22/04/23

ADMINISTRACION SEGURIDAD ADMINISTRACION SEGURIDAD INFORMATICAINFORMATICA

22/04/23

CL

IEN

TE

S

CL

IEN

TE

S

Red LAN / WANRed LAN / WAN

BASES de BASES de DATOSDATOS(Logicas)(Logicas)

AP

LIC

AC

ION

ES

AP

LIC

AC

ION

ES

TR

AN

SP

OR

TE

CalculosMotor de Ejecución

Log´sLog´sServidor deServidor de SeguridadSeguridad

DataWarehouseDataWarehouseCorreo, etc.Correo, etc. TransaccionalesTransaccionales

ConfiguracionesConfiguraciones

Interfaces

Reglas delNegocio

Reglas de Seguridad

Clientes Externos

Clientes Moviles

Clientes Internos

Autenticación

Antivirus

ACL´s

Monitoreo

Autorización

Auditabilidad

Encripción

Encripción

Encripción

Antivirus

Monitoreo

Administración

Checksum

Arquitectura de Sistemas con aseguramiento

Areas encargadas de toda la Seguridad Informática

Pru

ebas

de

Vu

lner

abili

dad

22/04/23

TelecomunicacionesTelecomunicaciones

Sistema Operativo / PlataformaSistema Operativo / Plataforma

Base de DatosBase de Datos

AplicaciónAplicación

Enfocadas en la Enfocadas en la seguridad de las seguridad de las

AplicacionesAplicaciones

Enfocadas en la seguridad y uso de Enfocadas en la seguridad y uso de mejores prácticas a nivel de mejores prácticas a nivel de

Dispositivos de RedDispositivos de Red

Enfocadas en la seguridad Enfocadas en la seguridad y uso de mejores y uso de mejores

prácticas a nivel de prácticas a nivel de Sistema Operativo o Sistema Operativo o

PlataformaPlataforma

Enfocadas en la integridad Enfocadas en la integridad y aseguramiento de las y aseguramiento de las

Bases de DatosBases de Datos

Enfoque de la seguridad

22/04/23

Gestión de la Seguridad informatica

EstándaresEstándares Productos desplegados Productos desplegados Desarrollos propiosDesarrollos propios

Políticas de seguridad Políticas de seguridad Gestión de Gestión de actualizaciones actualizaciones Gestión de cambiosGestión de cambios Prevención de riesgosPrevención de riesgos AuditoriasAuditorias

ConcienciaciónConcienciación FormaciónFormación

PersonasPersonas

Tecnología

TecnologíaProc

esos

Proc

esos

22/04/23

ERPE-mail

Dire

cto

ry

SecurityP

KI

Knowledge

HubsTreinamento On-Line

Smart Cards

Vídeo Conferencia

Criptografia

SV

PN

LAN/WAN

Firewall

Extranet

Pro

tocolo

s

Software Standards

Voi

ce Integrated Communications

Document Management

Database

Desktop Refresh

Servidores

NetworkServices

Intr

anetLegacy-to-Web

Outsource

Data

M

anagem

en

t Switches e Hubs

Antecedentes

ISO17799

Cambio de Cultura

M-banking seguro

22/04/23

SeguridadIntroducción

Los recursos informáticos están sujetos a amenazas generadas por diferentes tipos de riesgos a los que están expuestos.

Es necesario implementar controles para prevenir, detectar o corregir los ataques de las amenazas para mitigar o disminuir los riesgos.

La seguridad involucra el establecimiento de un sistema de control para proporcionar confidencialidad, integridad y disponibilidad de la información.

1

22/04/23

Areas de ataque a recursos informaticosAreas de ataque a recursos informaticos

Nuestros RecursosAplicaciones, Datos,

Comunicaciones,Propiedad Intelectual,

Documentos Confidenciales

Ataques a S.O

Ataques a servicios

Ataques a aplicaciones

Dispositivos de Red

Fuerza Bruta

Ataques de Correo

Gusanos

Ataques de Virus

Spyware

Denegación de Servicios

Accesos Remotos

22/04/23

PCs

Server

BD

Server

BD

Móviles

Interfases

RED

WAN

Oficinas

Internet

Usuario remotoInterno

ExternoPortátiles

Hand HeldsSmart Phones

Infraestructura tecnológica

22/04/23

Repercusiones de la transgresión de seguridad

Pérdida de beneficios

Deterioro de la confianza del

inversor

Perjuicio de la reputación

Pérdida o compromiso de seguridad de los datos

Interrupción de los procesos empresariales

Deterioro de la confianza del

clienteConsecuencias

legales

22/04/23

Contenido Web Malicioso

Ataques a desborde de Buffers

Ataques dirigidos a

Puertos

Correos o adjuntos Maliciosos

Modelos de ataques

22/04/23

01 Auditoria

2 Políticas y Estructura

3 Soluciones informaticas

4

Emprender en forma modular el paso a paso para la construcción de un ambiente seguro

Levantamiento de informacion

Construcción de un ambiente seguro

Concientizacion y entrenamiento

56

7

Automatizacion de las soluciones

Auditorias Periódicas

Proceso de Mejoramiento Contínuo

22/04/23

Seguridad en la firma Digital

Alice Bob

firma firmado

textoplano

textoplano

Llave privadade Alice

Llave públicade Alice

Bob chequeaLa firma

textoplano

22/04/23

PeoplesoftPeoplesoft

InternetInternet

Top SecretTop Secret

SIEBELSIEBELSAPSAP

NT/NT/W2K/W2K/UNIXUNIX MS-MS-

ExchangeExchange

WebWebFarmFarm

Controle Controle de de

Acesso Acesso na Webna Web

Cliente GUI Cliente GUI AdminAdmin

ArborArbor

Administração de Administração de perfis de Auto-perfis de Auto-

atendimentoatendimento

GUI GUI Totalmente Totalmente FuncionalFuncional

Usuário Usuário FinalFinal

Administração Administração

DelegadaDelegada

Auto-Auto-atendimento na atendimento na Reconfiguração Reconfiguração

de senhade senha

Entrada Entrada AutomatizadaAutomatizada

Usuário Usuário FinalFinal

IntranetIntranet

Rede Rede InternaInterna

Arquitetura tecnologica

22/04/23

Usuario Remoto Potencialmente InfectadoUsuario Local

Potencialmente Infectado

Agentes de Ataque a Empresas

22/04/23

22/04/23

Compromiso del nivel de seguridad física

Instalar código malintencionado

Quitar hardware

Dañar el hardwareVer, cambiar o quitar archivos

22/04/23

Descripción del ambiente

Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet

Los perímetros de red incluyen conexiones a:

Socio comercial

Servicios Internet

LAN

Oficina principal

LAN

Servicios Internet

Sucursal

LAN

Red inalámbrica

Usuario remoto

Internet

22/04/23

Socio comercial

Servicios Internet

LAN

Oficina principal

LAN

Servicios Internet

Sucursal

LAN

Red inalámbrica

Usuario remoto

Internet

Compromiso de seguridad del ambiente

Ataque a la red corporativa Ataque a los usuarios

remotos Ataque desde un socio

comercial Ataque desde una sucursal Ataque a servicios Internet Ataque desde Internet

El compromiso de seguridad en el perímetro de red puede resultar en:

22/04/23

Aseguramiento del ambiente informatico

Servidores de seguridad Bloqueo de puertos

de comunicación Traducción de direcciones

IP y puertos Redes privadas virtuales Protocolos de túnel Cuarentena en VPN

La protección del perímetro de red incluye:

Socio comercial

Servicios Internet

LAN

Oficina principal

LAN

Servicios Internet

Sucursal

LAN

Red inalámbrica

Usuario remoto

Internet

22/04/23

Compromiso de seguridad del ambiente interno

Acceso no autorizado a los

sistemas

Rastreo de paquetes desde

la red

Puertos de comunicación inesperados

Acceso a todo el tráfico de red

Acceso no autorizado a redes

inalámbricas

22/04/23

Principios de la Seguridad Principios básicos:

Confidencialidad Integridad Disponibilidad Auditabilidad

Mecanismos aplicados: Autenticación Autorización Administración No repudiación Control de acceso Encripción

22/04/23

Mecanismo: Autorización

Administración de recursos Periféricos Directorios, etc.

Archivos Operaciones

Perfiles Niveles de Sensibilidad

ACL’s Horarios y holgura Privilegios

22/04/23

Mecanismo: Administración

Políticas Usuarios autorizados Relación entre usuarios y recursos

22/04/23

Mecanismo: Auditabilidad y Registro

Verificación de reglas de autenticación y autorización

Monitoreo de pistas Ocasional Periódico Permanente

Alertas

22/04/23

Objetivos

Diseñar controles de acceso y estándares que permitan el uso racional de los recursos informáticos al igual que la integridad de la información, buscando:

Identificación y autenticación de los usuarios.

Autorización de acceso a la información.

Encriptado de los datos confidenciales.

Backups automatizados y confiables.

Estimular y facilitar la creación de una cultura de seguridad en informática.

Garantizar la adecuada protección fisica de los recursos informáticos.

2

22/04/23

Identificar el nivel de sensibilidad de la información y establecer responsabilidades por su manejo.

Informar a los empleados de las politicas de seguridad.

Definir los requerimientos mínimos de seguridad, de acuerdo con la sensibilidad de la información involucrada.

Definir atributos de seguridad para la información, los cuales se deben preservar cuando se comparta la información con otras entidades.

Garantizar la continuidad de las operaciones, ante una situación crítica de suspensión del servicio informático.

3

Objetivos

22/04/23

Objetivos

Maximizar el valor estratégico del sistema de información sosteniendo los esquemas de autorización y seguridad en permanente operación, siguiendo y analizando las conductas seguidas por los usuarios.

Asignar claramente las responsabilidades en caso de usos inaceptables o no autorizados.

Promover medidas de seguridad en busca de mantener la integridad del sistema de información.

Asegurar que los usuarios autorizados y las demás personas involucradas con el manejo de la seguridad tienen conocimiento sobre las normas legales que afectan el tipo de información manejada. 4

22/04/23

Roles y Responsabilidades

Dirección de Sistema Desarrolladores Soporte Seguridad Informática Administración del

Sistema Operación Usuarios Jefes de Area Entidades Externas

5

Administrador de la Base de Datos

Director del Centro de Computo

Dirección Nacional, Oficinas o Sucursales

Administrador de la red

22/04/23

Políticas Generales

Fortalecer la formación del empleado en materia de seguridad informática.

Establecer programas de inducción para los empleados.

Establecer la función de administración de seguridad en informática.

Garantizar que el Sistema Operativo, las Aplicaciones, las Bases de Datos y las comunicaciones con los que se trabaja ofrezcan los estándares de seguridad aceptables.

7

22/04/23

Políticas Generales

Proteger los recursos informáticos mediante medidas de seguridad física.

Limitar el uso de los recursos informáticos a los usuarios autorizados.

Mantener un inventario de hardware y software instalado en los diferentes equipos.

Desarrollar o adquirir un software que detecte o evite instalación de software no autorizado.

Delimitar responsabilidades y funciones. Revisar periódicamente el ambiente de

seguridad informática.

8

22/04/23

Normas de Seguridad

5.1 Ambiente Organizacional

5.2 Seguridad Física 5.3 Seguridad Lógica

5.3.1 Sistema Operativo 5.3.2 Base de Datos 5.3.3 Aplicación

9

22/04/23

Las Políticas de seguridad deben ser difundidas y apoyadaspor las altas directivas. La seguridad debe entenderse como un conjunto

homogéneo y coordinado de medidas aplicables a toda la organización.

Composición y responsabilidades de funcionarios de sistemas

Manejo adecuado de políticas de personal Evaluación de los usuarios Revisión del cumplimiento de la normatividad interna Políticas de mantenimiento de los equipos del sistema Identificación de los equipos informáticos y pólizas de

seguridad Panorama o mapa de riesgos de la organización. 10

Normas de SeguridadAmbiente Organizacional

22/04/23

Acceso Físico a Formatos especiales Acceso Físico a los Recursos Informaticos Acceso al Centro de Computo Acceso a Reportes y Medios Magnéticos Acceso Remoto Demarcación Física de Zonas Salas de computo o centros de

procesamiento de datos Seguras

11

Normas de SeguridadSeguridad Fisica

22/04/23

Espacios de Servicios Almacenamiento de Respaldos Magnéticos Respaldo Eléctrico Acceso a Zonas Restringidas Prevención de Contingencias

12

Normas de SeguridadSeguridad Fisica

22/04/23

Control de Acceso al Sistema.

Acceso a Datos en Producción

Uso de Contraseñas Estaciones de Trabajo Movimiento de personal Excepciones a las Normas Seguridad en las

Actualizaciones Entrenamiento a los

Empleados 13

Normas de SeguridadSeguridad Lógica

22/04/23

Departamento de Sistemas Software y Datos Nuevas Aplicaciones Manejo de Cuentas

Inactivas Acceso de los usuarios Acceso de Agentes

Externos Recuperación de Desastres Backup

14

Normas de SeguridadSeguridad Logica

22/04/23

6.1 Sistema Operativo 6.2 Base de Datos 6.3 Aplicación 6.4 Comunicaciones

15

Barreras de Seguridad

22/04/23

6.1 Sistema Operativo

6.2 Base de Datos 6.3 Aplicacion

16

Barreras de SeguridadSistema Operativo

22/04/23

6.1 Sistema Operativo

6.2 Base de Datos 6.3 Aplicación

17

Barreras de SeguridadBase de Datos

22/04/23

Adquirir un software o desarrollar un Sistema de Información, que permita la administración de la seguridad del Sistema de manera centralizada, garantizando confidencialidad, integridad de los datos, oportunidad, disponibilidad, consistencia, control, auditoria. Este software o desarrollo debe ser la base para el manejo de la seguridad al nivel de todos los futuros desarrollos

18

AplicaciónObjetivo General

22/04/23

Adquirir o desarrollar una herramienta de manejo intuitivo y de tecnología abierta

Centralizar y controlar administración de usuarios Registro de las transacciones de cada usuarios Sistema eficiente de control y creación de usuarios. Chequear y registrar los mas recientes ingresos por

usuario, dar de baja cuentas no usadas durante un determinado período de tiempo

19

Aplicación Objetivos Específicos

22/04/23

Proveer un sistema de Monitoreo, auditoría y evaluación para problemas de seguridad.

Controlar el acceso por perfiles de usuario. Diseñar controles para la creación de las

contraseñas Restricción de acceso en tres niveles Generar procesos de cambio regular de

contraseñas y anexo de rutinas de verificación de su complejidad.

Registrar log de accesos y eventos sobre opciones y procesos críticos 20

Aplicación Objetivos Específicos

22/04/23

21

Aplicación Admón. de Contraseñas

Aplicación de políticas y estándares de contraseñas. Manejo de Cuentas Viejas y Expiración Escaneo de intentos de login fallidos Sincronización de las contraseñas Detectar contraseñas cambiadas por vías diferentes. Registro de información de cambios encontraseñas. Utilización de las fechas de expiración de las

cuentas Manejo de cuentas inactivas o sin uso

22/04/23

22

Aplicación Auditoria

Información de usuarios ejecutando la aplicación Tiempo de conexión de los usuarios activos Registro de las actividades. Para accesos no autorizados posibilidad de rastrear

como fue habilitado para tal acceso Registro de intentos de uso de privilegios del sistema,

sentencias SQL u operaciones sobre objetos. Registro no solo de las ventanas alteradas sino de las

campos específicos al igual que el anterior valor Alerta en tiempo real a personal clave sobre la

alteración de campos altamente sensitivos.

22/04/23

23

Aplicación admón. de Políticas

Verificación de usuarios no autorizados con acceso a información critica

Registro de quienes poseen los mas altos privilegios Registro de información o procesos accesible por

fuera de la aplicación Verificación de usuarios y los roles. Eliminación o bloqueo temporal de Usuarios. Auditoría sobre los accesos a las opciones. Auditoría sobre la ejecución de procesos críticos. Opción de revocar los privilegios detectados como no

autorizados