Seguridad Informtica

Captulo 1: Introduccin y
conceptos bsicos
Titulacin: Ingeniero en Informtica.
Curso 5 - Cuatrimestral (2005-2006)
Javier Jarauta Snchez
Jos Mara Sierra
Rafael Palacios Hielscher
2
Captulo 1
Conc ept os Bsi c os
3
Captulo 1
La Informacin
La informacin es hoy en da uno de los activos ms
importantes de las organizaciones, y debe protegerse
La informacin se encuentra en diferentes estados:
Mientras se procesa, en transmisin y almacenada
Existe en mltiples formas: papel, almacenada
electrnicamente, transmitida por correo o medios
electrnicos, hablada en una conversacin o un vdeo,
etc.
Cada estado y forma dispone de una serie de
amenazas y vulnerabilidades de diferentes niveles
contra las que hay que protegerla
Antiguamente todo era soporte papel, y la seguridad
principalmente fsica. Actualmente lo primordial es el
soporte informtico y la seguridad lgica.
4
Captulo 1
Visin global de seguridad
La informacin y todos los soportes que la sustentan en una
organizacin (sistemas y redes) estn sometidos cada vez a ms
amenazas desde ms fuentes
Las clsicas amenazas: fraude, espionaje, sabotaje, vandalismo,
fuego, inundaciones, etc.
Las nuevas amenazas: virus, hackers, negacin de servicio, etc.
Las organizaciones dependen cada da ms de sus sistemas de
informacin, y son ms vulnerables
La mayora de los SI no han sido diseados con criterios de
seguridad (no era prioritario, ej. TCP/IP)
SOLUCION
definir requisitos e implantar soluciones tcnicas y
organizativas con una visin global
5
Captulo 1
Trminos bsicos
Servicios bsicos de seguridad
Confidencialidad
Integridad
Disponibilidad
Otros conceptos importantes de seguridad
Identificacin / Autenticacin
Control de accesos
Autorizacin
No repudio
Auditora
6
Captulo 1
Definiciones: Anlisis y Gestin de
Riesgos
Anlisis y Gestin de Riesgos: Definiciones
Activo: Componente del sistema al que la Organizacin le
asigna un valor (Tangibles, Intangibles)
Amenaza: Ocurrencia de un evento que cause un impacto no
deseado (Accidentales, Intencionados)
Riesgo: Posibilidad de que una amenaza se realice
Vulnerabilidad: Debilidad o ausencia de medidas de
salvaguarda
Salvaguarda: Medida de control para reducir el riesgo
asociado a una determinada amenaza
Anlisis y Gestin de Riesgos
Anlisis de riesgos cualitativo
Anlisis de riesgos cuantitativo
Procedimiento de valoracin de activos
Seleccin de salvaguardas
Metodologas: MAGERIT V2.0 (MAP) y otras
7
Captulo 1
Si t uac i n Ac t ual
8
Captulo 1
Situacin Actual
En 2005 no se han producido las grandes
epidemias de virus de aos anteriores
LoveLetter, Sasser o Blaster
Se ha producido un cambio a nuevas amenazas
silenciosas, y cambio de motivacin:
Fama personal versus Beneficio econmico
Tipos de malware:
Troyanos: Backdoor, Keylogger, con gusanos Bot
Phising, Pharming, Spyware, Spamy otros
Vulnerabilidades continuas de todos los sistemas
9
Captulo 1
Notas histricas
Kevin Mitnik, perseguido durante tres aos y detenido en 1995
rob informacin top secret al FBI. Especialista en Ingeniera
Social
Vladimir Levin transfiri 10 M$ de Citibank a cuentas propias en
los 90, detenido en el 95.
Amazon, Yahoo y otros muchos caen durante horas por un
ataque de Denegacin de Servicio en 2000
En marzo del 2001 se detecta el robo de ms de 1 milln de
datos de tarjetas por hackers, aprovechando vulnerabilidades de
IIS (mafias rusas)
Robert un estudiante austraco de 17 aos accedi en Octubre
2002 a documentos secretos del DoD del pentgono.
U.K.suspende su servicio de Renta on-line tras detectarse un
fallo que permita a usuarios acceder a datos de otros
declarantes
10
Captulo 1
Situacin Actual
Datos del CERT Coordination Center, centro
de Carnegie Mellon University que coopera
con el Department of Homeland
Security, DOD.
0
20000
40000
60000
80000
100000
120000
140000
1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
Nmero de incidencias registradas
*Cada incidencia puede afectar a un sitio o miles de sitios
11
Captulo 1
Situacin Actual
Mi2g, compaa de seguridad informtica de
Londres, estima que daos econmicos
derivados de virus, gusanos, hackers, etc.
suponen 50000 millones de dlares (datos
2003).
Time, Feb 10th, 2003 Time, Feb 10th, 2003
12
Captulo 1
Situacin Actual
Federal Trade Commision (www.ftc.gov)
516.740 reclamaciones en el ao 2003.
Las reclamaciones relacionadas con Internet
suponen el 55% de los fraudes reportados
La prdida media de los fraudes por Internet es
de $195
645.000 en 2004
Prdidas econmicas de $565 million
13
Captulo 1
Situacin Actual
Phishing Activity Trends Report. Nov 2005
14
Captulo 1
Situacin Actual
En 2006 se despliega el DNI electrnico
Tarjeta chip para todos los espaoles
Certificados digitales para autenticacin y firma
electrnica reconocida legalmente
15/Febrero/2006 celebrada la Ceremonia de
Generacin de Claves del DNIe
2/Marzo/2006 Se emite el primer DNIe en Burgos
Durante los prximos aos se emitirn a razn
de 6-8 millones al ao
Proyecto lder a nivel mundial, liderado por la
Direccin General de la Polica.
15
Captulo 1
Ejemplos (1)
Ejemplo de fallo hardware
08/nov/2002, 09:00 UTC: Problema elctrico
Incendio por sobrecarga elctrica en la central mundial de
Iberia. La Muoza (Madrid)
Avera en los sistemas informticos de Iberia que provoc
retrasos en todos los vuelos de la compaa y varias
cancelaciones.
Paralizacin de las operaciones de facturacin y embarque
En este centro se gestiona tambin el sistema de distribucin
de reservas Savia-Amadeus, utilizado por el 96% de las
agencias de viajes y los turoperadores
16
Captulo 1
Ejemplos (2)
25/ene/2003, 5:30 AM UTC: Slammer
Internet wormcontra Microsoft SQL server
En pocas horas 700.000 servidores web afectados
American Express network
13000 cajeros automticos de Bank of America
Trfico telefnico en Finlandia
Coste estimado a la economa mundial: 1.000 millones de
dlares. (Costes de productividad y oportunidad de
negocio).
El parche estaba disponible desde julio/2002
Ejemplo de ataque por Internet
17
Captulo 1
Ejemplos (3)
26/ene/2004, MyDoomworm
Internet wormcontra sistemas
Microsoft Windows
Correo electrnico basado en
ingeniera social
Mensajes localizados en 142 pases
Hasta uno de cada 3 mensajes tiene
el virus (CNN)
> 400.000 ordenadores afectados
Ataques DoS programados:
1/Feb/2004: www.sco.com
3/feb/2004: www.microsoft.com
Expansin de Virus rpida
18
Captulo 1
Ejemplos (4)
Expansin lenta
24/mar/2005, SPYW_DASHBAR
Entra por Internet Explorer sin
accin del usuario.
Instala un toolbar de bsqueda
Casi 400.000 ordenadores infectados
19
Captulo 1
Ejemplos (5)
Virus en la lista de alerta del Ministerio CyT
31/ene/2004, worm Sober.C
Fallo de configuracin de la lista de correo de alertas del Centro
de Alerta Temprana Antivirus.
Centro dependiente del Ministerio de Ciencia yTecnologa a
travs de la Secretara de Estado de Telecomunicaciones y para
la Sociedad de la Informacin.
Estn reforzando la seguridad e incluirn firma electrnica en los
mensajes.
20
Captulo 1
Sol uc i ones
21
Captulo 1
Cmo abordar la seguridad en los SI
La seguridad es un proceso, no un producto
Se utilizan medidas de varios tipos:
Adoptar polticas y procedimientos
Implantar medidas tcnicas con productos
Gestionar todos los incidentes de seguridad
Auditorias continuas
Abordarla desde un punto de vista global
Diagnstico inicial de la seguridad
Plan director de seguridad
Abordar proyectos parciales
22
Captulo 1
Norma UNE-ISO/IEC 17799:2002
Cdigo de buenas prcticas en
Seguridad de la I nformacin
(contenido)
Introduccin a los conceptos de gestin de la seguridad.
10 secciones
36 objetivos de seguridad
127 controles de seguridad
Especificaciones / / Gua / / Referencias
Cubre aspectos de Gestin, J urdicos y Tcnicos
23
Captulo 1
Norma UNE-ISO/IEC 17799:2002
Cdigo de buenas prcticas en
Seguridad de la I nformacin
(secciones)
3 .- Poltica de Seguridad.
4.- Aspectos organizativos para la Seguridad.
5.- Clasificacin y control de activos
6.- Seguridad ligada al personal
7.- Seguridad fsica y del entorno
8.- Gestin de Comunicaciones y Operaciones
9.- Control de accesos
10.- Desarrollo y mantenimiento de sistemas.
11.- Gestin de Continuidad del negocio.
12.- Conformidad (cumplimiento con la legislacin vigente)
24
Captulo 1
Norma UNE 71502:2004 - SGSI
Sistema de Gestin de la Seguridad de la I nformacin
(SGSI I SMS)
Norma certificable
Sistema de gestin que comprende la poltica, la estructura
organizativa, los procedimientos, los procesos y los recursos
necesarios para implantar la gestin de la seguridad
Es la herramienta de que dispone la Direccin para llevar a cabo las
polticas y objetivos de seguridad
Proporciona mecanismos para la salvaguarda de los activos de
informacin
25
Captulo 1
Norma UNE 71502:2004 - SGSI
Sistema de Gestin de la Seguridad de la I nformacin
(Modelo PDCA)
DO
Implantar y Operar SGSI
ACT
Mejorar SGSI
PLAN
Establecer SGSI
CHECK
Monitorizar y Revisar SGSI
UNE-ISO 17799
26
Captulo 1
Plan Director de Seguridad
Fase 1: Diagnstico de la situacin
Conocer la organizacin, reas funcionales y procesos de negocio
Identificar activos, realizar entrevistas
Evaluar la seguridad de comunicaciones, sistemas, aplicaciones
Fase 2: Anlisis de riesgos
Anlisis de las amenazas y vulnerabilidades
Identificacin, clculo y clasificacin de los riesgos
Fase 3: Grado de cumplimiento UNE/ISO 17799
Informe de cumplimiento de cada un de los 10 captulos
Fase 4: Plan de proyectos de seguridad
Agrupar las vulnerabilidades y definir proyectos a acometer
Clasificar y valorar proyectos a corto, medio y largo
Fase 5: Gestin de los riesgos
Disminuir con proyectos, externalizar con seguros o asumir.
27
Captulo 1
Seguridad de la Informacin
Seguridad:
Proteccin de la CONFIDENCIALIDAD,
INTEGRIDAD y DISPONIBILIDAD de la
informacin, segn el nivel requerido para los
objetivos de negocio de la organizacin
Informacin:
ACTIVO de informacin tangible o intangible que
tiene VALOR para los procesos de negocio de la
organizacin.