seguridad de los recursos de información – gsi732 carmen r. cintrón ferrer © 2003, derechos...
TRANSCRIPT
Seguridad de los Seguridad de los Recursos de Recursos de Información – GSI732Información – GSI732
Carmen R. Cintrón Ferrer © 2003, Derechos Reservados
MódulosMódulos Introducción Principios de seguridad Tecnologías de seguridad Redes inalámbricas y usuarios móviles Entorno del comercio-e Implantación de programas de seguridad Perspectivas sociales y futuras Referencias
MóduloMóduloImplantación de programas de seguridadImplantación de programas de seguridad
Planificación del proceso Establecer un programa de seguridad Avalar el margen de vulnerabilidad
(“Security assessment”) Administradores de servicios de
seguridad (“Managed security services”) Respuesta y recuperación Seguridad en el Web e Internet
Seguridad de sistemas Seguridad de sistemas Planificación del procesoPlanificación del proceso
Proceso de seguridad
Avalúo
Adoptar políticas Adiestrar
Auditar programa
Implantar el programa
Seguridad de sistemas Seguridad de sistemas Planificación del procesoPlanificación del proceso
FASE Planificar Corregir Actualizar Utilizar
Recopilar Avalúo de sistemas y servicios en uso
Avalúo nuevos sistemas
Verificar uso continuo
Adoptar Políticas
Información
Seguridad
Revisar procesos
DRP
Probar procesos
Revisar políticas
Implantar
Parchar sistemas críticos
Nuevos sistemas seguridad y
Cambios procesos
Actualizar versiones de
sistemas
Adiestrar Desarrollar y ofrecer talleres con regularidad
Auditar Itinerario verificar procesos y
políticas
Implantación de un Implantación de un Programa de seguridadPrograma de seguridad
1. Identificar personal responsable (CERT)
2. Establecer y documentar procesos críticos
3. Definir requerimientos para incrementar seguridad (CSO y RO)
4. Comunicar y diseminar programa de seguridad
5. Auditar y fiscalizar implantación
Implantación de un Implantación de un Programa de seguridadPrograma de seguridad
1. Designar personal responsable: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Comité de emergencias (“Corporate Emergency
Response Team”) Integrar personal de IT Integrar personal de las áreas críticas Integrar personal de seguridad organización Consultores o personal de emergencias externo
Implantación de un Implantación de un Programa de seguridadPrograma de seguridad
2. Establecer y documentar procesos críticos: Avalúo de riesgos potenciales y priorización Clasificación de los records o archivos de información
(físicos y electrónicos) Determinar fuentes de posible riesgo y medidas de
seguridad existentes que las contrarestan Identificar y documentar otros riesgos que no van a ser
atendidos por el programa de seguridad Definir los niveles de acceso y controles:
Procesos para administrar el acceso de usuarios, acorde a su desempeño o necesidad (Roles – facilita “scalability”)
Establecer controles (centralizado-descentralizado) Adoptar políticas para implantar los controles negociados
Implantación técnica y asignación de recursos (TIP)
Implantación de un Implantación de un Programa de seguridadPrograma de seguridad
3. Definir requerimientos mejoran seguridad: Oficial de seguridad organizacional (CSO) Encargado(s) o dueños de los recursos (RO) Proponer soluciones que contraresten o
minimizen los riesgos ponderados Centrarse en recursos críticos y riesgos probables Evaluar “best practices” Negociar plan de acción y pasos a seguir Definir medidas para evaluar implantación exitosa
Implantación de un Implantación de un Programa de seguridadPrograma de seguridad
4. Comunicar y diseminar el programa: Programa para cobrar conciencia de la dimensión y del
impacto potencial de los riesgos (“awareness program”) Educar sobre cómo su comportamiento es afectado por las
políticas y procedimientos de seguridad vigentes o propuestas
Integrar diversos mecanismos de difusión: Talleres o conferencias Folletos Páginas de WEB
Implantar un programa formal para adiestrar a los ejecutivos sobre los beneficios, logros y contribución del proyecto
Implantación de un Implantación de un Programa de seguridadPrograma de seguridad
5. Auditar y fiscalizar (“monitor”) Probar o validar el programa continuamente:
Integrar las herramientas y técnologías recientes Identificar cambios o amenazas y reaccionar con agilidad
Configuración y Control Escudriñar y vigilar intrusos o acceso indebido Responder ágilmente a los incidentes reportados Analizar los datos referentes a eventos o
incidentes de violación (“Forensics”) Notificar y cuantificar la ejecución del programa
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Descripción del proceso Plan de evaluación Tipos de prueba Revisión del programa de seguridad Auditoría de seguridad Avalúo de riesgos
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
¿En qué consiste?
“Determinar dónde estamos y dónde debemos estar”
¿Cuáles pasos debo seguir? Recopilar políticas y procedimientos existentes Examinar nivel de congruencia operacional Establecer expectativas (“best practices”) Comparar realidad operacional contra objetivos
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
¿Por qué hacerlo? Iniciar un programa institucional de seguridad Establecer prioridades para fortalecer el perímetro de
seguridad institucional Identificar los principales aspectos de seguridad que
ameritan proyectos particulares Revisar y actualizar las políticas y procedimientos vigentes Desarrollar y/o actualizar el plan institucional de
adiestramientos sobre seguridad Determinar las áreas de mayor riesgo para avalar los planes
de BCP y DRP
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
¿Quién debe llevarlo a cabo? Nuestro personal de sistemas El Oficial y la división de seguridad Nuestros proveedores de HW/SW/OS Consultores externos
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Áreas a examinar: Sistemas Red(es) Organización
Tipos de prueba: Pruebas de penetración Pruebas de vulnerabilidad
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Objetivos de las pruebas de penetración: Detectar ataques o posibles ataques Prevenir ataques Detectar violación a políticas y procedimientos Hacer cumplir políticas y procedimientos Detectar huecos en conexiones Operacionalizar políticas sobre conexión Recopilar evidencia
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Pruebas de vulnerabilidad (“vulnerability test”): Automáticas –
mediante escudriñadores se construye un mapa o tabla identificando los huecos de seguridad encontrados por #IP y servicio
Verificadores de conexiones piratas (fax/modem, WLan) Manuales –
Experto verifica las listas, clasifica las deficiencias o posibles deficiencias
Explora otras opciones menos obvias
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Pruebas de intrusión: “Stealth scans” – Identifican huecos en sistemas “Port Scans” “Trojan scans”
Pruebas de vulnerabilidad: “File snooping” “Compromised systems”
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Frecuencia del proceso: Anualmente como mínimo Depende del tipo y proporción de presencia WEB
Inversión en el proceso: Asociado a los niveles de riesgo Relativo al impacto esperado de posibles daños
Resultados del proceso: Medidas de seguridad adicionales o más robustas Revisión y actualización de las políticas y procedimientos
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Ejercicios: “Web page defacement” – Web server protegido por FW
y todo tráfico bloqueado excepto P80 Tráfico inexplicablemente voluminoso – servidor de
Web/FTP indica uso intenso de discos Archivos modificados por desconocido – cambios en
archivos encontrados por “integrity checker” Servicio no autorizado en sistema interno – se encuentra
un servicio nuevo en el servidor Usuario activa servicios Web en su máquina Desaparece el “systems log” – se encuentra en “hidden
folder” un proceso de actualización desconocido.
Avalar el margen de Avalar el margen de vulnerabilidad vulnerabilidad (“Security assessment”)(“Security assessment”)
Ejercicios: Red lenta por tráfico conflictivo Alarma de ataque a un router Servidor de correo lento y con volumen excesivo Alarma de ataque a la red Amenaza a un ejecutivo de extorsión con sistemas
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Respuesta a incidentes Continuidad en operaciones CERT
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Enfoques pasivos de respuesta:Recoger información y notificar para acción a autoridad correspondiente
Obviar – confianza en nivel de seguridad operacional o por abandono
Levantar bitácoras o recoger información en servidores dedicados
Notificar – personal de seguridad de acuerdo a la severidad del incidente
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Enfoques activos de respuesta:Actuar rápidamente evitando afectar operaciones o aislar usuarios válidos.
Cesar conexiones, sesiones o procesos Reconfigurar dispositivos de la red provisional o
permanentemente Engañar al posible atacante haciéndole creer que
no ha sido descubierto (“Honey pots”)
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Respuesta a incidentes: Penetración, intrusión o uso indebido Proceso investigativo basado en informes Alarma por nivel o seriedad del incidente Activación de procedimiento para confrontarlo
Manejo adecuado de incidentes: Investigar evento sospechoso Mantener confidencialidad del proceso Proteger evidencia y documentar hallazgos Integrar nivel gerencial adecuado Proteger la organización
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Establecer parámetros: Definir número de conexiones esperado Sensibilidad de los sensores automáticos Velocidad de respuesta de la red Vulnerabilidades conocidas Peritaje del personal técnico Peritaje de usuarios Consecuencias de falsas alarmas Consecuencias de incidentes no detectados
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Revisión del programa de seguridad: Corregir brechas reveladas por auditorías o
por informes de programas integrados Armonizar con los cambios en el entorno:
Tecnológico Operacional/procesal Legal
Divulgar modificaciones a la comunidad
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Riesgos: Amenazas que atentan contra la vulnerabilidad en seguridad de la organización o sus recursos.
Elementos del riesgo: Agentes – quienes originan la amenaza Eventos – tipo de acción o suceso Objeto o blanco – servicios de seguridad
Dimensión del riesgo: Costo o impacto Probabilidad de ocurrencia: “best/worst/most likely” Medidas para afrontar o compensar
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Plan de Continuidad de Operaciones (BCP):
Herramienta para anticipar riesgos, su impacto y definir pasos a seguir para mantener o restaurar las operaciones críticas en su nivel operacional adecuado.
Plan de Recuperación de Desastres (DRP):Bosquejo documental detallando los pasos en la secuencia adecuada para restaurar operaciones basadas en sistemas de información.
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Componentes y etapas del BCP: Evaluación y minimización de riesgos Analisis y cuantificación de impacto(s) Formulación de estrategias Identificación de solución(es) de emergencia Desarrollo, implantación y pruebas Divulgación y adiestramiento Relaciones públicas y manejo de crisis Actualización y mantenimiento
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Componentes del DRP: Descripción de sistemas de información críticos Identificación de bancos de datos críticos Descripción de procesos de resguardo Descripción de procesos de recuperación Escenarios primarios cubiertos Soluciones alternas priorizadas y convenios Equipos de trabajo y recursos externos Actualización, pruebas o simulacros
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
Proceso operar escenario desastre:
Acaece evento catastrófico o extraordinario Respuesta o reacción inmediata Resumir operaciones críticas ASAP Recuperar otras funciones no inmediatas Restaurar operaciones normales
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
“Computer Emergency Response Team”Organización creada por CMU para responder a escenarios de ataque contra sus sistemas. Actualmente es modelo para una red internacional de centros que proveen respaldo
y publican información sobre eventos de riesgo.
CERT Equipo de trabajo institucional para asumir responsabilidad directa del proceso de reaccionar ágilmente a incidentes o eventos de riesgo.
Respuesta y recuperaciónRespuesta y recuperación(“Response and Recovery”)(“Response and Recovery”)
¿Quiénes deben integrar el CERT? CIO CSO Network manager Sistems manager Technical support for critical equipment/services RO for critical functional/service areas Physical security manager/officer Public relations representative
Administradores de servicios de Administradores de servicios de seguridad seguridad (“Managed security services”)(“Managed security services”)
Descripción de MSS ¿Por qué contratar fuera? ¿Cuánto debe contratarse fuera? ¿Qué debe asegurarse fuera? Proceso de selección de un proveedor
Administradores de servicios de Administradores de servicios de seguridad seguridad (“Managed security services”)(“Managed security services”)
¿En qué consiste la administración de servicios de seguridad? Administrar Firewalls Autenticar usuarios Establecer y administrar VPN’s Implantar y mantener filtros de contenido Detectar intrusos Escudriñar virus Colaborar en reaccionar a eventos de penetración
Administradores de servicios de Administradores de servicios de seguridad seguridad (“Managed security services”)(“Managed security services”)
¿Por qué contratar terceros? Costo total de operación menor Personal técnico capacitado escaso Inversión de tiempo y esfuerzo en operar
proceso continuo Reducción de riesgos al integrar peritos Necesidad de adiestramiento continuo Tamaño de la organización y volumen
Administradores de servicios de Administradores de servicios de seguridad seguridad (“Managed security services”)(“Managed security services”)
¿Cuánto debe contratarse a terceros?El mínimo necesario.
¿Qué debe contratarse a terceros? Respaldo técnico Respaldo operacional Respaldo para recuperación
Criterios de contratación: Servicios vs. necesidades “Service level agreements Infraestructura del SOC Referencias
Seguridad en el Web e InternetSeguridad en el Web e Internet
Políticas y procedimientos básicos Diseño de la(s) aplicación(es) Diseño de la infraestructura Operación de seguridad Integración de las partes
Seguridad en el Web e InternetSeguridad en el Web e Internet
Políticas básicas: Uso y protección de tecnología y recursos Uso de Internet y de correo electrónico Manejo de cuentas y claves de acceso de usuarios Servicios autorizados y no autorizados Protección de la confidencialidad, integridad y privacidad de
la información Derechos de propiedad industrial e individual Prohibiciones relativas a la responsabilidad legal
Procedimientos mínimos: Administración de sistemas Configuración y copias de resguardo Metodologías o estándares de diseño
Seguridad en el Web e InternetSeguridad en el Web e Internet
Desarrollo de políticas o procedimientos: Revisar modelos o “best practices” Definir qué es importante para la organización Determinar comportamiento aceptable Identificar las partes (“stakeholders”) Formular bosquejo Desarrollar e implantar Allegar adeptos Divulgar Emplearla adecuadamente
Seguridad en el Web e InternetSeguridad en el Web e Internet
Diseño de la(s) aplicación(es): Integración de requerimientos de autenticación Integración de seguridad Jerarquía o niveles de autorización Tipos de permiso o privilegios Tracto de transacciones Registro de sesiones Validación de insumo Recuperación o restauración en caso de errores
Seguridad en el Web e InternetSeguridad en el Web e Internet
Diseño y mantenimiento de la infraestructura: Niveles de Firewalls Ubicación en DMZ Segmentación de “clusters” Conexividad entre segmentos y servidores Integración de VPN’s y VLAN’s Configuración y actualización de los sistemas
operativos Documentación, implantación y fiscalización de
cambios
PreguntasPreguntas
ReferenciasReferencias
Tanenbaum, Computer Networks Maiwald, Network Security Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment Gast, Seven security problems of 802.11 Wireless www.80211-planet.com: Wireless Privacy: An Oxymoron (April 26,
2001) Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO
Insight July 2002) Trilling, How to tighten loose security in wireless networks?
(Computerworld Feb.12,2003) daCruz, Safe networking computing (Columbia U., Sep 2001) McHugh,Christie & Allen, The role of intrusion detection systems
(IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked systems (STSC
Crosstalk Oct, 2000)