audi seguridad de redes
DESCRIPTION
Trata de una descripcion de como tener seguridad dentro de nuestra red interna.TRANSCRIPT
UNIVERSIDAD POLITÉCNICA SALESIANAUNIVERSIDAD POLITÉCNICA SALESIANAUNIVERSIDAD POLITÉCNICA SALESIANAUNIVERSIDAD POLITÉCNICA SALESIANA
AUDITORÍA INFORMÁTICA IIAUDITORÍA INFORMÁTICA II
20/04/2009 ADMINISTRACION SEGURIDAD INFORMATICAADMINISTRACION SEGURIDAD INFORMATICA
Arquitectura de Sistemas con aseguramientoN
TES
N
TES
Clientes Externos
Clientes M il
Clientes
Autenticación
Antivirus
CLI
ENC
LIEN Externos Moviles Internos Encripción
dad
Red LAN / WANRed LAN / WAN
TRA
NSP
OR
TE ACL´s
Monitoreo
EncripciónChecksum
nera
bilid
SST
Interfaces
AutorizaciónAdministración
as d
e Vu
lnC
AC
ION
ESC
AC
ION
ES
CalculosMotor de Ejecución
Interfaces
Reglas delNegocio
Auditabilidad
EncripciónPrue
ba
BASES de BASES de DATOSDATOS
APL
ICA
PLIC
LL ´́Servidor deServidor de DataWarehouseDataWarehouseC tC t T i lT i l ConfiguracionesConfiguraciones
Reglas de Seguridad Antivirus
Monitoreo
20/04/2009
DATOSDATOS(Logicas)(Logicas) LogLog´́ssServidor deServidor de
SeguridadSeguridad Correo, etc.Correo, etc. TransaccionalesTransaccionales ConfiguracionesConfiguraciones
Areas encargadas de toda la Seguridad Informática
Enfoque de la seguridadEnfoque de la seguridad
Enfocadas en la Enfocadas en la seguridad de las seguridad de las
AplicacionesAplicaciones
AplicaciónAplicación Enfocadas en la seguridadEnfocadas en la seguridad
Base de DatosBase de Datos
pp Enfocadas en la seguridad Enfocadas en la seguridad y uso de mejores prácticas y uso de mejores prácticas
a nivel de Sistema a nivel de Sistema Operativo o PlataformaOperativo o Plataforma
Enfocadas en la integridad Enfocadas en la integridad y aseguramiento de las y aseguramiento de las
Bases de DatosBases de Datos
Sistema Operativo / PlataformaSistema Operativo / Plataforma
TelecomunicacionesTelecomunicaciones
20/04/2009
Enfocadas en la seguridad y uso de Enfocadas en la seguridad y uso de mejores prácticas a nivel de mejores prácticas a nivel de
Dispositivos de RedDispositivos de Red
Gestión de la Seguridad informatica
EstándaresEstándaresProductos desplegados Productos desplegados Desarrollos propiosDesarrollos propios
Políticas de seguridad Políticas de seguridad Gestión de actualizaciones Gestión de actualizaciones Gestión de cambiosGestión de cambios Desarrollos propiosDesarrollos propiosGestión de cambiosGestión de cambiosPrevención de riesgosPrevención de riesgos
AuditoriasAuditorias
PersonasPersonasConcienciaciónConcienciaciónFormaciónFormación
PersonasPersonas
20/04/2009
FormaciónFormación
Antecedentes
CriptografiaM-banking seguro
ERPE-mailS t C d
Vídeo Conferencia
N
Extranetce Integrated Communications
M-banking seguro
ERPSecurityK
ISmart Cards
SVPNVo
ic
Desktop RefreshNetworkServices
OutsourceData Ma Security
PK S
Firewall Prot
Servicesanagemen
Switches e Hubs
ISO17799
DirLAN/WAN
tocolos
Software Standards
anetLegacy-to-Web
nt ISO17799
recto
ry Knowledge
LAN/WANDocument Management
Database
Servidores Intr
a20/04/2009
y
HubsTreinamento On-Line
Servidores ICambio de Cultura
S id dSeguridadIntroducción
Los recursos informáticos están sujetos a amenazas generadas por diferentes tipos de riesgos a los que están expuestos.riesgos a los que están expuestos.Es necesario implementar controles para prevenir, detectar o corregir los ataques de las amenazas para mitigar o disminuir los riesgospara mitigar o disminuir los riesgos. La seguridad involucra el establecimiento de un
sistema de control para proporcionar fid i lid d i id d di ibilid d d lconfidencialidad, integridad y disponibilidad de la
información.
120/04/2009
Areas de ataque a recursos informaticosAreas de ataque a recursos informaticosqqAtaques a S.O Ataques de Correo
Ataques a servicios Gusanos
Nuestros RecursosAplicaciones, Datos,
ComunicacionesAtaques a
aplicacionesAtaques de Virus
Comunicaciones,Propiedad Intelectual,
Documentos Confidenciales
aplicaciones
Dispositivos de Red Spyware
Fuerza Bruta Denegación de Serviciosg
Accesos Remotos
20/04/2009
Oficinas
Interno
Infraestructura tecnológica
I t t
Usuario remotoInterno
ExternoPortátiles
RED
Internet
WAN
Hand Helds
S
BD
Móviles
Smart Phones
PCs
S
ServerMóviles
Server
BD
20/04/2009
Repercusiones de la transgresión de seguridad
Pérdida debeneficios
Perjuicio de lareputación
D t i d l Pérdida oDeterioro de laconfianza del
inversor
Pérdida ocompromisode seguridadde los datos
Interrupción deDeterioro de la Interrupción delos procesos
empresariales
Deterioro de laconfianza del
clienteConsecuencias
legales
20/04/2009
Modelos de ataques
Contenido Web M li i
Correos o dj t M li i Maliciosoadjuntos Maliciosos
Ataques a desborde de Buffers
Ataques dirigidos a
Puertos
20/04/2009
Construcción de un ambiente seguroConstrucción de un ambiente seguro
Emprender en forma modular el paso a paso para la
ió d bi 7Proceso de Mejoramiento
Contínuoconstrucción de un ambiente seguro
56
7
Automatizacion de las soluciones
Auditorias Periódicas
Contínuo
34 Concientizacion y entrenamiento
5 Automatizacion de las soluciones
12 Políticas y Estructura
3 Soluciones informaticas
01 Auditoria
Levantamiento de informacion
20/04/2009
Seguridad en la firma DigitalAlice Bob
t ttextoplano
textoplano
textoplano pplano Bob chequea
La firma
firma firmado
Llave privada Llave pública
20/04/2009
Llave privadade Alice
Llave públicade Alice
Arquitectura tecnólogicaArquitectura tecnólogica
NT/W2K/NT/W2K/
Top SecretTop SecretSIEBELSIEBEL
SAPSAP NT/W2K/NT/W2K/UNIXUNIX
MSMS--ExchangeExchange
WebWebFarmFarmControle Controle
de de Acesso Acesso
Administração de Administração de perfis de perfis de AutoAuto--
InternetInternet
cessocessona Webna Web
ppatendimentoatendimento
GUI GUI Totalmente Totalmente FuncionalFuncionalUsuário Usuário
FinalFinalRede Rede
InternaInterna
Cliente GUI Cliente GUI AdminAdmin
Administração Administração DelegadaDelegada
AutoAuto--atendimentoatendimento na na Reconfiguração Reconfiguração
de senhade senha
Entrada Entrada AutomatizadaAutomatizada
PeoplesoftPeoplesoftArborArbor
Usuário Usuário FinalFinal
20/04/2009
PeoplesoftPeoplesoftIntranetIntranet
Agentes de Ataque a Empresas
Usuario Remoto Potencialmente InfectadoUsuario Local Usuario Local
Potencialmente Infectado
20/04/2009
Compromiso del nivel de seguridad físicaCompromiso del nivel de seguridad física
Dañar el hardwareVer, cambiaro quitar archivos
Instalar códigomalintencionado
Quitar hardware
20/04/2009
Descripción del ambiente Socio comercial Oficina principal
LAN LAN
Los perímetros de red
Servicios Internet Servicios InternetInternet
InternetS l
Los perímetros de redincluyen conexiones a: Sucursal
R dUsuario remotoSucursalesSocios comercialesUsuarios remotos LAN
Redinalámbrica
Usuario remoto
Redes inalámbricasAplicaciones de Internet
20/04/2009
Compromiso de seguridad del ambiente
Socio comercial Oficina principal
LAN LAN
Servicios Internet Servicios InternetInternetEl compromiso de seguridad en el
SucursalAtaque a la red corporativaAt l i
El compromiso de seguridad en elperímetro de red puede resultar en:
Redinalámbrica
Usuario remotoAtaque a los usuariosremotosAtaque desde un socio
i l LANcomercialAtaque desde una sucursalAtaque a servicios Internet
20/04/2009
qAtaque desde Internet
Aseguramiento del ambiente informatico
Socio comercial Oficina principal
LAN LAN
La protección del perímetroServicios Internet Servicios Internet
Internet
Servidores de seguridad
La protección del perímetrode red incluye:
Sucursal
Bloqueo de puertosde comunicaciónTraducción de direcciones
Redinalámbrica
Usuario remoto
IP y puertosRedes privadas virtualesProtocolos de túnel
LAN
20/04/2009
Protocolos de túnelCuarentena en VPN
Compromiso de seguridad del ambiente internoCompromiso de seguridad del ambiente interno
Acceso noautorizado a los
sistemasPuertos de
comunicación Acceso noinesperados
Acceso noautorizado a redes
inalámbricas
Rastreo deRastreo depaquetes
desde la redAcceso a todoAcceso a todo
el tráfico de red
20/04/2009
Principios de la SeguridadPrincipios de la Seguridad
P incipios básicosPrincipios básicos:ConfidencialidadIntegridadIntegridadDisponibilidadAuditabilidadAuditabilidad
Mecanismos aplicados:AutenticaciónAutorizaciónAdministraciónNo repudiaciónControl de acceso
ó
20/04/2009
Encripción
Mecanismo: Autorización
Administración de recursosP ifé iPeriféricosDirectorios, etc.
ArchivosArchivosOperaciones
PerfilesPerfilesNiveles de Sensibilidad
ACL’sACL sHorarios y holguraPrivilegios
20/04/2009
Privilegios
Mecanismo: Administración
Políticas Usuarios autorizadosRelación entre usuarios y recursosRelación entre usuarios y recursos
20/04/2009
Mecanismo: Auditabilidad y Registro
Verificación de reglas de autenticación i ióy autorización
Monitoreo de pistas pOcasionalPeriódicoPeriódicoPermanente
AlertasAlertas
20/04/2009
Objetivos
Diseñar controles de acceso y estándaresque permitan el uso racional de losrecursos informáticos al igual que laintegridad de la información, buscando:g
Identificación y autenticación delos usuarios.Autorización de acceso a lainformacióninformación.Encriptado de los datosconfidenciales.Backups automatizados yac ups auto at ados yconfiables.Estimular y facilitar la creación deuna cultura de seguridad eninformáticainformática.
Garantizar la adecuada protección fisicade los recursos informáticos.
20/04/2009
Objetivos
Identificar el nivel de sensibilidad de la
Objetivos
Identificar el nivel de sensibilidad de lainformación y establecerresponsabilidades por su manejo.Informar a los empleados de lasInformar a los empleados de laspoliticas de seguridad.Definir los requerimientos mínimos deseguridad de acuerdo con laseguridad, de acuerdo con lasensibilidad de la informacióninvolucrada.Definir atributos de seguridad para laDefinir atributos de seguridad para lainformación, los cuales se debenpreservar cuando se comparta lainformación con otras entidades.Garantizar la continuidad de lasoperaciones, ante una situación críticade suspensión del servicio informático.
20/04/2009
p
Obj iObjetivos
M i i l l é i d lMaximizar el valor estratégico delsistema de información sosteniendolos esquemas de autorización yseguridad en permanente operaciónseguridad en permanente operación,siguiendo y analizando las conductasseguidas por los usuarios.Asignar claramente lasAsignar claramente lasresponsabilidades en caso de usosinaceptables o no autorizados.Promover medidas de seguridad enPromover medidas de seguridad enbusca de mantener la integridad delsistema de información.Asegurar que los usuarios autorizadosAsegurar que los usuarios autorizadosy las demás personas involucradascon el manejo de la seguridad tienenconocimiento sobre las normas
20/04/2009
legales que afectan el tipo deinformación manejada.
Roles y Responsabilidades
Dirección de SistemaDesarrolladores Administrador de la Base DesarrolladoresSoporteSeguridad InformáticaAdministración del
de DatosDirector del Centro de ComputoDi ió N i lSistema
OperaciónUsuariosJefes de Area
Dirección Nacional, Oficinas o SucursalesAdministrador de la red
Jefes de AreaEntidades Externas
20/04/2009
Políticas Generales
Fortalecer la formación del empleado en materia de seguridad informáticaseguridad informática. Establecer programas de inducción para los empleados. Establecer la función de administración de seguridad en informática. Garantizar que el Sistema Operativo las Aplicaciones lasOperativo, las Aplicaciones, las Bases de Datos y las comunicaciones con los que se trabaja ofrezcan los estándares de seguridad aceptablesde seguridad aceptables.
20/04/2009
Políticas GeneralesPolíticas Generales
Proteger los recursos informáticos mediante medidas de seguridad física. Limitar el uso de los recursos informáticos a los usuarios autorizados. Mantener un inventario de hardware y software instalado en los diferentes equipos. D ll d i i ftDesarrollar o adquirir un software que detecte o evite instalación de software no autorizado. Delimitar responsabilidades yDelimitar responsabilidades y funciones. Revisar periódicamente el ambiente de seguridad informática.
20/04/2009
de seguridad informática.
Normas de Seguridadg
Ambiente OrganizacionalAmbiente OrganizacionalSeguridad FísicaSeguridad LógicaSeguridad Lógica
Sistema OperativoBase de DatosBase de DatosAplicación
20/04/2009
Normas de SeguridadAmbiente Organizacionalg
Las Políticas de seguridad deben ser difundidas y apoyadaspor las altas directivas.
La seguridad debe entenderse como un conjunto homogéneo y coordinado de medidas aplicables a toda la organización.Composición y responsabilidades de funcionarios de sistemasManejo adecuado de políticas de personalEvaluación de los usuariosRevisión del cumplimiento de la normatividad internaPolíticas de mantenimiento de los equipos del sistemaPolíticas de mantenimiento de los equipos del sistemaIdentificación de los equipos informáticos y pólizas de seguridadPanorama o mapa de riesgos de la organización
20/04/2009
Panorama o mapa de riesgos de la organización.
Normas de SeguridadSeguridad FisicaSeguridad Fisica
Acceso Físico a Formatos especialesAcceso Físico a Formatos especialesAcceso Físico a los Recursos InformaticosAcceso al Centro de ComputoAcceso a Reportes y Medios MagnéticosAcceso RemotoDemarcación Física de ZonasDemarcación Física de ZonasSalas de computo o centros de procesamiento de datos Seguras
20/04/2009
Normas de SeguridadS id d Fi iSeguridad Fisica
Espacios de ServiciosEspacios de ServiciosAlmacenamiento de Respaldos Magnéticos Respaldo EléctricopAcceso a Zonas RestringidasPrevención de Contingencias
20/04/2009
Normas de SeguridadSeguridad LógicaSeguridad Lógica
Control de Acceso al Sistema.Control de Acceso al Sistema.Acceso a Datos en ProducciónUso de ContraseñasEstaciones de TrabajoEstaciones de TrabajoMovimiento de personalExcepciones a las NormasSeguridad en las ActualizacionesEntrenamiento a los Empleados
20/04/2009
Normas de SeguridadS id d L iSeguridad Logica
Departamento de SistemasDepartamento de SistemasSoftware y DatosNuevas AplicacionesManejo de Cuentas InactivasAcceso de los usuariosAcceso de Agentes ExternosAcceso de Agentes ExternosRecuperación de DesastresBackup
20/04/2009
Barreras de Seguridadg
Sistema OperativoSistema OperativoBase de DatosAplicaciónAplicaciónComunicaciones
20/04/2009
AplicaciónObjetivo General
Adquirir un software o desarrollar un Sistema deInformación, que permita la administración de laseguridad del Sistema de manera centralizadaseguridad del Sistema de manera centralizada,garantizando confidencialidad, integridad de losdatos, oportunidad, disponibilidad, consistencia,control auditoria Este software o desarrollo debe sercontrol, auditoria. Este software o desarrollo debe serla base para el manejo de la seguridad al nivel detodos los futuros desarrollos
20/04/2009
AplicaciónObjetivos EspecíficosObjetivos Específicos
Ad i i d ll h i t d jAdquirir o desarrollar una herramienta de manejointuitivo y de tecnología abiertaCentralizar y controlar administración de usuariosCentralizar y controlar administración de usuariosRegistro de las transacciones de cada usuariosSistema eficiente de control y creación de usuarios.Sistema eficiente de control y creación de usuarios.Chequear y registrar los mas recientes ingresos porusuario, dar de baja cuentas no usadas durante undeterminado período de tiempo
20/04/2009
Aplicación Objetivos Específicosj p
Proveer un sistema de Monitoreo, auditoría yProveer un sistema de Monitoreo, auditoría yevaluación para problemas de seguridad.Controlar el acceso por perfiles de usuario.Di ñ t l l ió d l t ñDiseñar controles para la creación de las contraseñasRestricción de acceso en tres nivelesGenerar procesos de cambio regular de contraseñas yGenerar procesos de cambio regular de contraseñas yanexo de rutinas de verificación de su complejidad.Registrar log de accesos y eventos sobre opciones yprocesos críticosprocesos críticos
20/04/2009
Aplicación Admón. de Contraseñas
Aplicación de políticas y estándares de contraseñas.óManejo de Cuentas Viejas y Expiración
Escaneo de intentos de login fallidosSincronización de las contraseñasSincronización de las contraseñasDetectar contraseñas cambiadas por vías diferentes.Registro de información de cambios en contraseñas.gUtilización de las fechas de expiración de las cuentasManejo de cuentas inactivas o sin uso
20/04/2009
AplicaciónAuditoriaAuditoria
Información de usuarios ejecutando la aplicaciónTiempo de conexión de los usuarios activosRegistro de las actividades.Para accesos no autorizados posibilidad de rastrear comofue habilitado para tal accesoRegistro de intentos de uso de privilegios del sistema,sentencias SQL u operaciones sobre objetos.Registro no solo de las ventanas alteradas sino de lasRegistro no solo de las ventanas alteradas sino de lascampos específicos al igual que el anterior valorAlerta en tiempo real a personal clave sobre la alteraciónde campos altamente sensitivosde campos altamente sensitivos.
20/04/2009
Aplicaciónadmón de Políticasadmón. de Políticas
Verificación de usuarios no autorizados con acceso ai f ió i iinformación criticaRegistro de quienes poseen los mas altos privilegiosRegistro de información o procesos accesible por fuerag p pde la aplicaciónVerificación de usuarios y los roles.Eliminación o bloqueo temporal de UsuariosEliminación o bloqueo temporal de Usuarios.Auditoría sobre los accesos a las opciones.Auditoría sobre la ejecución de procesos críticos.Opción de revocar los privilegios detectados como noautorizados
20/04/2009