Saneamiento de Medios de Almacenamiento
Administrando la confidencialidad de la i f información: ió Saneamiento de Medios de Almacenamiento Jeimy J. Cano, Ph.D, CFE GECTI – Uniandes [email protected] Advertencia • LLos detalles d ll ilustrados il d en esta presentación ió son procesos que afectan f d de manera definitiva a los medios de almacenamiento que se les aplique. • Por tanto, es responsabilidad de cada profesional o área de tecnología entrenar y formalizar este tipo de procedimientos en sus organizaciones, pues mal utilizados puede ocasionar pérdidas de datos irreversibles. • Esta presentación tiene un propósito educacional y académico y no pretende ser instrumento para atentar contra los medios de almacenamiento de las organizaciones. JCM07‐All rights reserved 2 Agenda • • • • • • • • • • • • • • • • • Advertencia Introducción ¿Dónde se almacena la información? Consideraciones técnicas de los medios de almacenamiento Contexto del saneamiento en la Admon de Seguridad Informática ¿Porqué adelantar el saneamiento de un medio de almacenamiento? Tipos y métodos para el saneamiento de medios ¿Qué método usar? Valoración de riesgos Herramientas disponibles para saneamiento Recomendaciones para Gerentes de TI ¿Qué dice la ISO 27001:2005? ¿Qué dice Cobit 4.1? Ciclo de vida de los datos y su seguridad Responsabilidad del Gerente de Seguridad de la Información Reflexiones finales Referencias JCM07‐All rights reserved 3 Introducción • ¿Ha efectuado un inventario de los medios que se utilizan en la organización para el almacenamiento de información corporativa? • ¿Cuando se dona un equipo de la empresa, se tiene un procedimiento formal para “sanear” el disco duro del mismo? • ¿Las cintas de almacenamiento que se reutilizan son previamente preparadas para tal fin? • ¿La disposición p ffinal de los medios de almacenamiento responde p a una clasificación l ifi ió de d la l información i f ió en ellos ll residente? id t ? • ¿Se tiene acordado con el área de archivo físico, los tiempos de retención, descarte y eliminación de la información, de acuerdo con su sensibilidad? JCM07‐All rights reserved 4 ¿Dónde se almacena la información? ¿Dónde se almacena la información? • Físico – Papel P l y sus derivados d i d – Microfilm • Electrónico – Memory cards • Compact Flash • SmartMedia – Memory Stick ‐ EEPROM – USB Flash Memory – Ipods JCM07‐All rights reserved 5 ¿Dónde se almacena la información? • Magnético – Diskettes – Discos duros – Arreglos A l de d discos di ( AI ) (RAID) – Discos Zip – Cintas • Magneto‐Óptico – Superdisk – LS‐120 JCM07‐All rights reserved 6 ¿Dónde se almacena la información? • Óptico – CD – DVD • g Holográfico – Imágenes holográficas de tres dimensiones definen estructura de almacenamiento • Molecular • Basado en una bacteria denominada bacteriorhodopsin y con un láser se cambia su estado, con lo cual se codifica el almacenamiento en el medio. JCM07‐All rights reserved 7 Consideraciones técnicas de los medios de almacenamiento • Físico – Textura del papel – Gramaje – ¿De cuántos gramos es? – Capacidad de absorción – Tiempo de envejecimiento – Duración ó • Magnético – Nacen en los 70’s – Inicialmente del mismo material de las cintas de audio – Óxido ferroso – Se establece una geometría para su almacenamiento (Discos duros y diskettes) • Pistas, cilindros y sectores – Se debe dar formato físico al medio – Formato de bajo j nivel ((define los sectores en el disco). Requiere software del fabricante. – Requiere sistema que represente los archivos para el sistema operacional – File System – FAT, NTFS, EXT3/2, HFS, ISO9660 JCM07‐All rights reserved 8 Consideraciones técnicas de los medios de almacenamiento • Óptico – Nacen en los 80 80’ss – Incrementa la capacidad de almacenamiento hasta el momento disponibles en diskettes – CD – 1982‐ 1982 Tiene Ti cuatro t capas – base de policarbonato (substrato), capa reflectiva, capa de protección y superficie de etiqueta http://electronics.howstuffworks.com/cd.htm • Entre el policarbonato y la capa reflectiva: Material fotoreactivo – Verde (utilizados en los primeros CD), p ), Oro y Azul (P (Patentado d por Verbatim) V b i ) – DVD – 1996 – Es más ancho que el CD – 1.2 mm (CD generalmente 0,6mm). JCM07‐All rights reserved http://electronics.howstuffworks.com/dvd2.htm 9 Consideraciones técnicas de los medios de almacenamiento • Electrónicos – Nacen en los los 90’s – Memory sticks – USB Flash Memory – Creadas por IBM en 1998 http://electronics.howstuffworks.com/flash-memory.htm JCM07‐All rights reserved http://es.wikipedia.org/wiki/Memoria USB http://es.wikipedia.org/wiki/Memoria_USB 10 Consideraciones técnicas de los medios de almacenamiento • Holografic Versatile Disc – Incrementa la capacidad de almacenamiento. l i t 200 veces más que un DVD – Láser se divide en dos: un rayo de referencia y otro de información – 300 Gbytes de almacenamiento http://electronics.howstuffworks.com/hvd.htm JCM07‐All rights reserved 11 Contexto del Saneamiento en la C d lS i l Admon de la Seguridad Informática Admon de la Seguridad Informática Administración de la Seguridad Políticas de Seguridad g Clasificación de la Información Estrategias de almacenamiento Medios de Almacenamiento Estándares de Seguridad g Métodos de Saneamiento Procedimientos de seguridad Herramientas seleccionadas Verificación y control Validación de resultados JCM07‐All rights reserved 12 ¿Porqué adelantar el saneamiento ¿Porqué adelantar el saneamiento de un medio de almacenamiento? • Para prevenir fugas de información voluntarias o involuntarias p con la regulaciones g y estándares de seguridad g de la • Para cumplir información. • Para contar con una estrategia confiable de reutilización de medios • Para asegurar la confidencialidad de la información y fortalecer la clasificación de la misma • Para disponer de la información conforme a su clasificación y los medios de almacenamiento disponibles. JCM07‐All rights reserved 13 Tipos y métodos para el saneamiento de medios • Tipos ¾ – Descartar • Deshacerse del medio sin medidas de saneamiento. – Distorsionar • Protege la confidencialidad de la información. Resistente a la recuperación por medio de la entrada estándar o herramientas de barrido físico del medio. – Purgar • Protege la confidencialidad de la información frente a estrategias de recuperación en laboratorios avanzados por medio de técnicas no estándares ed o de éc cas o es á da es – Destruir • Desaparición física del medio bien sea por: desintegración, incineración, pulverización o derretido. Métodos é d ª Deshacerse del medio o Generalmente asociado con información en papel que no está clasificado como sensible. ª Sobreescritura b i o Del espacio lógico y físico de los archivos con secuencias de caracteres aleatorios. Generalmente útiles y limitan recuperación ª Desmagneti ar Desmagnetizar o Exposición del medio a intensos campos magnéticos con el fin de destruir los dominios o campos presentes en el mismo. p Generalmente son dispositivos hardware. ª Destruir o Desintegración, incineración, pulverización o derretido. JCM07‐All rights reserved 14 Tomado de: NIST. Guidelines for media sanitization. ¿Qué método usar? ¿Qué método usar? Clasificación de la info BAJA SI Deja la Organización? Purgar NO Destruir Distorsionar NO Validar NO Clasificación de la info MODERADA Será reutilizado el medio? SI Deja la Organización? SI Purgar NO Clasificación de la info ALTA Será reutilizado el medio? SI Deja la Organización? SI Destruir NO JCM07‐All rights reserved 15 Tomado de: NIST. Guidelines for media sanitization. Valoración de Riesgos Valoración de Riesgos Nivel Riesgo g de Deja la Deja la NO deja la organización y organización y organización y seráá reutilizado tili d NO seráá seráá reutilizado tili d reutilizado NO deja la organización y NO seráá reutilizado BAJO Purgar Purgar Distorsionar Distorsionar MEDIO Purgar Destruir Distorsionar Destruir ALTO Purgar/Destruir Destruir Purgar Destruir JCM07‐All rights reserved Tomado de: National Institutes of Health. NIH Sanitization guide. Draft document. 2007 16 Herramientas disponibles para el saneamiento (Software) Tomado de: GARFINKEL, S. y SHELAT, A. (2003) “Remembrance of Data Passed: A Study of Disk Sanitization Practices,” IEEE Security & Privacy, vol. 1, no. 1, 2003, pp. 17–27. JCM07‐All rights reserved 17 Herramienta disponibles para el saneamiento (Hardware) http://www.degausser.co.uk/degauss/6000.htm http://www.veritysystems.com/degaussers/degausser.asp?id=157&processor=true JCM07‐All rights reserved 18 Herramienta disponibles para el saneamiento (Discos y Cintas) http://www.veritysystems.com/degaussers/degausser chart.asp http://www.veritysystems.com/degaussers/degausser_chart.asp JCM07‐All rights reserved 19 Recomendaciones para Gerentes de TI y SI • El saneamiento de los medios de almacenamiento responde directamente a la clasificación de la información. • Debe existir una política formal de saneamiento de medios y los procedimientos asociados para su ejecución por parte de personal autorizado. • Se debe contar con un inventario de medios de almacenamiento y su caracterización requerida para ser saneados según sea el caso. • Cuatro C t variables i bl son críticas íti para ell saneamiento i t de d medios: di la l clasificación l ifi ió de d la l información, el tipo de medio, si será reutilizado y si éste saldrá de la organización. • Las herramientas de software o hardware que soporten los procedimientos de saneamiento deben ser validadas y probadas previa puesta en operación JCM07‐All rights reserved 20 Recomendaciones para Gerentes de TI y SI Recomendaciones para Gerentes de TI y SI (Algunas políticas asociadas) • Fuera de los horarios regulares, los empleados deben mantener limpios los escritorios. • Durante los horarios no laborales, los empleados que laboran en áreas con información sensible deben mantener asegurada tal información. • Toda información clasificada como sensible cuando no esté en uso deber estar protegida contra cualquier acceso no autorizado. • Si existe información clasificada como sensible en un disco duro o dispositivo interno o externo de almacenamiento, ésta debe estar debidamente protegida con mecanismos de control de acceso o cifrado de datos • Si existe una tabla de retención documental, con tiempos de almacenamiento y descarte ésta debe ser revisada anualmente por los propietarios de la información para descarte, su actualización (cambio de clasificación) o destrucción. JCM07‐All rights reserved 21 R Recomendaciones para Gerentes de TI y SI d i G t d TI SI Tomado de: NIST. Guidelines for media sanitization. JCM07‐All rights reserved 22 ¿Q é di l ISO 27001 2005? ¿Qué dice la ISO 27001:2005? JCM07‐All rights reserved 23 ¿Q é di COBIT 4 1? ¿Qué dice COBIT 4.1? JCM07‐All rights reserved 24 Ciclo de vida de los DATOS Ciclo de vida de los DATOS JCM07‐All rights reserved 25 Tomado de: HYDEN, E. 2008 Responsabilidad del Gerente de Seguridad de la Información d dd l f ó • De acuerdo con las normas de archivo y conservación.. conservación • Periodos de retención y descarte.. descarte • De acuerdo con regulaciones fiscales, ttributarias, buta as, contables, co tab es, locales.. locales JCM07‐All rights reserved Tomado de: NASCIO – Representing the Chief Information Officers of the States. 2008 26 Reflexiones finales Reflexiones finales • La inseguridad de la información toma múltiples formas y estrategias, por tanto entenderla y enfrentarla implica reconocer las formas de materializarla. • No es posible alcanzar mayores niveles de confidencialidad sin una adecuada clasificación de la información • El saneamiento de medios de almacenamiento es un procedimiento obligatorio para toda empresa que sigue estándares y regulaciones internacionales sobre seguridad informática. • Sin una adecuada Si d d conciencia i i sobre b la l importancia i t i del d l activo ti información, i f ió seráá muy poco lo que se pueda avanzar en fortalecimiento de la confidencialidad de la misma • Luchar contra la inseguridad de la información, es hacerle más complicado el acceso al posible atacante interno o externo. JCM07‐All rights reserved 27 Referencias • • • • • • • • • • • • KISSEL, R., SCHOLL, M., SKOLOCHENKO, S. y LI (2006) Guidelines for media sanitization. NIST Special Publication 800‐88. GARFINKEL, S. y SHELAT, A. (2003) Remembrance of Data Passed: A Study of Disk Sanitization Practices, IEEE Security & Privacy, vol. 1, no. 1, 2003, pp. 17–27. GUTMANN, P. (1996) Secure Deletion of Data from Magnetic and Solid‐State Memory. San Jose: Sixth USENIX Security Symposium Proceedings. Disponible en: www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html GEIGER, M., FAITH CRANOR, L. (2006) Scrubbing Stubborn Data: An Evaluation of Counter Counter‐Forensic Forensic Privacy Tools. IEEE Security and Privacy, vol. 4, no. 5, pp. 16‐25, Sept/Oct. US DoE Cybersecurity Program (2007) Media clearing, purging and destruction guidance. Disponible en: http://cio.energy.gov/documents/CS‐11_Clearing_and_Media_Sanitization_Guidance.pdf. US DoE ((2006) ) National Industrial Security Program Operating Manual‐NISPOM. NISPOM 5520.22‐ M. Disponible en: http://www.dss.mil/files/pdf/nispom2006‐5220.pdf ISO/IEC 17799:2005 (2005) Code of Practice for Information Security Management, Management Control 10.7.2 10 7 2 (Disposal of Media). National Institutes of Health (2007) NIH Sanitization guide. Draft document. Disponible en: http://irm.cit.nih.gov/security/SanitizationGuide‐1‐16‐07.doc ZETTERSTROM, H. (2002) Deleting sensitive information. Why hitting delete isn’t enough. Reading Room SANS Institute. Sección Privacy. Disponible en: http://www sans org/reading room/whitepapers/privacy/691 php http://www.sans.org/reading_room/whitepapers/privacy/691.php University of Cincinnati (2006) Software Guide ‐ File Shedders. Disponible en: http://www.uc.edu/infosec/SoftwareShredders.htm#Software HYDEN, E. (2008) Data lifecycle security essentials. Information Security Magazine. Agosto. NASCIO (2008) Protecting the Realm: COnfronting the reality of State Data at Risk. Disponible en: http://www.nascio.org/publications/documents/NASCIO‐ProtectingRealm.pdf JCM07‐All rights reserved 28 Administrando la confidencialidad de la i f información: ió Saneamiento de Medios de Almacenamiento Jeimy J. Cano, Ph.D, CFE GECTI – Uniandes GECTI Estéganos International Group ‐ EIG Socio Fundador http //www esteganos com http://www.esteganos.com [email protected]
© Copyright 2024