Seguridad en Redes

Eduardo Fabo. Resp. Infraestructura eDonostia.net

1

Seguridad en RedesEduardo Fabo


2

Introducción a la seguridad de la información

1 Conceptos básicos 2 Activos 3 Amenazas y puntos débiles 4 Riesgos, medidas y ciclo de

seguridad


3

Objetivos planteados: Conocer las diferentes categorías existentes de los activos de

una empresa. Comprender el concepto de puntos débiles para identificarlas

posibles vulnerabilidades y amenazas existentes en los activos. Interpretar la clasificación propuesta de las posibles amenazas

encontradas en los diferentes procesos de la empresa. Revisar los conceptos de integridad, confidencialidad y

disponibilidad de la información. Conocer el concepto de riesgo y su implicación en el ciclo de

seguridad de la información de la empresa. Distinguir la diferencia entre aplicar o no medidas de

seguridad en los diferentes aspectos de nuestra empresa. Comprender los conceptos básicos de análisis de riesgo y

política de seguridad dos puntos muy importantes para definir las acciones en materia de seguridad que se aplican en las empresas.


4

1 Conceptos básicosEn la actualidad la información es el objeto de mayor

valor para las empresas. El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.

La seguridad de la información es un asunto tanimportante para todos, pues afecta directamente a los negocios de una empresa o de un individuo.


5

1 Conceptos básicos

La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que las conocen.


6

1 Conceptos básicosLos objetos reales o tangibles (entendiendo por éstos aquellas

cosas de valor físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de cámaras o guardias de seguridad. Pero, ¿Y la información que se encuentra dentro de servidores de archivos, qué transitan por las redes de comunicación o que son leídas en una pantalla de computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales?

una de las preocupaciones de la seguridad de la información es proteger los elementos que

forman parte de la comunicación.


7


Para empezar, es necesario

identificar los elementos que la

seguridad de la información busca

proteger: La información Los equipos que la soportan Las personas que la utilizan


8



9

2 Activos

¿Sabía usted que el 94% de las empresas que pierden sus datos desaparece?

Según un estudio de la Universidad de Texas, sólo el 6% de las empresas que sufren un desastre informático sobreviven. El 94% restante tarde o temprano desaparece. Investigaciones de Gartner Group, aunque más moderadas, respaldan esta tendencia al indicar que dos de cada cinco empresas que enfrentan ataques o daños en sus sistemas dejan de existir.


10

2 Activos

Conocer los diferentes tipos de activos en la empresa para identificar todo aquello que la seguridad de la información debe proteger.

Detectar posibles vulnerabilidades relacionadas con dichos activos para prepararnos para su protección.

Conocer los principios básicos de la seguridad de la información: confidencialidad, disponibilidad e integridad esto con la finalidad de valorar la importancia de dichos conceptos en el manejo de la información.


11

2 Activos

DEFINICION DE ACTIVO:

Un activo es todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor.


12

2 Activos

Clasificación de los Activos Información Equipos que la soportan:

b.1 Software b.2 Hardware b.3 Organización

Personas que los utilizan o usuarios:


13

2 Activos (Información)

En este grupo están los elementos que contienen información registrada, en medio electrónico o físico, dentro de los más importantes tenemos:

documentos informes libros manuales correspondencias patentes información de mercado código de programación líneas de comando archivos de configuración planillas de sueldos de empleados plan de negocios de una empresa, etc.


14

2 Activos (Información)

Posibles vulnerabilidades: Robo de documentos Pérdida de archivos de

configuración …..entre otros.


15

2 Activos (Equipos: Software)Este grupo de activos contiene todos los

programas de computadora que se utilizan para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento de la información.

las aplicaciones comerciales programas institucionales sistemas operativos otros


16

2 Activos (Equipos: Software)La seguridad de la información busca evaluar la

forma en que se crean las aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicación entre ellos.

Ejemplos de Activos:Sistemas operativos (Unix, Windows, Linux, sistemas informatizados, aplicaciones específicas etc.), programas de correo electrónico, sistemas de respaldo entre otros.


17

2 Activos (Equipos: Software)

Posibles vulnerabilidades: Fallas publicadas no reparadas

que puedan representar accesos indebidos a los equipos.

Pérdida de los sistemas de respaldo.


18

2 Activos (Equipos Hardware)Estos activos representan toda la infraestructura

tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento.

Los activos que pertenecen a este grupo son cualquier equipo en el cual se almacene, procese o transmita la información de la empresa.

Ejemplos: las computadoras los servidores los equipos portátiles los mainframes los medios de almacenamiento los equipos de conectividad, enrutadores, switchs


19

2 Activos (Equipos Hardware)

Posibles vulnerabilidades: Fallos eléctricos que dañen los

equipos. Inundaciones en centros de

cómputo. Robo de equipos portátiles. Accesos no permitidos


20

2 Activos (Equipos Organización) En este grupo se incluyen los

aspectos que componen la estructura física y organizativa de las empresas.


21

2 Activos (Equipos Organización)Como ejemplos de estructura organizativa,

tenemos entre otros: la estructura departamental y funcional el cuadro de asignación de funcionarios la distribución de funciones y los flujos

de información de la empresa

En lo que se refiere al ambiente físico, se consideran entre otros:

salas y armarios donde están localizados los documentos, fototeca, sala de servidores de archivos.


22

2 Activos (Equipos Organización)

Posibles vulnerabilidades: Ubicación insegura de

documentos, equipos o personas. Estructura organizacional que no

permita los cambios en materia de seguridad.


23

2 Activos (Usuarios)

El grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información

El enfoque de la seguridad en los usuarios, está orientado hacia la toma de conciencia de formación del hábito de la seguridad para la toma de decisiones y acción por parte de todos los empleados de una empresa, desde su alta dirección hasta los usuarios finales de la información


24

2 Activos (Usuarios)

Posibles vulnerabilidades: Olvido de contraseñas. Falta de cooperación por parte de

los usuarios en materia de seguridad.

Descuido de parte de los usuarios en el manejo de la información.


25

2 Protección de los activos

La protección de los activos de basa en tres principios básicos:

integridad confidencialidad disponibilidad


26


Principio de la integridad de la información

El primero de los tres principios de la seguridad de la información que aplicamos es la integridad, la cual nos permite garantizar que la información no ha sido alterada en su contenido, por tanto, es íntegra.


27


Principio de la integridad de la informaciónLa quiebra de integridad ocurre cuando la información

se corrompe, falsifica o burla.Una información se podrá alterar de varias formas, tanto

su contenido como el ambiente que la soporta. Por lo tanto, la quiebra de la integridad de una información se podrá considerar bajo dos aspectos:

1. Alteraciones del contenido de los documentos – donde se realizan inserciones, sustituciones o remociones de partes de su contenido;

2. Alteraciones en los elementos que soportan la información – donde se realizan alteraciones en la estructura física y lógica donde una información está almacenada.


28


Buscar la integridad es asegurarnos que sólo las personas autorizadas puedan hacer alteraciones en la forma y contenido de una información, así como en el ambiente en el cual la misma es almacenada y por el cual transita, es decir, en todos los activos.

Por lo tanto, para garantizar la integridad, es necesario quetodos los elementos que componen la base de gestión de lainformación se mantengan en sus condiciones originalesdefinidas por sus responsables y propietarios.

En resumen: garantizar la integridad es uno de los principales objetivos para la seguridad de las informaciones de un individuo o empresa.


29


Principio de la confidencialidad de la información

tiene como propósito el asegurar que sólo la persona correcta acceda a la información que queremos distribuir

Pérdida de confidencialidad significa pérdida de secreto. Si una información es confidencial, es secreta, se deberá guardar con seguridad y no ser divulgada para personas no autorizadas.


30


Principio de la confidencialidad de la información

Se deberá considerar a la confidencialidad con base en el valor que la información tiene para la empresa o la persona y los impactos que podría causar su divulgación indebida. Siendo así, debe ser accedida, leída y alterada sólo por aquellos individuos que poseen permisos para tal.


31


Principio de la disponibilidad de la información:

Se refiera a la disponibilidad de la información y de toda la estructura física y tecnológica que permite el acceso, tránsito y almacenamiento.


32


Para aumentar aún más la disponibilidad de la información deberán:

Definirse estrategias para situaciones de contingencia.

Establecerse rutas alternativas para el tránsito de la información, para garantizar su acceso y la continuidad de los negocios incluso cuando algunos de los recursos tecnológicos, o humanos, no estén en perfectas condiciones de operación.


33


La disponibilidad de la información permite que:

- Se utilice cuando sea necesario

- Que esté al alcance de sus usuarios y destinatarios

- Se pueda accederla en el momento en que necesitan utilizarla.


34

3 Amenazas y puntos débiles

El conocer perfectamente las posibles amenazas y riesgos a los que se encuentran expuestos nuestros activos, permite que nuestro trabajo pueda convertirse en un caso de éxito.

OBJETIVOS: Conocer los diferentes tipos de amenazas que

puedan presentarse en todos los activos de la empresa, para reconocer su importancia y permitirnos minimizar el impacto que provocan.

Identificar los diferentes tipos de puntos débiles de los activos y conocer como éstos pueden permitir que las amenazas alteren la disponibilidad, confidencialidad o integridad de la información.


35

3 Amenazas

DEFINICION:

Las amenazas son agentes capaces de explotar los fallos de seguridad, que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa, afectando a sus negocios.

Las amenazas son constantes y pueden ocurrir en cualquier momento.


36

3 Amenazas

Tipos de Amenazas: 1. Amenazas naturales – condiciones de la

naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos,

2. Intencionales – son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.

3. Involuntarias - son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.


37

3 Puntos débiles

Los puntos débiles son los elementos que,

al ser explotados por amenazas, afectan

la confidencialidad, disponibilidad e

integridad de la información de un

individuo o empresa. Uno de los primeros

pasos para la implementación de la

seguridad es rastrear y eliminar los puntos

débiles de un ambiente de tecnología de la

información.


38

3 Puntos débiles

La clasificación de las vulnerabilidades o puntos débiles:


39

3 Puntos débiles

Vulnerabilidades físicas

Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está almacenando o manejando

Ejemplo:

Instalaciones Inadecuadas

Ausencia de Recursos

Ausencia de Identificación de Personas

Etc…


40

3 Puntos débiles

Vulnerabilidades Naturales

Los puntos débiles naturales son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.

Ejemplo:

Locales sin protección contra incendias

Locales con probabilidades de Inundación

Etc..


41

3 Puntos débiles Vulnerabilidades de HardwareLos posibles defectos en la fabricación o

configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos.

Ejemplo: La falta de configuración de respaldos o

equipos de contingencia pudiera representar una vulnerabilidad para los sistemas de la empresa.

la ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan, y conservación inadecuada de los equipos.


42

3 Puntos débiles

Vulnerabilidades de Hardware

la seguridad de la información busca evaluar: si el hardware utilizado está

dimensionado correctamente para sus funciones.

si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados


43

3 Puntos débiles

Vulnerabilidades de Software

Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red.


44

3 Puntos débiles Vulnerabilidades de SoftwareLos puntos débiles relacionados con el software

podrán ser explotados por diversas amenazas ya conocidas.

Entre éstos destacamos:

La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.

EjemploLectores de e-mail que permiten la ejecución de códigos

maliciosos, editores de texto que permiten la ejecución de virus de macro etc., estos puntos débiles colocan en riesgo la seguridad de los ambientes tecnológicos.


45




Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

EjemploTambién podrán tener puntos débiles de aplicaciones los

programas utilizados para la edición de texto e imagen, para la automatización de procesos y los que permiten la lectura de la información de una persona o empresa, como los navegadores de páginas del Internet.


46




Los sistemas operativos como Microsoft ® Windows ® y Unix ®, que ofrecen la interfaz para configuración y organización de un ambiente tecnológico. Estos son el blanco de ataques, pues a través de los mismos se podrán realizar cualquier alteración de la estructura de una computadora o red.

EjemploEstas aplicaciones son vulnerables a varias acciones que

afectan su seguridad, como por ejemplo la configuración e instalación inadecuada, ausencia de actualización, programación insegura etc.


47

3 Puntos débiles Vulnerabilidades de tipo de

AlmacenajeLos medios de almacenamiento son los

soportes físicos o magnéticos que se utilizan para almacenar la información. Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar:

disquetes cd-roms cintas magnéticas discos duros de los servidores y de las

bases de datos, así como lo que está registrado en papel.


48

3 Puntos débiles Vulnerabilidades de tipo de

AlmacenajeEjemploLos medios de almacenamiento podrán ser

afectados por puntos débiles que podrán dañarlos e incluso dejarlos inutilizables. Entre estos puntos débiles, destacamos los siguientes: plazo de validez y caducidad defecto de fabricación uso incorrecto lugar de almacenamiento en locales

insalubres o con alto nivel de humedad, magnetismo o estática , moho, etc..


49

3 Puntos débiles

Vulnerabilidades de comunicación

Este tipo de punto débil abarca todo el tránsito de la información. Donde sea que la información transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información


50

3 Puntos débiles Vulnerabilidades de comunicación

Ejemplo La ausencia de sistemas de encriptación

en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada.

La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su transito.


51

3 Puntos débiles

Vulnerabilidades Humanas

Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta.

La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.


52

3 Puntos débiles Vulnerabilidades HumanasDestacamos dos puntos débiles humanos por su grado de

frecuencia: la falta de capacitación específica para la ejecución

de las actividades inherentes a las funciones de cada uno,

la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.

En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como:

vandalismo, estafas, invasiones, etc


53

3 Puntos débiles

Vulnerabilidades Humanas

Ejemplos de puntos débiles:

Contraseñas débiles, falta de uso de criptografía en la comunicación,

Compartimiento de identificadores tales como nombre de usuario o credencial de acceso, entre otros.


54

4 Riesgos, medidas y ciclo de seguridadObjetivos

Conocer el concepto de riesgo y su implicación en la seguridad de la información de la empresa.

Distinguir la diferencia entre aplicar o no medidas de seguridad en los diferentes aspectos de nuestra empresa.

Comprender lo que se conoce como ciclo de seguridad, que nos permitirá mantener vigente nuestras acciones en esta materia.


55

4 Riesgos

El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.


56

4 Riesgos

Concluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.


57

4 Medidas de seguridad

Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad.

Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.


58


Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;

Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información o

Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.


59


Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;

Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información o

Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.


60

4 El ciclo de Seguridad

El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas. La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad.

Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones.

Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles.

Así, concluimos la definición de seguridad de la información desde la ilustración del ciclo:


61

El ciclo de Seguridad


62

4 El ciclo de Seguridad

Seguridad en Redes

Documents

Transcript of Seguridad en Redes