Facultad de Ingeniería Industrial y de Sistemas Seguridad Informática © 2021, MSc. Isaac Ernesto Bringas Masgo CIP 86558 Facultad de Ingeniería Industrial y de Sistemas Universidad Nacional de Ingeniería Datos del Profesor MSc. I. Ernesto Bringas Masgo, CIP 86558 Candidato a Doctor en Ing. de Sistemas UNI-FIIS Msc. Ing. de Sistemas FIIS - UNI Msc Ing. de Telecomunicaciones (estudios) FIEE - UNI Coach UNI ACM-ICPC 2005 al 2009 FIIS - UNI Docente Asociado - FIIS - UNI. 2004 a la fecha Docente Principal - Computer Science UTEC. Del 2017 al 2018 SUNEDU - Jefe de OTI. Del 2018/08 a la fecha. SUNAT - Jefe de OSI, Líder Técnico Proyecto.. de 1996 al 2017 [email protected] Seguridad Informática Objetivos del Curso ∙ Proporcionar a los alumnos de la escuela de sistemas los conocimientos de los conceptos fundamentales que hacen a los sistemas de seguridad utilizados para resguardar información. Incluye, además, las herramientas teóricas y prácticas que es necesario utilizar, tanto durante su procesamiento, como durante la fase de transmisión. Seguridad Informática Contenido del Curso 1. Fundamentos de la Seguridad de la Información 1. Criptografía & Aplicaciones 1. Ethical Hacking 1. Tecnologías en Seguridad Informática 1. Dominios de la Seguridad de la Información basado en la ISO 27001 Seguridad Informática Desarrollo del Curso Material del Curso: Presentaciones de cada clase, Separatas adicionales, videos, Exposiciones de los alumnos, urls de seguridad informática, Laboratorios. Facebook: 2021-2-ST215U-Seguridad-Informática https://www.facebook.com/groups/148835124081507 Evaluaciones: Examen Parcial Peso 1 Examen Final Peso 2 Prácticas y Monografía Peso 1 2 Prácticas Calificadas (Ninguna se elimina) 2 Monografías (Ninguna se elimina) Seguridad Informática Agenda de la Sesión ∙ ∙ ∙ ∙ ∙ ∙ ∙ ∙ ∙ ∙ ∙ Introducción Principios de Seguridad Informática (SI) El papel de la Criptografía en la SI Certificaciones en Seguridad Informática Definir Seguridad a nivel de Plataforma Criterios y normativas de seguridad Historia de la Norma ISO 17799 Leyes de seguridad informática en Perú Lecturas Recomendadas Videos Recomendados Certificaciones en Seguridad Informática Seguridad Informática Hecho Reciente: Bono Universal Referencias: https://peru.as.com/peru/2020/05/29/tikitakas/1590754782_860329.html https://www.youtube.com/watch?v=i9nMqFGd_8U Seguridad Informática Hackeo Perú 1: Banco de Crédito Referencias: https://rpp.pe/economia/economia/bcp-revela-que-en-ataque-cibernetico-del-2018hackers-accedieron-a-datos-de-clientes-noticia-1232964 Seguridad Informática Hackeo Perú 2: Banco Scotiabank Referencias: https://noticiasseguridad.com/hacking-incidentes/hackean-codigo-fuente-y-credenciales-de-acceso- de-scotiabank-usuarios-deben-contactar-al-banco-para-asegurar-sus-activos/ https://www.youtube.com/watch?v=QXkv9aPebeU Seguridad Informática Hackeos en el Mundo ... ➢ Millions of Facebook Records Found on Amazon Cloud Servers (2019) https://www.bloomberg.com/news/articles/2019-04-03/millions-of-facebook-records-found-on-amazon-cloud-servers ➢ eBay asks 145 million users to change passwords after data breach (2014) https://www.washingtonpost.com/news/the-switch/wp/2014/05/21/ebay-asks-145-million-users-to-change-passwords-after-data-breach/ ➢ Hasta 152 millones de datos fueron robados de Adobe en un hackeo en 2013 https://www.theverge.com/2013/11/7/5078560/over-150-million-breached-records-from-adobe-hack-surface-online …….. Seguridad Informática Archivo de Intrusiones Web: Zone-h El más grande archivo de intrusiones web. http://zone-h.org/ Seguridad Informática Seguridad desde siempre… Cifrado escitala (siglo V a.C.). Máquina Enigma (usado por el ejército alemán en la WWII) Seguridad Informática Eventos Disruptivos Atentado a las Torres Gemelas (11/09/2001 en Nueva York). Seguridad Informática Eventos Disruptivos El escándalo de Cambridge Analytic Seguridad Informática Replanteamiento de la Seguridad Se tienen que repensar todos los Planes de Seguridad. Seguridad Informática Genética, Nanotecnología, Robótica (GNR) Seguridad Informática Genética: Creando Vida Referencias: ➢ How biologists are creating life-like cells from scratch https://www.nature.com/articles/d41586-018-07289-x Seguridad Informática NeuroChips Empresas: Neuralink, Kernal, Brainco, Neurable, OpenBCI Referencias: ➢ An integrated brain-machine interface platform with thousands of channels. Elon Musk, Neuralink https://www.biorxiv.org/content/10.1101/703801v4 Seguridad Informática SEGURIDAD DEL SISTEMA COMO PROBLEMA DE DISEÑO “Providing satisfactory security controls in a computer system is in itself a system design problem. A combination of hardware, software, communications, physical, personnel and administrative-procedural safeguards is required for comprehensive security. In particular, software safeguards alone are not sufficient.” - The Ware Report Defense Science Board Task Force on Computer Security, 1970. Seguridad Informática Esquema de la Seguridad de la Inform. ∙ Tres ejes fundamentales que tienen que implementarse de forma integrada: Políticas Recursos Humanos Seguridad Informática Tecnología Estamos completamente Seguros (100%) ? No existe el 100 % de Seguridad de un Sistema!. Funcionalidad Seguridad Seguridad Informática Objetivos Seguridad de la Información Seguridad Informática Confidencialidad, Integridad y Disponibilidad Estos son los tres elementos básicos u objetivos de la seguridad de la Información: ∙ Confidencialidad ∙ Los componentes del sistema serán accesibles sólo por aquellos usuarios autorizados. ∙ Integridad ∙ Los componentes del sistema sólo pueden ser creados y modificados por los usuarios autorizados. ∙ Disponibilidad ∙ Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen. Seguridad Informática No repudio de origen y destino ∙ No Repudio ∙ Este término se ha introducido en los últimos años como una característica más de los elementos que conforman la seguridad en un sistema informático. ∙ Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de sendos certificados digitales de autenticación. ∙ Se habla entonces de No Repudio de Origen y No Repudio de Destino, forzando a que se cumplan todas las operaciones por ambas partes en una comunicación. Seguridad Informática Tomando conciencia de la seguridad La seguridad es sinónimo de calidad de servicio. Seguridad Informática Ciclo de la Seguridad de la Información El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas. La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad. Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones. Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles. Seguridad Informática Definición de Seguridad de la Información Seguridad Informática La Seguridad de la Información es.. una actividad cuyo propósito es: ∙ proteger a los activos contra accesos no autorizados , ∙ evitar alteraciones indebidas que pongan en peligro su integridad ∙ garantizar la disponibilidad de la información Y es instrumentada por medio de políticas y procedimientos de seguridad que permiten: la identificación y control de amenazas y puntos débiles, teniendo en mira la preservación de la confidencialidad, integridad y disponibilidad de la información. Seguridad Informática Amenazas al sistema ∙ Las amenazas afectan principalmente al hardware, al software y a los datos. Éstas se deben a fenómenos de: ∙ Interrupción ∙ Interceptación ∙ Modificación ∙ Generación Seguridad Informática Amenazas de interrupción Interrupció n Intruso ∙ Se daña, pierde o deja de funcionar un punto del sistema. ∙ Su detección es inmediata. Ejemplos: Seguridad Informática Destrucción del hardware. Borrado de programas, datos. Fallos en el sistema operativo. Amenazas de interceptación Interceptación Intruso ∙ Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos. ∙ Su detección es difícil, a veces no deja huellas. Ejemplos: Seguridad Informática Copias ilícitas de programas. Escucha en línea de datos. Amenazas de modificación Modificación Intruso ∙ Acceso no autorizado que cambia el entorno para su beneficio. ∙ Su detección es difícil según las circunstancias. Ejemplos: Seguridad Informática Modificación de bases de datos. Modificación de elementos del HW. Amenazas de generación Generación Intruso ∙ Creación de nuevos objetos dentro del sistema. ∙ Su detección es difícil: delitos de falsificación. Ejemplos: Seguridad Informática Añadir transacciones en red. Añadir registros en base de datos. Escenarios de las amenazas del sistema Interrupción (pérdida) Interceptación (acceso) Datos Los datos serán la parte más vulnerable del sistema Hardware Interrupción (denegar servicio) Interceptación (robo) Seguridad Informática Modificación (cambio) Generación (alteración) Ejemplos de amenazas Software Modificación (falsificación) Interrupción (borrado) Interceptación (copia) Amenazas más características ∙ Hardware: ∙ Agua, fuego, electricidad, polvo, cigarrillos, comida. ∙ Software: ∙ Además de algunos típicos del hardware, borrados accidentales o intencionados, estática, fallos de líneas de programa, bombas lógicas, robo, copias ilegales. ∙ Datos: ∙ Tiene los mismos puntos débiles que el software. Pero hay dos problemas añadidos: no tienen valor intrínseco pero sí su interpretación y, por otra parte, habrá datos de carácter personal y privado que podrían convertirse en datos de carácter público: hay leyes que lo protegen. Seguridad Informática Debilidades del sistema informático (1) HARDWARE - SOFTWARE - DATOS MEMORIA - USUARIOS Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema: ∙ Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas, etc. ∙ Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc. ∙ Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc. Seguridad Informática Debilidades del sistema informático (2) ∙ Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc. ∙ Usuarios: puede producirse la suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales, etc. ∙ Es muy difícil diseñar un plan que contemple minimizar de forma eficiente todas estas amenazas, y que además se entienda y pase desapercibido por los usuarios. ∙ Debido al principio de acceso más fácil, el responsable de seguridad informática no se deberá descuidar ninguno de los cinco elementos susceptibles de ataque al sistema. Seguridad Informática Principios de Diseño de Seguridad Fuente: NIST - SPECIAL PUBLICATION 800-160, VOLUME 1 SYSTEMS SECURITY ENGINEERING - APPENDIX F https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1.pdf Seguridad Informática Principios de Diseño de Seguridad … (revisemos) F.1.3 Modularity and Layering F.1.7 Reduced Complexity F.1.13 Minimized Security Elements F.1.14 Least Privilege ……. F.2.1 Continuous Protection F.2.2 Secure Metadata Management F.2.4 Accountability and Traceability F.2.5 Secure Defaults F.2.6 Secure Failure and Recovery F.2.7 Economic Security F.2.8 Performance Security F.2.9 Human Factored Security …… F.3.1 Repeatable and Documented Procedures Fuente: SPECIAL PUBLICATION 800-160, VOLUME 1 SYSTEMS SECURITY ENGINEERING A Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems APPENDIX F: DESIGN PRINCIPLES FOR SECURITY PROVIDING THE FOUNDATION FOR SYSTEMS SECURITY ENGINEERING4 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v1.pdf Seguridad Informática El concepto de datos Seguros ∙ Si se cumplen los principios vistos anteriormente, diremos en general que los datos están protegidos y seguros. DATOS DATOS DATOS Confidencialidad Integridad DATOS Datos Seguros Seguridad Informática Disponibilidad ∙Esto se entiende en el siguiente sentido: los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles. Importancia de la Criptografía en la SI Criptografía: Ciencia que estudia la escritura secreta, la forma de escribir ocultando el significado. Criptoanálisis: Ciencia que se ocupa de esclarecer el significado de la escritura ininteligible. Criptología = Criptografía + Criptoanálisis. La Criptografía garantiza: La Confidencialidad, la Integridad y el No Repudio Esteganografía. Seguridad Informática Criterios y normativas de seguridad ∙ IT Infrastructure Library (ITIL v3 Diciembre 2005) http://www.best-management-practice.com/ ∙ Serie de estándares de seguridad de la información ISO/IEC 27000 ISO/IEC 27000 - a standard vocabulary for the ISMS standards (in preparation) ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005) ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management - 2007 ISO/IEC 27003 - a new ISMS implementation guide (in preparation) ISO/IEC 27004 - a standard for information security measurement and metrics (in preparation) ISO/IEC 27005 - a standard for risk management, potentially related to the current British Standard BS 7799 part 3 ISO/IEC 27006 - a guide to the certification/registration process (published in March 2007) ISO/IEC 27007 - a guideline for auditing information security management systems (in preparation) ISO/IEC 27799 - guidance on implementing ISO/IEC 27002 in the healthcare industry http://www.standardsdirect.org/iso17799.htm Seguridad Informática IT Infrastructure Library (ITIL) Definición El gerenciamiento de la seguridad es responsable de la confidencialidad, la integridad y la disponibilidad de datos asociados a un servicio. Un número de security issues tienen que ser cubiertos por la administración de disponibilidad: ∙ Los servicios deben estar disponibles sólo para el personal autorizado ∙ Los datos deben estar disponibles solamente para el personal autorizado y solamente en las horas convenidas ∙ Los servicios deben ser recuperables dentro de los parámetros convenidos de confidencialidad e integridad ∙ Los servicios se deben diseñar y funcionar dentro de las políticas de seguridad ∙ Los contratistas deben tener acceso al hardware o al software Nota: Para más información, ir a http://www.itil.org/itil_e/itil_e_080.html Seguridad Informática La norma ISO/IEC 27000:2018 (5ta edición) ∙ Presenta normas, criterios y recomendaciones básicas para establecer políticas de seguridad. ∙ Éstas van desde los conceptos de seguridad física hasta los de seguridad lógica. ∙ Parte de la norma elaborada por la BSI, British Standards Institution, adoptada por International Standards Organization ISO y la International Electronic Commission IEC. ∙ Documento de 70 páginas no de libre distribución. Seguridad Informática Entorno la norma ISO/IEC 27000:2018 Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información. ∙Antecedentes ∙Seguridad física y del entorno ∙Introducción ∙Gestión de comunicaciones y operaciones ∙Objeto y campo de la aplicación ∙Términos y definiciones ∙Control de accesos ∙Política de seguridad ∙Desarrollo y mantenimiento de sistemas ∙Aspectos organizativos para la seguridad ∙Clasificación y control de los archivos ∙Seguridad ligada al personal Seguridad Informática ∙Gestión de Incidentes de Seguridad Informática ∙Gestión de continuidad del negocio ∙Conformidad Historia de la Norma ISO 17799 ISO 27001-2005 Finalmente va a quedar la ISO 27001-2005 Seguridad Informática Leyes de seguridad informática en Perú ∙ RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Aprueban uso obligatorio de la Norma Técnica Peruana “NTPISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática Fuente: http://www.ongei.gob.pe/bancos/banco_normas/archivos/P01-PCM-ISO17799-001-V2.pdf ∙ DECRETO SUPREMO Nº 004-2007-PCM, Aprueban Reglamento de la Ley de Firmas y Certificados Digitales. Fuente: http://www.ongei.gob.pe/bancos/banco_normas/archivos/DS_004_2007_PCM.pdf ∙ Ley 28493, del 2005, que regula el uso del correo electrónico comercial no solicitado (SPAM). Seguridad Informática Leyes de seguridad informática en Perú ∙ Resolución Ministerial N° 224-2004-PCM.- Aprueban uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2004 EDI“ ∙ Ley No. 27269, "Ley de firmas y certificados digitales" y de su Reglamento aprobado mediante Decreto Supremo 019-2002-JUS ∙ DECRETO SUPREMO Nº 024-2005-PCM, Aprueban reglamento de la ley Nº 28612: Ley que norma el uso, adquisición y adecuación del software en la administración pública Fuente: http://www.ongei.gob.pe/bancos/banco_normas/ongei_banconormas.asp Seguridad Informática Leyes de seguridad informática en Perú ∙ Ley 29733 Protección de Datos Personales. ∙ Ley 30096 de Delitos Informáticos ∙ Normativas de la SBS. ∙ ISO / IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. ∙ Normativas de PCM para la Nube. Seguridad Informática Lecturas Recomendadas ∙ El arte de la Guerra, Sun Tzu. ∙ The singularity in near. When Humans Transcend Biology Ray Kurzweil 2005. ∙ Seguridad para Comunicaciones Inalámbricas Randall K. Nichols, Panos C. Lekkas, Editorial McGraw-Hill ∙ Linux Máxima Seguridad Anonimo, Editorial Prentice Hall Seguridad Informática Certificaciones en Seguridad Informática ∙ CEH: Certificado en Hacker Ético (CEH). (EC-Council) ∙ CISSP : Certified Information Systems Security Professional. (ISC)² ∙ CHFI : Computer Hacking Forensic Investigator. (ISC) 2 ∙ CISA : Certified Information Systems Auditor. (ISACA) ∙ CISM : Certified Information Security Manager. (ISACA) ∙ (CCSP): Certified Cloud Security Professional. (ISC)² ∙ CompTIA Security+ (SY0-401) : The Computing Technology Industry Association Security ++ ∙ ISO/IEC 27001 : Implementador Líder / Auditor Líder Seguridad Informática Certificaciones en Seguridad Informática ∙ CSX: Fundamentos de Ciberseguridad. (ISACA). ∙ GSEC: GIAC Security Essentials. (GIAC) Offensive Security: ∙ OSCP: Offensive Security Certified Professional ∙ OSWP: Offensive Security Wireless Professional ∙ OSEP: Offensive Security Experienced Penetration Tester ∙ OSWE: Offensive Security Web Expert ∙ OSED: Offensive Security Exploit Developer ∙ OSEE: Offensive Security Exploitation Expert ∙ OSCE: Offensive Security Certified Expert Seguridad Informática Certificaciones Complementarias Otras certificaciones relacionadas recomendadas: ∙ PMP : Project Management Professional (Project Management Institute - PMI) ∙ ScrumMaster: Curso Scrum Master Certificate Expert (SMCE) ∙ ITIL : ∙ CMMI : Capability Maturity Model Integration (Carnegie Mellon, Software The Information Technology Infrastructure Library Engineering Institute) ∙ Cisco Certified Network Associate (CCNA) : SECURITY / CYBERSECURITY OPERATIONS ∙ Cisco Certified Network Professional (CCNP) ∙ Certificaciones Microsoft: AZURE / Base de Datos / Server ∙ Certificaciones ORACLE: JAVA / Base de Datos / Web Logic ∙ DevOps: AWS Certified DevOps Engineer / Microsoft… ∙ Docker Certified Associate (DCA) Seguridad Informática Videos Recomendados ∙ the Social dilemma Netflix. 26 de enero de 2020 Director: Jeff Orlowski ∙ No te metas con los gatos: Un asesino en internet Netflix. 18 de diciembre 2019 Director: Mark Lewis Nada es Privado Netflix. 26 de enero de 2019 Directores: Karim Amer, Jehane Noujaim Seguridad Informática Videos Recomendados ∙ Hackers La Trilogía Hackers 1 : Piratas Informáticos Hackers. 1995, USA. 107’ Director: Iain Softley Hackers 2: Asalto Final Takedown. 2000, USA. 96’ Director: Joe Chappelle Hackers 3: Conspiración en la red AntiTrust. 2001. USA.108’ Dirección: Peter Howitt Seguridad Informática Videos Recomendados ∙ El Código da Vinci The Da Vinci Code. Estados Unidos, 2006, 146 minutos Dirección: Ron Howard ∙ Códigos de Guerra Windtalkers. EE.UU., 2002, 132' . Dirección: John Woo ∙ Infiltrados The Departed. USA, 2006. Director: Martin Scorsese Seguridad Informática Videos Recomendados ∙ Juego de Espías Spy Game. EE.UU.,2001, 125' Dirección: Tony Scott Seguridad Informática Resumen ∙ Historia de la Seguridad de la Información ∙ Elementos de la Seguridad de la Información ∙ Principios de la Seguridad de la Información ∙ Seguridad a nivel de Plataforma ∙ Leyes Peruanas en materia de Seguridad de la Información ∙ Certificaciones en Seguridad Informática Seguridad Informática Recursos Web ∙ Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP - Open Web Application Security Project ) ∙ https://owasp.org/ ∙ Curso de Seguridad Informática. ∙ Ramió Aguirre, Jorge. Publicado en Criptored. ∙ http://www.criptored.upm.es/guiateoria/gt_m001a.htm ∙ SEGU INFO ∙ Portal dedicado a temas de criptografía, y en general todo lo relacionado con la seguridad informática ∙ https://www.segu-info.com.ar/ Seguridad Informática Recursos Web ∙ …continúa Computer Emergency Response Team (CERT) Carnegie Mellon University - Software Engineering Institute ∙ http://www.cert.org/ ∙ Criptored Red Temática Iberoamericana de Criptografía y Seguridad de la Información ∙ http://www.criptored.upm.es/paginas/docencia.htm ∙ Academia Latinoamericana de Seguridad ∙ https://alas-la.org/ Seguridad Informática Recursos Web ∙ …continúa Hispasec Site sobre seguridad y tecnologías de información ∙ https://hispasec.com/es/ ∙ National Institute of Standards and Technology (NIST) Computer Security Division – Computer Security Resource Center Special Publications in the 800 series present documents of general interest to the computer security community. ∙ https://csrc.nist.gov/publications/sp800 Seguridad Informática Preguntas ? Seguridad Informática
