PRINCIPIOS DE SEGURIDAD

Ing. Carlos Serrato

 Agenda.
1. Introducción.
2. Definición
3. Clasificación de los datos.
4. ¿Por qué seguridad?.
5. Objetivos.
6. Elementos de red.
7. Laboratorio.
 Introducción
¿Qué está tratando de proteger?
¿Por qué está usted tratando de
protegerlo?
¿Cómo va a protegerlo?

http://less.es/wp-content/uploads/2014/11/Portada1-Seguridad.jpg
 Definiciones: Activo
Un activo es un elemento que se
ha de proteger y puede incluir la
propiedad, las personas y la
información / datos que tienen
valor para la empresa.
Tangibles o intangibles.

http://img.ihned.cz/attachment.php/280/47495280/tC2xumLgJln9KOMBNVI0EWPkzeQRHyGw/92238510.jpg
 Definiciones: Seguridad.
Seguridad:
Libre y exento de todo peligro,
daño o riesgo.
El objetivo de la seguridad del
sistema de información es
optimizar el rendimiento de una
organización con respecto a los
riesgos a los que está expuesta.

http://michellgroup.com/wp-content/uploads/2015/01/network-security_MCG.jpg
 Definiciones: Riesgo.
Probabilidad de una lesión, daño o
pérdida, el riesgo tiene dos
elementos:
Oportunidad
La pérdida o daño potencial.

https://radia.accelerite.com/images/remote/http_accelerite.com/images/uploads/site/Reduce_Endpoint_Risk_-_Radia_UEM.jpg
 Definiciones: Manejo del riesgo.
La gestión del riesgo en este sentido es un
proceso de tres partes:
1. Identificación de los riesgos materiales
2. Selección y aplicación de medidas para Identificación Mitigar Riesgos

mitigar los riesgos

3.Seguimiento y evaluación de pérdidas por
riesgo con experiencia, a fin de validar las dos
primeras partes del proceso
Seguimiento y
evaluación de
perdidas
 Definiciones: Contra medida.
Dispositivo o proceso
para contrarrestar una
amenaza potencial, que
de este modo reduce el
riesgo.

http://www.technicaljones.com/Countermeasures_Jan%202011.jpg
 Definiciones: Confidencialidad

La confidencialidad se asegura de
que sólo las personas autorizadas
puedan ver datos confidenciales.
Existen métodos para garantizar
la confidencialidad como
controles de encriptación y
controles de acceso.
 Definiciones: Integridad

Asegura que los datos no sean

cambiados por un individuo no
autorizado.

https://www.ubertechsupport.com/blog/wp-content/uploads/2015/06/data-integrity-in-information-security.jpg
 Definiciones: Disponibilidad

Disponibilidad garantiza que el

acceso a los datos es
ininterrumpido.

http://www.virtualizationsoftware.com/wp-content/uploads/2013/09/high-availability-vmware-700x325.jpg
 Definiciones: Vulnerabilidad.

Una vulnerabilidad es una

debilidad explotable de algún
tipo.

http://itt.com.au/wp-content/uploads/2012/07/Vulnerability-Assessment-Smaller.jpg
 Definiciones: Amenazas.
Intentar obtener acceso no OCG
autorizado a sistemas o activos
de información con el objetivo de
destruir o dañar un activo.
Las Amenazas a menudo se
realizan a través de un ataque
que busca explotar o
aprovecharse de una
vulnerabilidad existente.
 Definiciones: Amenazas.
Las amenazas externas provienen
de fuera de la red, no tienen
acceso y están tratando de entrar
constantemente.
Ellas pueden tomar muchas
formas diferentes y realizadas
por personas con diferentes
motivos y habilidades.

http://netsafe.me/wp-content/uploads/2013/12/cyber.jpg
 Definiciones: Amenazas.
Amenazas internas:
Es el tipo más peligroso de
amenaza porque tiene más
acceso y más conocimiento
sobre la red y sus dispositivos.
Vector de Amenazas
 Métodos de ataque
Reconocimiento
Este es el proceso de
descubrimiento, se utiliza para
encontrar información acerca de la
red. Podría incluir exploraciones de
la red para saber qué direcciones IP
responden, y otras exploraciones
para ver qué puertos están abiertos.
Este suele ser el primer paso dado,
para descubrir lo que está en la red
y determinar las posibles
vulnerabilidades. http://cdn.osxdaily.com/wp-content/uploads/2014/05/scan-ports-mac.jpg
 Métodos de ataque
Ingeniería social
Es uno de los ataques más de
prevenir, ya que aprovecha
nuestra vulnerabilidad más débil
en una red segura: el usuario.
Existen múltiples métodos de
ingeniería social: se puede hacer
en persona, por teléfono, en la
mayoría de los casos con ataques
persuasivos. http://www.makeuseof.com/tag/social-engineering-makeuseof-explains/
 Métodos de ataque
Escalamiento de privilegios
Este es el proceso de tomar un
cierto nivel de acceso (ya sea
autorizado o no) y lograr un
mayor nivel de acceso.

https://upload.wikimedia.org/wikipedia/commons/thumb/2/2f/Priv_rings.svg/300px-Priv_rings.svg.png
 Métodos de ataque
Backdoors
Cuando los atacantes tengan
acceso a un sistema, por lo
general quieren acceder en el
futuro.
Una aplicación de puerta trasera
se puede instalar de muchas
maneras para permitir el acceso
futuro o para recoger
información y uso en futuros
ataques. http://www.ciscozine.com/wp-content/uploads/%E2%80%8BSYNful-Knock-backdoor-in-Cisco-devices.jpg
 Métodos de ataque
Hombre en el medio
Un ataque man-in-the-middle
resulta cuando los atacantes se
ponen de acuerdo entre dos
dispositivos que se comunican, con
la intención de realizar el
reconocimiento o la manipulación
de los datos a medida que se mueve
entre ellos.
Esto puede suceder en la Capa 2 o
Capa 3. El objetivo principal es el
espionaje, por lo que el atacante
puede ver todo el tráfico. http://www.veracode.com/sites/default/files/styles/media_responsive_widest/public/mitm-flow_0.gif?itok=SH6tndH8
Categoria de ataque Estrategia de Ataque
Confidencialidad Man-in-the-middle, captura de paquetes, mapeo de puertos
Integridad Codigo malicioso, keylogger,proxy
Disponibilidad DDOS
 Clasificación de los datos
Clasificacion de activos
clasificacion gubernamental Sin clasificar
Sensible pero sin clasificar
Confidencial
Secreto
Ultra secreto
Clasificación sector privado Publico
Sensible
Privado
Confidencial
Criterios de clasificación Valor
Edad
Costo de reemplazo
Tiempo de vida útil
Roles de clasificacion Dueño
Custodio
Usuario

Clasificacion gubernamental
Clasificación de los datos
Clasificacion de activos
Sin clasificar Los datos que no tienen requisitos de confidencialidad, integridad o disponibilidad.
Insensible a la organización, por lo que no hay necesidad de asegurar.
Sensible pero sin clasificar Los datos que podría proporcionar un poco de vergüenza a la organización si revelada,
pero sin mayores restricciones de seguridad.
Confidencial Los datos de disponen de la protección menos restrictiva en el ámbito clasificada. Estos
datos deben tener una protección de la confidencialidad.
Secreto Los datos que deben ser asegurada por su coste y esfuerzo. Estos datos deben ser más
restrictivas que Confidencial pero menos restrictiva que Top Secret.
Ultra secreto o Top Secret Los datos que se deben asegurar con el mayor esfuerzo y costo, si es necesario. Los datos
en este nivel suele estar disponible sólo para aquellos que se han aprobado en este nivel y
que tienen una necesidad legítima de saber.
 Clasificación de los datos

Clasificación sector Público Los datos que son de dominio público, tales como libros blancos,
privado información bursátil, información de marketing. No se requiere protección

Sensible Muy similar a la (SBU) Clasificación Sensible pero sin clasificar en el modelo
militar.
Privado Los datos que son importantes para la organización y está protegida en
consecuencia. Un directorio de empleados podría caer en este nivel de
clasificación. Esta información no pretende ser revelado al mundo exterior.

Confidencial El nivel más alto dentro de una organización del sector privado y se obtuvo
el más alto nivel de los controles de seguridad y los gastos. Un secreto
comercial, una fórmula, o no públicos los datos financieros son ejemplos de
esto.
 Roles de clasificación
Dueño: Es el responsable de los datos, usualmente el gerente
de una compañía.
Custodio: es el grupo responsable de implementar las políticas
de seguridad dictadas por el dueño
Usuario: son todos aquellos que acceden los datos y se rigen
por las reglas de uso aceptable de los datos.
 Contramedidas-Controles de seguridad
Buscan reducir el riesgo de los activos frente a una
vulnerabilidad.
Administrativas: políticas escritas, procedimientos, guías y
estándares.
Ej: políticas de uso aceptable de activos.
Física: seguridad para los equipos, servidores e infraestructura
Ej: puerta de acceso, perímetro de seguridad.
Lógica: incluye contraseñas, firewalls, sistema de previsión de
intrusos.
 Clasificación controles de seguridad
Preventivos: bloquear amenazas antes que puedan aprovechar
una vulnerabilidad
Detección: descubrir y notificar ataques o mal uso.
Disuasivos: busca desalentar ataques tanto externos como
violaciones de políticas internas.
 Clasificación controles de seguridad
Correctivos: Restaurar la integridad de los datos u otro activo.
Recuperación: reactivar la disponibilidad de un servicio
Compensativo: proveer protección incluso cuando otro control
falla
Information security the complete reference 2nd ed, pag 71
 Análisis de riesgo
Categorizar los activos a proteger
Identificar riesgos que puedan ser evitados
Facilitar y priorizar los elementos de protección
Medir la efectividad de la arquitectura de seguridad:
Midiendo los riesgos y la forma de mitigarlos.
Observando tendencias
 Análisis de riesgo
Modelo simple
Riesgo= probabilidad (amenaza + explotación de
vulnerabilidad)*costo del daño-

Modelo cuantitativo
Perdidas Anuales= Perdida Única + costo anual de perdidas.
 Por qué seguridad?
Las amenazas en la red incluyen amenazas tanto internas como
externas.
Las amenazas ocurren por que existen vulnerabilidades.
Ganar es difícil, perder es muy fácil.
Asegurar lo que se tiene, no perderlo y seguir obteniendo más
recursos con el fin de adquirir un mejor estatus.
No solucionar las vulnerabilidades trae problemas que no se
pueden medir.
Las empresas se ven protegidas contra la interrupción de los
procesos.
Asegurar que los empleados sean productivos.
Se protegen también a los clientes y sus datos. Evitando así
riesgos legales.
Se busca tener la mayor seguridad, sin que se vea afectado el
desempeño de la red.
 Principios de diseño
Toda implementación de seguridad es basada en algún modelo.
El modelo incluye y asume como:
Seguro o no seguro.
Confiable, parcialmente confiable y no confiable.
 Modelo CIA
Triada
Tres pilares de la información

Information security the complete reference 2nd ed, pag 47

 Confidencialidad

Confidencialidad: Hay dos tipos de

datos: los datos en movimiento, ya
que se mueve a través de la red; y
los datos en reposo, cuando los
datos se está sentando en un medio
de almacenamiento (servidor,
estación de trabajo local, en la
nube, y así sucesivamente).
Encriptar antes de enviarlo por la
red.
http://www.geek.com.do/wp-content/uploads/2013/05/encriptar.jpg
 Privacidad
Privacidad y confidencialidad
Privacidad: solo es disponible
para un solo origen.
Confidencialidad: Puede tener
acceso desde varios orígenes.

http://www.rockdaleclerk.com/images/ASA-Banner.jpg
 Integridad

La integridad de datos significa que

los cambios realizados a los datos
se realizan solamente por
individuos / sistemas autorizados.
La corrupción o eliminación de
los datos significa una perdida de
integridad de los datos.

http://3.bp.blogspot.com/-wu9MRX5TsBE/UQkSUWyrYcI/AAAAAAAAAXM/K3ZOY4BJOvY/s320/datcrpt.jpg
 Disponibilidad
El concepto de disponibilidad se
aplica únicamente a los sistemas
de información y los datos.
Tiempo en línea (uptime)
La no disponibilidad de una red
generalmente equivale a la
pérdida de ingresos.

http://www.180-it.com/wp-content/uploads/it-services-uptime-2whqca5iqd6i0phytvug3u.gif
 Modelo de seis elementos.

Disponibilidad- tiempo en línea/al aire

Utilidad – se puede tener acceso a los datos

Integridad – los datos no han sido modificados o alterados

Autenticidad - los datos están completos y son validos/ es lo
que se desea?
Confidencialidad – revelación de datos de forma directa o
indirecta.
Para evitar esto se usa criptografía, entrenamiento,
conocimiento técnico, control de equipos.
Posesión – pérdida de datos por pérdida de adquisición,
control, transporte.
Modelo de múltiples elementos
Modelos de defensa
 Defensa en profundidad
Modelo cebolla.
Varios niveles de seguridad.
Múltiples niveles de seguridad física y encriptación.
Entre mas niveles mejor.
 Bibliografía
Computer security handbook / Seymour Bosworth, Michel E. Kabay, Eric Whyne. – Sixth edition. Wiley press. 2014.
CCNA Security 640-554 Quick Reference. Anthony Sequeira. Ed Cisco Press. Ch: 1,2.
CCNA ® Security Study Guide. Tim Boyles. Wiley Publishing. 2014
CompTIA A+ complete review guide (exams 220-701/220-702) / Emmett Dulaney. — 1st ed. Wiley Publishing. 2009.
Information Security. The Complete Reference™. Second Edition. Mark Rhodes-Ousley. McGraw-Hill. 2013.
CCNA Security 640-554. Official Cert Guide. Cisco Press. 2012