1. www.infojc.com
Jorge Cebreiros Arce
Santiago, 23 de Setembro de 2011
2. Xornadas sobre as na
• : Seguridad de la Información.
• : Menos charla y más acción.
Objetivos de la Jornada
• : a profesionales y empresarios.
• : tecnología y hackers. (KISS : Keep It Simple
Stupid)
www.infojc.com
3. Seguridad
Los beneficios de las nuevas tecnologías de la información en el
día a día son indudables, sin embargo también es cierto que estas
pueden ser empleadas de forma malintencionada por algunos
sujetos pudiendo llegar a afectar a ciudadanos y empresas y, de
manera especial, a la privacidad de su información.
Introducción
www.infojc.com
4. De qué estamos hablando
SEGURIDAD
Cualidad de Seguro.
Mecanismo que previene algún riesgo o asegura el buen
funcionamiento de alguna cosa, precaviendo que falle.
SEGURO
Lugar o sitio libre y exento de todo peligro, daño o riesgo.
Cierto, indubitable y en cierta manera infalible.
Que no está en peligro de faltar o caerse.
CONFIAR
Depositar en alguien, sin más seguridad que la buena fe y la
opinión que de él se tiene, la hacienda, el secreto o cualquier
Introducción
otra cosa.
Encargar o poner al cuidado de alguien algún negocio u otra
cosa.
www.infojc.com
Diccionario de la R.A.E.
5. En el mundo real
Estamos acostumbrados a manejarnos en la seguridad de la
sociedad “física”
No abras la puerta a nadie
Deja el coche con la alarma conectada
Ten cuidado al cruzar
No vuelvas tarde, que ese barrio por la noche no es
seguro
Introducción
No te dejes la cartera a la vista
Etc...
www.infojc.com
6. Por ejemplo en el automóvil
Para estar seguro no basta un buen motor
Todo debe estar razonablemente bien:
Sistema eléctrico, batería, alternador
Refrigeración, bomba de agua, radiador
Amortiguadores y neumáticos
Frenos
Etc...
Introducción
Pero también:
Seguro
Permiso de circulación
Inspección Técnica de Vehículos
Impuesto de tráfico
www.infojc.com
Etc...
7. En el mundo de los negocios
En el departamento financiero...
Introducción
- ¿Que tal vamos hoy?
Bastante bien, se han resuelto 230 incidencias más que ayer y ya estamos
muy cerca de que los pedidos para el año próximo doblen los de este, que
era el objetivo marcado.
www.infojc.com
- Entonces, ¿Llegaremos a BAI cero a final de año?
Si seguimos así, incluso positivo.
8. Sin embargo ...
En el departamento de sistemas de información...
Introducción
- ¿Hoy no tendremos otra caída como la de ayer, verdad?
Pues, esperemos que no.
- Pero, ¿qué probabilidad hay de que sí?
Sería difícil decirlo, la verdad es que no debería, pero con estas cosas
www.infojc.com
ya se sabe... Yo espero que no pase nada más, pero ...
- Por lo menos, ¿se estarán haciendo las copias de seguridad?
Esto …. mmmmm…. Supongo que si.
9. Parece ...
Que en la Sociedad de la Información estamos más perdidos:
¿Cómo evito el acceso a mi ordenador?
¿De dónde saco una alarma por si alguien entra en mi equipo?
¿Cómo se hace para que mi equipo no se cuelgue?
¿Cómo me entero de qué zonas de la Web no son seguras?
¿Tengo que guardar en cajones papeles, CDs, etc.?
Introducción
www.infojc.com
10. Podría ser ...
¿Problema de prioridades, de comunicación, de lenguaje o de falta de
normas claras y conocidas?
Introducción
www.infojc.com
- Entonces me dices que - Cuenta con ello, mi
puedo estar tranquilo, que compañía tiene el sistema
ya tienes claro lo que perfecto para cubrir tus
quiero. expectativas
11. Modelos de negocios o estrategias diferentes?
Durante una feria a la que el Presidente de una importante compañía de
desarrollo de Software asistió para dar una conferencia, con el ánimo de ser
lo más gráfico posible, hizo una comparación entre los logros de su compañía
y los de la industria del automóvil. Y se le ocurrió la siguiente frase:
Introducción
“Si la General Motors se hubiera desarrollado como la industria de la
informática en los últimos diez años, ahora podríamos conducir automóviles
que correrían a 160.000 Km/h, pesarían menos de 14 kg y recorrerían una
distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su precio
sería de 25 dólares”.
www.infojc.com
12. O Modelos de negocios/estrategias diferentes
La respuesta de General Motors: “Puede que tenga razón, pero si la industria
del automóvil hubiera seguido la evolución de la informática hoy tendríamos
coches de las siguientes características”:
Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y
cada día, sin que usted pudiera no podría volver a arrancarlo. Este
explicarse la causa. hecho podría producirse al intentar
Ocasionalmente, su coche se realizar una maniobra (como girar a la
pararía en medio de una autopista izquierda). La solución será reinstalar
sin ninguna razón. Debería de nuevo el motor. Extrañamente,
aceptarlo con resignación, volver a también aceptaría tal hecho resignado.
Introducción
arrancar y seguir conduciendo Además, las puertas de su vehículo se
esperando que no vuelva a ocurrir bloquearían frecuentemente sin razón
(y, por supuesto, no tendría ninguna aparente. Sin embargo, podría
garantía de ello). volverlas a abrir utilizando algún truco
Siempre que se presentase un como accionar el tirador al mismo
nuevo vehículo, los conductores tiempo que con una mano gira la llave
www.infojc.com
deberían volver a aprender a de contacto y con la otra agarra la
conducir porque nada funcionaría antena de la radio.
igual que en el modelo anterior.
13. Pero ...
“En Agosto de 2006 UniSys pierde un ordenador con datos personales
(seguros, militares y médicos) de 38.000 veteranos de EEUU”
“Dos estadounidenses han llegado a un acuerdo con la fiscalía para
declararse culpables de robar secretos industriales a la Coca Cola, e intentar
venderlos a su principal competidora, Pepsi Cola. Insistieron en que la idea de
vender muestras del nuevo producto y de los documentos confidenciales
partió de una secretaria de un ejecutivo de la empresa”
Introducción
“Un hacker logró un listado de 40 millones de tarjetas de crédito. Servired,
Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000
clientes en España del riesgo que corrían”
¡Esto ya no hace tanta gracia!
www.infojc.com
14. Además ….
Cuentas sin contraseña, con contraseñas débiles o sin caducidad
son graves fallos de logística en una organización.
Introducción
www.infojc.com
15. Y encima…
Es la práctica de obtener información confidencial a través de
la manipulación de usuarios legítimos. Un ingeniero social usará
comúnmente el teléfono o Internet para engañar a la gente y
llevarla a revelar información sensible, o bien a violar las políticas
de seguridad típicas.
Con este método, los ingenieros sociales aprovechan la
tendencia natural de la gente a confiar en su palabra, antes que
aprovechar agujeros de seguridad en los sistemas informáticos.
“Los usuarios son el eslabón débil” en seguridad; éste es el
principio por el que se rige la ingeniería social.
Introducción
www.infojc.com
17. Hablamos de información
“Si te conoces a ti mismo y conoces a tu
enemigo, entonces no deberás temer el
Seguridad de la Información
resultado de mil batallas”
www.infojc.com
Sun-Tzu, El Arte de la Guerra
18. Hablamos de negocio
Valor, Activos, Mercados ...
Seguridad de la Información
La información es un activo que como otros activos importantes tiene valor y
requiere en consecuencia una protección adecuada.
Se caracteriza por ser vital para el éxito y la continuidad en el mercado de
cualquier organización.
El aseguramiento de dicha información y de los sistemas que la procesan es,
por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario
implantar un sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y una
evaluación de los riesgos a los que está sometida la información de la
organización.
www.infojc.com
19. Hablamos de negocio
Un nuevo modelo de empresa:
Seguridad de la Información
www.infojc.com
20. Algunas preguntas
Los pilares de la seguridad de la información:
Seguridad de la Información
Qué debe ser protegido?
Por qué debe ser protegido?
De qué debe ser protegido?
Cómo protegerlo?
www.infojc.com
21. Algunas preguntas
¿Cómo puede estar la información?
Seguridad de la Información
Impresa o escrita en papel
Almacenada electrónicamente
Trasmitida por correo o medios electrónicos
Hablada
¿Cuál es la información más valiosa que manejamos?
La de nuestros clientes, nuestras ventas, nuestro personal
La de nuestros productos, desarrollos, proyectos
www.infojc.com
22. Algunas preguntas
¿Como puede afectarnos la falta de seguridad?
Seguridad de la Información
www.infojc.com
23. Algunas preguntas
¿Desde dónde llegan las amenazas?
Seguridad de la Información
www.infojc.com
24. Seguridad de la Información
www.infojc.com
Respuesta Instintiva
25. Algunas reflexiones
La Dirección de la Empresa:
Mi sistema no es importante para un pirata y mi personal es de
Seguridad de la Información
confianza. ¿Quién va a querer obtener información mía o
atacarme?
No pasa nada, actualizo las versiones periódicamente.
No entro en páginas peligrosas y como tengo antivirus estoy a
salvo.
Estoy protegido pues no abro archivos que no conozco ni
contesto correos a desconocidos.
Como dispongo de un firewall estoy tranquilo.
Tengo un servidor web cuyo sistema operativo es seguro, por lo
www.infojc.com
tanto soy invulnerable.
26. Algunas reflexiones
Los trabajadores de la empresa:
Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles
Seguridad de la Información
corporativos para acceder a Internet (21%).
Uno de cada diez confiesa que baja algún tipo de contenido que no debiera
mientras está en el trabajo.
Dos tercios admiten tener conocimientos muy limitados en materia de seguridad.
La dirección suele estar más preocupada por facilitar las cosas a los usuarios
que en mejorar la seguridad de la compañía.
Un 5% dice que tienen acceso a áreas de la red corporativa que no deberían
tener.
Imprimen los informes y ficheros y los dejan en la impresora, la mesa, la
papelera, el metro.
www.infojc.com
La mayoría no quiere usar contraseñas de calidad.
No quieren u olvidan cifrar ficheros y correos.
Fuente: McAfee
27. Problemas más importantes de seguridad
¿Cuáles son los problemas más importantes?
Seguridad de la Información
www.infojc.com
Fuente: Verizon
28. Evolución de los orígenes de corrupción/pérdida de datos
¿A quién le va a interesar?
Seguridad de la Información
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
www.infojc.com
2004 2005 2006 2007 2008
Externo Interno Colaboradores
Fuente: Verizon
29. Origen de corrupción/pérdida de datos
(Probabilidad)
¿Es muy probable?
Seguridad de la Información
Sospechoso
Confirmado
www.infojc.com
Externo Interno Colaboradores
Fuente: Verizon
30. Registros afectados según origen
(Impacto)
¿Qué impacto puede tener?
Seguridad de la Información
120,000
100,000
80,000
60,000
40,000
20,000
0
www.infojc.com
Externo Interno Colaboradores
Fuente: Verizon
31. Origen de ataques internos
Pero, ¿quién dentro de mi empresa?
Seguridad de la Información
Agentes/Esp
ias
Ejecutivos Anónimos
Administrad
Empleados
ores SI
www.infojc.com
Fuente: Verizon
32. Tiempo que llevaban disponibles las correcciones de las
vulnerabilidades aprovechadas por los ataques
Actualizo periódicamente.
Seguridad de la Información
Menos de 11 a 3 Meses 3 a 6 Meses
Mes
6 a 12 Meses
www.infojc.com
Más de 1 Año
Fuente: Verizon
33. Respuestas
Las páginas en las que entro son seguras.
Desde enero hasta finales de marzo de 2008, los investigadores de la empresa Sophos
identificaron una media de más de 15.000 nuevas páginas infectadas cada día (una cada 5
Seguridad de la Información
segundos). La mayoría de estos sitios infectados (el 79%) se encuentran en webs legítimas
que han sido vulneradas.
Incremento del número de páginas web
peligrosas en los dos últimos años
1731%
1800% 1564%
1600%
1314%
1400%
1092%
1200%
1000% 824%
800% 645%
532%
600% 431%
337%
400% 192% 247%
100% 161%
200%
0%
www.infojc.com
Fuente: Trend Micro
34. Respuestas
Los ordenadores zombies (redes botnet) se multiplican.
Mayo.2010 – Ya en 2008 Kaspersky Lab reportó dos nuevas variantes de un gusano,
Networm.Win32.Koobface.a. y Networm.Win32.Koobface.b, que atacan a los usuarios de
MySpace y de Facebook y transforman a los equipos de las víctimas en máquinas zombies
Seguridad de la Información
que pasan a formar parte de una red botnet.
www.infojc.com
Fuente: ShadowServer
35. Respuestas
Pero, ¿Qué buscan en mi empresa?
Seguridad de la Información
80% de todas las vulnerabilidades
www.infojc.com
Web son facilmente explotadas.
Fuente: Symantec
36. Respuestas
Pero, ¿los atacantes tendrán un elevado nivel tecnológico?
Seguridad de la Información
www.infojc.com
Fuente: Verizon
37. Respuestas
¿Serán ataques de mucha dificultad?
Seguridad de la Información
Ninguna
Alta
Baja
Moderada
www.infojc.com
Fuente: Verizon
38. Respuestas
No abro archivos ni contesto correo desconocido.
Junio.2008 - Según un informe de IBM, el porcentaje de phishing procedente de servidores
instalados en España ha pasado del 14,8% en 2007 a un 16,7% en el primer semestre de
Seguridad de la Información
este año. España continúa siendo el país que alberga el mayor número de servidores que
envían correos electrónicos con la técnica fraudulenta del phishing.
Porcentaje de usuarios que han recibido algún
intento de fraude online y porcentaje de fraude
con perjuicio económico
27.80%
70.10% 29.90%
2.10%
www.infojc.com
No
Fuente: Inteco
39. Respuestas
Pero dispongo de firewall que me protege.
Seguridad de la Información
www.infojc.com
40. Algunos datos
¿Cuáles son las causas de estos ataques?
Seguridad de la Información
El de los incidentes El de los incidentes
El de los incidentes
son atribuibles a errores tuvieron éxito como
incorporaron código
de gestión en la consecuencia de
malicioso
seguridad significativos actividades de hacking
El de los incidentes El de los incidentes
guardaron relación con tuvieron como motor
explotación de una amenaza a la
vulnerabilidades seguridad física
www.infojc.com
Fuente: Inteco
41. Algunos datos
Datos significativos
Seguridad de la Información
de cada incidentes La mayoría de los
no fueron descubiertos ataques no eran
por las víctimas sofisticados
El de los incidentes
El de los objetivos podría haber sido
son oportunísticos, y no prevenido mediante
dirigidos aplicación de medidas
de seguridad
www.infojc.com
Fuente: Inteco
43. Hábitos definitorios del componente “imprudencia” (%) Algunos datos
Hábitos “Imprudentes” Enero Abril Julio
Seguridad de la Información
Abro correos de remitentes desconocidos si parecen
interesante
9.8 11.9 10.5
Doy mi dirección de e-mail cuando me lo piden
aunque desconozca el destinatario
8.4 11.7 10.0
Agrego contactos al Messenger aunque no sepa de
quién se trata
9.0 10.9 10.4
Pulso los enlaces que aparecen en las conversaciones
del Messenger, sin preguntar de que se trata
6.0 9.0 6.9
Si es necesario modifico las medidas de seguridad del
ordenador para poder acceder a servicios o juegos
10.1 14.3 13.1
Comparto software sin comprobar si está o no
11.2 13.9 12.0
www.infojc.com
infectado (redes P2P)
Fuente: Inteco
44. Hábitos definitorios del componente “imprudencia” (%) Algunos datos
Hábitos “Imprudentes” 2009 1º Trim. 2º Trim.
Seguridad de la Información
Abro correos de remitentes desconocidos si parecen
interesante
15.3 % 14.7 %
Agrego contactos al programa de mensajería
(Messenger, ICQ) aunque no sepa de quién se trata
17.0 % 16.7 %
Pulso los enlaces que aparecen en las conversaciones
del Messenger, sin preguntar de que se trata
16.9 % 11.5 %
Si es necesario modifico las medidas de seguridad del
ordenador para poder acceder a servicios o juegos
40.8 % 39.3 %
Comparto todos los archivos que tengo en mi
ordenador con el resto de usuarios P2P
22.4 % 20.0 %
No analizo con el programa antivirus todos los
44.2 % 39.1 %
www.infojc.com
archivos descargados a través de redes P2P
Fuente: Inteco
45. Algunos datos
Evolución de incidencias detectadas por los usuarios en los últimos
meses (%)
Seguridad de la Información
77.0%
Recepción de correos no solicitados 83.3%
83.3%
35.9%
Virus Informáticos 40.2%
32.8%
22.3%
Intrusiones remotas en el ordenador 24.2%
25.8%
16.2%
Intrusiones en el correo electrónico 19.3%
18.0%
14.6%
Obtención fraudulenta de datos personales 15.5%
13.1%
12.7%
Robo de ancho de banda WiFi 11.7%
8.1%
8.5%
Intrusiones en otras cuentas de servicio web 12.4%
8.5%
7.6%
Fraudes o robos cuentas bancarias online 6.5%
4.1%
Fraudes o robos relacionados con tarjetas de 7.4%
7.1%
crédito 4.0%
www.infojc.com
0% 20% 40% 60% 80% 100%
Mayo-Julio Febrero-Abril Noviembre-Enero
Fuente: Inteco
46. Algunos datos
Aumentan las vulnerabilidades y las posibilidades de tener éxito.
Seguridad de la Información
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0
www.infojc.com
Fuente: CERT
47. Querido Directivo… Algunos datos
¿Monitoriza los sistemas IDS-IPS?
Seguridad de la Información
¿Lleva a cabo acciones de hashing?
¿Puede sufrir
¿Con un algoritmo
Eavesdropping?
seguro?
¿Es su empresa resistente
a Sniffing? ¿Tiene su firewall
comunicación en ambos sentidos LAN-WLAN?
¿Usa técnicas criptográficas AES-256?
www.infojc.com
48. Querido Directivo… Algunos datos
¿Alguien entró en su PC mientras no estuvo?
Seguridad de la Información
¿Están seguros sus datos?
¿Sabe donde acaba la información?
¿Pueden corromper sus datos sin que se de cuenta?
Creo que
todo bien
¿Es legal todo su software?
¿Quién accedió a su BD?
¿Sabe lo que hace ¿Alguien le roba
el administrador
de su BD? información?
www.infojc.com
49. Algunos datos
Entonces, ¿cuál es el problema?
El 99% de las empresas disponen de antivirus, el 87% firewall, pero solo
Seguridad de la Información
el 34% dispone de sistemas de backup y recuperación.
El 75% no utilizan cifrado de información.
El 55% no dispone de herramientas para hacer frente a vulnerabilidades.
Solo el 34% afirma tener un entorno seguro en la empresa.
El 30% piensa que no es importante pues no ha sufrido ningún ataque.
El 19% ha sufrido un ataque con pérdida de datos/sistemas.
El 35% no informa a los empleados sobre la política de Seguridad. El 16%
no cuenta con ninguna.
El 13% afirma que la seguridad no es prioritaria para la dirección.
www.infojc.com
Más del 20% apunta al coste como un obstáculo. Un 34% a la falta de
tiempo y conocimientos.
Fuente: Symantec
50. ¿Cuánto vale nuestra seguridad?
No existe la certeza sobre una seguridad informática absoluta,
pero con el 20% de esfuerzo se puede lograr el 80% de
resultados.
Seguridad de la Información
www.infojc.com
51. Evaluación de pérdidas en dólares. ¿Cuánto vale nuestra NO seguridad?
Fraude Financiero 21,124,750
Infección 8,391,800
Penetración en el sistema 6,875,000
Seguridad de la Información
Robo de información lógico 5,685,000
Robo de hardware 3,881,150
Abuso de privilegios 2,889,700
Denegación de servicio 2,888,600
Phishing suplantando a su empresa 2,752,000
Bots dentro de la organización 2,869,600
Robo de inf. propietaria desde un dispositivo movil 2,345,000
Robo de inf. confidencial desde un dispositivo movil 2,203,000
Sabotaje de inf., de red o datos 1,056,000
Acceso no autorizado a inf. por los empleados 1,042,700
Manipulación del sitio Web 725,300
Fraude de Telecomunicaciones 651,000
Uso no autorizado de la red WiFi 542,850
Uso o autorizado de una aplicación Web pública 251,000
Mensajería instantánea 200,700
www.infojc.com
Sniffing de contraseñas 168,100
Envío de correos ofuscados 160,000
Uso no autorizado del servidor DNS de la empresa 104,500
0 5,000,000 10,000,000 15,000,000 20,000,000 25,000,000
Fuente: FBI/CSI
52. ¿Cuánto vale nuestra seguridad?
13/02/2005. Torre Windsor.
No contaba con sistemas automáticos de detección y
Seguridad de la Información
extinción de incendios. No obligatorios en España para
edificios con altura de evacuación inferior a los 100 m.
Deloitte y Garrigues, ocupaban 20 plantas. 1.200
trabajadores de la auditora y 133 del bufete han perdido
miles de horas de trabajo.
Procedimientos de copia de seguridad externa. Se
recuperó la gestión documental en diez días.
Normalidad es lo que buscaron urgentemente las dos
compañías. El lunes reubicaron a los empleados,
desviaron las centralitas dañadas a otras sedes.
Los ingresos dejados de percibir se cifran en 25 millones
de euros.
www.infojc.com
53. Medidas adoptadas después de un incidente. ¿Qué hacemos después?
Intento de identificar al autor 61%
Hacer todo lo posible por tapar los agujeros de
Seguridad de la Información
seguridad 54%
Instalación de parches de seguridad 48%
Instalación de software de seguridad adicional 36%
Modificación de las políticas de seguridad 34%
Comunicación a las fuerzas de la ley 29%
Instalación de hardware de seguridad adicional 28%
Comunicación a un asesor legal 24%
No divulgación más allá de la organización 30%
www.infojc.com
Otros 10%
0% 10% 20% 30% 40% 50% 60% 70%
Fuente: FBI/CSI
54. Algunas reflexiones
Para debatir:
Las empresas/particulares ignoran las nuevas amenazas de seguridad.
Seguridad de la Información
La seguridad informática NO es un problema exclusivamente de los
ordenadores.
La Seguridad de la Información no es independiente del resto de los
procesos de negocio de la empresa.
La Seguridad de la Información no es un medio, es un objetivo.
La implantación de medidas de seguridad NO es costosa.
El oscurantismo no ha de suponer uno de los pilares de la seguridad en una
empresa (security through obscurity).
www.infojc.com
55. Xornadas sobre as na
: Seguridad de la Información.
: Menos charla y más acción.
Objetivos de la Jornada
: a profesionales y empresarios.
: a la tecnología y a los hackers.
www.infojc.com