Professional Documents
Culture Documents
Agenda:
Introduccin a la seguridad Informtica Conceptos bsicos Situacin actual Vulnerabilidades consecuencias tendencias Que hacer? Algunos pasos hacia la seguridad de la informacin e-Seguridad Elementos bsicos y efectos Efectos reales sobre la empresa
Conectado o desconectado?
No podemos aceptar esa afirmacin popular que dice que el computador ms seguro ... A pesar de todas las amenazas del entorno que, como veremos, sern muchas y variadas.
La seguridad informtica ser un motivo de preocupacin. ... y las empresas, organismos y particulares comienzan a tener verdadera conciencia de su importancia.
4
Integridad
Arquitectura de seguridad
A travs de servicios:
Control de acceso Cifrado/descifrado Autenticacin Polticas Procedimientos Conciencia Planificacin Entrenamiento
6
Situacin Actual
SOCIOS RED COMPARTIDA SITIOS ADMINISTRADOS POR OTRAS COMPAIAS PERIMETRO SEGURIDAD DE LA COMPAIA
USUARIOS - COMPUTADORES
ACCESO REMOTO
FUERA DE CONTROL
10
Inexistencia de fronteras fsicas. Protocolo de comunicaciones TCP/IP. Gran cantidad de hackers. Anonimato en Internet. Informacin fluye en claro. Errores en el diseo de los programas. En general, sensacin de inseguridad en el uso de internet
11
Soluciones Tecnolgicas.
Gran variedad de productos tales como PKI, SSL, VPN, cortafuegos, IDS, etc. Parches de seguridad (los que se preocupan), con algunas vulnerabilidades an. Metodologas y modelos de control (COSO-CobIT).
13
50000 45000 40000 35000 30000 25000 20000 15000 10000 5000 0
19 88 19 90 19 95 19 98 19 99 20 00 20 01
Numero de incidentes
14
15
Consecuencias:
Robo. Dinero, informacin empresarial relevante para el
Prdidas indirectas. Dao de imagen corporativa, prdida de confianza, etc. Exposicin legal. Incumplimiento de contratos, incumplimiento de compromisos
de confidencialidad, actividad ilegal de usuarios en los sistemas.
16
Tendencias.
Crecimiento explosivo de internet, millones de dispositivos conectados en forma permanente. Poca claridad en las fronteras de las empresas, proveedores, clientes, impulsado por nuevos modelos de negocios. El apuro de las empresas por lanzar productos al mercado sacrificar su calidad y seguridad.
17
El fundamento de una buena seguridad reside en conocer la sensibilidad y/o criticidad de los Activos que se desean proteger: Clasificacin de Informacin. Anlisis de Riesgos
18
Clasificacin de Informacin
Niveles de valoracin (Confidencial, interno, pblico). Activos fsicos y lgicos Ejemplos: Nmeros de tarjetas de crdito (BD) Planos de una constructora (CAD) Resultados clnicos de un paciente (aplicacin vertical) Portal transaccional (html) Transacciones contables (sistema contable, mdulo de un ERP, etc.) Remuneraciones (aplicacin o mdulo de un ERP)
19
Anlisis de Riesgos
El objetivo principal de realizar un estudio de anlisis de riesgos es determinar el mximo nivel permitido de riesgos que una organizacin est dispuesta ha soportar, as como determinar los controles pertinentes para proteger los recursos de las amenazas y vulnerabilidades existentes. Es una tcnica que se utiliza para determinar el nivel de proteccin requerido para aplicaciones, sistemas, localidades fsicas y cualquier recurso de la empresa, previniendo la ocurrencia de amenazas. Es un estudio sistemtico de las amenazas potenciales a los sistemas y a la informacin, que afectan la confidencialidad, integridad y disponibilidad de la informacin.
20
Riesgo
En el contexto anterior, el riesgo cuenta con los siguientes elementos: Vulnerabilidad y amenaza Impacto en los recursos Probabilidad de ocurrencia de las amenazas (combinacin de la probabilidad y frecuencia de ocurrencia).
Procesos
Infraestructura
21
Tipos de controles
En cada dimensin existen controles: Amenazas Vulnerabilidad Incidente Dao
22
Ejemplos de controles
Renovacin peridica de passwords Detector de intrusos Antivirus Bitcora de acceso al site Mails cifrados VPNs Dar mantenimiento preventivo a los servidores. Estar dado de alta en las listas de mail, para conocer los nuevos bugs detectados. Actualizacin de los sistemas operativos. Depuracin constante de los servidores.
23
24
25
Confidencialidad
Los componentes del sistema son accesibles slo por los usuarios autorizados.
Integridad
Los componentes del sistema slo pueden ser creados y modificados por los usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los componentes del sistema cuando as lo deseen.
27
Flujo Normal
Interrupcin
Interceptacin
Modificacin
Generacin
29
El tringulo de debilidades
Interrupcin (prdida) Interceptacin (acceso) Modificacin (cambio) Generacin (alteracin)
DATOS SW
Modificacin (falsificacin) Interrupcin (borrado) Interceptacin (copia)
HW
Interrupcin (denegar servicio) Interceptacin (robo)
30
Efectos reales:
Proteccin datos personales Ley 19.628. Propiedad Intelectual Ley 17.336. Figuras Penales Ley 19.223. Documento y firma electrnica Ley 19.799. SBIF
Captulo 1-7 Transferencia Electrnica de Informacin y Fondos....Requisitos que deben cumplir los sistemas utilizados....perfil de seguridad Captulo 1-13 Clasificacin gestin y Solvencia ....Administracin Riesgo Operacional y Tecnolgico ...continuidad operacional Aplicacin Ley 19.812 Informacin sobre deudores........medidas para el resguerdo de datos.
31