1. Marvin Zumbado Flores
ANÁLISIS DE SEGURIDAD DE LA
INFORMACIÓN PARA
BETMAKER.AG

2. Betmaker - BetCris

3. Definiciones Básicas:
 Activo: cualquier cosa que tenga valor para la
organización
 Control: forma de defenderse contra un riesgo,
incluyendo políticas, procedimientos, directrices,
prácticas o estructuras organizacionales que pueden
ser de naturaleza administrativa, técnica o de
contingencia
 Seguridad de la información: preservación de la
confidencialidad, integridad y disponibilidad de la
información
 Política: intenciones o directrices globales
formalmente expresadas por la dirección

4. Levantamiento de Activos
 Entrevistas
 http://www.microsoft.com/spain/technet/recurs
os/articulos/srappb.mspx

5. Spiceworks

6. Riesgos
 Incidencia catastrófica
 Error mecánico
 Persona “benigna”
 Persona malintencionada

7. Vulnerabilidades
 Física
 Natural
 Hardware
 Software
 Vulnerabilidades colocadas deliberadamente
 Errores de configuración
 Comunicaciones
 Humanos

8. Controles

9. Controles Existentes
 Físicos
 Acceso controlado al edificio por una
recepcionista y guardas con armamento grueso
 Tarjetas electrónicas para todas las puertas de
acceso a oficinas de trabajo
 Controles Biométricos para el acceso al cuarto de
servidores y bases de datos
 Múltiples cámaras de vigilancia
 Revisión de personal a la salida
 Equipo de mantenimiento que revisa las servicios
periódicamente

11. Controles Existentes (cont.)
 Software
 Acceso controlado a la red por medio de claves
 Permisos de usuario según departamento
 Inventario de software instalado
 Firewall y antivirus en todos los equipos de la red
 Datos:
 Destrucción y reciclaje de papelería
 Almacenamiento en bases de datos bien resguardadas
fuera del país
 Generalidades:
 Existe una buena representación legal previamente
contratada

12. Controles recomendados
 Físicos:
 Realizar inventario intensivo de equipo
 Software
 Compra de licencias faltantes
 Uso de software libre
 Contratar hackers para que exploten nuestras vulnerabilidades
 Datos
 Encriptación
 Backups periódicos
 Revisiones de acceso y uso de información
 Generalidades:
 Charlas sobre seguridad a empleados
 Charlas motivacionales a los empleados
 Plan de continuidad

13. Controles criptográficos
 http://www.truecrypt.org/
 http://www.mxcsoft.com
 http://www.albalia.com/

14. Conclusiones
 La empresa para la que laboro no está a un
100% en lo que refiere a la seguridad de la
información
 Existen vulnerabilidades y deficiencias que
pueden ser solventadas con políticas y un
poco de inversión
 Existen vulnerabilidades para las cuales es
casi imposible estar preparado

15. Conclusiones (cont.)
 La seguridad electrónica cada vez juega un
papel más importantes en las empresas y se
ha convertido en un gasto prioritario
 Se debe dar seguimiento a las soluciones que
velan por la seguridad, no vale con
implantarlas, hay que monitorearlas y
ajustarlas periódicamente
 Se deben hacer simulacros para ver como se
respondería ante una situación dada

16. Referencias
 http://iso27002.wiki.zoho.com/7-1-1-Inventario-
de-Activos.html
 http://jmpovedar.wordpress.com/auditoria-
informatica/
 http://www.microsoft.com/spain/technet/recurs
os/articulos/srappb.mspx
 http://www.inteco.or.cr/esp/
 http://www.inteco.es/
 Norma IRAM ISO IEC 17799 - Argentina.
 Estandar ISO 17799 (2005) – Español