Documente Academic
Documente Profesional
Documente Cultură
SEGURIDAD EN REDES
Instituto Profesional AIEP
2013
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Pregunta tipo prueba..
A. Polticas
B. Estndares
C. Directrices
D. Procedimientos
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
Introduccin
Modelo de Modelo de Negocio
Negocio basado en la Red
Tradicional
ENFOQUE Seguridad esttica, Seguridad dinmica,
amenazas amenazas cambiantes
conocidas
FILOSOFIA Usuarios Facilita acceso seguro
desconocidos, se en el mundo virtual
bloquea el acceso
FRECUENCIA Espordica: Constante
AMENAZA mensuales o
menos
COSTO DE Bajo o moderado Complejidad y rapidez
SEGURIDAD de cambios aumenta el
costo
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
Introduccin.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
Triada CIA
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
Confidencialidad
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
Integridad..
Ejemplo:
Informes Financieros.
Contratos de Trabajos.
Ataques a sistemas informticos por virus.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
Disponibilidad..
Ejemplo:
Grabaciones de Venta Seguro.
Logs sistemas de accesos.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
Riesgos, algunos casos..
Kevin Mitnicks, robo de software y secretos industriales en
compaas como NEC Amrica, NOKIA, Sun Microsystem,
Novell
Perdida estimadas: MMUS$291
Casos Nacionales:
Robo base de clientes casas comerciales.
Clonacin de tarjetas.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
Servicios de Seguridad.
Identificacin
Es la presentacin de identidad de quien solicita un servicio,
en otras palabras, quin dice ser.
Ejemplo: username=jperez
Autenticacin
Es la verificacin de quien solicita un servicio es
efectivamente quien dice ser.
Ejemplo: Entrego algo que slo YO conozco, mi
password=jpe9020x04
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Servicios de Seguridad.
Autorizacin
Los permisos otorgados a un individuo una vez que ha sido
autenticado exitosamente.
Auditoria - Responsabilidad
Mantener pistas y registros que permitan efectuar
seguimiento a las acciones dentro de un sistema.
Se sustenta en:
Logs Monitoreo Cuentas personales y otras.
No Repudiacin
Servicio de seguridad en que las partes de una comunicacin
no pueden negar su participacin.
Ejemplo: Uso Firma Digital
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
Servicios de Seguridad.
Privacidad
Nivel de confidencialidad para la inf. en trnsito en una red o
almacenada en dispositivos fsico o virtual.
Integridad
Servicios de seguridad que aseguren la exactitud y
veracidad de los datos.
Ejemplo: Medios de encriptacin o mecanismos de
seguridad como cdigo hash.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
Servicios de Seguridad.
Disponibilidad
Se deben establecer mecanismos y servicios asociados que
permitan velar por la disponibilidad de la informacin va los
sistemas que la sustentan.
Ejemplos
Deteccin y eliminacin de puntos nicos de fallas
Medios de respaldo
Mecanismo de redundancia
Sitios de contingencia
Recuperacin segura frente a interrupciones de servicio
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
Clasificacin de los Datos.
Rotulacin
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
Clasificacin de los Datos
Esquema General
Pblica
Cualquier dato que su contenido no afecte el funcionamiento de la
organizacin
Sensitiva
Requiere un nivel ms elevado que la informacin pblica, especial
cuidado por alteraciones no autorizadas.
Privada
Informacin que slo puede ser conocida por la organizacin,
normalmente asociada
a su personal. Ej.: Salarios
Confidencial
Es informacin que slo puede ser conocida por la organizacin y que
afecta considerablemente a sta. Si alteracin o divulgacin puede llevar
a cabo sanciones legales. Ej.: Secretos comerciales, Fusiones futuras.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
Clasificacin de los Datos
Clasificacin comercial de menos a mayor importancia
Propietaria
Puede ser accedida por cualquier persona. Pero todo acceso tiene que ir
acompaado con el conocimiento que es propiedad de la organizacin
comercial que lo publica.
Confidencial
Solo puede ser conocida por cierto personal de la organizacin y la
divulgacin de la misma puede representar una prdida econmica.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
Clasificacin de los Datos
Comercial Militar
Privada Confidential
Propietaria Unclassified
Publica
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
Roles y Responsabilidades..
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
Roles y Responsabilidades..
Alta Administracin
Responsables por mantener un efectivo programa de
seguridad de la inf. y proteccin de los activos.
Son los encargados de formalizar la Poltica General de
Seguridad.
Encargados del nivel estratgico.
Profesional de Seguridad
Responsables por la seguridad
y llevar a la prctica las
directivas de la Alta Administracin.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
Roles y Responsabilidades..
Usuario
Cualquier persona que interacta directamente con los
sistema o informacin en cualquiera de sus medios, bajo
las polticas y normativas de la empresa.
Auditor
Responsable por verificar el cumplimiento de las polticas,
estndares y procedimientos relacionados con la
Seguridad de la informacin.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20
Roles y Responsabilidades..
Equipo de Respuesta ante Incidentes de Seguridad
Equipo encargado de responder y gestionar los incidentes de
seguridad en la organizacin.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
Polticas, Estndares , Directrices y
Procedimientos
Normativa
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
Normativas
Polticas
Definiciones de aspectos de seguridad relevantes en la
empresa realizadas por la Alta administracin.
Las polticas de una organizacin estn ligadas a su
cultura.
Su fortaleza radica en su difusin y la importancia que la
Alta administracin les d.
Procedimientos
Indican especficamente el cmo las polticas, estndares
y directrices son implantados en un entorno operacional.
Nivel muy alto de detalle.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
Normativas
Estndares
Son actividades, acciones o reglas ms especificas y
mandataras.
Directrices
Modelo flexible para operar los logros de las polticas.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
Campaa de sensibilizacin
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
Polticas de Seguridad..
Deben abordar todos los mbitos sensibles de la
organizacin.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
Polticas de Personal..
1.- Proceso de Seleccin de Personal
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
Polticas de Personal..
2.- Acuerdos con Empleados
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
Polticas de Personal..
3.- Practicas de Contratacin y Despidos
A.- Contratacin
Revisin de antecedentes
Periodo de prueba
Acuerdos de Confidencialidad
Conflicto de intereses
B.- Despidos
Devolucin o entrega tarjetas/llaves/material de la
compaa.
Entrevista de salida
Cambio de passwords/cdigos de acceso
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29
Polticas de Personal..
4.- Descripcin de trabajo
Concepto claro de las obligaciones y deberes del empleado
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30
Programa de entrenamiento
Objetivo
Dar a conocer las definiciones de la empresa en relacin a la
seguridad y proteccin de sus activos
Entrenamiento formal
Proceso de induccin
Cursos de certificacin para los profesionales del rea
Cursos a nivel operacional, tecnologas utilizadas
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31
Programa de entrenamiento
Tpicos de entrenamiento
Polticas, estndares y procedimientos
Peligros fsicos y ambientales
Robos
Tipos de intrusiones
Accidentes de trabajo
Medios de entrenamiento
Presentaciones/ Pelculas
Afiches/Boletines
Noticias electrnicas/Pagina Web
Actividades recreativas
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32
Gestin / Control de Cambios..
Por qu?
Eliminar o minimizar los errores humanos
Prevenir el sabotaje o la insercin lgica no deseada
Reducir los tiempos de fallas producidas en los sistemas
Proveer informacin necesaria para el rastreo de fallas
Proveer calidad y confiabilidad de los cambios realizados
Aplica a:
Cambios infraestructura tecnolgica
Cambios en aplicaciones
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33
Gestin / Control de Cambios..
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34
Gestin / Control de Cambios..
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35
Separacin de funciones..
La separacin de funciones busca reducir el riesgo, mal
uso, errores accidentales o deliberado del sistema.
Rotacin de funciones..
Control complementario
Favorece la posibilidad de deteccin de colusiones
Respaldo para todas las funciones criticas
Disminuye el riesgo de conocimientos por abandono
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36
Separacin de Ambientes
Objetivo: Dividir ambientes de desarrollo, prueba y
operaciones, para prevenir problemas operativos.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37
Gestin de Riesgos.
Amenazas (Quien? o Que?)
Actos deliberados
Robos
Sabotaje
Vandalismo
Uso indebido de los recursos
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38
Gestin de Riesgos.
Vulnerabilidades
Ej.:
Sistemas sin patchs de seguridad
Servicios (ports) innecesarios
Uso de passwords por omisin
Falta de vigilancia para control de acceso fsico
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39
Qu podemos hacer?........
Los riesgos no se eliminan, se administran
Alto
$ Costo de Seguridad
v/s Exposicin
Bajo
Alto
Vulnerabilidad
Debilidad
Amenaza
Agente que puede tomar ventaja de una vulnerabilidad
para daar activos de informacin
Riesgo
La probabilidad que una amenaza logre explotar una
vulnerabilidad
Contramedidas
Controles de Seguridad: Administrativos, Tcnicos o
Fsicos
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
Qu hacer con el riesgo?
Transferirlo: comprando un seguro.
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42
Evaluacin del riesgo.
Metodologa Cualitativa
Tcnicas:
Delphi
Entrevistas
Checklist
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43
Evaluacin del riesgo.
Metodologa Cuantitativa
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44
Gracias
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45