Professional Documents
Culture Documents
Armando Carvajal Gerente Consultora - globalteksecurity Master en seguridad informtica Universidad Oberta de inform Catalunya Especialista en construccin de software para redes construcci Uniandes Ing. Sistemas Universidad Incca de Colombia
Antecedentes
QU ES EL RIESGO?
Es la Incertidumbre sobre la ocurrencia de un evento que afecte el logro de los objetivos de la organizacin mediante el siniestro de activos Amenazas? Vulnerabilidades? Impacto?
EL RIESGO OPERACIONAL
Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnologa, la infraestructura o por la ocurrencia de acontecimientos externos
Circulares Superfinanciera
La Circular Externa 041 de 2007, aprob la implementacin del Sistema de Administracin de Riesgo Operativo
Circulares Superfinanciera
La Circular Externa 052 de 2007, trata sobre los requerimientos mnimos de seguridad y calidad en el manejo de informacin a travs de medios y canales de distribucin de productos y servicios para clientes y usuarios
Identifique
Mida
Retroalimenta r y Medir
Evale
Controle
Evaluar el impacto en A. xxxxxx
La Informacin es un activo?
La informacin es un activo y como cualquier otro activo que genera valor al patrimonio, ste es importante para la organizacin y por consiguiente debe ser adecuadamente protegido
Una vez Evaluados los activos, las amenazas, la probabilidad de ocurrencia de los riesgos y el nivel del impacto en el sistema de informacin, podemos construir esta matriz de riesgo consolidada la cual nos da las prioridades de inversin en seguridad informtica (sealados en rojo)
H.James Harrington
Delitos Informticos
Que es un delito?
El delito es definido como una conducta tpica (tipificada por la ley), antijurdica (contraria a Derecho) y culpable Supone una conducta infraccional del Derecho penal, es decir, una accin u omisin tipificada y penada por la ley
Que es el cibercrimen?
El alcance de este trmino es an incierto, curiosamente el trmino aparece en el portal www.wikipedia.org, as: Cybercrime is a term used broadly to describe activity in which computers or networks are a tool, a target, or a place of criminal activity These categories are not exclusive and many activities can be characterized as falling in one or more categories
Ciberterror
Es la convergencia entre el terrorismo y el ciberespacio Son las amenazas y ataques contra la infraestructura informtica y la informacin de un gobierno o empresa Causan dao a sistemas crticos para buscar el pnico
Ciberterror
No lo sentimos pero el ciberespacio esta bajo constante ataque Por el momento el carro-bomba representa una mayor amenaza que la bomba lgica. Dorothy E. Denning
Security Trends
1: Reconnaissance: reconocim
El intruso hace reconocimiento de la victima mediante: Google, Prueba de conectividad con ping, traceroute, dig, nslookup, enumeracin de servicios (nmap) y finalmente hace anlisis de vulnerabilidades (nessus)
2: Exploitation: (ataque)
El intruso basado en el anlisis de vulnerabilidades busca el cdigo que ataca la vulnerabilidad El objetivo mas atacado es el servidor web mediante exploits o encontrando errores de validacion en formularios Siempre se hace desde un IP diferente al Ip desde donde se hizo el reconocimiento
3: Reinforcement:(afianzar)
El intruso dentro de la victima obtiene sus programas o utilitarios de ataque usando tftp, ftp o scp Borra las pistas de la penetracin Instala un backdoor para prximas penetraciones Generalmente se parcha el sistema para que otro atacante no entre
4: Consolidation
Usando otro IP diferente a los anteriores Penetra la victima por medio del backdoor ya instalado que escucha por un puerto de tipo servidor Otra opcin es que un proceso en la victima cliente IRC llama al servidor del atacante y permite ejecutar comandos remotos
5: Pillage(pillaje)
El intruso ejecuta la ultima parte del plan Generalmente roba informacin critica Ataca a otras victimas basados en el IP de la victima anterior Podra hacer lo que desee con nuestro servidor atacado
Caso Colombiano
Total 535
http://www.elpais.com.co/paisonline/notas/Noviem bre272007/robos.html
http://www.eltiempo.com/bogota/2007-11-30/ARTICULO-WEB-NOTA_INTERIOR-3838706.html
Continuacion
Reflexiones
Reflexiones (1/3)
Si software maligno se robara la base de datos de las tarjetas de credito con sus claves cuanto perderia la organizacion? Se cuenta con estadisticas de manejo de incidentes de robos informaticos? Si una entidad de control nos pide las politicas de seguridad de la informacion, la tenemos?
Reflexiones (2/3)
Podria facturar si se diera un atentado de bomba o terremoto ? Que pasaria si la competencia tiene la base de datos de nuestros clientes? Si nos piden el ultimo analisis de riesgos?
Reflexiones (3/3)
Si una entidad de control nos pide el plan con fechas del disenio e implementacion del SGSI, lo tenemos? Si una entidad de control nos pide el BIA para sustentar el BCP, lo tenemos? Si nos piden las ultimas 3 auditorias tecnicas al SGSI lo tenemos?
En general las organizaciones no cuentan con un sistema de gestin para la seguridad de la informacin Por que?
Solucin propuesta
Se debe disear un SGSI que reporte mtricas Debe permitir asegurar la informacin hasta alcanzar el equilibrio entre el ahorro logrado por la seguridad brindada y el costo de los salvaguardas
Estado de Implantacin
Estado Actual
Controles
Anlisis de Riesgos Retomando toda la informacin obtenida, se debe llevar a cabo el anlisis de riesgos utilizando alguna metodologa: Ejemplo Magerit, AS NZS4360 (Para Colombia NTC5254)
Comunicacin Definir el Contexto Seguimiento y Monitoreo Anlisis GAP
Identificar Riesgos
Analizar Riesgos
Propuesta concreta
Se recomienda iniciar por el proceso que le produce los mayores ingresos a la org Una vez implantado y definiendo como se puede verificar y asegurar su correcto funcionamiento, se plantea ampliar su alcance e ir aadiendo nuevos procesos al SGSI De esta manera el costo y el esfuerzo son menores
Riesgo Aceptable?
Aceptar
Seguimiento y Monitoreo
Eliminar Comunicacin
Prevenir
Proteger
Transferir
Eliminar
Prevenir
Proteger
Transferir
Riesgo Aceptable?
Aceptar
Etapas de implementacin
La implementacin de la norma ISO 17799:2005 (ahora 27002:2005) considera 11 dominios que a su vez se reflejan en 39 objetivos de control que terminan en 133 controles Se pueden visualizar los dominios como grupos o etapas que idealmente se deben seguir en forma secuencial pero no es mandatorio
SGSI: 1-Politica
La poltica de seguridad tiene por objetivo aportar las directrices de la seguridad de la informacin de acuerdo con los requerimientos y legislacin vigente; fundamental para la implantacin del resto de los controles
Entregable: Politica de seguridad publicada y firmada por junta directiva
SGSI: 2-Organizacin
Implica la creacin de un comit que supervisar los diferentes aspectos de la seguridad de la informacin; ser el grupo que tendr el apoyo directo de la alta gerencia y podr conceptuar y decidir sobre los cambios del SGSI
Entregable: Documento de creacion del comite, sus miembros y funciones
SGSI: 4-Personal
La seguridad de la informacin depende del recurso humano (ing.social), deberan implantarse controles de seguridad que abarquen el ciclo de vida de los trabajadores, desde su seleccin hasta el momento en que dejen la organizacin
Entregable: Documento con plan de capacitacion sobre politicas de seguridad de la informacion
SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sistemas de Informacin Realizar pruebas tcnicas como: Anlisis de vulnerabilidades de la red Pruebas de penetracin a cada servidor de datos Revisin de configuraciones de dispositivos de red
Entregable: Documento con el resultado de las pruebas tecnicas
El objetivo de la seguridad de la informacin es evitar que las actividades propias de la organizacin se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organizacin son imprescindibles
Entregables: Documento que muestre el analisis del impacto del negocio en caso de desastre
Conclusiones
Conclusiones (1/2)
Se debe gestionar el riesgo para conocer sus vulnerabilidades e impacto Se debe gestionar el riesgo basados en un SGSI para administrar los incidentes de la SI Hay que hacer auditorias tcnicas para evaluar si se estn cumpliendo las normas mnimas Se debe buscar gradualmente la certificacin ISO 27001:2005 pero esto no se debe hacer en el momento del diseo del sistema de gestin
Conclusiones (2/2)
La seguridad de la informacin no es un problema de ndole tecnolgico Hay que hacer BIA para mejores planes de contingencia o BCP Se debe probar con mnimo 6 meses de diseo e implementacin
Bibliografia
Icontec Norma ISO NSC 17799:2005 (Ahora 27002:2005) Icontec Norma ISO NSC 27001 Borradores del proyecto sobre SGSI de la superintendencia financiera Real Digital Forensics, Keith J. Jones, AddisonWesley, 2006 Revista Sistemas, Acis # 96, Jeimy Cano, abriljunio 2006