jueves, 24 de marzo de 2011

Seguridad vs Obscurantismo: Las dos caras de la moneda

Antecedentes

  • En cualquier sociedad, un pequeño porcentaje de la gente es maliciosa. Se estima que Internet tiene 50 millones de usuarios. Aún si el porcentaje de usuarios maliciosos es menor al 1% de esta sociedad, el número de usuarios maliciosos es tan grande que debería ser preocupante.
  • Cualquier computadora conectada es suceptible de ser explotada
    • Password, cuentas bancarias, cardex de calificaciones, etc.
  • McNealy: “Para que lo sepan, la Internet no es segura”.
  • Entramos a una etapa llamada “Sociedad de la Información”.
Definición
  • Hacker
    • Individuo que disfruta explorando los sistemas y programas, y que sabe como sacar el máximo provecho. 
    • Experto o que es especialmente hábil en el manejo de un sistema.
  • Cracker
    • Individuo que rompe la seguridad de un sistema, se adentra en el tereno de lo ilegal 
    • Individio que se aprovecha de los conocimientos para hacer daño 
    • Hacker que responde al llamado del lado obscuro de la fuerza
Problemática
  • Creencia de que con una herramienta (ej: firewall) se tiene seguridad
  • Falta de una cultura informática
    • Desarrollo, Administración, Uso
    • Revisión de bitácoras
    • Programación segura
  • El 50% de los ataques son internos
    • Organización, Sistema de cómputo
  • Seguridad = Burocracia
    • Poner piedras al trabajo, dificultar las operaciones
  • Ataques “invisibles” o “virtuales”
    • No se le dá la importancia que se debe
      • Cerraduras en casa, candado para automóvil
  • Falta de apoyo de las autoridades
    • En las organizaciones, Estatales y Federales
  • Mito de dar a conocer las especificaciones de las TI's.
    • Es abrise y mostrar las debilidades
    • Imagen organizacional – mercadotecnia negativa
  • Ignorancia de documentos oficiales que regulen las Tecnologías de Información (TI)
    • Inexistencia, no son accesibles
    • No hay reglamentos
  • Miedo a lo desconocido
    • Actividades de los hackers
    • Nuevas tecnologías
  • Falta de entendimiento y trato a los talentos
    • Nerd, Cerebrito, Matado
    • Hacker manifiesto
Estadística de incidentes

Obscurantismo
  • Desconocimiento
    • Reglamentos, políticas de seguridad
    • Parches, actualizaciones
    • Recomendaciones
    • Estándares
  • Capricho de alguien
    • Privilegios especiales
    • El obstaculizar el trabajo de alguien
  • Misión y visión de la organización
  • Análisis de riesgo
    • Fotografía del estado actual
    • Los puntos débiles
    • Elementos sensibles / críticos
  • Conocer las capacidades de la tecnología
    • Internet-2 (ataque a los DNS root-server)
  • Modelo de seguridad
    • ¿Qué queremos proteger?
    • ¿Contra qué lo queremos proteger?
    • ¿Durante cuanto tiempo queremos protegerlo?
    • ¿Cuanto estámos dispuestos a invertir (monetario, humano, tecnológico)?
  • Desarrollo de las políticas de seguridad
    • Seguridad física
    • Seguridad lógica
    • Planes de contingencia
    • Área de seguridad
      • A quien reportar incidentes
      • Donde obtener mayor información
    • Publicación de las políticas
  • Selección de herramientas adecuadas
    • Software propietario
    • Software libre
    • Software “casero”
  • Revisiones periódicas
    • Auditorias de seguridad
  • Ciclo de vida de la seguridad
  • Grado de robustez
    • Todo lo que no está explicitamente permitido está prohibido
    • Todo lo que no está explicitamente prohibido está permitido
Conclusiones
  • La seguridad no debe ser tomado como un capricho de alguien
  • La seguridad es un problema de todos
    • Usuarios, Administradores, Desarrolladores, Legisladores, Abogados
  • Todos debemos ser parte de la solución
  • Estar al día
    • Parches / vulnerabilidades
    • Desarrollos tecnológicos
  • Puntos que debe tener alguien dedicado a la seguridad
    • Conocimientos de Legislación Informática
    • Conocimientos generales profundos de cómputo
    • Habilidad de Hacker
    • Mentalidad de Cracker

0 comentarios:

Publicar un comentario