1. Seguridad
Seguridad Informática
Modalidad de estudios: Semi Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
Zeuszoft@protonmail.com

2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con
Seguridad Informática
2. Reconocer las características de la Seguridad
Informática
Módulo Seguridad

3. Frase Motivacional
“Siempre que ves una persona
exitosa percibes sus glorias, y nunca
los sacrificios que la llevaron hasta
allí” – Vaibhav Shah.

4. Eltérmino de seguridad de información
(SI) surge por la necesidad de proteger
La información y a los sistemas que la
Administran, bien sean físicos o
Informáticos.
SEGURIDADDELA
INFORMACION

5. Es el conjunto de medidas
preventivas y reactivas de las
organizaciones y de los sistemas
tecnológicos que permiten
resguardar y proteger la
información buscando mantener la
confidencialidad, la disponibilidad
e integridad de la misma.
La confidencialidad: consiste en que la información sea accesible sólo para
aquéllos que están autorizados.
La integridad: radica en que la información sólo puede ser creada y
modificada por quien esté autorizado a hacerlo.
La disponibilidad: se fundamenta, en que la información debe ser
accesible para su consulta o modificación cuando se requiera.
SEGURIDADDELAINFORMACION

6. TIPOS DESEGURIDAD
DE LA
INFORMACION

7. Limitan el acceso físico directo a los equipos.
Incluyen cerraduras, bloqueos para teclados,
vigilantes de seguridad, alarmas y sistemas
ambientales para la detección de agua, fuego y
humo, e incluyen sistemas de respaldo y
alimentación de reserva, tales como baterías y
fuentes de alimentación ininterrumpida.
TIPOS DESEGURIDAD DE LA INFORMACION
.
FISICAS

8. Son controles que se implantan a través de soportes físicos o
lógicos difíciles de vencer y que, una vez implantados, pueden
funcionar sin la intervención humana. El soporte lógico
específico incluye antivirus, firmas digitales, cifrado,
programas de control de biblioteca, contraseñas, tarjetas
inteligentes, control de acceso de llamadas, seguimiento de
huellas o trazas de auditoría y sistemas de detección de
intrusiones.
TIPOS DESEGURIDAD DELA INFORMACION
TECNICAS

9. Los Sistemas de Gestión de Seguridad de la
Información, integran los principales mecanismos
para brindar confidencialidad, integridad y
disponibilidad de la Información.
SISTEMAS
DESEGURIDAD DE LA
INFORMACION EN LA
ADMINISTRACION
PUBLICA

10. “La Información es un activo que, como cualquier otro
activo importante, es esencial para los negocios de
una organización y en consecuencia necesita estar
protegida adecuadamente. Esto es especialmente
importante en el ambiente de los negocios, cada vez
más interconectados.” ISO/IEC
27002:2007
SISTEMASDE SEGURIDADDELA INFORMACION ISO

11. Se aplica a los sistemas de
información de toda la empresa,
incluyendo las mini
computadoras,
computadoras personales y
ambientes distribuidos.
SISTEMA DE SEGURIDAD DE LA INFORMACION COBIT

12. Asegura que sólo los usuarios
autorizados (confidencialidad) tienen
acceso a información precisa y completa
(integridad) cuando sea necesario
(disponibilidad).
SISTEMA DE SEGURIDAD DE LA INFORMACION ISACA

13. 1.Agentes de control de acceso a la nube.
2.Control de acceso adaptable.
3.Sandboxing (entorno seguro de ejecución acotado)
generalizado y confirmación IOC.
4. Detección en el punto final y soluciones de respuestas.
5.Elanálisis del Big Data en el corazón de las plataformas de
seguridad de próxima generación.
TENDENCIAS TECNOLÓGICASDELA SEGURIDAD DELA
INFORMACIÓN

14. TENDENCIAS
Elanálisis del Big Data en el corazón de las plataformas de
seguridad de próxima generación
Enel futuro todas las plataformas de protección incluirán el análisis
de datos como una característica básica. Losdatos de Gartner
apuntan a que para el 2020el 40% de las organizaciones
establecerán un “centro de datos para la seguridad”.
Estecentro de datos alojará datos que posteriormente serán
analizados, para identificar el momento preciso en el que se
produjeron cambios en la empresa, ya sean para bien o para mal,
de esta forma se establecen patrones que especifican cuál es el
comportamiento “normal” de la empresa.

15. Alfinal loimportantenoestanto cuálessonlospasosaseguir parala formulación del modelo
como la estimación de qué aspectossonlos quesepueden definir. Enfunción dequése haya
estimado existenmuchasposibilidades:
•
•
•
•
•
•
•
•
•
•
Microsoft ThreatModelling
STRIDE/DREAD
TRIKE
AS/NZS4360
CVSS
OCTAVE
Magerit
CRAMM
PTA
ACETeam

16. Estemodelo tienecinco
pasos:
1. Identificar los objetivosde
seguridad
2. Evaluar elsistema
3. Realizar la descomposicióndel
sistema
4. Identificar lasamenazas
5. Identificar lasvulnerabilidades

17. Evaluacióndelsistema
• Una vez que sehan declarado los objetivos sedebe
analizar el diseño del sistema para identificar los
componentes, los flujos de información y los límites de
confianza.
Descomponer elsistema
• Implica identificar lascaracterísticas y los módulos con
impacto en la seguridad que debenserevaluados.

18. Identificar lasamenazas
• Separte del hecho de que esimposible identificar
amenazas que no son conocidas. Por lo tanto,
concentrándose en los riesgos conocidos,serealiza
una identificación basada en el empleo de
herramientas deBugTraq.

19. Identificar las amenazas
• Además de saber qué tipo de amenaza esel que se
puede identificar, espreciso clasificar quién esel
posible atacante. Sepropone la siguiente clasificación:
• Descubrimiento accidental
• Malware automático
• Atacante curioso
• Script Kiddies
• Atacante Motivado
• Crimenorganizado

20. STRIDEesunametodología paraidentificar
amenazasconocidas. Estableceseiscategorías:
• Spoofing Identity
• Tampering withData
• Repudiation
• Information Disclosure
• Denial of service
• Elevation ofprivilege

21. Esun modelo similar al propuesto desde
Microsoft.
Existen sin embargo diferencias. TRIKEpropone
unaaproximación ala descripción del riesgoque
no aúna los ataques, las amenazas y las
vulnerabilidades.
Al contrario, permite distinguir unos de otros
construyendo un sistema experto paratoma de
decisiones.

22. Eldepartamento de Homeland Security (DHS)
del gobierno de EEUUestableció que el
denominado grupo “NIAC Vulnerability
DisclosureWorking Group”, queincorporaba a
CiscoSystems, Symantec, ISS,Qualys,
Microsoft, CERT/CCyeBay.
Uno de los resultados de este grupo ha sido el
CVSS–Common Vulnerability ScoringSystem

23. CVSSno encuentra ni reducela superficie de
ataque.
Tampoco enumera los riesgosparauna
programa determinado.
Lo queproporciona esunaaproximación técnica,
estandarizada, abierta y ordenada de una
vulnerabilidad específica.

24. Setrata de un modelo muy complejo originario de la
Carnagie Mellon University en colaboración con el
CERT.
Secentra en la evaluación del riesgo organizativo y
no técnico.
Aunque útil en la gestión de grandes organizaciones
esdemasiado costoso y no proporciona medidas
para mitigar los efectos de las amenazas. Esmás
bien un decálogo de buenascostumbres.

25. Setrata de unametodología promovida por el
CSAE(Consejo Superior de administración
electrónica) que persigue una aproximación
metódica alanálisis de riesgos.
Setrata por tanto de unametodología para
auxiliar en tarea de toma de decisiones en
entornos críticos.

26. Losobjetivosdelaaplicacióndeestemodeloson:
•
•
•
• Concienciar alos responsables de los sistemas de información de la existencia
de riesgos y de la necesidad de atajarlos atiempo
Ofrecer un método sistemático para analizar tales riesgos
Ayudar adescubrir y planificar las medidas oportunas para mantener los
riesgos bajocontrol
Apoyar la preparación ala Organización para procesos de evaluación,
auditoría, certificación o acreditación, según corresponda en cada caso
Suaplicaciónseestructura en cinconiveles:
•
•
•
•
•
Modelo de valor
Modelo de riesgos
Estado de losriesgos
Informe deinsuficiencias
Plan deseguridad

27. 90
02,
n
á
m
z
u
G
27

28. CRAMM- (CCTA(Central Computer and
Telecommunications Agency) RiskAnalysisand
ManagementMethod)
• Propuesta creada por la CCTAde ReinoUnido.
• Actualmente está en suquinta versión
• Está estructurada en tresetapas
• Cadaetapa está estructurada por unos cuestionarios que
permiten identificar y analizar los riesgos del sistema. La
última etapa propone contramedidas para los riesgos.

29. Etapa1:Establecimiento deobjetivos
• Definir los límites del estudio.
• Identificar y valorar los activos del sistema.
• Determinar el valor de los datos del sistema através
de entrevistas con el personal acerca del potencial
daño empresarial que tendría la falta de
disponibilidad, sudestrucción, falta de
confidencialidad o sumodificación.
• Identificar y valorar los activos software del sistema.

30. Etapa2: Evaluaciónderiesgos
• Identificar y valorar el tipo y nivel de amenazasque
podrían afectar alsistema.
• Evaluarla exposición del sistema frente aestas
amenazas.
• Combinar ambosaspectoscon la valoración delos
activos para determinar unamedida del riesgo.

31. Etapa3:IdentificaciónySelecciónde
contramedidas
• Sepropone unalibrería de contramedidas agrupadas
en 70grupos lógicos para facilitar suaplicación.
http://www.cramm.com/files/techpapers/CRAMM%20C

32. El Practical Threat Analysis propone una suite
para la elaboración de modelos de gestión de
riesgos y permite estimar un nivel de seguridad a
partir de la información incluida en cada
proyecto.

33. Larealización del modelo conlleva, como en
casos anteriores una serie defases:
•
•
•
•
•
•
•
•
•
Establecer los prerrequisitos delmodelo
Establecer lista deetiquetas
Identificar los recursos del sistema
Identificar lasvulnerabilidades del sistema
Identificar lascontramedidas
Identificar alos atacantespotenciales
Identificar los potenciales puntos de entrada del sistema.
Construir los escenariosde amenazasy los planesde mitigación
Estudiar losresultados.

34. Guzmán,2009
ElACETeam (Application Consulting &
Engineering Team) esparte de InfoSec en
Microsoft y los encargados de desarrollarun
modelo de gestiónde riesgos.
http://blogs.msdn.com/threatmodeling/

35. DEMO–TAM (ThreatAnalysis & Modeling Tool)
http://msdn.microsoft.com/en-us/security/aa570413.aspx

36. Bibliografía
“
”
 Norma ISO 38500:2008
 Trabajos preliminares de las normas ISO 38501 / 38502
 Waltzing with the Elephant de Mark Toomey
 “The Information Paradox” de John Thorp
 “The chaos Report” del Standish Group
 “Global Status Report on The Governance of Enterprise IT (GEIT -2011)” ISACA
 “Delivering benefits from investments in change: winning hearts and minds”
March 2011 APM John Thorp
 “8 Things We Hate About IT: How to Move Beyond the Frustrations to Form a
New Partnership with IT” de Susan Cramm
 “The knowing-doing gap: how smart companies turn knowledge into action”
Jeffrey Pfeffer, Robert I. Sutton
 “Transforming Government and Public Services”, Stephen Jenner

37. GRACIAS