2. Seguridad: Definiciones
• “Sabemos que es hasta que alguienSabemos que es hasta que alguien
nos pide que lo definamosnos pide que lo definamos”
(Descartes)
• ¿Qué entendemos por seguridad?
– Real Academia Española:
• SEGURIDAD: Cualidad de seguro
• SEGURO: Libre y exento de todo peligro,
daño o riesgo
– Cierto, indubitable y en cierta manera
infalible
– No sospechoso
3. Visiones sobre la seguridad de la Información
●
Podemos hablar de Seguridad desde diferentes enfoques:
– Seguridad Informática
•
Hace hincapié en la seguridad de los sistemas, teniendo en cuenta las
amenazas de carácter fundamentalmente tecnológico
– Es un concepto muy conocido pero que está obsoleto.
– Seguridad TIC
• Incorpora el concepto de redes o infraestructura de comunicaciones
– Seguridad de la Información
• Lo fundamental es proteger la información
• Tiene en cuenta, además de la seguridad tecnológica, la seguridad desde
el punto de vista jurídico, desde el punto de vista normativo y desde el
punto de vista organizativo.
• La Seguridad de la Información tiene en cuenta la protección de la
información desde tres puntos de vista:
– Técnico, organizativo y legal
– Vídeo
•
http://www.youtube.com/v/7MqTpfEreJ0&autoplay=1
4.
5. Definiciones de Seguridad de la
información
• Para el Consejo Superior de Administración Electrónica
– Conjunto de técnicas y procedimientos que tienen como
misión la protección de los bienes informáticos de una
organización
• Bienes informáticos
– Hardware
– Datos
– Programas
• Para ISO-7498/OSI
– Seguridad informática: mecanismos que minimizan la
vulnerabilidad de bienes y recursos
• Bien:
– Algo de valor
• Vulnerabilidad:
– Debilidad que se puede explotar para violar un
sistema o la información que contiene.
6. European Network and
Information Security Agency
●
REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL of March 2004
●
Seguridad de las redes y de la información:
– La capacidad de las redes o de los sistemas de
información de resistir, con un determinado nivel
de confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y
sistemas ofrecen o hacen accesibles
7. SEGURIDAD de la Información
según ISO/IEC 17799
●
La seguridad de la información se consigue
implantando un conjunto adecuado de
controles, que pueden ser políticas, prácticas,
procedimientos, estructuras organizativas y
funciones software.
―
Estos controles deberían establecerse para
asegurar que se cumplen los objetivos
específicos de seguridad de la organización
8. La información según
ISO/IEC 17799
• La información es un activo que tiene valor
para la organización y requiere una protección
adecuada.
• La seguridad de la información la protege de
un amplio elenco de amenazas para
– Asegurar la continuidad del negocio,
– Minimizar los daños a la organización
– Maximizar el retorno de inversiones
– Y las oportunidades de negocios.
9. ISO/IEC 17799
Formas de información
• La información adopta diversas formas.
– Puede estar impresa
– Almacenada electrónicamente
– Transmitida por correo o por medios
electrónicos
– Mostrada en vídeo o hablada
• Debería protegerse adecuadamente cualquiera
que sea la forma que tome o los medios por
los que se comparta o almacene.
10. ISO/IEC 17799
Características de la
seguridad de la información
• La seguridad de la información se caracteriza aquí por la
preservación de:
– Su confidencialidad,
• Asegurando que solo quien está autorizado puede
acceder a la información
– Su integridad,
• Asegurando que la información y sus métodos de
procesos son exactos y completos
– Su disponibilidad,
• Asegurando que los usuarios autorizados tiene
acceso a la información y a sus activos asociados
cuando lo requieran
11. Confidencialidad/secreto
• Condición que asegura que la información
no pueda estar disponible o ser
descubierta por o para personas,
entidades o procesos no autorizados
– Consiste en evitar que personas, programas o
sistemas no autorizados puedan acceder a
ella sin autorización
• Proporciona protección de los datos para evitar que
sean revelados accidental o deliberadamente a un
usuario no autorizado.
– Acceso sólo para entes autorizados
– Actúa contra las filtraciones
12.
13. Disponibilidad
• Grado en el que un dato está en el lugar, momento y
forma en que es requerido por el usuario autorizado
• Propiedad de un sistema o recurso de estar
accesible y utilizable a entidades autorizadas.
• Consiste en que la información esté accesible, y
disponible para su utilización cuando sea necesaria
– Los bienes informáticos pueden ser utilizado
cuándo y cómo lo requieran los usuarios
autorizados
– Contra la interrupción del servicio
Integridad + disponibilidad = confiabilidad
14. Integridad
• Condición de seguridad que garantiza que
la información es modificada, incluyendo
su creación y borrado, sólo por personal
autorizado
– Consiste en que la información no sea
alterada o modificada sin autorización.
• Este servicio garantiza al receptor de los datos que
los datos recibidos coinciden con los enviados por
el emisor, pudiendo detectar si se ha producido
algún añadido, sustracción o cambio.
– Modificación sólo por personal autorizado
– Actúa contra las manipulaciones
16. Los conceptos principales en torno a la protección de los
datos, informaciones y servicios utilizados en medios
electrónicos de las AAPP
●
Además de los Ya comentados
– Integridad, Confidencialidad y Disponibilidad
●
Adicionales
– Identificación:
• La correcta identificación de remitente y
destinatario.
– Que los datos de identidad estén
completos de modo que no pueda
haber ambigüedad a la hora de
establecer la identidad de una persona
física o jurídica.
17. No Repudio
●
Mecanismo que impide que las entidades que participan en una
comunicación nieguen haberlo hecho
―
Imposibilidad de rechazar la autoría de una determinada
acción o documento
•
No poder negar la intervención en una operación o
comunicación
• Con prueba de origen
– El receptor del mensaje adquiere una prueba, demostrable
ante terceros, del origen de los datos recibidos.
• Con prueba de envío
– El receptor o el emisor del mensaje adquieren una prueba
demostrable de la fecha y hora del envío.
• Con prueba de entrega
– El emisor del mensaje adquiere una prueba, demostrable
ante terceros, de que los datos han sido entregados al
receptor adecuado
18. Control de Acceso
• Protección de los recursos del sistema contra accesos no autorizados
• Basados en identidad o en capacidades
– Identificación
• La entidad indica su identidad
– Autenticación /acreditación
• El sistema comprueba que la identidad puede ser considerada
cierta
– Autorización
• El sistema consulta en un ACL,( access control list: lista de control
de acceso) qué puede hacer esa entidad con ese objeto
• Sirve para evitar el uso no autorizado de los recursos
– ¿Quién puede hacer qué?
– Solo está permitido el acceso a las entidades autorizadas (usuarios,
programas, procesos, otros sistemas..), de acuerdo a la política de
seguridad
– El uso de los recursos del sistema están regulados conforme a una
política de seguridad
19. Anonimato
●
Trata de mantener oculta la identidad de la
persona que realiza una determinada
operación telemática.
– Buzón de sugerencias/quejas.
– Encuestas.
– Votación electrónica.
– Dinero electrónico
20. Otros conceptos protección de datos
―
Trazabilidad:
•
Se refiere a la información histórica que es
importante conocer y conservar,
¿qué cambios ha sufrido la información?,
¿quién ha accedido a ella?, etc.
―
Conservación:
•
La correcta conservación y archivo de la
información de modo que se encuentre
disponible e integra aún después de que hayan
pasado largos periodos de tiempo.
21. Auditoría de actividades
• Registro cronológico de las actividades
del sistema que permitan la
reconstrucción y examen de los eventos
ocurridos
– Registro de eventos
– Ser capaz de perseguir las violaciones y
aprender de las experiencias
(trazabilidad)
22. Relación de los servicios de seguridad
●
En la imagen superior se ilustra como se relacionan los diferentes
servicios de seguridad, unos dependen de otros jerárquicamente, así
si no existe el de más abajo, no puede aplicarse el superior.
―
La disponibilidad se convierte en el primer requisito de
seguridad, cuando existe esta, se puede disponer de
confidencialidad, que es imprescindible para conseguir
integridad, para poder obtener autenticación es imprescindible
la integridad y por ultimo el no repudio solo se obtiene si se
produce previamente la autenticación
23. En resumen:
¿QUÉ ES SEGURIDAD?
●
Evitar el ingreso de personal no autorizado
●
Sobrevivir aunque “algo” ocurra
●
Cumplir con las leyes y reglamentaciones
gubernamentales y de los entes de control
del Estado
●
Adherirse a los acuerdos de licenciamiento
de software
●
Prevención, Detección y Respuesta contra
acciones no autorizadas
24. Sistema Seguro
●
Un sistema informático (hardware, software,
red) es seguro si sus usuarios pueden confiar en
que se comportará de la manera esperada
– Si espero acceder a mis datos, pero no puedo, esto
es un fallo de seguridad. Tanto si la causa es un
intruso, un fallo en el software o un incendio
●
El estado actual de las tecnologías de
seguridad permite ofrecer en las redes
telemáticas una protección superior en varios
órdenes de magnitud a la que se ofrece en el
mundo ordinario del intercambio de
documentos en papel.
25. Niveles de seguridad
• Seguro estaba y se murió
• Seguridad total
• “Queremos que no tenga éxito ningún ataque”
• La Seguridad = Invulnerabilidad
• Es Imposible de alcanzar
• La seguridad total no existe
• Con la suficiente motivación /tiempo /dinero/
habilidad/suerte un atacante siempre podrá
comprometer un sistema
• Existen grados de seguridad acorde con el bien a
defender
• La política de seguridad siempre es un
compromiso entre el nivel de riesgo asumido y
el coste requerido
27. El uso de una solución en niveles
– Disponemos de distintas barreras de protección que hay
que superar
– Aumenta la posibilidad de que se detecten los intrusos
– Disminuye la posibilidad de que los intrusos logren su
propósito
Directivas, procedimientos
y concienciación
Directivas, procedimientos
y concienciación
Seguridad físicaSeguridad física
PerimetralPerimetral
Red internaRed interna
EquipoEquipo
AplicaciónAplicación
DatosDatos
28. Enfoque de Gestión del Riesgo
Preguntas clave para mejorar la seguridad de nuestro sistema
¿Que intento proteger y cuanto vale para mi?
¿Que necesito para protegerlo?
¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear?
El riesgo no puede eliminarse completamente, pero puede reducirse
Es necesario el apoyo de la dirección de la empresa/organismo, en
autoridad y recursos
29. Qué es necesario
●
Identificación de los activos (assets) y de su valor
―
Tangibles:
•
El hardware (ordenadores, Los soportes de información,
equipos de comunicaciones y cableado),
•
Los datos (información) , backups, libros,
•
Software comprado, los procesos, el sistema operativo
•
Las instalaciones
•
El personal
―
Intangibles:
•
Salud e integridad física del persona, privacidad,
contraseñas, reputación, disponibilidad
30. Análisis de Riesgos
• Identificación de las amenazas
• Calculo de los riesgos
– Mediante análisis coste-beneficio
• Calcular el coste de la pérdida de un activo
• Calcular la probabilidad de una pérdida
• Calcular el coste de la prevención
• Decidir con todo ello las medidas a tomar mediante practicas
recomendables
• Objetivo:
– Identificar los riesgos
– Cuantificar su impacto
– Valorar las consecuencias de una amenaza
– Evaluar el coste para mitigarlos
– Cómo el impacto y el riesgo afectan al negocio
– Servir de guía para tomar decisiones
– Organizarse y actuar
• Riesgo = Activo x Amenaza x Vulnerabilidad
31. Definiciones
• ACTIVO:
– Recurso del sistema de información o relacionado con éste,
necesario para que la organización funcione correctamente y
alcance los objetivos propuestos por su dirección.
• AMENAZA:
– Evento que puede desencadenar un incidente en la organización,
produciendo daños o pérdidas materiales o inmateriales en sus
activos.
• VULNERABILIDAD:
– Debilidades que pueden permitir que una amenaza se materialice
• RIESGO:
– Posibilidad de que una amenaza se materialice.
• IMPACTO:
– Consecuencia sobre un activo de la materialización de una
amenaza.
• CONTROL o SALVAGUARDA:
– Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
35. Opciones de tratamiento
●
Evitar
– Eliminar información / servicios / activos
●
Mitigar
– Prevenir / reaccionar / recuperar
●
Transferir o compartir
– En términos cualitativos (externalización)
– En términos cuantitativos (seguros)
●
Aceptar
– El riesgo es parte del negocio
36. Ejemplos de Amenazas
●
Malware, crackers, etc
●
No disponibilidad de personal:
– Enfermedad: individual o epidemia. Bajas
●
No disponibiliad de un servicio:
– Red, energía
●
Inundación, fuego, sabotaje, vandalismo
●
Robo de soporte de datos, ordenadores de escritorio,
portátiles
●
Desaparición de proveedor de bienes o servicios
●
Fallo hardware
●
Fallo software
●
…
37. Consecuencias
●
Fallos de confidencialidad
– Fugas de información
• No hay reparación posible
• Si se detecta, tenemos la opción de perseguir
(disuasorio)
●
Fallos de integridad
– Datos manipulados
• Si se detecta, tenemos la opción de recuperar [de
otra fuente]
●
Fallos de disponibilidad
– Interrupción del servicio
• Medios alternativos
• Restauración de los medios habituales
38. Ejemplos de
salvaguardas
●
Seguridad física:
– Todo acceso físico al equipo de red debe estar
convenientemente protegido:
• Acceso a estancias, armarios, llaves, etc.
●
Todas las aplicaciones, SSOO y drivers deben actualizarse
con regularidad
●
Todas las contraseñas deben ser de calidad
●
El acceso remoto debe limitarse por usuario y por dirección
IP
●
Avisos legales en pantallas de login, constancia de que las
normas han sido comunicadas y aceptadas, etc.
●
Cierta monitorización de la actividad de los usuarios
●
Timeout adecuado para el cierre de sesiones por inactividad
39. ●
Deshabilitación de todos los servicios no necesarios
●
Tráfico inalámbrico cifrado correctamente
●
Uso correcto de cortafuegos
●
Uso correcto de antivirus (especialmente a la entrada de la red)
●
Uso de VPN para tráfico que circule por redes públicas
●
Uso de VLAN si es necesario segregar servicios y/o usuarios dentro
de la organización
●
Control de dirección IP/MAC por parte de los switches
●
Uso de versiones seguras de los protocolos. Actualización de rutas,
DNS, etc
●
Mecanismos de auditoría funcionando correctamente
●
Test de intrusión, preferentemente realizado por especialista externo
Mas ejemplos
40. Metodología de Análisis de Riesgo MAGERIT
• Definición:
– Metodología de Análisis y GEstión de los Riesgos de
los sistemas de Información de las
AdminisTraciones Públicas
• Objetivos
– Estudiar los riesgos que soporta un sistema de
información y el entorno asociable con él
– Recomendar las medidas apropiadas que deberían
adoptarse para conocer, prevenir, impedir, reducir
o controlar los riesgos investigados
• ¿Donde conseguirla?
•
http://administracionelectronica.gob.es/pae_
Home/pae_Documentacion/pae_Metodolog/pae_Mag
erit.html#.VQK2pI9MJnc
41. Elementos de MAGERIT V3
– Un conjunto de tres Guías
• Método
• Catálogo de elementos
• Guía de Técnicas
– Un panel de herramientas de apoyo, con sus correspondientes
Guías de Uso y con la Arquitectura de Información y Especificaciones
de la Interfaz para el Intercambio de datos.
• La herramienta EAR (ENTORNO DE ANÁLISIS DE RIESGOS)/PILAR
– Procedimiento informático-lógico para el análisis del riesgo
entorno de análisis de riesgos
https://www.ccn-cert.cni.es/index.php?option=com_wrappe
r&view=wrapper&Itemid=247&lang=es
44. Normas ISO 27000
●
NACE LA FAMILIA DE LAS NORMAS ISO 27000
―
ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management
System’. Due for release in November 2005. (Once ISO/IEC 27001 is
released, BS7799-2:2002 will be withdrawn)
―
ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code
of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April
2007
―
ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has
yet been made regarding ISO/IEC 27003 however, the BSI expect to
release BS7799-3 in November 2005
―
ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and
Measurement’. No launch date is available, although the BSI will
publish a description in July/August 2005
―
ISO/IEC 27005:2008 (riesgos)
45. Consejos Generales
de INTECO
●
1. Manténgase informado sobre las novedades y alertas de
seguridad.
●
2. Mantenga actualizado su equipo, tanto el Sistema Operativo como
cualquier aplicación que tenga instalada.
●
3. Haga copias de seguridad con cierta frecuencia, para evitar la
pérdida de datos importante.
●
4. Utilice software legal que le suelen ofrecer garantía y soporte.
●
5. Utilice contraseñas fuertes en todos los servicios, para dificultar la
suplantación de su usuario (evite nombres, fechas, datos conocidos o
deducibles, etc.).
●
6. Utilice herramientas de seguridad que le ayudan a proteger /
reparar su equipo frente a las amenazas de la Red.
●
7. Cree diferentes usuarios, cada uno de ellos con los permisos
mínimos necesarios para poder realizar las acciones permitidas
46. Certificados de Calidad
●
Actualmente, en el sector de las tecnologías de
la información el catálogo de AENOR está
compuesto, entre otros, por los certificados de:
―
Sistemas de Gestión de Seguridad de la
Información (ISO 27001),
―
Calidad del Software (ISO 15504) y
―
Accesibilidad web (UNE 139803).
47.
48. Enlaces
Página de seguridad de Microsoft
http://www.microsoft.com/es-es/securi
ty/default.aspx
Hispasec
http://www.hispasec.com