Seguridad de la Informacion

Seguridad de la Información

SeguridadInformaciónDe la

Ing. Max Lazaro Oficina Nacional de Gobierno

Electrónico e Informática


Nuevos Escenarios


“LA INFORMACION es un ACTIVO”

La información debe considerarse como un

recurso con el que cuentan las Organizaciones

y por lo tanto tiene valor para éstas, al igual

que el resto de los activos, debe estar

debidamente protegida.

Qué se debe asegurar ?


Contra qué se debe proteger la

Información ?


Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Amenazas

Violación de la privacidad de los empleados

Fraudes informáticos

Destrucción de equipamiento


Captura de PC desde el exteriorViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

VirusMails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresosPropiedad de la información

Agujeros de seguridad de redes conectadasFalsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social

Más Amenazas!!

Seguridad de la InformaciónBOTNETS – Facilitando Ataques DDoS

CE

Instalación del cliente:

Servidor/FW/Switch/Ruteador

Zombies

Extorsionador

Conexión de la

Última Milla

Ruteador del Borde del ISP

¡BOTNETs para Rentar!

Un BOTNET está compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central

Los BOTNETs permiten todos los tipos de ataques DDOS: Ataques ICMP, Ataques TCP, Ataques UDP y sobrecarga de http

Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas

Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños.

Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s

¡El tamaño de los ataques está aumentando constantemente!



Por qué aumentan las amenazas ?

Crecimiento exponencial de las Redes y Usuarios Interconectados – Dependencia.

Profusión de las BD On-Line

Inmadurez de las Nuevas Tecnologías

Alta disponibilidad de Herramientas Automatizadas de Ataques

Nuevas Técnicas de Ataque Distribuido (Ej:DDoS)

Técnicas de Ingeniería Social

Algunas

Causas


Vulnerabilidades

Inadecuado compromiso de la dirección.

Personal inadecuadamente capacitado y concientizado.

Inadecuada asignación de responsabilidades.

Ausencia de políticas/ procedimientos.

Ausencia de controles

(físicos/lógicos)

(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.


Qué se debe garantizar ?

Seguridad de la InformaciónDimensiones críticas de la información

C

I D

Información

(dimensiones)

Prevenir

Divulgación no autorizada de

Activos de Información

Prevenir

Cambios no autorizados en


Prevenir

Destrucción no autorizada de


• Secreto impuesto de acuerdo con políticas de seguridad• SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos)

• Validez y Precisión de información y sistemas.•SINO: Información manipulada, incompleta, corrupta y por lo tanto mal desempeño de funciones

• Acceso en tiempo correcto y confiable a datos y recursos.• SINO: Interrupción de Servicios o Baja Productividad

Información

E

D

T

6

+ 5

=

7x24x365

Autenticidad de

quien hace uso de datos o

servicios

Trazabilidad del uso

de servicios (quién, cuándo)

o datos (quien y que hace)

E-commerce

No repudio

(Compromisos)

Confiabilidad


Acciones de la ONGEI


Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios:

Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas.

Boletines de Seguridad de la información

Boletines de Alertas de Antivirus.

Presentaciones técnicas sobre seguridad.

Consultorías y apoyo en recomendaciones técnicas.


Política de Seguridad de la

Información para el Sector Público


Las políticas de seguridad son las reglas y

procedimientos que regulan la forma en que una

organización previene, protege y maneja los riesgos de

diferentes daños.

Que se entiende por Politica de Seguridad ?

Si se quiere que las políticas de seguridad sean aceptadas, deben

integrarse a las estrategias del negocio, a su misión y visión,con el propósito de que los que toman las decisiones reconozcan

su importancia e incidencias en las proyecciones y utilidades de la

organización.

Como tiene éxito una Politica ?


Con fecha 23 de julio del 2004 la PCM a través

de la ONGEI, dispone el uso obligatorio de la

Norma Técnica Peruana “NTP – ISO/IEC

17799:2004 EDI. Tecnología de la Información:

Código de Buenas Prácticas para la Gestión de

la Seguridad de la Información” en entidades del

Sistema Nacional de Informática.

Se Actualizó el 25 de Agosto del 2007 con la

Norma Técnica Peruana “NTP – ISO/IEC

17799:2007 EDI.


Cuales son los temas o dominios a

considerar dentro de un plan de

Seguridad?


Los 11 dominios de control de ISO 17799 (27002)

1. Política de seguridad:

Se necesita una política que refleje las expectativas dela organización en materia de seguridad, a fin desuministrar administración con dirección y soporte. Lapolítica también se puede utilizar como base para elestudio y evaluación en curso.

2. Aspectos organizativos para la seguridad:

Sugiere diseñar una estructura de administracióndentro la organización, que establezca laresponsabilidad de los grupos en ciertas áreas de laseguridad y un proceso para el manejo de respuesta aincidentes.


3. Clasificación y Control de Activos:

Inventario de los recursos de información de laorganización y con base en este conocimiento, debeasegurar que se brinde un nivel adecuado deprotección.

4. Seguridad de Recursos Humanos:

Necesidad de educar e informar a los empleadosactuales y potenciales sobre lo que se espera de ellosen materia de seguridad y asuntos deconfidencialidad. Implementa un plan para reportarlos incidentes.

5. Seguridad física y del Entorno:

Responde a la necesidad de proteger las áreas, elequipo y los controles generales.


6. Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son:

Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Minimizar el riesgo de falla de los sistemas.

Proteger la integridad del software y la información.

Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.

Garantizar la protección de la información en las redes y de la infraestructura de soporte.

Evitar daños a los recursos de información e interrupciones en las actividades de la institución.

Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.


7. Control de accesos:

Establece la importancia de monitorear ycontrolar el acceso a la red y los recursos deaplicación como protección contra los abusosinternos e intrusos externos.

8. Adquisición, Desarrollo y Mantenimiento de los sistemas:

Recuerda que en toda labor de la tecnología de lainformación, se debe implementar y mantener laseguridad mediante el uso de controles deseguridad en todas las etapas del proceso.


9. Gestión de Incidentes de la Seguridad de la información

Asegurar que los eventos y debilidades en laseguridad de la información sean comunicados demanera que permitan una acción correctiva a tiempo.

10. Gestión de Continuidad del Negocio

Aconseja estar preparado para contrarrestar lasinterrupciones en las actividades de la organización ypara proteger los procesos importantes de laorganización en caso de una falla grave o desastre.

11. Cumplimiento:

Evitar brechas de cualquier ley civil o criminal,estatutos, obligaciones regulatorias o contractuales yde cualquier requerimiento de seguridad.


Los 11 Dominios de la NTP ISO 17799 - 2007

Control de accesos

Gestiòn de

Activos

Política de

seguridad Organización de

la Seguridad

Seguridad

del personal

Seguridad física

y medioambientalGestión de

comunicaciones

y operaciones

Desarrollo y

mantenimiento

Gestión de

la continuidad

Cumplimiento

Información

Confidencialidad

disponibilidad

integridadGestión de

incidentes



SGSI

Modelo P-H-V-A

Metodología de la ISO/IEC

27001


El sistema de gestión de la seguridad de la información(SGSI) es la parte del sistema de gestión de la empresa,basado en un enfoque de riesgos del negocio, para:

establecer,

implementar,

operar,

monitorear,

mantener y mejorar la seguridad de la información.

Incluye.

Estructura, políticas, actividades, responsabilidades, prácticas,procedimientos, procesos y recursos.

SGSI

Seguridad de la Información(Planificar /Hacer /Verificar /Actuar)

El SGSI adopta el siguiente modelo:

PHVA

Planificar

Verificar

Hacer

Actuar

Definir la política de

seguridad

Establecer el alcance del SGSI

Realizar los análisis de riesgos

Seleccionar los controles

Implantar el plan de gestión de

riesgos

Implantar el SGSI

Implantar los controles.

Implantar indicadores.

Revisiones del SGSI por parte de

la Dirección.

Realizar auditorías internas del SGSI

Adoptar acciones correctivas

Adoptar acciones preventivas

Seguridad de la InformaciónEstablecer el SGSI (Plan)

Establecer la política de seguridad, objetivos, metas, procesos yprocedimientos relevantes para manejar riesgos y mejorar laseguridad de la información para generar resultados de acuerdo conuna política y objetivos marco de la organización.

Definir el alcance del SGSI a la luz de la organización.

Definir la Política de Seguridad.

Aplicar un enfoque sistémico para evaluar el riesgo.

Seguridad de la InformaciónEstablecer el SGSI (Plan)

Identificar y evaluar opciones para tratar el riesgo

Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de control y controles a

implementar.

A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidad

Seguridad de la InformaciónImplementar y operar (Do)

Implementar y operar la política de seguridad, controles, procesos y

procedimientos.

Implementar plan de tratamiento de riesgos.

Transferir, eliminar, aceptar

Implementar los controles seleccionados.

Mitigar

Aceptar riesgo residual.

Firma de la alta dirección para riesgos que superan el nivel

definido.

Seguridad de la InformaciónImplementar y operar (Do)

Implementar medidas para evaluar la eficacia de los controles

Gestionar operaciones y recursos.

Implementar programas de Capacitación y concientización.

Implementar procedimientos y controles de detección y respuesta a

incidentes.

Seguridad de la InformaciónMonitoreo y Revisión (Check)

Evaluar y medir la performance de los procesos contra la política deseguridad, los objetivos y experiencia practica y reportar losresultados a la dirección para su revisión.

Revisar el nivel de riesgo residual aceptable, considerando:

Cambios en la organización.

Cambios en la tecnologías.

Cambios en los objetivos del negocio.

Cambios en las amenazas.

Cambios en las condiciones externas (ej. Regulaciones, leyes).

Realizar auditorias internas.

Realizar revisiones por parte de la dirección del SGSI.

Seguridad de la InformaciónMonitoreo y Revisión (Check)

Se debe establecer y ejecutar procedimientos de monitoreo para:

Detectar errores.

Identificar ataques a la seguridad fallidos y exitosos.

Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.

Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.

Seguridad de la InformaciónMantenimiento y mejora del SGSI (Act)

Tomar acciones correctivas y preventivas, basadas en los

resultados de la revisión de la dirección, para lograr la mejora

continua del SGSI.

Medir el desempeño del SGSI.

Identificar mejoras en el SGSI a fin de implementarlas.

Tomar las acciones apropiadas a implementar en el ciclo en

cuestión (preventivas y correctivas).

Comunicar los resultados y las acciones a emprender, y

consultar con todas las partes involucradas.

Revisar el SGSI donde sea necesario implementando las

acciones seleccionadas.


PECERT


Con fecha 22 de Agosto del 2009, en el diario

oficial el Peruano la Resolución Ministerial

360-2009-PCM, que crea el Grupo de Trabajo

denominado Coordinadora de Respuestas a

Emergencias en Redes Teleinformáticas de la

Administración Pública del Perú – PECERT

La cual permitirá generar un marco de trabajo

de cooperación entre los ministerios del sector

público para mejorar los niveles de seguridad de

la información en las entidades públicas.


La norma permitirá que:

ONGEI será un CSIRT de coordinación

Cada Ministerio creara un CSIRT

operativo.


Portal de Coordinación de Emergencias en Redes Teleinformáticas

http://www.pecert.gob.pe


Establecimiento e Implementación PeCERT

Entrenamiento al Personal PeCERT (Ministerios,

ODP’s)

Asistentes Ponentes

Taller de Seguridad de la Información en el Gobierno (Julio 2009) 80 E & Y, OSINERMING, IRIARTE

& ASOCIADOS, ONP,

DIVINDAT, RENIEC, CONASEV,

TELEFONICA.

Taller de Seguridad de la Información (Febrero 2010) 50BI ARGENTINA

Reunión de Coordinación PeCERT (Marzo 2010) 30 TELEFONICA

Taller de Asistencia Técnica en Materia de Seguridad Cibernética (Mayo 2010) 40 OEA, ARCERT, VENCERT,

CTIRGov BRASIL, CERTuy,

ESPAÑA

Taller de Gestión de Riesgos (Junio 2010) 30 SIDIF Latinoamérica

Reunión de Grupo de Trabajo PeCERT (Setiembre 2010) 22 Enhacke

Equipo Formal PeCERT Cantidad

Ministerios del Perú 17


451 informes de vulnerabilidad de Páginas Web a Nivel Nacional con vulnerabilidades (2008 a la fecha). 30% páginas altamente criticas.

Avisos de seguridad para usuarios técnicos avanzados, publicados en el portal Web.

Campaña de difusión del Proyecto PeCERT en las Redes Sociales de ONGEI (Facebook: Gobierno Electrónico Perú-Ongei, Twitter: @Peru_e_Gobierno).

37 Plantillas de Políticas de Seguridad según los 11 dominios de la NTP-ISO/ IEC 17799:2007 EDI, publicados en el portal Web.

Elaboración de un formato estándar para reportar incidentes de seguridad a las diversas entidades.

Actividades del PeCERT


Incidentes - Seguridad de la InformaciónEstadísticas

138 Incidentes de Seguridad en Portales Web de la

Administración Pública (Octubre 2009 a la Actualidad)

54 Entidades de provincia, y 55 Lima metropolitana.

52 notificaciones de Incidentes a las Entidades públicas

(Octubre 2010 a la actualidad)

Fuente: http://www.zone-h.org ,

http://bohemioshackersteam.blogspot.com/

Foros de google, etc etc.


Encuesta de Seguridad 2010

Según la Resolución Ministerial 187-2010-PCM autoriza la ejecución de la Encuesta de Seguridad 2010, publicado en el Diario “El Peruano” el 15 de Junio 2010, la cuál abarca preguntas de los 11 dominios de la NTP-ISO/ IEC 17799:2007 EDI. Segunda Edición.

i) Se ha recepcionado 150 reportes.

ii) 150 entidades de las 271, lo cuál corresponde al 56% del total.


Clasificación de la Encuesta de Seguridad

2010:

Documento de Brecha

53%39%

8%

Noiniciado

Enproceso

Concluido

Política de Seguridad

de la Información

30%

31%

39%

No iniciado

Elaborada y enrevision

emitidamediantenormativa

Elaboración de Análisis

de Riesgos

39%

47%

14%Noiniciado

Enproceso

Concluido

Personal para la

implementacion

83%

17% Personal propiode la entidad

consultoriacontratada

Poder Legislativo (1)

Poder Judicial (1)

Poder Ejecutivo (86)

Organismos Autónomos (20)

Gobiernos Regionales (8)

Gobiernos Provinciales (4)

Municipalidades (30)


1. Politicas de Seguridad

75 7571

40

62

25 2529

60

38

A B C D E

Si %

No %

Preguntas


2. Organización para la seguridad de la

información

34

1425 23

9

25

5466

8675 77

91

75

46

A B C D E F G

Si %

No %

Preguntas


Este material podrá obtenerlo en

http://www.pecert.gob.pe

en la Sección “Documentos”

También encontrará allí plantillas para la

implementación de políticas especificas


Las organizaciones requieren de un enfoque de varias capas para asegurar y proteger sus activos críticos y las infraestructuras.

Como defensa ante las amenazas y los riesgos de la internet, las organizaciones deben:

Identificar los principales activos, su ubicación, los propietarios de los procesos de negocio, y la criticidad.

Realizar evaluaciones de riesgos.

Mantenerse al día con los últimos parches de sistema operativo y actualizaciones de productos.

Instalar defensas interna en el perímetro de la red tales como routers, firewalls, scanners, y monitorización de red y sistemas de análisis.

Actualizar y ampliar las políticas de seguridad de la tecnología de información y los procedimientos.

Proporcionar capacitación de seguridad de sensibilización para los empleados, clientes y mandantes.

Formalizar un proceso de gestión de incidentes.


La mejor Infraestructura de Seguridad de la Información no puede garantizar que las intrusiones u otros actos dolosos no sucedan.

Cuando se producen incidentes de información o de tecnología, siempre se critica la falta de una organización, por no tener un medio eficaz para responder.


La rapidez con que una organización

puede Reconocer, Analizar y

Responder a un incidente limitará el

daño y reducir el costo de la

recuperación.


www.ongei.gob.pe

[email protected]

Muchas gracias……..

Seguridad de la Informacion

Education