistemaindependiente de ventilación,calefacción,aire acondicionadoy
humidificación /deshumidificación,deberíafuncionarde formaininterrumpida,24 horasal día durante los365 días al año.
SISTEMA DE PROTECCION ELECTRICA
Adecuadaconexiónde losequiposalatoma de tierra
Revisiónde lainstalacióneléctricaespecíficaparael sistemainformático,siendorecomendable disponerde tomasprotegidas y
estabilizadas
Eliminaciónde laelectricidadestáticaenlassalasdonde se ubiquenlosequiposmásimportantes,comolosservidores
Filtradode ruidose interferenciaselectromagnéticas,que puedenafectarel normal funcionamientode losequipos
Utilizaciónde Sistemasde AlimentaciónIninterrumpida(SAI).
PROTECCION EN EL ACCESOY CONFIGURACIONDE LOS SERVIDORES
Utilizaciónde unacontraseñaa nivel de BIOSpara protegerel accesoa este elementoque registralaconfiguraciónbásicadel servidor
Utilizaciónde contraseñasde encendidodel equipo
Iniciode sesióncontarjetasinteligentes(“Smartcards”) y/otécnicasbiométricas
Ubicaciónde los servidoresensalasconaccesorestringidoyotrasmedidasde seguridadfísica
Separaciónde losservicioscríticos:losserviciosmásimportantesparalaorganizacióndispongande unaovariasmáquinasenexclusiva
Configuraciónmásrobustaysegurade losservidores:
Desactivaciónde losserviciosylascuentasde usuariosque nose vayana utilizar
17. Documentary manteneractualizadalarelaciónde serviciosyaplicacionesque se hayaninstaladoencadaservidor
Cambiarla configuraciónpordefectode fabricante:permisode cuentas,contraseña.Etc.
Instalaciónde losúltimosparchesde seguridadyactualizacionespublicadosporel fabricante
Ejecuciónde losserviciosconlosmínimosprivilegiosnecesarios
Enlazar sololosprotocolosyserviciosnecesariosalastarjetasde red
o Activaciónde losregistrosde actividadde losservidores(“logs”)
o Disponerde unacopiade seguridadcompletadel sistemaoperativode cadaservidortrasunaconfiguracióncorrectay
suficientementerobusta
o Modificarlosmensajesde iniciode sesiónparaevitarque se puedamostrarinformaciónsobre laconfiguración
SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTO
Dependiendode laconfiguración de estosdiscosdurosyde otros dispositivosde almacenamiento(libreríasde cintasde copiasde seguridad)
podemosdistinguirtrestiposde almacenamiento:
Almacenamientodirectamente conectado(DAS)
Almacenamientoconectadoalared(NAS)
Redesde almacenamiento(SAN)
Comolos discosdurospuedentenerfallosprovocadosporlossistemasmecánicosque loscomponen,se utilizanlossistemasRAIDpara
mejorarla toleranciaafallosyla disponibilidadde losmediosde almacenamiento.
RAID (“RedundantArrayof IndependentDisk”) MatrizRedundante de DiscosIndependientes.
Se puedendistinguirvariasalternativasonivelesdentrode latecnologíaRAID,cada unoproporcionaunequilibriodistinto entre
toleranciaafallos,rendimientoycoste.
18.
19. PROTECCION DE LOS EQUIPOS Y ESTACIONESDE TRABAJO
Los equiposde losusuarios y estacionesde trabajodebende estarsometidosalas directricesestablecidasenlas Políticasde Seguridadde las
organizaciones.
Se deberían utilizarherramientascorporativas, quedandototalmenteprohibidalainstalaciónde otrasaplicacionesde software
Solicitarautorizaciónal Departamentode Informática antesde procederainstalar un nuevo programa
Los usuariosdeberántenerespecial cuidadoconsuequipode trabajo, impidiendoque este puedaserutilizadoporpersonal
que no se encuentre debidamente autorizado
Los usuarios no podrán cambiar las configuracionesde susequipos
Limitar el uso de los puertos USBy de lasunidadeslectoras/grabadorasCDsyDVDs,para evitarque se puedagrabar información
sensible
COPIAS DE SEGURIDAD
Por “copiade respaldoode seguridad”(backup) se entiendeunacopiade losdatosde unficheroautomatizadoenunsoporte que posibilite su
recuperación.
Lo Políticade Copiasde seguridaddeberíaestablecerlaplanificaciónde lascopiasque se deberíanrealizarenfuncióndel volumenytipode
informacióngeneradaporel sistemainformático,especificandoel tipode copias(completa,incremental,diferencial yel ciclode estáoperación
(diaria,semanal).
Las copiasde seguridadde losdatosyficherosde losservidoresdeberíanserrealizadasysupervisadasporpersonal debidamente autorizado.
Establecercomose van a inventariaryetiquetarlascintasyotros soportesutilizadosparalascopiasde seguridad.
Copia Completa
El métodobásicoesel de copia completa o "Full copy" que realizaunacopiadirectade losarchivosydirectorios.Este procesopuede durar
horas dependiendodel tamañode losarchivosodirectoriosacopiar,por loque este procesonormalmente se ejecutalaprimeravezocada
ciertotiempo.
20. Copia Diferencial
La copiadiferencial únicamentecopialosarchivosydirectoriosque hansidocreadosy/omodificadosdesde laúltimacopiacompleta.
Copia Incremental
La copiaincremental ( o diferencial incremental ) esla más avanzadaal respecto, yaque únicamente copialosficheroscreadosomodificados
desde el últimobackuprealizado,yaseade unacopia completaoincremental,reduciendode este modolosarchivosacopiary el tiempo
empleadoenel procesode backup.
Normalmente lascopias diferencialesocupanmásespacioque las incrementalesdebidoaque partende la base de un únicopuntofijoenel
tiempo( la copiacompletainicial ).
IDENTIFICACIONY AUTENTICACIONDE USUARIOS
La identificaciónyautenticaciónde usuariosconstituyeunode loselementosdel modelode seguridadconocidocomo“AAA”(Authentication,
Autorization&Accounting),que podríamostraducirpor“Autenticación,AutorizaciónyContabilidad(Registro).Este modelooparadigmade
seguridadse utilizaparapoderidentificaralos usuariosycontrolarsu acceso a losdistintosrecursosde unsistemainformático.
Este modelose basa entreselementosfundamentales:
Identificacióny autenticaciónde losusuarios: La identificaciónesel procesoporel cual el usuariopresentaunadeterminada
identidadparaaccedera un sistema,mientrasque la autenticaciónpermite validadlaidentidaddel usuario.
Control de Acceso a losrecursosdel sistemainformático(equipos,aplicaciones,serviciosdatos),mediante laautorizaciónen
funciónde lospermisosyprivilegiosde losusuarios
Registro del uso de los recursos del sistemaporparte de losusuariosy de lasaplicaciones,utilizandolos“logs”(registrode actividaddel sistema)
AUTORIZACIÓNY CONTROL DE ACCESO LOGICO
El modelode seguridadaplicadoenel Control de Accesose basaenla definiciónygestiónde determinadosobjetoslógicos(dispositivoslógicos,
ficheros,servicios) ysujetos( usuariosygrupos,equipos,procesos,roles) alosque se concedenderechosyprivilegios.
Se puedendistinguirdostiposde control de acceso:
21. Control de AccesoObligatorio(MAC, MandatoryAccessControl):Lospermisosde accesoson definidosporel sistemaoperativo.
Control de Acceso Discrecional (DAC,DiscrecionaryAccessControl):Lospermisosde accesoloscontrolay configurael propietariode cada
objeto.