Seguridad en Sistemas de Información PDF
Document Details
Uploaded by frsoal
Tags
Summary
Este documento proporciona un resumen de la seguridad en los sistemas de información. La seguridad de los sistemas de información se refiere a la práctica de proteger los datos y los sistemas informáticos de las diversas amenazas, garantizando su confidencialidad, integridad y disponibilidad.
Full Transcript
Seguridad en Sistemas de Información 1.1. Introducción Se refiere a la práctica de proteger los datos y los sistemas informáticos de diversas amenazas, garantizando su confidencialidad integridad, y disponibilidad. Esta disciplina abarca una amplia gama de medidas y técnicas destinadas a salvagua...
Seguridad en Sistemas de Información 1.1. Introducción Se refiere a la práctica de proteger los datos y los sistemas informáticos de diversas amenazas, garantizando su confidencialidad integridad, y disponibilidad. Esta disciplina abarca una amplia gama de medidas y técnicas destinadas a salvaguardar los activos digitales frente a accesos no autorizados, usos indebidos, alteraciones, destrucción o interrupciones. Sistemas de información: (Magerit) conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información Proteger Activos.Estos pueden ser:f De Datos/Información (BBDD): Servicios: TO Dimensiones a tener en cuenta: Integridad: la información debe mantenerse completa, precisa y sin alteraciones no autorizadas. Asegura que los datos no sean modificados de manera incorrecta, ya sea intencionalmente o accidentalmente. ○ Firmas digitales y hashes ○ Control de versiones: ○ Validación de entrada de datos: Confidencialidad: protección de la información contra el acceso no autorizado. Su objetivo es asegurar que los datos sensibles solo sean accesibles a las personas o sistemas autorizados, impidiendo su divulgación a entidades no autorizadas. ○ Cifrado de datos ○ Controles de acceso ○ Políticas de privacidad Disponibilidad: asegura que la información y los recursos del sistema estén accesibles y utilizables por los usuarios autorizados cuando sea necesario. Esto incluye mantener el funcionamiento continuo de sistemas, servicios y datos. ○ Redundancia y tolerancia a fallos ○ Planes de recuperación ante desastres ○ Monitoreo y mantenimiento Guía CCN-STIC-400: incluyen recomendaciones para los responsables de seguridad relativas a aspectos concretos de la seguridad de las TIC CCN-STIC-410: Análisis de Riesgos en Sistemas de la Administración 1.2. Metodología (SGSI/Sistema de gestión de la información) Definición: Es un marco estructurado que organiza, gestiona y protege los datos e información dentro de una organización. Esta metodología establece políticas, procedimientos, y herramientas necesarias para asegurar que la información se maneje de manera eficiente y segura. ISO/IEC 27001 - 27006: estándares que se enfocan en la gestión de la seguridad de la información. Se basa en la estrategia de mejora continua PDCA(Ciclo de Deming - Metodología Incremental - Mejora continua) Plan → Do → Check → Act (y vuelta a Plan) Listado: ENS,ISM3,COBIT, Common Criteria, SOGP,TLLJO, ITIL ENS (Esquema Nacional de Seguridad): Es un marco normativo español que tiene como objetivo garantizar la protección adecuada de la información manejada por las Administraciones Públicas, así como por las entidades que colaboran con ellas. ○ Establece los principios y requisitos necesarios para proteger la información y los servicios que dependen de sistemas de información, garantizando la confidencialidad, integridad y disponibilidad de los datos. ○ Nota: Obligado cumplimiento por la administración pública ○ Metodologías para la gestión y evaluación de riesgos de seguridad de la información i. MAGERIT: (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) está elaborada por el Consejo Superior de Administración Electrónica del Gobierno de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas ii. OCTAVE iii. CRAMM iv. MEHARI v. SP800-30 vi. UNE 71504 vii. EBIOS ISM3 Cobit Common Criteria: (EAL)[1-7] SOGP TLLJO ITIL 1.3. Atributos CORE a proteger → Tríada CIA + ACIDT Listado de las principales dimensiones a proteger sobre un activo: Confidencialidad: Integridad ○ ○ Si el canal no está cifrado, no garantiza la confidencialidad ○ Pasos que realiza el receptor: i. General del documento su código hash ii. Comparar el código Hash con el que le han mandado iii. Si son iguales, INTEGRIDAD = SI. Caso contrario INTEGRIDAD=NO Disponibilidad(Suele usarse mas para los tipos de Servicio: por ejemplo que esté la web disponible) Otros y también importantes Autenticidad (no-repudio): a la garantía de que una entidad, ya sea una persona, un sistema o una información, es genuina y verdadera. ○ Asegura que las partes involucradas en una comunicación o transacción son quienes dicen ser y que la información proviene de una fuente legítima.(no repudio en origen). ○ Sistemas que lo garantizan: Firma digital Trazabilidad:capacidad de rastrear todas las acciones realizadas sobre un dato o en un sistema de información, permitiendo seguir el historial, uso y localización de datos a lo largo de su ciclo de vida.(Que y cuando) 1.4. Conceptos Nota: Según donde se mire las definiciones pueden variar Activo:Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. ○ Algo que está en el SI a proteger (información o servicio) Amenaza: evento que puede darse aprovechando una vulnerabilidad Vulnerabilidad: probabilidad de ocurrencia/materialización de una amenaza ○ Debilidad de un activo o de un control que puede ser explotada por una o mas amenazas Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera. Incidente de seguridad: Suceso (inesperado o no deseado) con consecuencias en detrimento de la seguridad del sistema de información Degradación [del valor] de un activo ○ Cuando un activo es víctima de una amenaza, una parte de su valor se pierde. ○ Intuitivamente, se habla de un “porcentaje de degradación del activo”, de forma que se puede perder entre un 0% y un 100%. i. Se recoge “d” como un valor real entre 0,0 (degradación del 0%) y 1,0 (degradación del 100%). Dependencias entre activos ○ Valor acumulado ○ Sea SUP(B) el conjunto superiores de B, es decir el conjunto de activos que dependen directa o indirectamente de B: i. SUP(B) = { Ai , Ai ⇒ B } ○ Se define el valor acumulado sobre B como el mayor valor entre el propio y el de cualquiera de sus superiores: i. valor_acumulado(B) = max (valor(B), maxi {valor(Ai)}) ○ La fórmula anterior dice que el valor acumulado sobre un activo es el mayor de los valores que soporta, bien propio, bien de alguno de sus superiores Impacto : daño producido por la ocurrencia de una amenaza. Consecuencia que sobre un activo tiene la materialización de una amenaza. Impacto acumulado de una amenaza sobre un activo → ○ Es la medida de lo que implica una amenaza; es decir, la pérdida de valor acumulado(el propio mas el acumulado de los activo que dependen de el). Impacto acumulado ○ Impacto repercutido de una amenaza sobre un activo ○ Si el activo A depende del activo B, las amenazas sobre B repercuten sobre A. ○ Si B sufre una degradación “d”, eso mismo le ocurre a A, siendo el impacto sobre A la pérdida de su valor propio. Probabilidad de una amenaza ○ NA Riesgo: F(probabilidadAmenza, impacto) ○ El valor 0 refleja el riesgo inexistente ○ Magerit: Estimación del grado de exposición a que una amenaza se materialice sobre uno o mas activos causando daños o perjuicios a la organización ○ Zonas de riesgo: i. Zona 1: muy probables y de muy alto impacto ii. Zona 2(amarillo): cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo iii. Zona 3: riesgos improbables y de bajo impacto iv. Zona 4: riesgos improbables pero de muy alto impacto v. Análisis de riesgo: Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización Riesgo potencial → Se denomina riesgo a la medida del daño probable sobre un sistema. ○ Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la probabilidad de ocurrencia Riesgo acumulado ○ impacto acumulado sobre el activo teniendo en cuenta i. el impacto acumulado sobre un activo debido a una amenaza y ii. la probabilidad de la amenaza Riesgo repercutido ○ Es el calculado sobre un activo teniendo en cuenta i. el impacto repercutido sobre un activo debido a una amenaza y ii. la probabilidad de la amenaza se usará el impacto repercutido sobre el activo Impacto residual: ○ Un paquete de salvaguardas perfectamente eficaz reduce el impacto a un valor residual “v=0”, es decir, al nivel de despreciable. Si las salvaguardas son insuficientes, el impacto seguirá siendo apreciable 1.5. Seguridad Se refiere a las prácticas, procesos, políticas y tecnologías implementadas para proteger la confidencialidad, integridad y disponibilidad de la información y de los sistemas que la procesan. Objetivo: proteger los datos y los sistemas de información contra accesos no autorizados, uso indebido, divulgación, alteración, destrucción y otros tipos de amenazas Nota. Mecanismos para reducir los riesgos: Salvaguardas Puntos a tratar: Seguridad Física Seguridad Lógica Políticas de seguridad IDS/IPS (detectar accesos no autorizados a un ordenador o a una red / proteger a los sistemas de ataques e intrusiones) Criptografía: técnicas para asegurar la comunicación y proteger la información contra accesos no autorizados y manipulaciones. Seguridad Física: medidas diseñadas para proteger los componentes físicos de una infraestructura de TI, como servidores, centros de datos, dispositivos de almacenamiento, y otros equipos de hardware, contra accesos no autorizados, robos, desastres naturales, y otros daños Control de acceso a edificios Sistemas contra Incendios Sistemas de energía eléctrica (SAI) Sistemas de vigilancia (CCTV) Protección contra desastres naturales etc Nota Seguridad Física: HSM (Hardware Security Module): dispositivo criptográfico que genera, almacena y protege claves criptográficas y suelen aportar aceleración hardware para operaciones criptográficas. Como desde nuestras aplicaciones de usuario se le dice al HSM que firme: ○ Todos los módulos HSM tienen el mismo API (otra cosa es cómo esté implementado ese API) ○ nombre del API: PCKS 11 ○ Nombre coloquial: Cryptoki (cryptographic token interface) Marcas: Luna Ejemplo de módulo HSM:DNI Electrónico (en el chip están los certificados y con ellos se permite hacer el firmado) Seguridad Lógica: medidas y controles implementados para proteger los sistemas de información y datos contra accesos no autorizados, manipulación, y otros tipos de ciberataques. Antivirus: son programas cuyo objetivo es detectar y eliminar virus informáticos Anti-spam: son soluciones que permiten a los usuarios prevenir o acotar la entrega de spam Firewalls: es la parte de un sistema informático o una red informática que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Sistemas de autenticación : conjunto de procesos y tecnologías diseñadas para verificar la identidad de un usuario, dispositivo o entidad antes de permitir el acceso a un sistema de información, red o aplicación (capacidad de demostrar que un usuario o una aplicación es realmente quién dicha persona o aplicación asegura ser). ○ Uso de contraseña, certificado… y generalmente devuelve un token. ○ Con ese token ya puedes hacer una serie de cosas sobre el SI). ○ Métodos: i. Radius, Kerberos, OAuth, JWT, OpenID, @Clave, SAML, Biométricos, Sistemas OTP ii. Radius: protocolo de red que proporciona autenticación centralizada, autorización y contabilidad para los usuarios que se conectan y utilizan un servicio de red. Genera un token iii. kerberos:protocolo de autenticación de red diseñado para proporcionar una autenticación segura y sólida en redes no seguras Genera tickets que son como los tokens iv. OAuth: estándar de autorización que permite a los usuarios conceder acceso a sus recursos en un sitio web a otro sitio web sin compartir sus credenciales. Es un protocolo de autorización (la autenticación va implícita) Ejemplo de autorización: Ya logueado te ha dado un token y con este te valida si tienes acceso a una determinada tienda online v. JWT (JSON Web Token): es un estándar abierto para crear tokens de acceso que permiten la verificación de identidad y el intercambio de información de forma segura entre dos partes Un JWT consta de tres partes, separadas por puntos (.): ○ ○ Header (Encabezado): Contiene el tipo de token (JWT) y el algoritmo de cifrado (por ejemplo, HMAC SHA256 o RSA). En la cabecera es necesario poner el prefijo Authentication: bearer ○ Payload (Carga Útil): Contiene las declaraciones o "claims". Estas pueden ser declaraciones registradas, públicas y privadas. Nota: en subjet se suele poner el login ○ Signature (Firma): Asegura que el token no haya sido alterado. Se crea tomando el encabezado, la carga útil, una clave secreta y el algoritmo especificado. Se puede acceder a los datos y decodificarlos, pero no modificarlos, ya que el servidor firma el token (clave que solo sabe el servidor) y genera la clave HMAC. vi. openId: protocolo de autenticación que permite a los usuarios autenticarse en múltiples sitios web utilizando una única identidad digital gestionada por un proveedor de identidad vii. @Clave: sistema de autenticación digital utilizado en España para acceder a servicios públicos en línea. viii. SAML(@Clave): estándar abierto para el intercambio de datos de autenticación y autorización entre un proveedor de identidad (IdP) y un proveedor de servicios. Es un XML ix. Biométricos x. Sistemas OTP (One Time Password) xi. etc ○ NOTA: MFA/2FA (2 Factor Authentication): consiste en combinar varios métodos: i. Algo que sé (PIN, Password…) ii. Algo que tengo (USB, Certificado, QR…) iii. Algo que soy (Biométricos) Políticas de seguridad: conjunto de directrices, normas y procedimientos establecidos por una organización para proteger sus activos de información, garantizar la integridad, confidencialidad y disponibilidad de sus datos, y asegurar el cumplimiento de requisitos legales y regulatorios. IDS/IPS IDS: Un sistema de detección de intrusiones es un programa de detección de accesos no autorizados a un computador o a una red IPS: software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos NOTA: el IPS agrega la posibilidad de bloquear ataques y además protege de forma proactiva la red, mientras que el IDS no permite bloquear y protege de forma reactiva la red. Criptografía (VPN/SSL…) 1.6. Amenazas y vulnerabilidades Guía de ciberataques: Resumen relacionados con monetización de un ataque: Spyware:recopilar datos para enviarlos a agencias de publicidad ransomware: cifran archivos para pedir un rescate. ○ Ataque: wanna cry keylogger o steelers: roban información sensible adware: muestran publicidad dialer: toman control del medio Rogue: hacen creer que el PC está infectado Actores (Tipos): Hacker: busca el conocimiento ○ White Hat Hackers: Conocidos como hackers éticos, estos profesionales utilizan sus habilidades para mejorar la seguridad de sistemas y redes. ○ Black Hat Hackers: Hackers malintencionados que buscan explotar vulnerabilidades para obtener ganancias personales o causar daño. ○ Gray Hat Hackers: operan en una zona intermedia, sin malas intenciones pero sin seguir todas las reglas éticas. Cracker: actividad ilícita Lamer: alardea pero usa software desarrollado por otros Script Kiddie: aficionado que usa sw de otros Phreaker: área de telefonía Newbie: novato Herramientas nmap: auditorías de seguridad. ○ Escanea puertos: consulta los puertos abiertos de la máquina y saber qué servicios dispone netstat - ss: herramienta que permite identificar conexiones TCP activas en la máquina en la que se ejecuta el comando nessus - OpenVAS: detector de vulnerabilidades MetaSploit: test de penetración y descubrir vulnerabilidades de seguridad Snort: NIDS(Sistema de detección de intrusos en una Red) e IPS(Sistema de prevención de intrusos) tcpdump: captura paquetes ethereal/wireshark: sniffer Linux Kali, Parrot: distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general John the Ripper: para realizar ataques de fuerza bruta y descifrado de contraseñas. Ataques de fuerza bruta: ○ password cracker: también usa diccionarios ○ Hydra: fuerza bruta ○ NCrack: fuerza bruta ○ Medusa: fuerza bruta Cain y Abel: recuperación de password para MS Windows Shadow: motor de búsqueda de router, servidores, webcam… Nikto: herramienta de escaneo de seguridad de código abierto diseñada para identificar vulnerabilidades y problemas de seguridad en servidores web. 1.7. Amenazas y vulnerabilidades - Ataques Common vulnerabilities and Exposures (CVE): Es un sistema de referencia y nomenclatura para identificar y catalogar públicamente vulnerabilidades conocidas en software y hardware. CVE fue creado por el MITRE Corporation( por eso a veces a la lista se la conoce por el nombre MITRE CVE List) y es ampliamente utilizado por la industria de la seguridad para comunicar información sobre vulnerabilidades de manera estandarizada. Cada referencia tiene: ○ CVE-ID: CVE-2024-12345 CVE-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad). Nota. Desde enero de 2014 este identificador puede contener, si es necesario, más de cuatro dígitos El formato para las entradas candidatas a entrar en el CVE es: CAN-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad) ○ Descripción. ○ Impacto. ○ Versiones del Software afectadas ○ Posible solución (si existe) o como configurar para mitigar la vulnerabilidad ○ Referencias a publicaciones o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación ○ Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración https://mvnrepository.com/artifact/log4j/log4j Nota: Vulnerabilidad del día 0: vulnerabilidades recién descubiertas (Es posible que al fabricante del producto no le da dado tiempo a sacar un parche, y de ellos se aprovechan los hackers) CWE(Common Weakness Enumeration): es un sistema de categorías (catálogo) para las debilidades y vulnerabilidades del software y Hardware. A modo genérico, no es para un tipo de producto concreto Tipos de vulnerabilidades: SQL Injection: Ejecución de código sql no autorizado por falta de validación de las entradas de una app web ○ Ejemplo mala práctica ○ ○ Ejemplo buena práctica ○ i. En lugar de concatenar directamente las entradas del usuario en las consultas SQL, utiliza PreparedStatement. Este método no solo mejora la seguridad sino también el rendimiento. ○ Herramientas para probarlo: sqlmap ○ Con un WAF (Web Application Firewall) delante de nuestra aplicación nos protege de este ataque Eavesdropping: escuchar en secreto conversaciones privadas XSS (Cross Site Scripting): permite a una tercera persona inyectar en páginas web código javascript malicioso ○ Salvaguardas: i. Políticas CORS (Cross-Origin Resource Sharing): conjunto de reglas y mecanismos implementados en los navegadores web para controlar la interacción entre diferentes dominios en la web. Define cómo los navegadores deben manejar las solicitudes y respuestas para garantizar la seguridad y la protección del usuario, cuando un recurso web (como una página HTML, un script JavaScript o una imagen) es solicitado desde un dominio diferente al dominio del recurso original. ○ (Ej. Te descargas la home de http://marca.com pero esta tiene referencias de css, imágenes, js, etc. a url’s como esta a https://cdnjs.cloudflare.com/ajax/libs/.../bootstrap.m in.js) ii. HSTS: forzar el canal a HTTPS iii. Content Security Policy: Al conectarme a mydomain.com , el servidor me manda la cabecera “Content-Security-Policy” ○ script-src self: ○ script-src google ○ Cualquier dirección que no lleve a google o self ( el propio servidor), no cumple con las reglas excepcionadas, por lo que corta la conexión También se le puede configurar para que permita desde donde quiere recibir las fuentes (ej:css, html, scripts y fuentes) Hijacking: robo de una sesión ya iniciada ○ Válida para cualquier nivel: TCP, SSL… Clickjacking: el hacker utiliza diferentes capas transparentes o en marca de agua para poder engañar al usuario para que haga clic en un determinado botón o enlace en otro sitio cuando pretendía hacer clic en la página de nivel superior. De esta forma se pueden secuestrar los clics que están destinados a la página original y los enruta a otra web, que seguramente es propiedad de otra app o dominio. Nuke: familia de ataques en red consistente en el envío de paquetes ICMP mal construidos. Phishing: Suplantación de identidad (ej → al recibir un mail del banco) Pharming: Vulnerabilidad en servidores DNS. ○ Para redirigir un dominio a otra IP. A veces también se llama Spoofing DNS. Spoofing: Suplantación/sustitución. ○ IP: Sustituir IP Origen por la del host a atacar ○ MAC: Amenazar/suplantar identidad ○ DNS: apuntar a servidores maliciosos DoS: Denegación de servicio. ○ Técnicas de inundación o flooding i. SYN Flood ii. ICMP Flood/SMURF iii. UDP Flood Ataque piggyback: ataque de interceptación activa en el que el atacante aprovecha los periodos de pausa de un usuario legítimo para colarse Ataque pitufo o ataque smurf: utiliza mensajes de ping a la dirección de difusión (broadcast) con suplantación de identidad para inundar (flood) un objetivo (sistema atacado). ○ ○ Ping: Request + Reply ○ El atacante modifica el datagrama indicando que la ip de origen no es la suya, sino la del equipo atacado ○ Todos los Request irán contra esa IP modificada, haciendo que el sistema caiga. Ataque Ping de la muerte: El ataque consiste en enviar paquetes ICMP "Echo Request" (también conocidos como "pings") con un tamaño excesivamente grande que excede el límite permitido por el protocolo IP. ○ TearDrop: Fragmentación IP. Hace que la pila se caiga DDoS: Denegación de servicio distribuido. ○ botnets: redes de equipos infectados (bot/zombie) 1.8. Herramientas CCN CCN Cert: CERT: equipo de respuesta ante incidencias INCIBE(Instituto Nacional de Ciberseguridad) ADA Plataforma de análisis avanzado de malware, capaz de conseguir un análisis en profundidad similar al resultante de un proceso de investigación en detalle AMPARO Para la gobernanza de la ciberseguridad, que permite la implantación y gestión de la seguridad en entidades y organismos ANA Automatización y Normalización de Auditorías. Objetivo: incrementar la capacidad de vigilancia y conocer la superficie de exposición ANGELES No es en sí mismo una solución de ciberseguridad. Es una solución dedicada íntegramente a la formación, concienciación y capacitación de profesionales en materia de ciberseguridad y personas interesadas en este ámbito. ATENEA Plataforma del CCN-CERT en la que podrás demostrar tu conocimiento y destreza ante diferentes desafíos de seguridad/ciberseguridad. CARLA Solución de protección centrada en los datos, que permite que la información corporativa viaje protegida y bajo control en todo momento, minimiza la posibilidad de fugas de datos aumentando el control de la organización sobre los mismos más allá de las defensas de protección perimetrales. CARMEN Solución desarrollada con el objetivo de identificar el compromiso de la red de una organización por parte de amenazas persistentes avanzadas (APT). Dispone de capacidades para la protección avanzada ante amenazas en la organización, de forma que tanto los tráficos de red salientes e internos de la organización como los tráficos de red entrantes son adquiridos, procesados y analizados para la defensa de ésta. CCNDroid Herramientas de seguridad desarrolladas por el CCN-CERT para dispositivos con sistema operativo Android. CCNDroid Wiper: Herramienta para el borrado seguro de ficheros. CCNDroid Crypter:Herramienta para el cifrado de ficheros con distintos algoritmos (incluido PGP). CLARA Herramienta para analizar las características de seguridad técnicas definidas a través de las plantillas de seguridad de las Guías CCN-STIC CLAUDIA Solución de endpoint integrada con la herramienta Carmen que permite tener una visión más completa de lo que ocurre dentro de una red, siendo su objetivo principal la detección de malware complejo y movimiento lateral relacionado con APT. micro Es una capacidad basada en el motor de CLAUDIA que proporciona protección CLAUDIA contra código dañino de tipo ransomware a los equipos de un organismo. Para ello, hace uso de un agente ligero para sistemas Windows que se encarga del despliegue y ejecución de vacunas. ELSA permite la monitorización a nivel nacional de todos los activos conectados a Internet para detectar posibles vectores de ataque y vulnerabilidades de todo organismo o entidad de la administración pública, con el objetivo de mejorar la capacidad de respuesta ante incidentes gubernamental. ELENA es un simulador que permite a los usuarios tomar el rol del analista en un entorno simulado de investigación basado en situaciones reales, que posibilita desarrollar y poner en práctica las técnicas, tácticas y procedimientos necesarios para realizar labores de ciber investigación EMMA solución del CCN-CERT para conseguir Vigilancia sobre la red, desarrollada para agilizar la visualización de activos en una red, su autenticación y segregación, así como la automatización de auditorías de seguridad de la infraestructura. GLORIA plataforma para la gestión de incidentes y amenazas de ciberseguridad a través de técnicas de correlación compleja de eventos. Basado en los sistemas SIEM. INES Solución desarrollada por el CCN para la gobernanza de la ciberseguridad, que permite evaluar regularmente el estado de la seguridad de los sistemas TIC de las entidades y su adecuación al Esquema Nacional de Seguridad (ENS) adaptándose a otros estándares o normas reguladoras en caso necesario. IRIS plataforma desarrollada por el CCN-CERT para conocer en tiempo real el estado de la ciberseguridad del sector público y la situación de la ciberamenaza a nivel nacional. LORETO Almacenamiento en la nube LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) es una herramienta desarrollada por el CCN-CERT para la Gestión de Ciber Incidentes en las entidades del ámbito de aplicación del Esquema Nacional de Seguridad MARIA Plataforma Multiantivirus en tiempo real. Análisis estático en profundidad. MARÍA es accesible únicamente desde ADA, al haberse integrado en con esta solución. Desaparece del catálogo de soluciones como herramienta independiente. MARTA es una plataforma avanzada de multi-sandboxing dedicada al análisis automatizado de múltiples tipos de ficheros que pudieran tener un comportamiento malicioso. MONICA Gestión de eventos e información de seguridad. Es un sistema automatizado de gestión de información y eventos de seguridad que recoge en una única plataforma toda la información existente sobre amenazas potenciales, permitiendo no solo reaccionar ante los ataques, sino adelantarse a ellos para remediarlos antes de que sucedan. Esun SIEM OLVIDO solución que realiza tareas de sobreescritura y borrado sobre los sistemas de archivos y discos meta aplicar políticas de seguridad corporativas de prevención de fugas de información, OLVIDO limpiando los metadatos e información sensible oculta en los ficheros ofimáticos generados en una organización, reduciendo así los riesgos derivados del uso malintencionado de los metadatos PILAR Permite analizar los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability). Todo ello a lo largo de diversas etapas de tratamiento. PILAR Basic → Versión sencilla para PYME y Administración local. Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability). microPILAR → PILAR reducida a la mínima expresión para realizar análisis de riesgos muy rápidos. Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability). RMAT(Risk Management Additional Tools) → Estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinámicamente a la biblioteca, extendiéndola para adaptarse a un determinado contexto. REYES Solución desarrollada por el CCN-CERT para agilizar la labor de análisis de ciber incidentes y compartir información de ciberamenazas. ROCIO Solución para la automatización de las tareas básicas realizadas por un auditor de seguridad sobre equipos de comunicaciones: enrutadores, conmutadores y cortafuegos. Así, ha sido desarrollada por el CCN-CERT para verificar el nivel de seguridad de dichos equipos. VANESA plataforma de retransmisión de sesiones formativas en directo. MARGA MARGA es la solución para la tramitación de Habilitaciones Personales de Seguridad (HPS) ESE Entorno de Superficie de Exposición “S” (ESE). Es una red neuronal en constante proceso de adaptación al medio y mejora continua, diseñada para mejorar las capacidades de vigilancia y reducir la superficie de exposición de los sistemas frente a las amenazas del ciberespacio, en tiempo real. Proporciona una capa de acceso a todos los Recursos, Soluciones, Desarrollos, Guías, Noticias, Cursos de Formación, Cultura de Ciberseguridad…, dedicados a dar respuestas eficaces que permitan proteger de forma eficiente los sistemas, frente al incremento constante en número, sofisticación y complejidad de los ciberataques. 1.9. Seguridad en sistemas de información (CPD) CPD (Centro de Proceso de Datos): es una instalación especializada donde se alojan equipos y sistemas de procesamiento de datos Norma TIA 942 Elementos característicos ○ Servidores, switches… organizados en racks (bastidor) i. Anchura normalizada (19 pulgadas) ii. Medida altura (u) (una u es 1.75 pulgadas) iii. NOTAS: enclosure: armazón/caja que almacena un grupo de servidores cada u toma 3 alturas del chasis ○ Alternancia de pasillos fríos y calientes: circulación del aire (TIA 942) i. armarios enfrentados(front end) + suelo técnico perforado ○ Climatización: temperatura y humedad constante (Ej: HVAC-(Heating, Ventilation, and Air Conditioning)) i. 21º con 50% humedad ii. HVAC (Heating, Ventilation, and Air Conditioning): sistema de control ambiental en su conjunto: control de temperatura, humedad, flujo y caudal de aire, partículas en suspensión. iii. CRAC (Computer Room Air Conditioners): dispositivos de aire acondicionado instalados en las salas del CPD. Variante: CRAH Unit (Computer Room Air Handler Unit): unidad de precisión de climatización con batería de agua enfriada iv. Free cooling. Consiste en utilizar las bajas temperaturas del aire exterior para la climatización. Obviamente sólo cuando las temperaturas exteriores son inferiores a la necesaria dentro del CPD (ejemplo, CPDs en Soria). ○ Iluminación: NO luz natural ○ Sistemas de detección y control de incendios (NFPA75) ○ Sistemas de energía eléctrica i. SAI y grupos electrógenos ii. Cuadros eléctricos separados por salas/zonas ○ Sistemas de cableado estructurado, suelos y techos falsos/técnicos: TIA 658 ○ Sistemas de control de acceso y video vigilancia ○ ubicación física: plantas intermedias, sin interferencias, sin canales de agua cerca ○ CPD Respaldo [réplica de datos] i. sala blanca: igual que el CPD principal ii. sala de backup: similar pero ofrece menos servicios 1.10. Norma Tia 942 → Tier I hasta Tier IV 4 subsistemas para un datacenter Telecomunicaciones + áreas funcionales(zonas) Arquitectura Sistema eléctrico Sistema mecánico Tabla de características de los TIER Tier I Tier II Tier III Tier IV Básico Componentes Mantenimiento Tolerante a errores Redundantes concurrente Disponibilidad: Disponibilidad: Disponibilidad: Disponibilidad: 99,6671% 99,741% 99,982% 99,995% Anual: 28,8 h Anual: 22h Anual: 1,6h Anual: 0,4h Paradas por 3/2 años de 12h Ninguna Ninguna mantenimiento: 2/año de 12 h no representa a partir de este hay redundancia (N+1) duplicada 2(N+1) redundancia redundancia (N+1) Ej: 2 UPSs una única entrada una única entrada 2 entradas energía. 2 entradas energía. de energía de energía Una en activa otra Las 2 activas pasiva EPO (Emergency Power off): botón de parada de emergencia. Alguien activa la interrupción de energía de emergencia Eficiencia energética de un CPD: capacidad del CPD para utilizar la energía de manera óptima, minimizando el desperdicio y reduciendo el consumo total de energía sin comprometer el rendimiento de sus sistemas y servicios Métricas: ○ PUE(Power Usage Effectiveness): se define como el resultado de divisor los consumos eléctricos totales de un CPD entre el consumo exclusivo de los sistemas IT (objetivo