SlideShare una empresa de Scribd logo

Presentacionppt1

Descargar como PPT, PDF
V
VICTORIAZM
1 de 62
Information Security Ethical Hacking & Computer Forensics ZL-SSC – Certifications: Consultor en Seguridad e Inteligencia Corporativa ZL – SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar
Delitos Informáticos
Delitos Informáticos Concepto El delito informático puede comprender tanto aquellas conductas que valiéndose de medios informáticos lesionan intereses protegidos como la intimidad, el patrimonio económico, la fe pública, la seguridad, etc., como aquellas que recaen sobre herramientas informáticas propiamente dichas tales como programas, computadoras, etc.
Principales Amenazas Existen cuatro tipos básicos. 1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. 2. Delitos de fraude informático. 3. Delitos por su contenido. 4. Delitos relacionados con la infracción de la propiedad intelectual.
¿Quienes pueden atacar? 80% Novatos 12% Intermedio 5% Avanzados 3% Profesionales
A quienes afectan los delitos informáticos • Las empresas utilizan sistemas de información llegando a ser inevitablemente dependientes de ellos, ya que la mayor parte de sus datos están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. • Un tercio de los usuarios utiliza contraseñas como el nombre de su mascota, su hijo o un plato favorito. Cualquiera de ellas es fácil de adivinar en cuestión de minutos y cada vez más virus se valen de esta debilidad de los usuarios. (el virus "Deloder", que logró ingresar en más de 10.000 sistemas en el mundo a partir de una serie de listas con contraseñas). • Las amenazas pueden surgir tanto desde el exterior como desde el interior de la compañía: virus, hackers, los propios empleados, etc.
Como afectan los delitos informáticos
Vulnerabilidades mas comunes Vulnerabilidades Ejemplos •Uso de passwords default o en blanco Hack Passwords •Passwords predecibles Configuración •Usuarios con privilegios excesivos Incorrecta •Aplicaciones corriendo sin autorización •Administradores que resetean passwords Ingeniería Social sin verificar la identidad del llamado •Servicios no usados y puertos inseguros Seguridad Débil •Firewalls y Routers usados incorrectamente Transferencia de •Paquetes de autenticación en texto plano datos sin encriptar •Datos importantes sin encriptar vía Internet Software sin parche •Service Packs no mantenidos de seguridad •Antivirus sin actualizar
Ataque paso a paso INTRUSO Estado del ataque Ejemplo de Acciones 1-Búsqueda de Ingreso Correr un scanner de puertos 2-Penetración Explorar un sistema sin parches de seguridad 3-Elevación de Privilegios Lograr cuenta de Administrador 4-Ataque en si mismo Robo de datos, destrucción del sitio web, etc. 5-Enmascaramiento Borrado de rastros del ingreso y ataque
Técnicas de Ataque El uso de herramientas y de la información para crear Footprinting un perfil completo de la postura de la seguridad de una organización. El atacante usa herramientas y la información Scanning obtenida para determinar qué sistemas estas vivos y accesibles desde Internet así como qué puertos están escuchando en el sistema. Uso de herramientas para obtener la información detallada (servicios ejecutándose, cuentas de Enumeration usuario, miembros de un dominio, políticas de cuentas, etc.) sobre un sistema remoto, con el intento de atacar la seguridad de cuentas y servicios en el objetivo
Técnicas de Ataque Después que el atacante tiene identificado y accede al trafico del firewall que puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un Port Redirection software Port Redirector en el equipo dentro del firewall. El Port Redirector tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro equipo detrás del firewall en otro puerto (3389). Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer los passwords Gaining Access de los archivos. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos, el hacker podría utilizar l0phtcrack y extraer los usuarios y passwords exactos.
Técnicas de Ataque Un hacker puede causar la mayoría del daño consiguiendo privilegios administrativos en una red. Privilege Escalation Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest. Eso permite que un usuario remoto realice cualquier Remote acción remotamente vía un puerto a su elección sin Administration un usuario local del sistema que lo habilite. Tools Ejemplo: Sub7 es el más popular / NT Rootkit es el más avanzado
Footprinting – El servicio WHOIS El servicio “WHOIS” es uno de los tantos servicios de información disponible en Internet. Con él se puede obtener información sobre direcciones IP y nombres de dominio, por lo que es muy utilizado por los atacantes para obtener información a la hora de planificar un ataque. Existen numerosos servidores whois ya que los registros de dominios están descentralizados, pero usualmente existe al menos uno por cada código de país. (.ar, .ru, .es, etc.)
Footprinting – El servicio WHOIS En el caso de los .com, .org, .edu (gTLDs- Generic Top Level Domains), la información está disponible en los servidores de las distintas entidades registrante. El registro de las IP es mantenido por el servidor ARIN (American Registry of Internet Numbers) para las asignadas a EEUU y Canadá; el Servidor LACNIC (Latin America and Caribean Network Information Center) para las de América Latina y el Caribe y el servidor RIPE NCC (Reséaux IP Européens Network Cordination Centre) para las europeas.
Footprinting – El servicio WHOIS ACCEDIENDO AL SERVICIO: Para acceder al servicio whois solo hace falta la herramienta “telnet” y su única función será la de establecer una conexión TCP mediante el puerto 43 con el servidor del que se va a requerir la información. Usando el comando $ telnet servidorwhois 43 se creará la conexión entre nuestro sistema y el servidor whois
Footprinting – El servicio WHOIS $ t e ln e t w h o is .c r s n ic .n e t 4 3 tr y in g 1 9 8 .4 1 .3 .5 4 c o n n e c te d to w h o is . c r s n ic .n e t. E s c a p e c h a r a c t e r i s '^ ] '. d o m a in g o o g le .c o m W h o is S e rv e r V e r s io n 1 .3 D o m a in n a m e s in th e .c o m a n d .n e t d o m a in s c a n n o w b e r e g is te r e d w ith m a n y Petición realizada d if f e r e n t c o m p e tin g r e g is ta r s . G o to h ttp ://w w w .in te r n ic .n e t fo r d e ta ile d in fo rm a tio n . sobre google.com D o m a in N a m e : G O O G L E .C O M R e g is tra r: A L L D O M A IN S .C O M I N C . W h o is S e rv e r : w h o is .a lld o m a in s .c o m R e fe r r a l U R L : h ttp ://w w w .a lld o m a in s .c o m N a m e S e r v e r : N S 2 .G O O G L E .C O M N a m e S e r v e r : N S 1 .G O O G L E .C O M N a m e S e r v e r : N S 3 .G O O G L E .C O M N a m e S e r v e r : N S 4 .G O O G L E .C O M S ta tu s : R E G IS T R A R -L O C K U p d a te d D a te : 0 3 -o c t-2 0 0 2 C re a tio n D a te : 1 5 -s e t-1 9 9 7 E x p ir a tio n D a te : 1 4 - s e t-2 0 1 1 > >> L a s t u p d a te o f w h o is d a ta b a s e : S u n , 9 J u l 2 0 0 6 1 6 :1 6 :0 2 E D T < < < T he R e g is tr i d a ta b a s e c o n ta in s O N L Y .C O M , .N E T , .E D U d o m a in s a n d R eg is tra rs . C on n e c tio n c lo s e d b y fo re in g h o s t.
Footprinting – El servicio WHOIS $ t e ln e t w h o is .a lld o m a in s .c o m 4 3 tr y in g 6 4 .1 2 4 .1 4 .2 1 ... c o n n e c te d to w h o is .a lld o m a in s .c o m . E s c a p e c h a r a c t e r i s '^ ] '. G o o g le .c o m A d m in istra tiv e C o n ta c t: D N S A d m in (N IC -1 3 4 0 1 4 2 ) Petición realizada G o o g le In c . 2 4 0 0 E . B a y sh o re P k w y M o u n ta in V ie w sobre google.com C A 9 40 4 3 U S enviada a d n s -a d m in @ g o o g le .c o m + 1 .6 5 0 3 3 0 0 1 0 0 whois.alldomains.com F a x - + 1 .6 5 0 6 1 8 1 4 9 9 T e c n ic a l C o n ta c t, Z o n e C o n ta c t: D N S A d m in (N IC -1 3 4 0 1 4 4 ) G o o g le In c . 2 4 0 0 E . B a y sh o re P k w y M o u n ta in V ie w C A 94 0 43 U S d n s - a d m in @ g o o g le .c o m + 1 .6 5 0 3 3 0 0 1 0 0 F a x - + 1 .6 5 0 6 1 8 1 4 9 9 C r e a te d o n .............................: 1 9 9 7 - S e t- 1 5 E x p ir e s o n .............................: 2 0 1 1 - S e t- 1 4 R e c o r d la s t u p d a te d o n .......: 2 0 0 3 - A p r - 0 7 1 0 :4 2 :4 6 C o n n e c tio n c lo s e d b y fo re in g h o s t.
Footprinting – El servicio WHOIS Petición realizada sobre una IP enviada a whois.lacnic.net
Footprinting – El servicio WHOIS Otras forma de acceder al servicio whois es mediante la interfaz que brindan sitios en Internet.
Footprinting – El servicio WHOIS
Fraudes Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Omitir ingresar datos verdaderos manipulación del input Ingresar datos falsos interferir en el procesamiento de la información manipulación del output alterar el programa modificar los programas originales adicionar programas especiales
Fraude Corporativo • Se calcula que las empresas pierden entre el 5% y 6% de sus ingresos brutos a causa de los fraudes corporativos. • Los mayores perjuicios son consecuencia de los delitos cometidos a nivel gerencial. • Menos del 10% de los casos son denunciados a la justicia. • Las compañías optan por deshacerse del empleado infiel buscando una solución puertas adentro, lo que implica, muchas veces, el pago de una jugosa indemnización. • La defraudación es el delito mas extendido dentro de las empresas.
Fraude Corporativo • En la Argentina las pérdidas ascendieron a U$S 2,7 millones en los últimos dos años. • En Latinoamérica 9 de cada 10 empresas padecen malversación de fondos. • Siguiendo un orden jerárquico los delitos se agravan a medida que se asciende en la estructura de una corporación. • Actualmente se recupera menos del 20% de la pérdida, mientras que el 40% de las empresas no recupera nada.
Fraude Corporativo • Los fraudes cometidos por ejecutivos causan pérdidas 6 veces mayores que los cometidos por supervisores y 14 veces mas altas que las cometidas por otros empleados. • El 60% de los casos de fraude proviene de empleados, el 20% de los clientes y el 16% de vendedores o representantes. • Mas del 50% de los fraudes se descubren por denuncias anónimas. • Para prevenirse deben utilizarse procedimientos de análisis y verificación no tradicionales ni rutinarios, para evitar que el defraudador, ya prevenido, de los controles pueda borrar las
Top Five de las Ciberestafas El engaño consiste en enamorar por e-mail a Fraude en sitios de un hombre, en la mayoría de los casos mayor Solos y Solas y con la excusa de querer conocerlo le hacen que pague los gastos ocasionados por el viaje, regalos, traductores, etc. y por supuesto la supuesta “novia por correo” nunca aparece. Se le ofrece a una empresa realizar Inversiones en exportaciones de gran volumen a Nigeria, Nigeria para poder lograrlo debe abonar previamente tasas aduaneras, impuestos, etc. Las ofertas se realizan desde E-Mail gratuitos de Europa.
Top Five de las Ciberestafas Algunos mercados virtuales ofrecen una Las subastas amplia selección de productos a precios muy bajos. Una vez que el consumidor ha enviado el dinero puede ocurrir que reciban algo con menor valor de lo que creía, o peor todavía, que no reciba nada. Páginas para En algunos sitios para adultos, se pide el adultos número de la tarjeta de crédito con la excusa de comprobar que el usuario es mayor de 18 años. El verdadero objetivo es obtener los números de tarjeta para realizar otras operaciones.
Top Five de las Ciberestafas Se le ofrece un sistema infalible para obtener Manual para el password de una cuenta de hotmail Hackear Hotmail enviando un mail a una cuenta forgot_pass@hotmail.com, colocando en el subject la dirección de correo a hackear y el nombre de usuario y password propio. Algunas otras Ciberestafas Ventas piramidales - Viajes y vacaciones Gay - Trabaje desde su casa - Productos y servicios milagrosos - Venta de pasajes de avión – Bancos Falsos en Internet - Venta y Alquiler de propiedad.
Otros Delitos Informáticos Delitos informáticos contra la privacidad Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos Esto es que alguien, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Ej: Base de Datos A.N.Se.S. – Veraz – Padrones
Otros Delitos Informáticos Intercepción de e-mail: En este caso es equiparable a la violación de correspondencia, y la intercepción de telecomunicaciones, por lo que la lectura de un mensaje electrónico ajeno reviste la misma gravedad. Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. Crimen Organizado Transnacional: para la coordinación de  Tráfico de drogas  Tráfico de armas  Tráfico de personas  Lavado de dinero  Tráfico de tecnología y material nuclear, químico y bacteriológico
Otros Delitos Informáticos Espionaje: Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico secreto, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.
Seguridad de la Información NORMA IRAM-ISO IEC 17799
Seguridad de la Información La información es un recurso de valor estratégico para las empresas y como tal debe ser debidamente protegida. Las políticas de seguridad de la información protegen de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos. Es importante que los principios de la política de seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las máximas autoridades de la compañía para la difusión y consolidación de las políticas de seguridad.
Beneficios de implementar políticas de seguridad de la información • Consolidación de la seguridad como tema estratégico. • Planeamiento y manejo de la seguridad más efectivos. • Mayor seguridad en el ambiente informático y mejor reacción ante incidentes. • Minimización de los riesgos inherentes a la seguridad de la información. • Cuantificación de los posibles daños por ataques a la seguridad de la información.
Beneficios de implementar políticas de seguridad de la información • Orden en el trabajo bajo un marco normativo que evita la duplicación de tareas y facilita el intercambio de información. • Concientización global sobre la importancia de la seguridad de la información. • Mejora de la imagen. • Aumento de la confianza de terceros. • Mayor control de la información proporcionada a terceros. • Auditorías de seguridad más precisas y confiables.
¿Por qué basarse en la norma ISO/IRAM 17799?  Aumento de los niveles de seguridad en las organizaciones  Planificación de actividades  Mejora continua  Posicionamiento estratégico  Cumplimiento de normativas y reglamentaciones  Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones El Instituto Argentino de Normalización (IRAM), ha homologado en nuestro país la norma ISO 17799, como Norma ISO/IRAM 17799
Dos preguntas básicas relacionadas a políticas de Seguridad de la Información 1. ¿Cuánto tiempo insume el desarrollo de una Política de Seguridad? 2. ¿Es necesario incorporar personal especializado en seguridad de la información para cumplir con las definiciones en la materia?
Prejuicios a la hora de implementar políticas de seguridad de la información 1. La seguridad informática no afecta mi actividad. 2. La seguridad es una incumbencia del área informática 3. La información que manejamos no es objeto de ataques 4. Mi red es segura porque se encuentra protegida de ataques externos 5. Tenemos seguridad pues en la última auditoría no tuvimos observaciones críticas.
Prejuicios a la hora de implementar políticas de seguridad de la información 6. Tenemos un control absoluto de los incidentes de seguridad que ocurren en nuestra red. 7. El tiempo invertido en documentación debe ser descontado de las tareas habituales del personal destinado a la elaboración de la política. 8. Los recursos valiosos deberán ser apartados de la “línea de fuego” 9. Posibles conflictos políticos, comerciales o de relaciones humanas.. 10. No disponemos de personal especializado.
Seguridad de la Información OBJETIVO Proteger los recursos de información y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Asegurar la implementación de las medidas de seguridad, identificando los recursos, sin que ello implique necesariamente la asignación de recursos adicionales. Mantener la Política de Seguridad actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Seguridad de la Información RESPONSABILIDAD Todos el personal, tanto se trate de Directores, Gerentes o personal técnico, etc. sea cual fuere su nivel jerárquico son responsables de la implementación de las Política de Seguridad de la Información dentro de sus áreas de responsabilidad, así como del cumplimiento por parte de su equipo de trabajo. La Política de Seguridad de la Información debe ser de aplicación obligatoria para todo el personal, cualquiera sea el área a la cual se encuentre afectado y el nivel de las tareas que desempeñe.
Seguridad de la Información ASPECTOS GENERALES • Organización de la Seguridad Orientado a administrar la seguridad de la información y establecer un marco de control • Clasificación y Control de Activos Destinado a mantener una adecuada protección de los activos de Información. • Seguridad del Personal Orientado a reducir los riesgos de error humano, comisión de ilícitos o uso inadecuado. • Seguridad Física y Ambiental Destinado a impedir accesos no autorizados, daños e interferencia a las sedes y/o la información.
Seguridad de la Información ASPECTOS GENERALES • Gestión de las Comunicaciones y las Operaciones Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación. • Control de Acceso Orientado a controlar el acceso a la información. • Administración de la Continuidad de las Actividades está dirigido a contrarrestar las interrupciones de las actividades y proteger los procesos críticos. • Cumplimiento Destinado a impedir infracciones y violaciones de las políticas y legislación vigente.
Organización de las políticas de seguridad de la información • Revisar y proponer la política y las funciones generales en materia de seguridad de la información. • Monitorear cambios significativos en los riesgos frente a las amenazas más importantes. • Supervisar la investigación y monitoreo de los incidentes relativos a la seguridad. • Acordar y aprobar iniciativas, metodologías y procesos específicos relativos a la seguridad de la información de acuerdo a las competencias asignadas a cada área.
Organización de las políticas de seguridad de la información • Garantizar que la seguridad sea parte del proceso de planificación de la información. • Evaluar y coordinar la implementación de controles específicos para nuevos sistemas o servicios. • Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de la información frente a interrupciones imprevistas.
Responsabilidad Seguridad del Personal Seguridad Física y Ambiental. Comité de Seguridad en las Comunicaciones y las Seguridad de la Operaciones Información Control de Accesos Seguridad en el Desarrollo y Mantenimiento de Sistemas Planificación de la Continuidad Operativa Departamento Cumplimiento Legal Sanciones
Clasificación y Control de Activos Se debe tener un acabado conocimiento sobre los activos que poseemos como parte importante de la administración de riesgos. Algunos ejemplos de activos son:  Activos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc.  Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.  Activos físicos: equipamiento informático (CPU, monitores, notebooks, módems), equipos de comunicaciones (routers, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc.  Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).
Clasificación y Control de Activos  Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información.  Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, por ejemplo, cuando la información se ha hecho pública.  La información puede pasar a ser obsoleta y por lo tanto, será necesario eliminarla, para ello se debe asegurar la confidencialidad de la misma hasta el momento de su eliminación  Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una Política predeterminada.
Clasificación y Control de Activos Objetivo:  Garantizar que los activos de información reciban un apropiado nivel de protección.  Clasificar la información para señalar su sensibilidad y criticidad.  Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. Responsabilidad Los propietarios de la información son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificación efectuada, y de definir las funciones que deberán tener permisos de acceso a la información.
Clasificación y Control de Activos El nuevo valor de la información requiere indiscutiblemente un alto nivel de seguridad a fin de lograr mantener:  LA CONFIDENCIALIDAD  LA INTEGRIDAD  LA DISPONIBILIDAD
Clasificación y Control de Activos CONFIDENCIALIDAD 1 PUBLICO- Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado o no. 2 USO INTERNO - Información que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para la entidad o terceros. 3 CONFIDENCIAL - Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas para la entidad o terceros. 4 SECRETA - Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves
Clasificación y Control de Activos INTEGRIDAD 1- Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria. 2- Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas leves. 3- Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas. 4- Información cuya modificación no autorizada no podría repararse, ocasionando pérdidas graves.
Clasificación y Control de Activos DISPONIBILIDAD 1- Información cuya inaccesibilidad no afecta la operatoria. 2- Información cuya inaccesibilidad permanente durante una semana podría ocasionar pérdidas significativas. 3- Información cuya inaccesibilidad permanente durante un día podría ocasionar pérdidas significativas. 4- Información cuya inaccesibilidad permanente durante una hora podría ocasionar pérdidas significativas.
Seguridad del Personal Es fundamental educar e informar al personal desde su ingreso y en forma continua, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. Objetivo  Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.  Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad en el transcurso de sus tareas normales.  Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.  Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
Seguridad Física y Ambiental Brinda el marco para minimizar los riesgos de daños e interferencias a la información y a las operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad. Objetivo  Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información.  Proteger el equipamiento de procesamiento de información crítica ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.  Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático.  Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.
Seguridad en las Comunicaciones y Operaciones La proliferación de software malicioso, como virus, troyanos, etc., hace necesario que se adopten medidas de prevención, a efectos de evitar la acción de tales amenazas. Los sistemas de información están comunicados entre si, tanto dentro de la compañía, como con terceros fuera de ella. Por lo tanto es necesario establecer criterios de seguridad en las comunicaciones que se establezcan, permitiendo el intercambio de información, de manera regulada para garantizar las condiciones de confidencialidad, integridad y disponibilidad de la información que se emite o recibe por los distintos canales. Objetivo  Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.  Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.
Control de Accesos Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos para controlar la asignación de acceso a los sistemas, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados. Objetivo  Impedir el acceso no autorizado a los sistemas y servicios de información, implementando medidas de seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.  Controlar la seguridad en la conexión entre las redes públicas o privadas, garantizándola también cuando se utiliza computación móvil e instalaciones de trabajo remoto.  Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.  Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.
Desarrollo y Mantenimiento de Sistemas Dado que los analistas y programadores tienen el conocimiento total de la lógica de los procesos en los sistemas, se deben implementar controles que eviten maniobras dolosas por parte de estas personas u otras que puedan operar sobre los sistemas, bases de datos y plataformas de software de base y en el caso de que se lleven a cabo, identificar rápidamente al responsable. Objetivo  Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.  Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.  Definir los métodos de protección de la información crítica o sensible.
Planificación de la Continuidad Operativa El desarrollo e implementación de planes de contingencia es una herramienta básica para garantizar que las actividades puedan restablecerse dentro de los plazos requeridos, Objetivo Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas: a) Notificación / Activación: Consistente en la detección y determinación del daño y la activación del plan. b) Reanudación: Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original. c) Recuperación: Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.
Cumplimiento El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales y los requisitos normativos y contractuales de cada sistema de información deben estar debidamente definidos y documentados.  Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad.  Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.
Cumplimiento  Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.  Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoria en el transcurso de las auditorias de sistemas.  Determinar los plazos para el mantenimiento de información y para la recolección de evidencia.
Para finalizar... ¿Quién es responsable de la seguridad? ¿El usuario? ¿Los profesionales? ¿Las empresas? ¿El Estado? ¿El Mercosur? ¿Estados Unidos? ¿La Unión Europea? ¿El mundo? La respuesta es una sola Es responsabilidad de TODOS
Muchas gracias por su atención Zacarías Leone | Director | ZL-SSC C.E.H. and C.H.F.I. ZL – SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar

Recomendados

Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Antonio Leonel Rodriguez b.
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques InformáticosJose Manuel Acosta
 
Tecnicas de hackeo sin resumir
Tecnicas de hackeo sin resumirTecnicas de hackeo sin resumir
Tecnicas de hackeo sin resumirCordovita Earthsea Alvarez
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidadeslamugre
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticosDavid Galindo Baron
 
Etical hacking
Etical hackingEtical hacking
Etical hackingMaurice Frayssinet
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 

Recomendados

Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Seguridad Informática-Ataques a la web.
Seguridad Informática-Ataques a la web.Antonio Leonel Rodriguez b.
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques InformáticosJose Manuel Acosta
 
Tecnicas de hackeo sin resumir
Tecnicas de hackeo sin resumirTecnicas de hackeo sin resumir
Tecnicas de hackeo sin resumirCordovita Earthsea Alvarez
 
Introduccion ethical hacking - chakan
Introduccion ethical hacking - chakanIntroduccion ethical hacking - chakan
Introduccion ethical hacking - chakanch4k4n
 
Ataques Y Vulnerabilidades
Ataques Y VulnerabilidadesAtaques Y Vulnerabilidades
Ataques Y Vulnerabilidadeslamugre
 
Ataques informaticos
Ataques informaticosAtaques informaticos
Ataques informaticosDavid Galindo Baron
 
Etical hacking
Etical hackingEtical hacking
Etical hackingMaurice Frayssinet
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingBarCamp_Bogota
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaErnesto Herrera
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redmamuga
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaIngeniería Nica
 
Ataque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasAtaque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasMartín José Poma Tolentino
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Ataques spoofing y botnet
Ataques spoofing y botnetAtaques spoofing y botnet
Ataques spoofing y botnetAdolfo Azpeitia Escalera
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticosOscar Eduardo
 
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...Alex Rafael Polanco Bobadilla
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]Eduardo Arriols Nuñez
 
Seguridad de redes (congreso)
Seguridad de redes (congreso)Seguridad de redes (congreso)
Seguridad de redes (congreso)Nbsecurity
 
Virus y ataques informaticos
Virus y ataques informaticosVirus y ataques informaticos
Virus y ataques informaticosMarco Tulio Rojas Cortes
 
Delitos informaticos (1)
Delitos informaticos (1)Delitos informaticos (1)
Delitos informaticos (1)Alex Mejia
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidoresJose Ruiz
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidadpachiuss
 
Tema 13
Tema 13Tema 13
Tema 13beleniturrioz
 
Castellano
CastellanoCastellano
CastellanoCristhian Iván Advíncula Villegas
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical HackingHacking Bolivia
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Nelson Araujo
 
Seguridad en redes Unidad V
Seguridad en redes Unidad VSeguridad en redes Unidad V
Seguridad en redes Unidad VJose A. Garcia
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridadRamiro Estigarribia Canese
 

Más contenido relacionado

La actualidad más candente

Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redmamuga
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataquesmvrodriguez
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticosOscar Eduardo
 
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...Alex Rafael Polanco Bobadilla
 
Seguridad de redes (congreso)
Seguridad de redes (congreso)Seguridad de redes (congreso)
Seguridad de redes (congreso)Nbsecurity
 
Delitos informaticos (1)
Delitos informaticos (1)Delitos informaticos (1)
Delitos informaticos (1)Alex Mejia
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidoresJose Ruiz
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidadpachiuss
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Nelson Araujo
 
Seguridad en redes Unidad V
Seguridad en redes Unidad VSeguridad en redes Unidad V
Seguridad en redes Unidad VJose A. Garcia
 

La actualidad más candente (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Tipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una redTipos de ataques y vulnerabilidades en una red
Tipos de ataques y vulnerabilidades en una red
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Ataque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasAtaque a la red de datos, diapositivas
Ataque a la red de datos, diapositivas
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataques
 
Ataques spoofing y botnet
Ataques spoofing y botnetAtaques spoofing y botnet
Ataques spoofing y botnet
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticos
 
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
Tipos de Ataques en la Red - Presentado por Alex, Anny, Dilannia, Sixta y Vir...
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Seguridad de redes (congreso)
Seguridad de redes (congreso)Seguridad de redes (congreso)
Seguridad de redes (congreso)
 
Virus y ataques informaticos
Virus y ataques informaticosVirus y ataques informaticos
Virus y ataques informaticos
 
Delitos informaticos (1)
Delitos informaticos (1)Delitos informaticos (1)
Delitos informaticos (1)
 
Ataque a servidores
Ataque a servidoresAtaque a servidores
Ataque a servidores
 
Ataques Y Vulnerabilidad
Ataques Y VulnerabilidadAtaques Y Vulnerabilidad
Ataques Y Vulnerabilidad
 
Tema 13
Tema 13Tema 13
Tema 13
 
Castellano
CastellanoCastellano
Castellano
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02
 
Seguridad en redes Unidad V
Seguridad en redes Unidad VSeguridad en redes Unidad V
Seguridad en redes Unidad V
 

Similar a Presentacionppt1

Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información ngerardoafp
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Informacióngerardoafp
 
Seguridad de la_información_n
Seguridad de la_información_nSeguridad de la_información_n
Seguridad de la_información_ngerardoafp
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de tiMario Nizama
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASFIDOMULTRAXD
 
Diccionario de hacking
Diccionario de hackingDiccionario de hacking
Diccionario de hackingcyberlocos
 
Sabotajes y delitos por computadora
Sabotajes y delitos por computadoraSabotajes y delitos por computadora
Sabotajes y delitos por computadoraManuelRicardoMoyaGue
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridadEduardo S. Garzón
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamesiefrank
 
Seguridad de-la-informacion 2
Seguridad de-la-informacion 2Seguridad de-la-informacion 2
Seguridad de-la-informacion 2colohh
 

Similar a Presentacionppt1 (20)

Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la información n
Seguridad de la información nSeguridad de la información n
Seguridad de la información n
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad de la_información_n
Seguridad de la_información_nSeguridad de la_información_n
Seguridad de la_información_n
 
Seguridad informática y de ti
Seguridad informática y de tiSeguridad informática y de ti
Seguridad informática y de ti
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
Resumen Castellano
Resumen CastellanoResumen Castellano
Resumen Castellano
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
 
Diccionario de hacking
Diccionario de hackingDiccionario de hacking
Diccionario de hacking
 
Castellano
CastellanoCastellano
Castellano
 
Castellano
CastellanoCastellano
Castellano
 
Sabotajes y delitos por computadora
Sabotajes y delitos por computadoraSabotajes y delitos por computadora
Sabotajes y delitos por computadora
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad de-la-informacion 2
Seguridad de-la-informacion 2Seguridad de-la-informacion 2
Seguridad de-la-informacion 2
 
S eguridad
S eguridadS eguridad
S eguridad
 
Presentacion de 10 amenazas informaticas
Presentacion de 10 amenazas informaticasPresentacion de 10 amenazas informaticas
Presentacion de 10 amenazas informaticas
 
Analisis forense-informatico
Analisis forense-informaticoAnalisis forense-informatico
Analisis forense-informatico
 

Presentacionppt1

  • 1. Information Security Ethical Hacking & Computer Forensics ZL-SSC – Certifications: Consultor en Seguridad e Inteligencia Corporativa ZL – SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar
  • 3. Delitos Informáticos Concepto El delito informático puede comprender tanto aquellas conductas que valiéndose de medios informáticos lesionan intereses protegidos como la intimidad, el patrimonio económico, la fe pública, la seguridad, etc., como aquellas que recaen sobre herramientas informáticas propiamente dichas tales como programas, computadoras, etc.
  • 4. Principales Amenazas Existen cuatro tipos básicos. 1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. 2. Delitos de fraude informático. 3. Delitos por su contenido. 4. Delitos relacionados con la infracción de la propiedad intelectual.
  • 5. ¿Quienes pueden atacar? 80% Novatos 12% Intermedio 5% Avanzados 3% Profesionales
  • 6. A quienes afectan los delitos informáticos • Las empresas utilizan sistemas de información llegando a ser inevitablemente dependientes de ellos, ya que la mayor parte de sus datos están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. • Un tercio de los usuarios utiliza contraseñas como el nombre de su mascota, su hijo o un plato favorito. Cualquiera de ellas es fácil de adivinar en cuestión de minutos y cada vez más virus se valen de esta debilidad de los usuarios. (el virus "Deloder", que logró ingresar en más de 10.000 sistemas en el mundo a partir de una serie de listas con contraseñas). • Las amenazas pueden surgir tanto desde el exterior como desde el interior de la compañía: virus, hackers, los propios empleados, etc.
  • 7. Como afectan los delitos informáticos
  • 8. Vulnerabilidades mas comunes Vulnerabilidades Ejemplos •Uso de passwords default o en blanco Hack Passwords •Passwords predecibles Configuración •Usuarios con privilegios excesivos Incorrecta •Aplicaciones corriendo sin autorización •Administradores que resetean passwords Ingeniería Social sin verificar la identidad del llamado •Servicios no usados y puertos inseguros Seguridad Débil •Firewalls y Routers usados incorrectamente Transferencia de •Paquetes de autenticación en texto plano datos sin encriptar •Datos importantes sin encriptar vía Internet Software sin parche •Service Packs no mantenidos de seguridad •Antivirus sin actualizar
  • 9. Ataque paso a paso INTRUSO Estado del ataque Ejemplo de Acciones 1-Búsqueda de Ingreso Correr un scanner de puertos 2-Penetración Explorar un sistema sin parches de seguridad 3-Elevación de Privilegios Lograr cuenta de Administrador 4-Ataque en si mismo Robo de datos, destrucción del sitio web, etc. 5-Enmascaramiento Borrado de rastros del ingreso y ataque
  • 10. Técnicas de Ataque El uso de herramientas y de la información para crear Footprinting un perfil completo de la postura de la seguridad de una organización. El atacante usa herramientas y la información Scanning obtenida para determinar qué sistemas estas vivos y accesibles desde Internet así como qué puertos están escuchando en el sistema. Uso de herramientas para obtener la información detallada (servicios ejecutándose, cuentas de Enumeration usuario, miembros de un dominio, políticas de cuentas, etc.) sobre un sistema remoto, con el intento de atacar la seguridad de cuentas y servicios en el objetivo
  • 11. Técnicas de Ataque Después que el atacante tiene identificado y accede al trafico del firewall que puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un Port Redirection software Port Redirector en el equipo dentro del firewall. El Port Redirector tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro equipo detrás del firewall en otro puerto (3389). Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer los passwords Gaining Access de los archivos. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos, el hacker podría utilizar l0phtcrack y extraer los usuarios y passwords exactos.
  • 12. Técnicas de Ataque Un hacker puede causar la mayoría del daño consiguiendo privilegios administrativos en una red. Privilege Escalation Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest. Eso permite que un usuario remoto realice cualquier Remote acción remotamente vía un puerto a su elección sin Administration un usuario local del sistema que lo habilite. Tools Ejemplo: Sub7 es el más popular / NT Rootkit es el más avanzado
  • 13. Footprinting – El servicio WHOIS El servicio “WHOIS” es uno de los tantos servicios de información disponible en Internet. Con él se puede obtener información sobre direcciones IP y nombres de dominio, por lo que es muy utilizado por los atacantes para obtener información a la hora de planificar un ataque. Existen numerosos servidores whois ya que los registros de dominios están descentralizados, pero usualmente existe al menos uno por cada código de país. (.ar, .ru, .es, etc.)
  • 14. Footprinting – El servicio WHOIS En el caso de los .com, .org, .edu (gTLDs- Generic Top Level Domains), la información está disponible en los servidores de las distintas entidades registrante. El registro de las IP es mantenido por el servidor ARIN (American Registry of Internet Numbers) para las asignadas a EEUU y Canadá; el Servidor LACNIC (Latin America and Caribean Network Information Center) para las de América Latina y el Caribe y el servidor RIPE NCC (Reséaux IP Européens Network Cordination Centre) para las europeas.
  • 15. Footprinting – El servicio WHOIS ACCEDIENDO AL SERVICIO: Para acceder al servicio whois solo hace falta la herramienta “telnet” y su única función será la de establecer una conexión TCP mediante el puerto 43 con el servidor del que se va a requerir la información. Usando el comando $ telnet servidorwhois 43 se creará la conexión entre nuestro sistema y el servidor whois
  • 16. Footprinting – El servicio WHOIS $ t e ln e t w h o is .c r s n ic .n e t 4 3 tr y in g 1 9 8 .4 1 .3 .5 4 c o n n e c te d to w h o is . c r s n ic .n e t. E s c a p e c h a r a c t e r i s '^ ] '. d o m a in g o o g le .c o m W h o is S e rv e r V e r s io n 1 .3 D o m a in n a m e s in th e .c o m a n d .n e t d o m a in s c a n n o w b e r e g is te r e d w ith m a n y Petición realizada d if f e r e n t c o m p e tin g r e g is ta r s . G o to h ttp ://w w w .in te r n ic .n e t fo r d e ta ile d in fo rm a tio n . sobre google.com D o m a in N a m e : G O O G L E .C O M R e g is tra r: A L L D O M A IN S .C O M I N C . W h o is S e rv e r : w h o is .a lld o m a in s .c o m R e fe r r a l U R L : h ttp ://w w w .a lld o m a in s .c o m N a m e S e r v e r : N S 2 .G O O G L E .C O M N a m e S e r v e r : N S 1 .G O O G L E .C O M N a m e S e r v e r : N S 3 .G O O G L E .C O M N a m e S e r v e r : N S 4 .G O O G L E .C O M S ta tu s : R E G IS T R A R -L O C K U p d a te d D a te : 0 3 -o c t-2 0 0 2 C re a tio n D a te : 1 5 -s e t-1 9 9 7 E x p ir a tio n D a te : 1 4 - s e t-2 0 1 1 > >> L a s t u p d a te o f w h o is d a ta b a s e : S u n , 9 J u l 2 0 0 6 1 6 :1 6 :0 2 E D T < < < T he R e g is tr i d a ta b a s e c o n ta in s O N L Y .C O M , .N E T , .E D U d o m a in s a n d R eg is tra rs . C on n e c tio n c lo s e d b y fo re in g h o s t.
  • 17. Footprinting – El servicio WHOIS $ t e ln e t w h o is .a lld o m a in s .c o m 4 3 tr y in g 6 4 .1 2 4 .1 4 .2 1 ... c o n n e c te d to w h o is .a lld o m a in s .c o m . E s c a p e c h a r a c t e r i s '^ ] '. G o o g le .c o m A d m in istra tiv e C o n ta c t: D N S A d m in (N IC -1 3 4 0 1 4 2 ) Petición realizada G o o g le In c . 2 4 0 0 E . B a y sh o re P k w y M o u n ta in V ie w sobre google.com C A 9 40 4 3 U S enviada a d n s -a d m in @ g o o g le .c o m + 1 .6 5 0 3 3 0 0 1 0 0 whois.alldomains.com F a x - + 1 .6 5 0 6 1 8 1 4 9 9 T e c n ic a l C o n ta c t, Z o n e C o n ta c t: D N S A d m in (N IC -1 3 4 0 1 4 4 ) G o o g le In c . 2 4 0 0 E . B a y sh o re P k w y M o u n ta in V ie w C A 94 0 43 U S d n s - a d m in @ g o o g le .c o m + 1 .6 5 0 3 3 0 0 1 0 0 F a x - + 1 .6 5 0 6 1 8 1 4 9 9 C r e a te d o n .............................: 1 9 9 7 - S e t- 1 5 E x p ir e s o n .............................: 2 0 1 1 - S e t- 1 4 R e c o r d la s t u p d a te d o n .......: 2 0 0 3 - A p r - 0 7 1 0 :4 2 :4 6 C o n n e c tio n c lo s e d b y fo re in g h o s t.
  • 18. Footprinting – El servicio WHOIS Petición realizada sobre una IP enviada a whois.lacnic.net
  • 19. Footprinting – El servicio WHOIS Otras forma de acceder al servicio whois es mediante la interfaz que brindan sitios en Internet.
  • 20. Footprinting – El servicio WHOIS
  • 21. Fraudes Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Omitir ingresar datos verdaderos manipulación del input Ingresar datos falsos interferir en el procesamiento de la información manipulación del output alterar el programa modificar los programas originales adicionar programas especiales
  • 22. Fraude Corporativo • Se calcula que las empresas pierden entre el 5% y 6% de sus ingresos brutos a causa de los fraudes corporativos. • Los mayores perjuicios son consecuencia de los delitos cometidos a nivel gerencial. • Menos del 10% de los casos son denunciados a la justicia. • Las compañías optan por deshacerse del empleado infiel buscando una solución puertas adentro, lo que implica, muchas veces, el pago de una jugosa indemnización. • La defraudación es el delito mas extendido dentro de las empresas.
  • 23. Fraude Corporativo • En la Argentina las pérdidas ascendieron a U$S 2,7 millones en los últimos dos años. • En Latinoamérica 9 de cada 10 empresas padecen malversación de fondos. • Siguiendo un orden jerárquico los delitos se agravan a medida que se asciende en la estructura de una corporación. • Actualmente se recupera menos del 20% de la pérdida, mientras que el 40% de las empresas no recupera nada.
  • 24. Fraude Corporativo • Los fraudes cometidos por ejecutivos causan pérdidas 6 veces mayores que los cometidos por supervisores y 14 veces mas altas que las cometidas por otros empleados. • El 60% de los casos de fraude proviene de empleados, el 20% de los clientes y el 16% de vendedores o representantes. • Mas del 50% de los fraudes se descubren por denuncias anónimas. • Para prevenirse deben utilizarse procedimientos de análisis y verificación no tradicionales ni rutinarios, para evitar que el defraudador, ya prevenido, de los controles pueda borrar las
  • 25. Top Five de las Ciberestafas El engaño consiste en enamorar por e-mail a Fraude en sitios de un hombre, en la mayoría de los casos mayor Solos y Solas y con la excusa de querer conocerlo le hacen que pague los gastos ocasionados por el viaje, regalos, traductores, etc. y por supuesto la supuesta “novia por correo” nunca aparece. Se le ofrece a una empresa realizar Inversiones en exportaciones de gran volumen a Nigeria, Nigeria para poder lograrlo debe abonar previamente tasas aduaneras, impuestos, etc. Las ofertas se realizan desde E-Mail gratuitos de Europa.
  • 26. Top Five de las Ciberestafas Algunos mercados virtuales ofrecen una Las subastas amplia selección de productos a precios muy bajos. Una vez que el consumidor ha enviado el dinero puede ocurrir que reciban algo con menor valor de lo que creía, o peor todavía, que no reciba nada. Páginas para En algunos sitios para adultos, se pide el adultos número de la tarjeta de crédito con la excusa de comprobar que el usuario es mayor de 18 años. El verdadero objetivo es obtener los números de tarjeta para realizar otras operaciones.
  • 27. Top Five de las Ciberestafas Se le ofrece un sistema infalible para obtener Manual para el password de una cuenta de hotmail Hackear Hotmail enviando un mail a una cuenta forgot_pass@hotmail.com, colocando en el subject la dirección de correo a hackear y el nombre de usuario y password propio. Algunas otras Ciberestafas Ventas piramidales - Viajes y vacaciones Gay - Trabaje desde su casa - Productos y servicios milagrosos - Venta de pasajes de avión – Bancos Falsos en Internet - Venta y Alquiler de propiedad.
  • 28. Otros Delitos Informáticos Delitos informáticos contra la privacidad Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos Esto es que alguien, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Ej: Base de Datos A.N.Se.S. – Veraz – Padrones
  • 29. Otros Delitos Informáticos Intercepción de e-mail: En este caso es equiparable a la violación de correspondencia, y la intercepción de telecomunicaciones, por lo que la lectura de un mensaje electrónico ajeno reviste la misma gravedad. Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. Crimen Organizado Transnacional: para la coordinación de  Tráfico de drogas  Tráfico de armas  Tráfico de personas  Lavado de dinero  Tráfico de tecnología y material nuclear, químico y bacteriológico
  • 30. Otros Delitos Informáticos Espionaje: Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico secreto, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.
  • 31. Seguridad de la Información NORMA IRAM-ISO IEC 17799
  • 32. Seguridad de la Información La información es un recurso de valor estratégico para las empresas y como tal debe ser debidamente protegida. Las políticas de seguridad de la información protegen de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos. Es importante que los principios de la política de seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las máximas autoridades de la compañía para la difusión y consolidación de las políticas de seguridad.
  • 33. Beneficios de implementar políticas de seguridad de la información • Consolidación de la seguridad como tema estratégico. • Planeamiento y manejo de la seguridad más efectivos. • Mayor seguridad en el ambiente informático y mejor reacción ante incidentes. • Minimización de los riesgos inherentes a la seguridad de la información. • Cuantificación de los posibles daños por ataques a la seguridad de la información.
  • 34. Beneficios de implementar políticas de seguridad de la información • Orden en el trabajo bajo un marco normativo que evita la duplicación de tareas y facilita el intercambio de información. • Concientización global sobre la importancia de la seguridad de la información. • Mejora de la imagen. • Aumento de la confianza de terceros. • Mayor control de la información proporcionada a terceros. • Auditorías de seguridad más precisas y confiables.
  • 35. ¿Por qué basarse en la norma ISO/IRAM 17799?  Aumento de los niveles de seguridad en las organizaciones  Planificación de actividades  Mejora continua  Posicionamiento estratégico  Cumplimiento de normativas y reglamentaciones  Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones El Instituto Argentino de Normalización (IRAM), ha homologado en nuestro país la norma ISO 17799, como Norma ISO/IRAM 17799
  • 36. Dos preguntas básicas relacionadas a políticas de Seguridad de la Información 1. ¿Cuánto tiempo insume el desarrollo de una Política de Seguridad? 2. ¿Es necesario incorporar personal especializado en seguridad de la información para cumplir con las definiciones en la materia?
  • 37. Prejuicios a la hora de implementar políticas de seguridad de la información 1. La seguridad informática no afecta mi actividad. 2. La seguridad es una incumbencia del área informática 3. La información que manejamos no es objeto de ataques 4. Mi red es segura porque se encuentra protegida de ataques externos 5. Tenemos seguridad pues en la última auditoría no tuvimos observaciones críticas.
  • 38. Prejuicios a la hora de implementar políticas de seguridad de la información 6. Tenemos un control absoluto de los incidentes de seguridad que ocurren en nuestra red. 7. El tiempo invertido en documentación debe ser descontado de las tareas habituales del personal destinado a la elaboración de la política. 8. Los recursos valiosos deberán ser apartados de la “línea de fuego” 9. Posibles conflictos políticos, comerciales o de relaciones humanas.. 10. No disponemos de personal especializado.
  • 39. Seguridad de la Información OBJETIVO Proteger los recursos de información y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Asegurar la implementación de las medidas de seguridad, identificando los recursos, sin que ello implique necesariamente la asignación de recursos adicionales. Mantener la Política de Seguridad actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
  • 40. Seguridad de la Información RESPONSABILIDAD Todos el personal, tanto se trate de Directores, Gerentes o personal técnico, etc. sea cual fuere su nivel jerárquico son responsables de la implementación de las Política de Seguridad de la Información dentro de sus áreas de responsabilidad, así como del cumplimiento por parte de su equipo de trabajo. La Política de Seguridad de la Información debe ser de aplicación obligatoria para todo el personal, cualquiera sea el área a la cual se encuentre afectado y el nivel de las tareas que desempeñe.
  • 41. Seguridad de la Información ASPECTOS GENERALES • Organización de la Seguridad Orientado a administrar la seguridad de la información y establecer un marco de control • Clasificación y Control de Activos Destinado a mantener una adecuada protección de los activos de Información. • Seguridad del Personal Orientado a reducir los riesgos de error humano, comisión de ilícitos o uso inadecuado. • Seguridad Física y Ambiental Destinado a impedir accesos no autorizados, daños e interferencia a las sedes y/o la información.
  • 42. Seguridad de la Información ASPECTOS GENERALES • Gestión de las Comunicaciones y las Operaciones Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación. • Control de Acceso Orientado a controlar el acceso a la información. • Administración de la Continuidad de las Actividades está dirigido a contrarrestar las interrupciones de las actividades y proteger los procesos críticos. • Cumplimiento Destinado a impedir infracciones y violaciones de las políticas y legislación vigente.
  • 43. Organización de las políticas de seguridad de la información • Revisar y proponer la política y las funciones generales en materia de seguridad de la información. • Monitorear cambios significativos en los riesgos frente a las amenazas más importantes. • Supervisar la investigación y monitoreo de los incidentes relativos a la seguridad. • Acordar y aprobar iniciativas, metodologías y procesos específicos relativos a la seguridad de la información de acuerdo a las competencias asignadas a cada área.
  • 44. Organización de las políticas de seguridad de la información • Garantizar que la seguridad sea parte del proceso de planificación de la información. • Evaluar y coordinar la implementación de controles específicos para nuevos sistemas o servicios. • Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de la información frente a interrupciones imprevistas.
  • 45. Responsabilidad Seguridad del Personal Seguridad Física y Ambiental. Comité de Seguridad en las Comunicaciones y las Seguridad de la Operaciones Información Control de Accesos Seguridad en el Desarrollo y Mantenimiento de Sistemas Planificación de la Continuidad Operativa Departamento Cumplimiento Legal Sanciones
  • 46. Clasificación y Control de Activos Se debe tener un acabado conocimiento sobre los activos que poseemos como parte importante de la administración de riesgos. Algunos ejemplos de activos son:  Activos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc.  Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.  Activos físicos: equipamiento informático (CPU, monitores, notebooks, módems), equipos de comunicaciones (routers, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc.  Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).
  • 47. Clasificación y Control de Activos  Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información.  Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, por ejemplo, cuando la información se ha hecho pública.  La información puede pasar a ser obsoleta y por lo tanto, será necesario eliminarla, para ello se debe asegurar la confidencialidad de la misma hasta el momento de su eliminación  Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una Política predeterminada.
  • 48. Clasificación y Control de Activos Objetivo:  Garantizar que los activos de información reciban un apropiado nivel de protección.  Clasificar la información para señalar su sensibilidad y criticidad.  Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. Responsabilidad Los propietarios de la información son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificación efectuada, y de definir las funciones que deberán tener permisos de acceso a la información.
  • 49. Clasificación y Control de Activos El nuevo valor de la información requiere indiscutiblemente un alto nivel de seguridad a fin de lograr mantener:  LA CONFIDENCIALIDAD  LA INTEGRIDAD  LA DISPONIBILIDAD
  • 50. Clasificación y Control de Activos CONFIDENCIALIDAD 1 PUBLICO- Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado o no. 2 USO INTERNO - Información que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para la entidad o terceros. 3 CONFIDENCIAL - Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas para la entidad o terceros. 4 SECRETA - Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves
  • 51. Clasificación y Control de Activos INTEGRIDAD 1- Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria. 2- Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas leves. 3- Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas. 4- Información cuya modificación no autorizada no podría repararse, ocasionando pérdidas graves.
  • 52. Clasificación y Control de Activos DISPONIBILIDAD 1- Información cuya inaccesibilidad no afecta la operatoria. 2- Información cuya inaccesibilidad permanente durante una semana podría ocasionar pérdidas significativas. 3- Información cuya inaccesibilidad permanente durante un día podría ocasionar pérdidas significativas. 4- Información cuya inaccesibilidad permanente durante una hora podría ocasionar pérdidas significativas.
  • 53. Seguridad del Personal Es fundamental educar e informar al personal desde su ingreso y en forma continua, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. Objetivo  Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información.  Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad en el transcurso de sus tareas normales.  Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.  Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.
  • 54. Seguridad Física y Ambiental Brinda el marco para minimizar los riesgos de daños e interferencias a la información y a las operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad. Objetivo  Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información.  Proteger el equipamiento de procesamiento de información crítica ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.  Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático.  Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.
  • 55. Seguridad en las Comunicaciones y Operaciones La proliferación de software malicioso, como virus, troyanos, etc., hace necesario que se adopten medidas de prevención, a efectos de evitar la acción de tales amenazas. Los sistemas de información están comunicados entre si, tanto dentro de la compañía, como con terceros fuera de ella. Por lo tanto es necesario establecer criterios de seguridad en las comunicaciones que se establezcan, permitiendo el intercambio de información, de manera regulada para garantizar las condiciones de confidencialidad, integridad y disponibilidad de la información que se emite o recibe por los distintos canales. Objetivo  Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.  Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.
  • 56. Control de Accesos Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos para controlar la asignación de acceso a los sistemas, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados. Objetivo  Impedir el acceso no autorizado a los sistemas y servicios de información, implementando medidas de seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.  Controlar la seguridad en la conexión entre las redes públicas o privadas, garantizándola también cuando se utiliza computación móvil e instalaciones de trabajo remoto.  Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.  Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.
  • 57. Desarrollo y Mantenimiento de Sistemas Dado que los analistas y programadores tienen el conocimiento total de la lógica de los procesos en los sistemas, se deben implementar controles que eviten maniobras dolosas por parte de estas personas u otras que puedan operar sobre los sistemas, bases de datos y plataformas de software de base y en el caso de que se lleven a cabo, identificar rápidamente al responsable. Objetivo  Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.  Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.  Definir los métodos de protección de la información crítica o sensible.
  • 58. Planificación de la Continuidad Operativa El desarrollo e implementación de planes de contingencia es una herramienta básica para garantizar que las actividades puedan restablecerse dentro de los plazos requeridos, Objetivo Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas: a) Notificación / Activación: Consistente en la detección y determinación del daño y la activación del plan. b) Reanudación: Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original. c) Recuperación: Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.
  • 59. Cumplimiento El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales y los requisitos normativos y contractuales de cada sistema de información deben estar debidamente definidos y documentados.  Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad.  Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.
  • 60. Cumplimiento  Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.  Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoria en el transcurso de las auditorias de sistemas.  Determinar los plazos para el mantenimiento de información y para la recolección de evidencia.
  • 61. Para finalizar... ¿Quién es responsable de la seguridad? ¿El usuario? ¿Los profesionales? ¿Las empresas? ¿El Estado? ¿El Mercosur? ¿Estados Unidos? ¿La Unión Europea? ¿El mundo? La respuesta es una sola Es responsabilidad de TODOS
  • 62. Muchas gracias por su atención Zacarías Leone | Director | ZL-SSC C.E.H. and C.H.F.I. ZL – SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar

Notas del editor

  1. ¿ Por qué basarse en la norma ISO/IRAM 17799 ? La norma ISO 17799, se basa en el estándar BS 7799:1, es un estándar internacional que proporciona un marco de referencia para la gestión de la seguridad de la información en una organización/entidad/etc.. A continuación se mencionan algunos de los beneficios que pueden obtenerse al basar la Política de Seguridad de la Información en la norma ISO 17799: Aumento de los niveles de seguridad en las Organizaciones La implementación de la norma le permite a las Organizaciones una gestión efectiva de sus recursos de información críticos y los mecanismos de protección adecuados. Esto redundará en una reducción efectiva de los niveles de riesgo y vulnerabilidades, que en definitiva se traduce en ahorro de dinero, tiempo y en una mayor confianza y fortalecimiento de la imagen institucional. Planificación de actividades A través de las áreas propuestas en la norma, de los controles y subcontroles las organizaciones pueden trazar una efectiva planificación de las actividades a desarrollar con el objetivo de hacer más seguros sus sistemas. Esto es importante pues asegura no sólo que se abarquen todas las áreas relevantes si no también el cumplimiento de los objetivos. Mejora continua La norma describe no solamente los aspectos necesarios a tener en cuenta en el proceso de alcance de los objetivos de seguridad esperados sino también los criterios de revisión y mejora continua a ser utilizados para mantener los niveles de seguridad deseados. Posicionamiento estratégico Implementar la norma les permitirá a las organizaciones enfrentar nuevos desafíos y ampliar sus actividades y competencias de manera segura. Esto puede representar un cambio de relevancia en las perspectivas de crecimiento, en la eficiencia operativa y en la calidad de servicio brindado. Un ejemplo de ello podría ser la incursión en la operatoria electrónica a través de Internet. Cumplimiento de normativas y reglamentaciones En muchos sectores existen normativas y reglamentaciones respecto al tratamiento de la información, tales como las disposiciones referentes a la protección de los datos de personas. El estándar permite alinear los esfuerzos y recursos de la organización conforme lo dispuesto por la normativas que la alcance. Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones Permite crear un marco homogéneo para comparar con otras organizaciones el posicionamiento frente a la seguridad de la información.
  2. (por ejemplo, operadores que puedan manipular los datos y/o atacantes que puedan comprometer / alterar la integridad de las bases de datos)