ADMINISTRACION SEGURIDAD
INFORMATICA
03/10/2015
Arquitectura de Sistemas con aseguramiento
CLIENTES
Clientes
Externos
TRANSPORTE
Encripción
Clientes
Moviles
Antivirus
Clientes
Internos
Encripción
ACL´s
Checksum
Red LAN / WAN
Monitoreo
Administración
APLICACIONES
Pruebas de Vulnerabilidad
Autenticación
Autorización
Interfaces
Auditabilidad
Reglas del
Negocio
Calculos
Motor de
Ejecución
Encripción
Reglas de Seguridad
BASES de
DATOS
(Logicas)
03/10/2015
Servidor de
Seguridad
DataWarehouse
Configuraciones
Correo, etc. Transaccionales
Areas encargadas de toda la Seguridad Informática
Antivirus
Monitoreo
Log´s
Enfoque de la seguridad
Enfocadas en la
seguridad de las
Aplicaciones
Enfocadas en la integridad
y aseguramiento de las
Bases de Datos
Aplicación
Base de Datos
Enfocadas en la seguridad
y uso de mejores prácticas
a nivel de Sistema
Operativo o Plataforma
Sistema Operativo / Plataforma
Telecomunicaciones
03/10/2015
Enfocadas en la seguridad y uso de
mejores prácticas a nivel de
Dispositivos de Red
Gestión de la Seguridad informatica





Estándares
 Productos desplegados
 Desarrollos propios
Políticas de seguridad
Gestión de actualizaciones
Gestión de cambios
Prevención de riesgos
 Auditorias
Personas


03/10/2015
Concienciación
Formación
Antecedentes
Criptografia
Desktop Refresh
Firewall
ISO17799
Switches e Hubs
Legacy-to-Web
Document Management
Servidores
Treinamento On-Line
Directory
LAN/WAN
03/10/2015
Security
Intranet
SVPN
PKI
Network
Services
Software
Standards
Databa
se
Knowledge
Hubs
Cambio de Cultura
Protocolos
Data
Management
Voice
M-banking seguro Vídeo Conferencia
Extranet E-mail Integrated Communications
Smart Cards Outsource
ERP
Seguridad
Introducción



Los recursos informáticos están sujetos a
amenazas generadas por diferentes tipos de
riesgos a los que están expuestos.
Es necesario implementar controles para prevenir,
detectar o corregir los ataques de las amenazas
para mitigar o disminuir los riesgos.
La seguridad involucra el establecimiento de un
sistema de control para proporcionar
confidencialidad, integridad y disponibilidad de la
información.
1
03/10/2015
Areas de ataque a recursos informaticos
Ataques a S.O
Ataques de Correo
Ataques a
servicios
Ataques a
aplicaciones
Dispositivos de Red
Gusanos
Nuestros Recursos
Aplicaciones, Datos,
Comunicaciones,
Propiedad Intelectual,
Documentos Confidenciales
Fuerza Bruta
Spyware
Denegación de Servicios
Accesos Remotos
03/10/2015
Ataques de Virus
Oficinas
Infraestructura tecnológica
Interno
Usuario remoto
Portátiles
Externo
Internet
RED
WAN
Hand Helds
Smart Phones
BD
Móviles
Server
PCs
Server
BD
03/10/2015
Repercusiones de la transgresión de seguridad
Pérdida de
beneficios
Perjuicio de la
reputación
Pérdida o
compromiso
de seguridad
de los datos
Deterioro de la
confianza del
inversor
Deterioro de la
confianza del
cliente
03/10/2015
Consecuencias
legales
Interrupción de
los procesos
empresariales
Modelos de ataques
Correos o
adjuntos Maliciosos
Ataques
dirigidos a
Puertos
03/10/2015
Contenido Web
Malicioso
Ataques a
desborde de
Buffers
Construcción de un ambiente seguro
Emprender en forma
modular el paso a paso
para la construcción de un
ambiente seguro
7
6
5
4
3
2
1
0
03/10/2015
Proceso de Mejoramiento
Contínuo
Auditorias Periódicas
Automatizacion de las
soluciones
Concientizacion y entrenamiento
Soluciones informaticas
Políticas y Estructura
Auditoria
Levantamiento de informacion
Seguridad en la firma Digital
Alice
Bob
texto
plano
texto
plano
firma
Llave privada
de Alice
03/10/2015
texto
plano
Bob chequea
La firma
firmado
Llave pública
de Alice
Arquitetura tecnologica
SAP
SIEBEL
NT/W2K/
UNIX
Top Secret
Administração de
perfis de Autoatendimento
Rede
Interna
Internet
Usuário
Final
Autoatendimento na
Reconfiguração Administração
de senha
Delegada
MSExchange
GUI
Totalmente
Funcional
Entrada
Automatizada Cliente GUI
Admin
Usuário
Final
Arbor
Peoplesoft
Intranet
03/10/2015
Controle
de
Acesso
na Web
Web
Farm
Agentes de Ataque a Empresas
Usuario Local
Potencialmente
Infectado
03/10/2015
Usuario Remoto
Potencialmente
Infectado
03/10/2015
Compromiso del nivel de seguridad física
Ver, cambiar
o quitar archivos
Instalar código
malintencionado
03/10/2015
Dañar el hardware
Quitar hardware
Descripción del ambiente
Socio comercial
Oficina principal
LAN
LAN
Servicios Internet
Los perímetros de red
incluyen conexiones a:
 Internet
 Sucursales
 Socios comerciales
 Usuarios remotos
 Redes inalámbricas
 Aplicaciones de Internet
03/10/2015
Internet
Servicios Internet
Sucursal
Usuario remoto
Red
inalámbrica
LAN
Compromiso de seguridad del ambiente
Socio comercial
Oficina principal
LAN
LAN
Servicios Internet
Internet
El compromiso de seguridad en el
perímetro de red puede resultar en:
 Ataque a la red corporativa
 Ataque a los usuarios
Usuario remoto
remotos
 Ataque desde un socio
comercial
 Ataque desde una sucursal
 Ataque a servicios Internet
 Ataque desde Internet
03/10/2015
Servicios Internet
Sucursal
Red
inalámbrica
LAN
Aseguramiento del ambiente informatico
Socio comercial
Oficina principal
LAN
LAN
Servicios Internet
La protección del perímetro
de red incluye:
 Servidores de seguridad
 Bloqueo de puertos
de comunicación
 Traducción de direcciones
IP y puertos
 Redes privadas virtuales
 Protocolos de túnel
 Cuarentena en VPN
03/10/2015
Internet
Servicios Internet
Sucursal
Usuario remoto
Red
inalámbrica
LAN
Compromiso de seguridad del ambiente interno
Acceso no
autorizado a los
sistemas
Puertos de
comunicación
inesperados
Rastreo de
paquetes
desde la red
Acceso a todo
el tráfico de red
03/10/2015
Acceso no
autorizado a redes
inalámbricas
Principios de la Seguridad

Principios básicos:





Confidencialidad
Integridad
Disponibilidad
Auditabilidad
Mecanismos aplicados:






Autenticación
Autorización
Administración
No repudiación
Control de acceso
Encripción
03/10/2015
Mecanismo: Autorización

Administración de recursos




Archivos
Operaciones





Periféricos
Directorios, etc.
Perfiles
Niveles de Sensibilidad
ACL’s
Horarios y holgura
Privilegios
03/10/2015
Mecanismo: Administración



Políticas
Usuarios autorizados
Relación entre usuarios y recursos
03/10/2015
Mecanismo: Auditabilidad y Registro


Verificación de reglas de autenticación
y autorización
Monitoreo de pistas




Ocasional
Periódico
Permanente
Alertas
03/10/2015
Objetivos

Diseñar controles de acceso y estándares
que permitan el uso racional de los
recursos informáticos al igual que la
integridad de la información, buscando:






03/10/2015
Identificación y autenticación de
los usuarios.
Autorización de acceso a la
información.
Encriptado
de
los
datos
confidenciales.
Backups
automatizados
y
confiables.
Estimular y facilitar la creación de
una cultura de seguridad en
informática.
Garantizar la adecuada protección fisica
de los recursos informáticos.
2
Objetivos





03/10/2015
Identificar el nivel de sensibilidad de la
información
y
establecer
responsabilidades por su manejo.
Informar a los empleados de las
politicas de seguridad.
Definir los requerimientos mínimos de
seguridad,
de
acuerdo
con
la
sensibilidad
de
la
información
involucrada.
Definir atributos de seguridad para la
información, los cuales se deben
preservar cuando se comparta la
información con otras entidades.
Garantizar la continuidad de las
operaciones, ante una situación crítica
de suspensión del servicio informático.
3
Objetivos




03/10/2015
Maximizar el valor estratégico del
sistema de información sosteniendo
los esquemas de autorización y
seguridad en permanente operación,
siguiendo y analizando las conductas
seguidas por los usuarios.
Asignar
claramente
las
responsabilidades en caso de usos
inaceptables o no autorizados.
Promover medidas de seguridad en
busca de mantener la integridad del
sistema de información.
Asegurar que los usuarios autorizados
y las demás personas involucradas
con el manejo de la seguridad tienen
conocimiento
sobre
las
normas
legales que afectan el tipo de
información manejada.
4
Roles y Responsabilidades









Dirección de Sistema
Desarrolladores
Soporte
Seguridad Informática
Administración
del
Sistema
Operación
Usuarios
Jefes de Area
Entidades Externas
03/10/2015




Administrador de la Base
de Datos
Director del Centro de
Computo
Dirección Nacional,
Oficinas o Sucursales
Administrador de la red
5
Políticas Generales
Fortalecer la formación del
empleado en materia de
seguridad informática.
 Establecer programas de
inducción para los empleados.
 Establecer la función de
administración de seguridad en
informática.
 Garantizar que el Sistema
Operativo, las Aplicaciones, las
Bases de Datos y las
comunicaciones con los que se
trabaja ofrezcan los estándares
de seguridad aceptables.

7
03/10/2015
Políticas Generales
Proteger los recursos informáticos
mediante medidas de seguridad
física.
 Limitar el uso de los recursos
informáticos a los usuarios
autorizados.
 Mantener un inventario de hardware
y software instalado en los
diferentes equipos.
 Desarrollar o adquirir un software
que detecte o evite instalación de
software no autorizado.
 Delimitar responsabilidades y
funciones.
 Revisar periódicamente el ambiente
de seguridad informática.

8
03/10/2015
Normas de Seguridad
5.1 Ambiente
Organizacional
 5.2 Seguridad Física
 5.3 Seguridad Lógica

5.3.1 Sistema Operativo
 5.3.2 Base de Datos
 5.3.3 Aplicación

9
03/10/2015
Normas de Seguridad
Ambiente Organizacional
Las Políticas de seguridad deben ser difundidas y apoyadas
por las altas directivas.
 La seguridad debe entenderse como un conjunto
homogéneo y coordinado de medidas aplicables a toda la
organización.
 Composición y responsabilidades de funcionarios de
sistemas
 Manejo adecuado de políticas de personal
 Evaluación de los usuarios
 Revisión del cumplimiento de la normatividad interna
 Políticas de mantenimiento de los equipos del sistema
 Identificación de los equipos informáticos y pólizas de
seguridad
 Panorama o mapa de riesgos de la organización.
03/10/2015
10
Normas de Seguridad
Seguridad Fisica







Acceso Físico a Formatos especiales
Acceso Físico a los Recursos Informaticos
Acceso al Centro de Computo
Acceso a Reportes y Medios Magnéticos
Acceso Remoto
Demarcación Física de Zonas
Salas de computo o centros de procesamiento
de datos Seguras
11
03/10/2015
Normas de Seguridad
Seguridad Fisica





Espacios de Servicios
Almacenamiento de Respaldos Magnéticos
Respaldo Eléctrico
Acceso a Zonas Restringidas
Prevención de Contingencias
12
03/10/2015
Normas de Seguridad
Seguridad Lógica








03/10/2015
Control de Acceso al
Sistema.
Acceso a Datos en
Producción
Uso de Contraseñas
Estaciones de Trabajo
Movimiento de personal
Excepciones a las Normas
Seguridad en las
Actualizaciones
Entrenamiento a los
Empleados
13
Normas de Seguridad
Seguridad Logica








03/10/2015
Departamento de Sistemas
Software y Datos
Nuevas Aplicaciones
Manejo de Cuentas
Inactivas
Acceso de los usuarios
Acceso de Agentes
Externos
Recuperación de Desastres
Backup
14
Barreras de Seguridad
6.1 Sistema Operativo
 6.2 Base de Datos
 6.3 Aplicación
 6.4 Comunicaciones

15
03/10/2015
Barreras de Seguridad
Sistema Operativo
6.1 Sistema Operativo
 6.2 Base de Datos
 6.3 Aplicacion

16
03/10/2015
Barreras de Seguridad
Base de Datos
6.1 Sistema
Operativo
 6.2 Base de Datos
 6.3 Aplicación

17
03/10/2015
Aplicación
Objetivo General
Adquirir un software o desarrollar un Sistema de
Información, que permita la administración de la
seguridad del Sistema de manera centralizada,
garantizando confidencialidad, integridad de los
datos, oportunidad, disponibilidad, consistencia,
control, auditoria. Este software o desarrollo debe ser
la base para el manejo de la seguridad al nivel de
todos los futuros desarrollos
18
03/10/2015
Aplicación
Objetivos Específicos
 Adquirir
o desarrollar una herramienta de manejo
intuitivo y de tecnología abierta
 Centralizar y controlar administración de usuarios
 Registro de las transacciones de cada usuarios
 Sistema eficiente de control y creación de usuarios.
 Chequear y registrar los mas recientes ingresos por
usuario, dar de baja cuentas no usadas durante un
determinado período de tiempo
03/10/2015
19
Aplicación
Objetivos Específicos






Proveer
un sistema de Monitoreo, auditoría y
evaluación para problemas de seguridad.
Controlar el acceso por perfiles de usuario.
Diseñar controles para la creación de las contraseñas
Restricción de acceso en tres niveles
Generar procesos de cambio regular de contraseñas y
anexo de rutinas de verificación de su complejidad.
Registrar log de accesos y eventos sobre opciones y
procesos críticos
20
03/10/2015
Aplicación
Admón. de Contraseñas
 Aplicación
de políticas y estándares de contraseñas.
 Manejo de Cuentas Viejas y Expiración
 Escaneo de intentos de login fallidos
 Sincronización de las contraseñas
 Detectar contraseñas cambiadas por vías diferentes.
 Registro de información de cambios encontraseñas.
 Utilización de las fechas de expiración de las cuentas
 Manejo de cuentas inactivas o sin uso
21
03/10/2015
Aplicación
Auditoria
 Información
de usuarios ejecutando la aplicación
 Tiempo de conexión de los usuarios activos
 Registro de las actividades.
 Para accesos no autorizados posibilidad de rastrear como fue
habilitado para tal acceso
 Registro de intentos de uso de privilegios del sistema,
sentencias SQL u operaciones sobre objetos.
 Registro no solo de las ventanas alteradas sino de las campos
específicos al igual que el anterior valor
 Alerta en tiempo real a personal clave sobre la alteración de
campos altamente sensitivos.
22
03/10/2015
Aplicación
admón. de Políticas
 Verificación
de usuarios no autorizados con acceso a
información critica
 Registro de quienes poseen los mas altos privilegios
 Registro de información o procesos accesible por fuera de
la aplicación
 Verificación de usuarios y los roles.
 Eliminación o bloqueo temporal de Usuarios.
 Auditoría sobre los accesos a las opciones.
 Auditoría sobre la ejecución de procesos críticos.
 Opción de revocar los privilegios detectados como no
autorizados
03/10/2015
23
Descargar

Poiticas de Seguridad