Este documento presenta una introducción a la seguridad informática. Explica que la seguridad informática es importante para mantener los sistemas funcionando y proteger la información almacenada. También describe los roles involucrados en la seguridad como usuarios, administradores, creadores de sistemas, gerentes y hackers/crackers. Finalmente, presenta algunas definiciones clave de seguridad e identifica puntos débiles comunes en los sistemas.
2. “Si te conoces a ti mismo y
conoces a tu enemigo,
entonces no deberás temer
el resultado de mil batallas”
Sun-Tzu, El Arte de la Guerra
3. “LA SEGURIDAD INFORMATICA ES
UN CAMINO, NO UN DESTINO”
• Objetivo: mantener los sistemas
generando resultados.
• Si los sistemas no se encuentran
funcionando entonces su costo se
convierte en perdidas financieras (en el
menos grave de los casos).
• El resultado generado por un sistema es
la INFORMACION que ALMACENA O
PRODUCE.
4. La seguridad informática NO es un
problema exclusivamente de las
computadoras.
Las computadoras y las redes son el
principal campo de batalla.
Se debe de proteger aquello que
tenga un valor para alguien.
5. Definiciones de seguridad
Políticas, procedimientos y técnicas para
asegurar la integridad, disponibilidad y
confiabilidad de datos y sistemas.
Prevenir y detectar amenazas. Responder
de una forma adecuada y con prontitud
ante un incidente.
Proteger y Mantener los sistemas
funcionando.
6. ¿por qué?
Por $$$, el dueño de los sistemas tiene dinero
INVERTIDO en algo que le trae un beneficio o
ventaja.
El Cracking a otros sistemas desde cualquier
punto de vista es ilegal. Estamos
defendiéndonos ante el crimen. (aunque no
haya leyes)
Por CALIDAD, hay que acostumbrarnos a hacer
las cosas bien, aunque cueste más esfuerzo.
7. ¿De donde surge la seguridad?
“Tecnológicamente, la seguridad es
GRATIS”
• YA HAS PAGADO POR ELLA: Los
sistemas operativos modernos contienen
muchas características de seguridad.
¿Las conoces?¿Las usas?
• LAS MEJORES HERRAMIENTAS DE
SEGURIDAD SON OPEN SOURCE.
(excepto los antivirus)
8. La Seguridad Informática es Fácil:
“Con el 20% de esfuerzo se puede
lograr el 80% de resultados”
• Actividades sencillas pero constantes
son las que evitan la mayoría de los
problemas.
• Se debe de trabajar en crear
MECANISMOS de seguridad que usan las
TECNICAS de seguridad adecuadas
según lo que se quiera proteger.
9. ¿Dónde entra el Software Libre?
Esta adquiriendo muchos simpatizantes y
usuarios. Se esta volviendo popular.
Generalmente se encuentran en partes
importantes de los sistemas de una
empresa, aunque el resto de los usuarios
sigan mirando por las ventanas.
Se descubren constantemente nuevas
vulnerabilidades y algunas de ellas son muy
fáciles de aprovechar.
Por falta de conocimientos, podemos
introducir vulnerabilidades donde antes no
había.
13. Usuarios comunes
Los usuarios se acostumbran a usar
la tecnología sin saber como funciona
o de los riesgos que pueden correr.
Son las principales víctimas.
También son el punto de entrada de
muchos de los problemas crónicos.
“El eslabón más débil” en la cadena
de seguridad.
Social Engineering Specialist:
Because There is no Security
Patch for Humans
14. 2 enfoques para controlarlos
Principio del MENOR PRIVILEGIO
POSIBLE:
• Reducir la capacidad de acción del usuario
sobre los sistemas.
• Objetivo: Lograr el menor daño posible en
caso de incidentes.
EDUCAR AL USUARIO:
• Generar una cultura de seguridad. El
usuario ayuda a reforzar y aplicar los
mecanismos de seguridad.
• Objetivo: Reducir el número de incidentes
16. Creando Software
El software moderno es muy complejo
y tiene una alta probabilidad de
contener vulnerabilidades de
seguridad.
Un mal proceso de desarrollo genera
software de mala calidad. “Prefieren
que salga mal a que salga tarde”.
Usualmente no se enseña a incorporar
requisitos ni protocolos de seguridad
en los productos de SW.
17. Propiedades de la Información en
un “Trusted System”
Confidencialidad: Asegurarse que
la información en un sistema de
cómputo y la transmitida por un
medio de comunicación, pueda ser
leída SOLO por las personas
autorizadas.
Autenticación: Asegurarse que el
origen de un mensaje o documento
electrónico esta correctamente
identificado, con la seguridad que la
entidad emisora o receptora no esta
suplantada.
18. Integridad: Asegurarse que solo el
personal autorizado sea capaz de
modificar la información o recursos
de cómputo.
No repudiación: Asegurarse que ni
el emisor o receptor de un mensaje o
acción sea capaz de negar lo hecho.
Disponibilidad: Requiere que los
recursos de un sistema de cómputo
estén disponibles en el momento que
se necesiten.
19. Ataques contra el flujo de la
información
Emisor Receptor
Atacante
FLUJO NORMAL
• Los mensajes en una red se envían a
partir de un emisor a uno o varios
receptores
• El atacante es un tercer elemento; en la
realidad existen millones de elementos
atacantes, intencionales o accidentales.
20. Emisor Receptor
Atacante
INTERRUPCION
El mensaje no puede llegar a su destino, un
recurso del sistema es destruido o
temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destrucción de una pieza de
hardware, cortar los medios de comunicación
o deshabilitar los sistemas de administración
de archivos.
21. Emisor Receptor
Atacante
INTERCEPCION
Una persona, computadora o programa sin
autorización logra el acceso a un recurso
controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrónicos, copias
ilícitas de programas o datos, escalamiento
de privilegios.
22. Emisor Receptor
Atacante
MODIFICACION
La persona sin autorización, además de
lograr el acceso, modifica el mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la información que se
transmite desde una base de datos, modificar
los mensajes entre programas para que se
comporten diferente.
23. Emisor Receptor
Atacante
FABRICACION
Una persona sin autorización inserta objetos
falsos en el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantación de identidades, robo
de sesiones, robo de contraseñas, robo de
direcciones IP, etc...
Es muy difícil estar seguro de quién esta
al otro lado de la línea.
24. CREADORES
DE SISTEMAS GERENTES
SEGURIDAD
USUARIOS
25. Para que esperar…
“Si gastas más dinero en café que en
Seguridad Informática, entonces vas
a ser hackeado, es más, mereces ser
hackeado”
• Richard “digital armageddon” Clark, USA DoD
La mayoría de las empresas
incorporan medidas de seguridad
hasta que han tenido graves
problemas. ¿para que esperarse?
26. Siempre tenemos algo de valor
para alguien
Razones para atacar la red de una
empresa:
• $$$, ventaja económica, ventaja
competitiva, espionaje político,
espionaje industrial, sabotaje,…
• Empleados descontentos, fraudes,
extorsiones, (insiders).
• Espacio de almacenamiento, ancho de
banda, servidores de correo (SPAM),
poder de cómputo, etc…
• Objetivo de oportunidad.
27. Siempre hay algo que perder
Pregunta: ¿Cuánto te cuesta tener un
sistema de cómputo detenido por
causa de un incidente de seguridad?
• Costos económicos (perder oportunidades de
negocio).
• Costos de recuperación.
• Costos de reparación.
• Costos de tiempo.
• Costos legales y judiciales.
• Costos de imagen.
• Costos de confianza de clientes.
• Perdidas humanas (cuando sea el caso).
28. ¿Qué hacer?
Los altos niveles de la empresa
tienen que apoyar y patrocinar las
iniciativas de seguridad.
Las políticas y mecanismos de
seguridad deben de exigirse para
toda la empresa.
Con su apoyo se puede pasar
fácilmente a enfrentar los problemas
de manera proactiva (en lugar de
reactiva como se hace normalmente)
29. CREADORES GERENTES
DE SISTEMAS
SEGURIDAD
HACKER
USUARIOS CRACKER
30. Cracking
Cool as usual – Todo está bien
Los ataques son cada vez mas complejos.
Cada vez se requieren menos
conocimientos para iniciar un ataque.
México es un paraíso para el cracking.
¿Por qué alguien querría introducirse en mis
sistemas?
¿Por qué no? Si es tan fácil: descuidos,
desconocimiento, negligencias, (factores
humanos).
31. Quienes atacan los sistemas
Gobiernos Extranjeros.
Espías industriales o
políticos.
Criminales.
Empleados
descontentos y abusos
internos.
Adolescentes sin nada
que hacer
32. Niveles de Hackers
Nivel 3: (ELITE) Expertos en varias áreas
de la informática, son los que usualmente
descubren los puntos débiles en los
sistemas y pueden crear herramientas
para explotarlos.
Nivel 2: Tienen un conocimiento avanzado
de la informática y pueden obtener las
herramientas creadas por los de nivel 3,
pero pueden darle usos más preciso de
acuerdo a los intereses propios o de un
grupo.
33. Nivel 1 o Script Kiddies: Obtienen las
herramientas creadas por los de
nivel 3, pero las ejecutan contra
una víctima muchas veces sin saber
lo que están haciendo.
Son los que con más frecuencia
realizan ataques serios.
Cualquiera conectado a la red es una
víctima potencial, sin importar a que
se dedique, debido a que muchos
atacantes sólo quieren probar que
pueden hacer un hack por diversión.
34. CREADORES GERENTES
DE SISTEMAS
SEGURIDAD
HACKER/CRACKER
USUARIOS
ADMINISTRADORES DE T.I.
35. ADMINISTRADORES
Son los que tienen directamente la
responsabilidad de vigilar a los otros roles.
(aparte de sus sistemas)
Hay actividades de seguridad que deben de
realizar de manera rutinaria.
Obligados a capacitarse, investigar, y
proponer soluciones e implementarlas.
También tiene que ser hackers: Conocer al
enemigo, proponer soluciones inteligentes y
creativas para problemas complejos.
36. Puntos Débiles en los Sistemas
Comunicaciones
Aplicación
Servicios Internos
Servicios Públicos
Sistema Operativo
Usuarios
Almacenamiento de datos