Presentación sobre Seguridad de la Información para el Postítulo en Gestión Informática INGES

1. FOX News Insider

2. Target: Cronología
● Atacantes engañan a un proveedor HVAC de
Target
● Usan sus credenciales para acceder al sistema de
control de aire
● Doble ataque:
– Infectan servidores de archivos Windows
– Infectan terminales POS (no parchados)
● POS infectados envían datos de tarjetas de crédito
a servidores Windows infectados, quienes los
transmiten a servidores externos

3. Target: ¿Qué falló?
● Excesiva confianza en proveedores
● No hubo una real preocupación por la seguridad
– No habían oficiales de seguridad ni CISO
– Los terminales POS eran Windows XP no
actualizados y sin medidas anti-malware
● “Pero si están en una red aislada. ¿Quién podría
atacarnos?”
● Hubo alertas tempranas, pero fueron ignoradas

4. Target: ¿Qué falló?
● Mal manejo posterior al incidente
– CEO despedido
– Preocupados más por “comprar cajitas” que de
entrenar a sus empleados
– Información mal dada al público
● Incompleta al principio: Dijeron que fueron 40 y no 70
millones de registros de clientes los afectados
● Tardía: El ataque se realizó un mes antes, y recién cuando
un investigador la reveló públicamente la reconocieron

5. Protección de la Información
Una necesidad en los tiempos modernos
Cristián Rojas, CSSLP
Consultor independiente en Seguridad de la Información
Profesor de Seguridad de la Información, MTIG PUC
Foto: perspec_photo88 / CC BY-SA 2.0

6. En esta sesión
1. ¿Qué es la seguridad?
2. ¿Quiénes son los enemigos?
3. ¿Cuáles son las consecuencias de un ataque?
4. ¿Es importante la seguridad?
5. ¿Qué hacemos para proteger nuestra
información?

7. ¿Qué es la seguridad?

8. Seguridad de la Información
● Capacidad de un sistema de operar en un
ambiente hostil
– Por ejemplo, Internet
– ¿Hay algún otro?
● CIA
¿ ?

9. CIA: Confidencialidad
● La información sólo
puede ser mostrada a
quién corresponde
– Controles de acceso
– Encriptación
– Esteganografía

10. CIA: Integridad
● La información no debe ser alterada por terceros
– Los datos transmitidos, procesados y almacenados
deben ser tan precisos como quien los originó quiso
– El software debe desempeñarse en forma confiable
● Aspectos:
– Hashing
– Autenticidad (Certificados Digitales, etc.)
– No-repudiación

11. CIA: Disponibilidad (Availability)
● La información debe
estar disponible
– ¿Cuándo?
– ¿Para quién?
● Aspectos:
– Uptime
– Redundancia
– SLA's
– DoS

12. Información
Confidencialidad
Integridad Disponibilidad
(Availability)

13. ¿Quiénes son los enemigos?

15. Me han contado que los mejores
crackers del mundo hacen esta
pega en 60 minutos...
Lamentablemente yo necesito a
alguien que la haga en 60
segundos.
"Swordfish", Warner Bros, 2001.

16. Curiosos
“The Shining”, Warner Bros., 1980.

17. Malware automatizado
“Terminator 3: Rise or the Machines”, Warner Bros. 2003.

18. (Ex) empleados disgustados
“Office Space”, 20th Century Fox, 1999.

19. Cibercriminales

20. Ciberactivistas
Foto: sklathill / CC BY-SA

21. Auspiciadores estatales

22. Fuente: “Alchemy”, Wikipedia

24. ¿Cuáles son las
consecuencias de un ataque?

25. Howard, Lipner: “The Security Development Lifecycle”
El modelo STRIDE
● Spoofing
● Tampering
● Repudiation
● Information Disclosure
● Denial of Service
● Elevation of Privilege

26. Spoofing
“Star Wars IV: A New Hope”, LucasFilm, 1977.

27. Tampering
“Star Wars IV: A New Hope”, LucasFilm, 1977.

28. Repudiation
“Star Wars IV: A New Hope”, LucasFilm, 1977.

29. Information Disclosure
“Star Wars IV: A New Hope”, LucasFilm, 1977.

30. Denial of Service
“Star Wars VI: Return of the Jedi”, LucasFilm, 1983.

31. Elevation of Privilege
“Star Wars IV: A New Hope”, LucasFilm, 1977.

32. ¿Es importante la seguridad?
(Mejor dicho, ¿tiene valor la seguridad?)

33. ¿o pegada con
cinta de embalaje?
¿Seguridad integrada?

34. Requisitos Diseño Implementación Pruebas Operación
1X 1X
7X
15X
100X
IBM Systems Sciences Institute, “Implementing Software Inspections”

35. generando a los atacantes
ganancias por
USD 53.7millones
De las cuales entre
1-3 millones
ya han sido vendidas en el
mercado negro
Target: Los números
40millones
de tarjetas de crédito robadas
70millones
de registros de clientes
robados
46%de caída en las ganancias
de Target respecto al año
anterior
0oficiales de seguridad en
Target
200
Millones (USD)
costará a bancos comunitarios y
cooperativas reemitir
la mitad
de las tarjetas de crédito robadas
Krebs on Security: “The Target Breach, By the Numbers”

36. ¿Qué podemos hacer para
proteger nuestra información?

37. ¿Qué información tenemos y quién puede acceder a ella?
Multipass!
“The Fifth Element”, Gaumont, 1997.

38. Ojo con la amenaza interna

39. Wi-Fi, BYOD y trabajo remoto
ed.cl

40. El eslabón más débil: La password
● Usar buenas
passwords
– Largas, que combinen
números, mayúsculas,
minúsculas y símbolos
– Que no tengan
información
relacionable (ej. fecha
de cumpleaños,
nombres...) http//xkcd.com/936

41. Ars Technica: “Stanford’s password policy shuns one-size-fits-all security”

42. El eslabón más débil: La password
● No usar una sóla password para todo. Usar
compartimentalización
– ¿Y cómo recordamos tantas passwords?
● Protegerlas tanto durante el transporte como al
almacenarlas
● No usar passwords cognitivas

43. Dorkly, “How to Make Yourself Hack-Proof”

44. Otras formas de autentificación
● Factores de
Autentificación:
– Conocimiento
– Propiedad
– Característica
● 2FA: El uso de 2 de éstos
es considerado seguro
● “Algo que eres” es
delicado
purpleslog@flickr (CC BY 2.0)

45. Auditar periódicamente
Riesgos
Sistemas
Configuraciones
Usuarios
I know ISO27001!

46. Los desafíos de la Nube
Foto: perspec_photo88 / CC BY-SA 2.0

47. Herramientas de seguridad
● Criptografía
– Simétrica
– Asimétrica
– Hashing
● Anti-malware
● Gestión de identidades
● Detección de intrusos
(IDS)
● Protección contra
pérdida de datos (DLP)
● Firewalls
● Scanners de seguridad
● Security Information and
Event Management
(SIEM)

48. Pero no podemos olvidar la herramienta más importante
Google Street View

49. Desarrollar aplicaciones seguras
● Hacer el software
seguro desde el
principio
● Adentrarse en
conceptos de
seguridad para
programación
● Auditar código,
configuraciones,
servicios, ejecutables...
Developers!

50. No olvidarse de los usuarios
ianlloyd@flickr

51. Estar siempre listos
nick19@flickr

52. “No seas un idiota”*
● Puedes saber sólo lo
que el usuario te dice
● Puedes compartir sólo
lo que el usuario te diga
● ... y con quién te lo diga
● ... y sólo si él quiere
hacer algo que lo
requiera
* Graham Lee, “Don't be a dick”

53. En resumen
● Las amenazas a la información pueden venir de
fuera, pero también quienes manejan la información
pueden constituir una amenaza a ésta
● El valor de la seguridad no puede verse en
términos de ROI, sino en el evitar perder el valor
ganado con el uso de sistemas de información
● La seguridad es algo que se debe pensar desde el
principio, no “pegar con cinta de embalaje” después
de la implementación de sistemas de información

54. Bibliografía interesante
● Verizon, “2014 Data Breach Investigations Report”
● Counsil on Cybersecurity, “The Critical Security Controls
for Effective Cyber Defense” (ver. 5.0)
● Imperva: “The Anatomy of an Anonymous Attack”
● Adam Shostack, “Threat Modeling: Designing for Security”
● OWASP Top 10 2013
● Ross Anderson, “Security Engineering”
● NIST, SP 800-100, “Information Security Handbook: A
Guide for Managers”
● NIST, SP 800-61 rev. 2, “Computer Security Incident
Handling Guide”

55. Sitios web interesantes
● SOPHOS, “Naked Security” y “60 Second
Security”
https://nakedsecurity.sophos.com
● ESET, “We Live Security”
http://www.welivesecurity.com/la-es/
● Ars Technica, Risk Assessment – Security &
Hacktivism
http://arstechnica.com/security/

56. Muchas gracias por su atención.
¿Preguntas? ¿Inquietudes?