Requerimientos fundamentales de seguridad
SEGURIDAD INFORMÁTICA
Es la encargada de diseñar normas, procedimientos, métodos y técnicas, para proveer condiciones seguras y confiables en el procesamiento de información. Son los que aseguran los recursos del sistema de información en una organización para ser utilizados de la forma mas propicia.
Para lograr sus objetivos de seguridad se fundamentan en el CIA, que debe cumplir todo sistema informático:
- Confidencialidad: La información es vista, accedida y utilizada por quienes deben hacerlo.
- Integridad: La información no debe ser alterada por personas no autorizadas y debe permanecer consistente y verídica.
- Disponibilidad: La información debe estar en el momento que es necesitada.
- Desde CIA es evitar que por temas involucrados a la seguridad no se encuentre dicha información.
- Desde las aplicaciones de negocio debe estar preparado para la capacidad.
Preocupaciones sobre la seguridad de los datos.
- Amenazas de seguridad: Como espionaje industrial, robo de identidad y amenazas internas.
- Consolidar datos: Que un usuario pueda visualizar más información de lo que debería.
- Globalización: Se incrementa las amenazas con las crecientes comunicaciones.
- Right Sourcing: Trabajos con empresas o aplicaciones externas que pueden caer en malas manos alguna información confidencial.
- Mandatos de cumplimiento: Estar obligados a cumplir estándares por ley o regulación.
Los siguientes son estándares en los cuales se generan las políticas para evitar dichas amenazas.
- SOX: Monitorea a las empresas que cotizan bolsa de valores, evitando que las acciones sean alteradas de forma dudosa como por ejemplo Cobit.
- HIPAA: Protege la privacidad de la información médica personal.
- PCI: Es un estándar de seguridad de datos para la industria de tarjeta de crédito.
- Basel II: Fortalece la regulación, supervisión y gestión de riesgos del sector bancario como por ejemplo el Banco de Suiza.
- GLBA: Protege información financiera de los consumidores.
Niveles que se encuentran en la Constitución:
- Ley
- Política
- Reglamento
- Procedimiento
- Actividades
- Tareas
- Micro movimientos.
Riesgos de Seguridad
Externos:
- Usuarios no autorizados
- Ataques Dos
- Accesos no autorizados
- SQL Injection
- Robos de información
- Corrupción del servicio o de la información
- Complejidad
- Omisiones.
- SANS Institut: normas de base de datos, móviles, firewall, etc.
- Computer Emergency Response Team (CERT/CC)
- International Standards Organization (ISO 17799/27002)
En Ecuador se usa el ISO 27002
Desarrollo de una Política de Seguridad
- Formar el equipo de seguridad
- Definir los requerimientos de seguridad partiendo del CIA, aplicando SANS e ISO.
- Desarrollar políticas procedimientos y sistemas para cubrir los requerimientos de seguridad. El ISO no dice como se realiza los procesos, se piensa que procesos realizar.
- Implementar los procedimientos y sistemas de seguridad.
- Auditar el cumplimiento. De todo lo que se haga se debe auditar el cumplimiento.
Técnicas para Enforzar la Seguridad.
- Autenticación: Responde a la pregunta Quién?. Identificar al usuario que está ingresando a la información.
- Autorización: Responde a la pregunta que puede hacer el usuario?. Identifica que puede hacer el usuario una vez que se autentico.
- Control de Acceso: Responde a la pregunta como lo puede hacer? Que procesos pueden ejecutar. Ejemplo, ACL. Es a un nivel granular a comparación con el de autorización.
- Auditoría: Es post de una infracción, en el cual se busca saber quien, que hizo, como lo hizo y cuando lo hizo.
- Encriptación: Convierte el texto norma en texto codificado. Entre los algoritmos que se usan son el md5 y SHA.
Amenazas comunes.
- Phishing: capturar información poniendo un elemento que reemplaza al que es.
- Credenciales por defecto: no cambiar claves.
- Backdoors: Evita los sistemas de seguridad del algoritmo para acceder al sistema. Este es usado cuando se olvida la clave.
- Codigo de depuración: Salir de un bucle infinito.
- Cross-scripting: Aplicaciones en que se puede entender el código malicioso por ejemplo el uso de javascript.
- SQL injection: Es una técnica utilizada por personas maliciosas que tienen el fin de alterar o atacar un sitio o servidor a través de comandos SQL.
Principios de Seguridad
- Least Privilege: Darle al usuario los privilegios que estrictamente necesita.
- Reducing the attack surface: Instalar solo el software que se va a usar. No exponer recursos que no son necesarios para el usuario.
- Defense in depth: Poner varias capas de seguridad, llamados filtros de control.
- Separation of duties: Que una sola persona no realice varias obligaciones.
- Limitar los privilegios para evitar escalamientos: Tener privilegios separados. Por ejemplo, es mas fácil obtener información a un solo usuario que sepa toda la información de una organización que a varias personas.
- Diseñar y probar el código para que sea inmune a las amenazas comunes: realizar las prácticas correctas de programación para que no sean susceptibles a las amenazas comunes.
Opciones de Seguridad de Oracle 11g
- Comunicacion Encriptadas (Oracle Advance Security): Con esto puedo proteger los datos que van en transito, se encripta la información.
- Enmascaramiento de datos (Data masking): Enmascara la información de una forma que se vea los mas real posible. Permite cambiar datos mientras se esta enviando la información de una forma que no se vean los datos reales.
- Control de Acceso Granular (Oracle Database Vault): Separación de datos para que el DBA no acceda a los datos. Especifica las tareas que realiza los usuarios correspondientes.
- Seguridad a Nivel de filas (OLS or VPD): Maquina virtual y seguridad por etiquetas, la diferencia es trabajar con contextos que clasifica los datos, permite acceder al usuario a una fila o no.
- Encriptación de respaldos (RMAN and OSB): En casos que dichos respaldos se pierdan, no se pueda ver la información.
- Encriptación de columnas (TDE): físicamente encripta la información.
- Aseguramiento de las pistas de auditoria (Oracle Audit Vault).
No hay comentarios:
Publicar un comentario