Caso Práctico

Seguridad para las Tecnologías de la Información

Robert English

Internet es considerado como una herramienta eficiente y económica para distribuir información, productos
y servicios. Sin embargo, por sus características, Internet puede considerarse también un ambiente hostil para
trabajar. Por ello resulta necesario proteger los sistemas, la información y los servicios frente a posibles ataques
que pudiesen resultar, finalmente, en la pérdida de la confidencialidad, la integridad o la disponibilidad de
éstos.

Los pasos para implementar el concepto de seguridad en las tecnologías de la información se pueden
resumir en:

1. Considerar los requisitos de seguridad: Entre los principales elementos que están involucrados en el
concepto de seguridad se cuentan la confidencialidad, la no repudiación, la integridad, la autenticación, el
control de acceso y la disponibilidad.

2. Aplicar métodos y tecnologías conocidas: Evaluar marcos, políticas y estándares, gestión de riesgo de
seguridad, impacto en la privacidad, definición de herramientas a usar (firewalls y gateways, servidores de
autenticación, tecnología de encriptación, entre otros).

3. Realizar el análisis de amenazas y riesgos que permitan elegir las alternativas de seguridad, así como el
diseño del modelo de seguridad más eficientes y menos costosos.

4. Implementar las soluciones de seguridad que involucren y protejan todo el ciclo de operación de las
tecnologías de la información, así como los procesos técnicos y administrativos.

5. Realizar estudios de impacto, donde se evalúe y confirme la protección de la data y sistemas.

Entre los beneficios de implementar el concepto de seguridad en las tecnologías de la información tenemos
que ésta, definitivamente, facilita los negocios electrónicos, estandariza las transacciones electrónicas
(mediante una Public Key Infrastructure), impulsa la transferencia de información entre partes que no
mantienen una relación de negocios establecida, protege la información y activos de las empresas (tales como
secretos empresariales o propiedad intelectual), permite mantener una posición competitiva en el mercado,
entre muchos otros.

El riesgo de no tomar en cuenta la seguridad en la aplicación de tecnologías de la información puede

resultar en la alteración de la información, sin que se advierta, falta de seguridad para saber con quién estoy
manteniendo comunicación y el riesgo de exponer información sensible a ser revelada. Como consecuencia de
esto, se reduciría las oportunidades para realizar negocios, lo que a su vez, no permitirá el desarrollo amplio
del Internet.

23
Cinnabar Net works Inc. Session 1 Cinnabar Net works Inc. Sesión 1

IT SECURITY (ITS) SEGURIDAD IT (ITS)

The Business Case Caso de Negocios

Robert A. English Robert A. English

Managing Principal, ITS & Privacy Director Administrativo, ITS & Privacidad
Cinnabar Networks Inc. Cinnabar Networks Inc.

Esquema de la
Presentation Outline Presentación

Š Objectives Š Objetivos
Š Definition of ITS Š Definición de ITS
Š The Business Problem Š El Problema de Negocios
Š Why Apply ITS Š Por qué aplicar ITS
Š How to proceed Š Cómo proceder
Š An Infrastructure Approach & Benefits Š Un enfoque de Infraestructura y sus
Š The Risk of Doing Nothing Beneficios
Š El riesgo de no hacer nada

Objectives Objetivos

Š To define IT Security (ITS) Š Definir Seguridad IT (ITS)

Š To appreciate the need for security in electronic Š Apreciar la necesidad de seguridad en las
business operations operaciones de comercio electrónico
Š To identify security requirements and benefits and Š Identificar los requerimientos de seguridad,
limitations of an infrastructure solution beneficios y limitaciones de una solución de
infraestructura

25
 Scope - Definition Alcance - Definición
of ITS de ITS

Š The protection of systems, data and services Š La protección de sistemas, datos y servicios
from accidental and deliberate threats that contra amenazas accidentales y deliberadas
could result in the loss of confidentiality, que pudieran resultar en una pérdida de
integrity and availability confidencialidad, integridad y disponibilidad.

….... a very broad and complex issue ….... un tema muy amplio y complejo

Definition: System Definición: Seguridad de

Security Holistic Sistemas Holistica

Protection of Protección de
Systems Integrity Sistemas Integridad
ata Confidentiality atos Confidencialidad
Services Availability Servicios Disponibilidad
Against loss of Contra la
perdida de
The protection of systems, data and services La protección de sistemas, datos y servicios contra amenazas accidentales y
from accidental and deliberate threats that could result deliberadas que pudieran resultar en la pérdida de confidencialidad, integridad y
in the loss of confidentiality, integrity and availability disponibilidad
….un tema muy amplio y complejo
….a very broad & complex issue

Definition:Balanced Definición: Seguridad

Security Equilibrada

Š Practiced from a system perspective over the Š Se practica desde una perspectiva de sístema
complete life cycle (planning, implementation durante todo el ciclo de vida (planificación,
& operational) implementación y operacional)

Š IT security is balanced with physical & Š La seguridad IT se compara a la seguridad física

personnel security….. y personal…..

26
 La Oportunidad de
The Business Opportunity
Negocios

Š IT is the basis for new paradigms of e- Š La IT es la base para los nuevos paradigmas
business and e-government de comercio electrónico y gobierno
electrónico
Š The Internet is seen as an efficient &
inexpensive means of distributing Š Internet es vista como un medio eficiente y
information, products & services económico de distribuir información,
productos y servicios

The Business Challenge El Desafio de Negocios

Š How to work safely in a hostile Š ¿Cómo trabajar con seguridad en un

environment? ambiente hostil?
„ understand the problem „ entender el problema

„ identify the practical solutions „ identificar las soluciones prácticas

„ implement and monitor „ implementar y monitorear

COMPREHENSIVE SOLUCIONES INTEGRALES DE

INFORMATION TECHNOLOGY SECURITY SEGURIDAD DE TECNOLOGIA DE LA
SOLUTIONS INFORMACION
Project Management - Change Management - Communications Administración de Proyecto – Administración del Cambio - Communicaciones

Environmental Análisis
Analysis Design Ambiental Diseño
Acquisition Adquisición
• Governance • Infra- • Gobernancia • Infra-
• Evaluation • Criterios de
• Legal structure • Legal estructura
Criteria Product Evaluación Producto
• Legislative • Directory • Legislativo • Directorio
• Technical • Selection • Especificación • Selección
• Accountability Specification • Validation • Responsabilidad Privacidad Técnica • Validación
• Outsourcing • Procurement • Tercerización • Evaluación de • Planificación de
• Threat Risk Privacy Planning Implementation • Factores de Impactos Compras Implementación
Factors • Impact • Installation Riesgo y Amenaza • Código • Instalación
Business Ambiente de
• Bias Assessment • Cut Over • Parcialización • Cut Over
Environment Negocios
• Culture • Code • Support • Cultura • Soporte
Technical Security Test & Evaluación Mecanismos de Planificación de
Assessment Mechanisms Acceptance Técnica Seguridad Pruebas y
Strategic IM/IT/ITS Planning Planes Politicas y Aceptación
Update Políticas
& Business Policies & Operations Estratégicos Planes Operaciones
Policies Develop Threat/Risk Actualizadas Desarrollo Evaluación de
Plans Plans • New Apps y de Negocios IM/IT/ITS • Diseño &
Security Assessment Principios Amenazas/ Infraestructura &
PKI Infrastructure Design & Integración
Archi- • Threat Arquitectura Riesgos Aplicación de PKI
& Application Integration de nuevas
IT tecture Vulnerability Plan de de • Vulnerabili- • Pruebas de
Approach • Due Diligence • Change(s) Enfoque aplicaciones
Requirements Analysis & Security Principles • Safeguard Análisis de Requerimien- Seguridad Seguridad dad a las Diligencia
• Product Testing • TRA Update • Producto • Cambio(s)
Business Case Plan Identification tos y Caso de TI Amenazas Debida
• 1st Principles • Recommend- • Security • 1eros Principios • Identificación • Actualización
Profile Negocios de TRA
• Best Practice ations • Mejor Práctica de Salvaguar-
Application Maintenance Diseño & • Mantenimiento
das
Design & • Penetration Desarrollo de del Perfil de
Develop Desarrollo de • Recomenda-
Development Testing Aplicación Seguridad
Certification Enfoque de ciones
• Integration • Audit • Integración • Pruebas de
Approach • Conformance • CA Services Certificación • Prueba de Penetración
Testing Conformidad • Auditoría
• Servicios CA
Audit Requerimientos de
Requirements Auditoria

27
 Environmental Assessment Evaluaciones Ambientales

ŠIncreased access (Internetworking) ŠMayor acceso (Internetworking)

ŠExpanded use of intranets and extranets ŠEl uso expandido de intranets y extranets
increases vulnerability to illegal access and aumenta la vulnerabilidad en cuanto a acceso
computer crime ilegal y delitos con computadoras

ŠComputer power, new technology and ŠLa potencia de las computadoras, la nueva
interconnection of networks pose a more serious tecnología y la interconección de redes
problem plantean un problema más serio

The Business Problem El Problema de Negocios

Š The threat orientation has changed from Š La orientación de las amenazas ha

military & diplomatic to economic and cambiado de lo militar y diplomático a lo
technological económico y tecnológico
Š Industrial espionage has been on the Š El espionaje industrial ha estado en
increase since 1983 and it continues aumento desde 1983 y continua sin abatir
unabated (Ejemplo: Ottawa Business Journal --Sept 99 )
(Example: Ottawa Business Journal --Sept 99 )

The Business Problem El Problema de Negocios-

Technologies Targeted Tecnologías Objetivo
Technologies Targeted by Tecnologías Objetivo por
Category Categoría
Computer Communications Computa Comunicaciones
21% 23% ción 23%
21%
Laser Laser
5% Biotechnology 5% Biotecnología
10% 10%

Other Nuclear Otras Nuclear

23% 8% 23% 8%
Aerospace Aeroespacial
10% 10%

Export Control: computers & communications switches Control de Exportaciones: conmutadores para computadoras y comunicaciones
Sept 13/99 Ottawa Business Journal Sept 13/99 Ottawa Business Journal

28
 The Business Problem El Problema de Negocios
Confirmed Confirmado

Š 1999 Information Security Industry Survey Š 1999 - Encuesta a la Industria de Seguridad de la

(ICSA) of 745 organizations Información (ICSA) a 745 organizaciones

„ Comercio electrónico - aumento en ataques externos

„ E-business - growth in outside attacks

„ Entre 1997 y 1998 se ha visto un incremento del 92%

„ 1997 to 1998 has seen 92% increase in en accesos no autorizados
unauthorized accesses

The Business Problem El Problema de Negocios

Confirmed Confirmado

Š ICSA Survey of 745 organizations Š Encuesta ICSA a 745 organizaciones

„ Biggest security concerns „ Principales preocupaciones de seguridad
z hackers/crackers z hackers/crackers
z preventing malicious codes z evitar códigos falsos
z secure remote access z acceso remoto seguro
z single sign-on z un sólo sign-on
z e-mail security z seguridad de correo electrónico

The Business Problem El Problema de Negocios

Š ICSA Survey of 745 organizations Š Encuesta ICSA a 745 organizaciones

„ Security product purchasing trends (change: „ Tendencias en la compra de productos de
1998 to 1999) seguridad (cambio: 1998 a 1999)
z firewalls ( 5th to 1st) z firewalls ( 5to al 1ero)
z access controls (3rd to 2nd) z Controles de acceso (3ero al 2do)
z client server (6th to 3rd) z Servidor de cliente (6to al 3ero)
z LAN/WAN security (7th to 4th) z Seguridad LAN/WAN (7to al 4to)
z Web security (10th to 5th) z Seguridad Web (10mo al 5to)

29
 Why Apply ITS Por qué aplicar ITS

Š Protection of corporate information assets; Š Protección de los activos de información

including business secrets and intellectual corporativa; incluyendo secretos comerciales y
property propiedad intelectual
Š Maintenance of competitive position Š Mantenimiento de una posición competitiva
Š Maintenance of client confidence Š Mantenimiento de la confianza de los clientes
Š Mandated….corporate policy Š Política corporativa ….obligatoria

Por qué aplicar ITS

Why Apply ITS (Cont’d) (Continuación)

Š Meeting trading partner agreements and Š Para satisfacer los acuerdos y expectativas
expectations de los socios comerciales

How To Proceed Cómo llevar a cabo una

Technical Assessment Evaluación Técnica

Š Consider current security needs Š Considerar las necesidades actuales de

„ access control seguridad
„ confidentiality „ control de acceso
„ non-repudiation „ confidentialidad
„ integrity „ no-repudio
„ authentication „ integridad
„ autenticación

30
 How To Proceed Cómo Manejar los Riesgos
Security Risk Management para la Seguridad

Š Consider known approaches & technology Š Considerar enfoques y tecnologías

„ security frameworks, policy & standards conocidas
„ security risk management „ Marcos de seguridad, políticas y normas
„ Manejo de riesgos para la seguridad
„ privacy impact assessments
„ Evaluaciones del impacto a la privacidad
„ firewalls & gateways
„ firewalls y gateways
„ secure authentication servers
„ Servidores de autenticación seguros
„ cryptography (encryption & digital signatures) „ criptografía (encripción y firmas digitales)

How To Proceed Cómo proceder

Š Complete an I & IT Architecture with ITS Š Construir una Arquitectura I & IT con ITS
as a component architecture como una arquitectura componente

Š Develop an enterprise wide ITS strategy to Š Desarrollar una estrategia ITS para toda la
find economies and efficiencies in IM/IT empresa para encontrar economía y
eficiencia en IM/IT

How to Proceed Cómo proceder

Š Look for a total solution provider Š Buscar un proveedor de solución total

Š Consider an infrastructure solution Š Considerar una solución de infraestructura
Š Implement services and solutions that Š Implementar servicios y soluciones que
„ cover the full life cycle for IT systems „ cubran todo el ciclo de vida de los sistemas IT
„ cover both administrative & technical „ cubran tanto los desafíos administrativos como
challenges los técnicos

31
 How to Proceed Cómo proceder

Š Business case & feasibility analysis of adopting a Š Caso de negocios y análisis de factibilidad sobre la
PKI technology approach adopción de un enfoque de tecnología PKI

Š Consider what clients and partners are doing; is Š Considerar qué es lo que los clientes y socios están
interoperability or cross-certification an issue? haciendo; ¿ son la interoperabilidad o certificación
cruzada un problema?

How to Proceed Cómo proceder

Š Develop PKI certificate policies & practices Š Desarrollar políticas y prácticas de certificación
PKI
Š Complete a Threat and risk assessment to ensure
cost-effective design alternatives & safeguard Š Desarrollar un análisis de amenazas y riesgos para
selection asegurar altrernativas de diseño costo-efectivas y
selección de salvaguardas

How to Proceed Cómo proceder

Š Conduct ITS Governance studies to find Š Realizar estudios de gobernancia IT para

internal management efficiencies and to encontrar eficiencias de administración
extend arrangements to include outside interna y ampliar los acuerdos para incluir a
partners los socios externos
Š Realizar evaluaciones del impacto a la
Š Conduct privacy impact assessments to privacidad para confirmar la protección de
confirm data protection where new datos cuando se introducen nuevas
technologies are being introduced tecnologías

32
 An Infrastructure Un Enfoque de
Approach Infraestructura

Š Defining a Public Key Infrastructure Š Definir una Infraestructura de Clave Pública

„ Enables secure electronic transactions and „ Permite transacciones electrónicas seguras e
exchange of sensitive information through the intercambio de información sensible mediante
use of cryptographic keys and certificates el uso de claves criptográficas y certificados

An Infrastructure Un Enfoque de
Approach Infraestructura

Š Security services provided by a PKI? Š ¿ Servicios de Seguridad prestados por una PKI?
„ Proceso de Autoridad de Certificación
„ Certification Authority Process
„ Administración de Claves
„ Key Management
„ Encripción
„ Encryption „ Control de acceso
„ Access control „ No-repudio
„ Non-repudiation „ Firmas digitales
„ Digital signatures

An Infrastructure Un Enfoque de
Approach Infraestructura

„ Provides a high degree of confidence that: „ Proporciona un alto nivel de confianza en que:
z private keys are kept secure; z las claves privadas se mantengan seguras;
z linkages between specific private and public keys are z los vínculos entre claves públicas y privadas
trustworthy específicas sean confiables
z parties holding public/private key pairs are who they z las partes que tienen las claves pública/privada sean
say they are quien dicen ser
z trust & accountability exist z Exista confianza y responsabilidad

33
 An Infrastructure Un Enfoque de
Approach Infraestructura
Third Party Trust - Trust is Established Through Confianza entre tres partes – La Confianza se establece mediante
Trust in a Common Certificate Authority la confianza en una Autoridad de Certificación Común

Certification
Authority (CA) Autoridad de
Certificación (CA)
Trust Trust
Confianza Confianza

Certificate
Tenedores de
Holders
Certificados
Alice Bob Bob
Alice

Third-party Trust Confianza entre tres partes

An Infrastructure Un Enfoque de Infraestructura

Approach
Cross-certifications: Trust is Established Through Trust Certificaciones Cruzadas: La confianza se establece mediante
Between Organizations la confianza entre Organizaciones
Trust is Established Through Trust between the Trust is Established Through Trust between the
Canada Post Canada Post
BNS BNS
Organizations Organizations
Cross-Certification Certificación cruzada

Certification Autoridades de
Trust Confianza
Authorities Certificación

Trust Trust Confianza Confianza

Certificate Tenedores de
Holders Certificados
Alice Bob Alice Bob

Third-party Trust Confianza entre tres partes

Benefits Of An
Infrastructure Solution Beneficios de una Solución de
Infraestructura

Š An enabler to conducting business ƒ Un facilitador para llevar a cabo

electronically; facilitates business negocios electronicamente, facilita las
transactions under commonly accepted legal transacciones de negocios bajo normas
standards (Public Key Infrastructure) legalmente aceptadas (Infraestructura
de Clave Pública)

34
 Benefits Of An Beneficios de una Solución
Infrastructure Solution de Infraestructura

Š Retention of market share--security is marketed as ¾ Retención de la participación en el mercado - la

a value added service (Bank of Nova Scotia) seguridad se comercializa como un servicio de
valor añadido (Bank of Nova Scotia)
Š A vital element of national electronic commerce
(E - business)
¾ Un elemento vital del comercio electrónico
nacional (E - business)

Benefits Of An Beneficios de una Solución

Infrastructure Solution de Infraestructura

Š Ensures the security of electronic Š Asegura transacciones electrónicas seguras

transactions in a virtual world and en un mundo virtual y

Š Exchange of sensitive information between Š El intercambio de información sensible

parties that do not have an established entre partes que no tiene una relación de
business relationship negocios establecida

The Risk of doing El riesgo de no hacer

Nothing nada

Š Electronic transactions could be altered Š Las transacciones electrónicas pueden ser

without a trace alteradas sin rastro
Š There is no trusted way to identify who is Š No hay forma confiable de identificar quién
communicating electronically se está comunicando elctronicamente
Š The advantage of the internet cannot be Š No se puede aprovechar plenamente la
fully realized ventaja del Internet

35
 The Risk of Doing El riesgo de no hacer
Nothing nada

Š There is a risk of exposing sensitive Š Hay riesgo de exponer información sensible

information
Š Las oportunidades de comercio electrónico
Š Electronic business opportunities will be se verán limitadas
constrained

Discussion/Questions Discusión/Preguntas

Š Issues Š Temas
„ ¿se considera que la información es un activo
„ is information considered a valuable asset?
valioso?
„ is the threat understood/accepted?
„ ¿se acepta/entiende la amenaza?
„ is security treated as a life cycle issue? „ ¿se trata la seguridad como un asunto a lo largo
„ are the benefits & limitations of infrastructure de todo el ciclo de vida?
solutions understood? „ ¿se entienden los beneficios y limitaciones de las

„ are I & IT architectures understood? soluciones de infraestructura?

„ ¿se entienden las arquitecturas I & IT?

36