SlideShare una empresa de Scribd logo
Seguridad informática
Una visión Global…

Pedro David Marco
Agenda
•
•
•
•

Introducción
Estado, preocupaciones y riesgos actuales
Costes de la seguridad
Tecnologías
Agenda

Introducción
Introducción
¿Qué es la seguridad?
• En Junio de 1942 un problema criptográfico
japonés tuvo como consecuencia la destrucción
de sus 4 mayores portaaviones y supuso el fin del
dominio japonés del Pacífico.
¡Bueno, esto es cosa de los militares y además
ya forma parte del pasado!
Introducción
•

El 2 de Noviembre de 1988 un joven llamado Robert Morris
escribió un pequeño programa capaz de, usando algunas
vulnerabilidades de UNIX, transmitirse de unos sistemas a
otros a gran velocidad infectándolos a su paso.
En unas horas miles de equipos tenían sus CPUs al 100%
sin solución de continuidad.
Se trataba del primer Gusano (Worm) de la historia.
¡Es cosa de “los locos del UNIX” y también es
ya pasado, con un AntiVirus esto se habría evitado!
Introducción
•

En Junio de 2005 un hacker logró un listado de 40 millones
de tarjetas de crédito.
Servired, Visa y 4B tuvieron que localizar y avisar
urgentemente a más de 50.000 clientes en España del riesgo
que corrían

¡Esto ya no hace tanta gracia!
Introducción
•

Históricamente la seguridad no ha sido nunca vista como una
parte más de las tecnologías de la información, sino como algo
propio de pequeños círculos de amistades, curiosos o gurús.

•

En las universidades no existían (en muchas aún hoy no existen)
asignaturas relacionadas con la seguridad

•

En el mundo empresarial aun hoy existe esta tendencia en muchos
casos
Introducción
Existen varias razones por las que a todos los niveles no se le
ha dado a suficiente importancia:
1. El riesgo y las consecuencias de ignorarlo eran mínimos
2. Siempre ha sido incomoda: mucho esfuerzo -> poco
resultado
3. Los posibles ataques requerían muy altos niveles de
conocimiento.
4. El acceso al conocimiento y a las redes era muy limitado
Introducción
¿Qué es el riesgo?

Riesgo = vulnerabilidades * amenazas
Si no hay amenazas no hay riesgo
Si no hay vulnerabilidades no hay riesgo
Introducción
Factores que se consideraban fuentes de amenazas:
24.8%

"Hackers"
0.0%
21.6%

Terroristas Informáticos

11.7%
13.6%

Competidores

8.1%
13.9%

Antiguos empleados

7.4%
20.8%

Usuarios no autorizados

6.2%
1998

Clientes

Auditores

Consultores

Empleados

3.0%
2.2%
1.6%
3.5%
6.2%
3.5%
2.6%
1.9%
7.4%
7.3%

Usuarios autorizados
0.0%

1997

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

Fuente: Ernst&Young
Introducción
Evolución mundial de las vulnerabilidades
Introducción
Incidentes denunciados por empresas. España. 1999.

20,5%
28,2%

7,7%

Otros
Accesos Ilegales a máquinas
Denegaciones de Servicio
Correo Basura
Intentos de Entrada

28,2%
35,9%

Fuente: CDI, Guardia Civil
Introducción

Hoy en día el escenario ha cambiado
¡¡ RADICALMENTE !!
Agenda

Estado, preocupaciones y
riesgos
ACTUALES
Preocupaciones y riesgos actuales
¿Cuál es el nivel de riesgo en la actualidad?
1. Las vulnerabilidades se disparan todos los años:

Fuente: Cert
Preocupaciones y riesgos actuales
¿Cuál es el nivel de riesgo en la actualidad?
2. Las amenazas también aumentan:
Cada vez es necesaria menos especialización y menos
conocimiento técnico para llevar a cabo ataques, robar y/o
modificar información o cometer fraudes.
No sólo está disponible y al alcance de todos la
información sobre los fallos y las vulnerabilidades sino que
también lo están los “exploits” y las herramientas para
llevar a cabo todo tipo de acciones.
Preocupaciones y riesgos actuales
Si además tenemos en cuenta que:
1. Hoy día todo esta conectado con todo
2. El número de usuarios de la red crece
exponencialmente
3. Cada vez hay más sistemas y servicios en la red

El nivel de riesgo es suficientemente alto como
para empezar a pensar en la seguridad como
algo imprescindible
Preocupaciones y riesgos actuales
Tipos de ataques actuales: Ataques híbridos
Son ataques en los que se mezclan más de una técnica:
DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows,
Inyecciones, etc.
Suelen ser de muy rápida propagación y siempre se basan en alguna
vulnerabilidad de algún sistema.
Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo
el planeta en cuestión de pocas horas gracias a una mezcla de técnicas
de “uso de vulnerabilidad”, Buffer Overflows, escaneado de direcciones,
transmisión vía Internet, y mimetización en los sistemas.
Como curiosidad: el 75% de los ataques tienen
como telón de fondo técnicas de Buffer Overflow
¿no podrían ser evitadas?
Preocupaciones y riesgos actuales
Tipos de ataques actuales: Ingeniería social
Son ataques en los que se intenta engañar a algún usuario para hacerle
creer como cierto algo que no lo es.
-

Buenos días, ¿es la secretaria del Director del Departamento?
Si digame, ¿que desea?
Soy Pedro, técnico informático del Centro de Apoyo a Usuarios y
me han avisado para reparar un virus del ordenador del director
pero la clave que me han indicado para entrar no es correcta,
¿podría ayudarme, por favor?
Otros ataques de este tipo son:
• Farming
• SPAM
• Pishing
• Cajeros automáticos
• ETC.
Preocupaciones y riesgos actuales
Tipos de ataques actuales: Ingeniería social
El ataque que más preocupa hoy en día a las grandes organizaciones, sobre
todo en el sector de banca online es, con diferencia, el “PISHING”:
Preocupaciones y riesgos actuales
Ejemplo de Pishing…
Preocupaciones y riesgos actuales
¿Qué preocupa y qué no en un proyecto de seguridad?
Existe un problema subyacente en la mente de TODOS los Directores de
informática de las grandes compañías que nunca debemos olvidar
si queremos tener éxito en la implantación de un sistema de seguridad:
“La compañía puede vivir sin seguridad pero no sin comunicaciones”
Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar
problemas que pueden no haberse producido aun puede generar problemas
Nuevos, ese sistema NO SERA ACEPTADO.
Preocupaciones y riesgos actuales
¿Donde queda la criptografía en todo esto?
Los estándares actuales de cifrado de la información (AES, DES,
RSA, MD5, etc., etc.) son globalmente aceptados como buenos y
suficientes en la mayoría de los casos, quedando su estudio
reducidos a pocos entornos, Universidades, Fuerzas del Orden,
Ministerios, etc.
La criptografía capta la atención general pocas veces, pero cuando
lo hace suele ser por algo serio, cuando algún protocolo y/o
algoritmo es “reventado”. Por ejemplo, WEP, el cifrado que usan las
redes WiFi basado en RC4 que puede ser descifrado si se consigue
una captura de tráfico suficientemente grande.
Agenda

Costes de la seguridad
Costes de la Seguridad
El Coste de la seguridad
El esfuerzo tanto económico como humano de los Departamentos de
Seguridad debe buscar siempre cuatro objetivos:
1. Disponibilidad
Se consideran sistemas aceptables a partir de dos nueves, esto es:
disponibles el 99,99% del tiempo. La inversión por cada nueve
extra es siempre muy elevada.
2. Confidencialidad:

Seguridad “keep the good giys in”

3. Integridad: Seguridad “Keep the bad guys out”
4. Cumplimiento de la legalidad:
ISO17799

LOPD, Sarbanes-Oxley,
Costes de la Seguridad
El esfuerzo económico en seguridad es imposible de medir pero como éste
debe ser siempre proporcional al riesgo de perdidas, que SI ES MEDIBLE,
si es posible hacer estimaciones razonables
Costes de la Seguridad
Problemas colaterales de la seguridad
en las grandes compañías
1. Costes & ROI (Return of Investment)
1. Costes de personal
1. Difícil encontrar técnicos cualificados
2. Muy alta rotación en según que sectores
2. Costes tecnológicos: HW, SW, ROI
3. Costes ocultos (a menudo elevados)
4. Costes de cumplimiento de la legalidad (LOPD,
Sarbanes-Oxley, etc)
5. Costes de cumplimiento de políticas y
normativas
6. Costes de seguros (aprox. 25% de las
compañías)
Preocupaciones y riesgos actuales
Problemas colaterales de la seguridad
en las grandes compañías
2. De organización
Lleva mucho tiempo y esfuerzo conocer e integrar
cualquier sistema de seguridad cuando hay
implicado más de un departamento.
Se estima que 30 minutos de un Hacker pueden
suponer una semana de trabajo de un ingeniero
con experiencia para reparar lo dañado y prevenir
nuevos incidentes
3. De garantía de disponibilidad
4. De garantía de ajuste a normativa y legalidad
Costes de la Seguridad
Entonces ¿Cuánto se suele gastar en seguridad?
Agenda

Tecnologías
Tecnologías
¿Qué tecnologías existen y cuál es su estado actual?
Desde el punto de vista empresarial existen dos posibles
enfoques para clasificar los sistemas de seguridad:
1. Según coste:
1. Software libre: Linux, Snort, Nessus, Ethereal, etc.
Suele ser difícil implantar este tipo de sistemas salvo que
haya verdaderos problemas presupuestarios.
2. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS,
Checkpoint, Trend, etc.
Gran calidad debida a la competencia
Tecnologías
¿Qué tecnologías existen y cuál es su estado actual?
Desde el punto de vista empresarial existen dos posibles
enfoques para clasificar los sistemas de seguridad:
2. Desde el punto de vista de su utilidad:
1. “Keep the good guys in”: VPN, PKI, RAS, Radius, Tacacs+,
Single Sing On, etc.
2. “Keep the bad guys out”: AntiVirus, FW, IPS, IDS, ADS, etc.
Tecnologías
¿Qué grado de implantación tiene cada una?
Tecnologías
¿ Cuáles son las tendencias actuales ?
Firewalls
Todas las compañías montan sistemas de filtrado de paquetes, bien
mediante FireWalls, bien mediante listas de control de acceso en
routers.
Existen FW personales cuya utilidad suele cuestionarse (a favor de los
IPS personales)
Antivirus
Se montan siempre a dos niveles: a nivel de red (para filtrar correo
electrónico principalmente) y a nivel de puesto de trabajo.
Tecnologías
¿ Cuáles son las tendencias actuales ?
IDS
Los sistemas de detección de intrusos han estado ayudando a detectar
problemas en las redes durante años pero su incapacidad de detener
los ataques que ellos mismos detectaban y la gran cantidad de alarmas
que generaban (imposibles de perseguir) han dado paso a los IPSs
IPS
Están en pleno auge. Son capaces de detectar y detener tanto ataques
conocidos como desconocidos, detectar y detener virus, troyanos, aislar
hackers cuando se les detecta y hasta proteger a los otros elementos
de seguridad de la red, por ejemplo a los Firewalls.
ADS
Sistemas de detección de anomalias. Son totalmente
novedosos y aún es pronto para hablar de sus
resultados reales.
Tecnologías
¿ Cuáles son las tendencias actuales ?
Single Sign-on
Han sido, son y seguirán siendo de gran utilidad, máxime en las
grandes empresas donde la gran variedad de sistemas y claves a
memorizar convierten los post-it junto a los monitores en algo común.
Control de acceso a red
Microsoft y Cisco están en plena pugna por “llevarse el gato al agua” en
lo que a control de acceso a red se refiere y aunque recientemente
anunciaron su intención de colaborar, lo cierto es que cada uno sigue
por su lado, NAP, NAC… el tiempo dirá…
Tecnologías
¿ Cuáles son las tendencias actuales ?
VPN + PKI
Durante años el binomio VPN + PKI han dominado el mundo de los
accesos remotos seguros pero la necesidad de instalar un cliente de
VPN en el PC los ha hecho incómodos. Están dejando paso a marchas
forzadas a las VPN + SSL.
VPN + SSL
Sin más complejidad para el cliente que conectarse a una página web
segura de la compañía para poder entrar en ella vía VPN. Sencillas,
cómodas y ligeras. Existen ya sistemas basados en appliances de red.
¡ GRACIAS !

Más contenido relacionado

La actualidad más candente

Ensayo de seguridad informática
Ensayo de seguridad informáticaEnsayo de seguridad informática
Ensayo de seguridad informática
ronaldlezama
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
Orestes Febles
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
OttoLpezAguilar
 
Seguridad 1
Seguridad 1Seguridad 1
Seguridad 1
Jose Rivera
 
Presentacion_1
Presentacion_1Presentacion_1
Presentacion_1
Curso de Seguridad Ufg
 
Blogger
BloggerBlogger
S3 cdsi1
S3 cdsi1S3 cdsi1
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
yuliaranda
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S4 cdsi1
S4 cdsi1S4 cdsi1
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidas
Universidad Tecnológica de México - UNITEC
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
dgoss
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Aranda Software
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas Informaticas
Dimiber
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
Sen Alonzo
 

La actualidad más candente (17)

Ensayo de seguridad informática
Ensayo de seguridad informáticaEnsayo de seguridad informática
Ensayo de seguridad informática
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
Seguridad 1
Seguridad 1Seguridad 1
Seguridad 1
 
Presentacion_1
Presentacion_1Presentacion_1
Presentacion_1
 
Blogger
BloggerBlogger
Blogger
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 
S4 cdsi1
S4 cdsi1S4 cdsi1
S4 cdsi1
 
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
S3 cdsi1-1
 
Ethical hacking y contramedidas
Ethical hacking y contramedidasEthical hacking y contramedidas
Ethical hacking y contramedidas
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
 
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITYMemorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
Memorias webCast Prevención de Ataques de Dia-0 con Aranda 360 ENDPOINT SECURITY
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas Informaticas
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
 

Destacado

1er grado bloque 3 - educación artística
1er grado   bloque 3 - educación artística1er grado   bloque 3 - educación artística
1er grado bloque 3 - educación artística
UV ADMINISTRACION (SISTEMAS)
 
Bitcora9
Bitcora9Bitcora9
Bitcora9
Dania Torres
 
Alg2 lesson 13-3
Alg2 lesson 13-3Alg2 lesson 13-3
Alg2 lesson 13-3
Carol Defreese
 
Rijn I Jsselcollege Leermeesters 11152010
Rijn I Jsselcollege Leermeesters 11152010Rijn I Jsselcollege Leermeesters 11152010
Rijn I Jsselcollege Leermeesters 11152010
Johan Lapidaire
 
Disco Duro
Disco DuroDisco Duro
Disco Duro
Itachi354
 
מצגת כללית Next4
מצגת כללית Next4מצגת כללית Next4
מצגת כללית Next4
Eytan Segev
 

Destacado (6)

1er grado bloque 3 - educación artística
1er grado   bloque 3 - educación artística1er grado   bloque 3 - educación artística
1er grado bloque 3 - educación artística
 
Bitcora9
Bitcora9Bitcora9
Bitcora9
 
Alg2 lesson 13-3
Alg2 lesson 13-3Alg2 lesson 13-3
Alg2 lesson 13-3
 
Rijn I Jsselcollege Leermeesters 11152010
Rijn I Jsselcollege Leermeesters 11152010Rijn I Jsselcollege Leermeesters 11152010
Rijn I Jsselcollege Leermeesters 11152010
 
Disco Duro
Disco DuroDisco Duro
Disco Duro
 
מצגת כללית Next4
מצגת כללית Next4מצגת כללית Next4
מצגת כללית Next4
 

Similar a Seguridad informatica

0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf
calamilla
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH es
Jordi Garcia Castillon
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
Emilio Márquez Espino
 
Desarrollo de aplicaciones seguras
Desarrollo de aplicaciones segurasDesarrollo de aplicaciones seguras
Desarrollo de aplicaciones seguras
Fernando Tricas García
 
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
Henrry Osmar Torres
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
Ramiro Cid
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
Héctor López
 
Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010
guestf02120
 
Analizando un delito informático
Analizando un delito informáticoAnalizando un delito informático
Analizando un delito informático
Edmundo Diego Bonini ஃ
 
Introduccion
IntroduccionIntroduccion
Introduccion
Orestes Febles
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas  UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas  UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Luis Fernando Aguas Bucheli
 
Criptografía
CriptografíaCriptografía
Criptografía
Orestes Febles
 
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Manuel Santander
 
Introduccion Seguridad
Introduccion SeguridadIntroduccion Seguridad
Introduccion Seguridad
prof.2007
 
Taller word
Taller wordTaller word
Clase dieciocho 2011
Clase dieciocho  2011Clase dieciocho  2011
Clase dieciocho 2011
tecnodelainfo
 
Ensayo nelson manaure.docx
Ensayo nelson manaure.docxEnsayo nelson manaure.docx
Ensayo nelson manaure.docx
nelsonmanaure
 
Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”
Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”
Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”
JUAN CARLOS DIAZ IBAÑEZ
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
Jhon887166
 
politica seguridad e informatica
politica seguridad e informatica politica seguridad e informatica
politica seguridad e informatica
mayuteamo
 

Similar a Seguridad informatica (20)

0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf0029-seguridad-informatica.pdf
0029-seguridad-informatica.pdf
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH es
 
Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011
 
Desarrollo de aplicaciones seguras
Desarrollo de aplicaciones segurasDesarrollo de aplicaciones seguras
Desarrollo de aplicaciones seguras
 
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010
 
Analizando un delito informático
Analizando un delito informáticoAnalizando un delito informático
Analizando un delito informático
 
Introduccion
IntroduccionIntroduccion
Introduccion
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas  UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas  UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Criptografía
CriptografíaCriptografía
Criptografía
 
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la InformaciónCiberterrorismo: La nueva realidad de la Seguridad de la Información
Ciberterrorismo: La nueva realidad de la Seguridad de la Información
 
Introduccion Seguridad
Introduccion SeguridadIntroduccion Seguridad
Introduccion Seguridad
 
Taller word
Taller wordTaller word
Taller word
 
Clase dieciocho 2011
Clase dieciocho  2011Clase dieciocho  2011
Clase dieciocho 2011
 
Ensayo nelson manaure.docx
Ensayo nelson manaure.docxEnsayo nelson manaure.docx
Ensayo nelson manaure.docx
 
Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”
Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”
Riesgos de la información electrónica (Virus, ataque, Vacunas Informáticas”
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
politica seguridad e informatica
politica seguridad e informatica politica seguridad e informatica
politica seguridad e informatica
 

Más de José Tomás Diarte Añazco

S2214750014000067 gr1.jpg
S2214750014000067 gr1.jpgS2214750014000067 gr1.jpg
S2214750014000067 gr1.jpg
José Tomás Diarte Añazco
 
Primer trabajo practico de dreamweaver cs3
Primer trabajo practico de dreamweaver cs3Primer trabajo practico de dreamweaver cs3
Primer trabajo practico de dreamweaver cs3
José Tomás Diarte Añazco
 
VARIABLE COMPLEJA
VARIABLE COMPLEJAVARIABLE COMPLEJA
VARIABLE COMPLEJA
José Tomás Diarte Añazco
 
Control Industrial
Control IndustrialControl Industrial
Control Industrial
José Tomás Diarte Añazco
 
Microcontroladores
MicrocontroladoresMicrocontroladores
Microcontroladores
José Tomás Diarte Añazco
 
Investigación Cientifica
Investigación CientificaInvestigación Cientifica
Investigación Cientifica
José Tomás Diarte Añazco
 
Introduccion a la Robótica
Introduccion a la RobóticaIntroduccion a la Robótica
Introduccion a la Robótica
José Tomás Diarte Añazco
 
Sistemas de ecuaciones Lineales
Sistemas de ecuaciones Lineales Sistemas de ecuaciones Lineales
Sistemas de ecuaciones Lineales
José Tomás Diarte Añazco
 
Algebra de Boole
Algebra de BooleAlgebra de Boole
Algebra de Boole
José Tomás Diarte Añazco
 
Introducción a la Gerencia Informática
Introducción a la Gerencia InformáticaIntroducción a la Gerencia Informática
Introducción a la Gerencia Informática
José Tomás Diarte Añazco
 
Introducción al Lenguaje de Programación
Introducción al Lenguaje de ProgramaciónIntroducción al Lenguaje de Programación
Introducción al Lenguaje de Programación
José Tomás Diarte Añazco
 
Auditoria de SISTEMAS
Auditoria de SISTEMASAuditoria de SISTEMAS
Auditoria de SISTEMAS
José Tomás Diarte Añazco
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
José Tomás Diarte Añazco
 
Investigación de Operaciones
Investigación de OperacionesInvestigación de Operaciones
Investigación de Operaciones
José Tomás Diarte Añazco
 
Proyectos Informaticos
Proyectos InformaticosProyectos Informaticos
Proyectos Informaticos
José Tomás Diarte Añazco
 
Introducción a la Arquitectura de Computadoras.
Introducción a la Arquitectura de Computadoras.Introducción a la Arquitectura de Computadoras.
Introducción a la Arquitectura de Computadoras.
José Tomás Diarte Añazco
 
Introducción de Ingeniería de Software
Introducción de Ingeniería de SoftwareIntroducción de Ingeniería de Software
Introducción de Ingeniería de Software
José Tomás Diarte Añazco
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
José Tomás Diarte Añazco
 
Inteligencia Artificail
Inteligencia ArtificailInteligencia Artificail
Inteligencia Artificail
José Tomás Diarte Añazco
 
LA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTE
LA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTELA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTE
LA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTE
José Tomás Diarte Añazco
 

Más de José Tomás Diarte Añazco (20)

S2214750014000067 gr1.jpg
S2214750014000067 gr1.jpgS2214750014000067 gr1.jpg
S2214750014000067 gr1.jpg
 
Primer trabajo practico de dreamweaver cs3
Primer trabajo practico de dreamweaver cs3Primer trabajo practico de dreamweaver cs3
Primer trabajo practico de dreamweaver cs3
 
VARIABLE COMPLEJA
VARIABLE COMPLEJAVARIABLE COMPLEJA
VARIABLE COMPLEJA
 
Control Industrial
Control IndustrialControl Industrial
Control Industrial
 
Microcontroladores
MicrocontroladoresMicrocontroladores
Microcontroladores
 
Investigación Cientifica
Investigación CientificaInvestigación Cientifica
Investigación Cientifica
 
Introduccion a la Robótica
Introduccion a la RobóticaIntroduccion a la Robótica
Introduccion a la Robótica
 
Sistemas de ecuaciones Lineales
Sistemas de ecuaciones Lineales Sistemas de ecuaciones Lineales
Sistemas de ecuaciones Lineales
 
Algebra de Boole
Algebra de BooleAlgebra de Boole
Algebra de Boole
 
Introducción a la Gerencia Informática
Introducción a la Gerencia InformáticaIntroducción a la Gerencia Informática
Introducción a la Gerencia Informática
 
Introducción al Lenguaje de Programación
Introducción al Lenguaje de ProgramaciónIntroducción al Lenguaje de Programación
Introducción al Lenguaje de Programación
 
Auditoria de SISTEMAS
Auditoria de SISTEMASAuditoria de SISTEMAS
Auditoria de SISTEMAS
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Investigación de Operaciones
Investigación de OperacionesInvestigación de Operaciones
Investigación de Operaciones
 
Proyectos Informaticos
Proyectos InformaticosProyectos Informaticos
Proyectos Informaticos
 
Introducción a la Arquitectura de Computadoras.
Introducción a la Arquitectura de Computadoras.Introducción a la Arquitectura de Computadoras.
Introducción a la Arquitectura de Computadoras.
 
Introducción de Ingeniería de Software
Introducción de Ingeniería de SoftwareIntroducción de Ingeniería de Software
Introducción de Ingeniería de Software
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Inteligencia Artificail
Inteligencia ArtificailInteligencia Artificail
Inteligencia Artificail
 
LA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTE
LA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTELA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTE
LA CIENCIA COGNITIVA Y EL ESTUDIO DE LA MENTE
 

Último

Calidad de vida laboral - Ética y Responsabilidad Social Empresarial
Calidad de vida laboral - Ética y Responsabilidad Social EmpresarialCalidad de vida laboral - Ética y Responsabilidad Social Empresarial
Calidad de vida laboral - Ética y Responsabilidad Social Empresarial
JonathanCovena1
 
CALCULO DE AMORTIZACION DE UN PRESTAMO.pdf
CALCULO DE AMORTIZACION DE UN PRESTAMO.pdfCALCULO DE AMORTIZACION DE UN PRESTAMO.pdf
CALCULO DE AMORTIZACION DE UN PRESTAMO.pdf
cesareduvr95
 
La filosofía presocrática y los filosofos más relvantes del periodo.
La filosofía presocrática y los filosofos más relvantes del periodo.La filosofía presocrática y los filosofos más relvantes del periodo.
La filosofía presocrática y los filosofos más relvantes del periodo.
DobbieElfo
 
5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf
5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf
5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf
manuelhinojosa1950
 
Gracias papá hombre_letra y acordes de guitarra.pdf
Gracias papá hombre_letra y acordes de guitarra.pdfGracias papá hombre_letra y acordes de guitarra.pdf
Gracias papá hombre_letra y acordes de guitarra.pdf
Ani Ann
 
ROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLAROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...
Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...
Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...
Shirley Vásquez Esparza
 
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdfEvaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
EfranMartnez8
 
Cuadernillo De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...
Cuadernillo  De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...Cuadernillo  De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...
Cuadernillo De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...
JesusSanchez136180
 
Gracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdfGracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdf
Ani Ann
 
PRINCIPALES INNOVACIONES CURRICULARES 2024.pdf
PRINCIPALES INNOVACIONES CURRICULARES 2024.pdfPRINCIPALES INNOVACIONES CURRICULARES 2024.pdf
PRINCIPALES INNOVACIONES CURRICULARES 2024.pdf
christianMuoz756105
 
Sesión de clase: El conflicto inminente.
Sesión de clase: El conflicto inminente.Sesión de clase: El conflicto inminente.
Sesión de clase: El conflicto inminente.
https://gramadal.wordpress.com/
 
Presentación sector la arenita_paijan pptx
Presentación sector la arenita_paijan pptxPresentación sector la arenita_paijan pptx
Presentación sector la arenita_paijan pptx
Aracely Natalia Lopez Talavera
 
Programación de la XI semana cultural del CEIP Alfares
Programación de la XI semana cultural del CEIP AlfaresProgramación de la XI semana cultural del CEIP Alfares
Programación de la XI semana cultural del CEIP Alfares
Alfaresbilingual
 
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍACINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
Fernández Gorka
 
DIPLOMA Teachers For Future junio2024.pdf
DIPLOMA Teachers For Future junio2024.pdfDIPLOMA Teachers For Future junio2024.pdf
DIPLOMA Teachers For Future junio2024.pdf
Alfaresbilingual
 
ELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdf
ELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdfELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdf
ELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdf
DaliaAndrade1
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
JorgeVillota6
 
Fundamentos filosóficos de la metodología de la enseñanza
Fundamentos filosóficos de la metodología de la enseñanzaFundamentos filosóficos de la metodología de la enseñanza
Fundamentos filosóficos de la metodología de la enseñanza
iamgaby0724
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 

Último (20)

Calidad de vida laboral - Ética y Responsabilidad Social Empresarial
Calidad de vida laboral - Ética y Responsabilidad Social EmpresarialCalidad de vida laboral - Ética y Responsabilidad Social Empresarial
Calidad de vida laboral - Ética y Responsabilidad Social Empresarial
 
CALCULO DE AMORTIZACION DE UN PRESTAMO.pdf
CALCULO DE AMORTIZACION DE UN PRESTAMO.pdfCALCULO DE AMORTIZACION DE UN PRESTAMO.pdf
CALCULO DE AMORTIZACION DE UN PRESTAMO.pdf
 
La filosofía presocrática y los filosofos más relvantes del periodo.
La filosofía presocrática y los filosofos más relvantes del periodo.La filosofía presocrática y los filosofos más relvantes del periodo.
La filosofía presocrática y los filosofos más relvantes del periodo.
 
5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf
5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf
5° T3 EDITABLE EVALUACIÓN DARUKEL 2023-2024.pdf
 
Gracias papá hombre_letra y acordes de guitarra.pdf
Gracias papá hombre_letra y acordes de guitarra.pdfGracias papá hombre_letra y acordes de guitarra.pdf
Gracias papá hombre_letra y acordes de guitarra.pdf
 
ROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLAROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ROMPECABEZAS DE COMPETENCIAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
 
Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...
Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...
Leyes de los gases según Boyle-Marriote, Charles, Gay- Lussac, Ley general de...
 
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdfEvaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
Evaluacion-Formativa-Nueva Escuela Mexicana NEM-ok.pdf
 
Cuadernillo De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...
Cuadernillo  De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...Cuadernillo  De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...
Cuadernillo De Quimica 3 De Secundaria - Trimestre III - Alumno - Omar Chiqu...
 
Gracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdfGracias papá voz mujer_letra y acordes de guitarra.pdf
Gracias papá voz mujer_letra y acordes de guitarra.pdf
 
PRINCIPALES INNOVACIONES CURRICULARES 2024.pdf
PRINCIPALES INNOVACIONES CURRICULARES 2024.pdfPRINCIPALES INNOVACIONES CURRICULARES 2024.pdf
PRINCIPALES INNOVACIONES CURRICULARES 2024.pdf
 
Sesión de clase: El conflicto inminente.
Sesión de clase: El conflicto inminente.Sesión de clase: El conflicto inminente.
Sesión de clase: El conflicto inminente.
 
Presentación sector la arenita_paijan pptx
Presentación sector la arenita_paijan pptxPresentación sector la arenita_paijan pptx
Presentación sector la arenita_paijan pptx
 
Programación de la XI semana cultural del CEIP Alfares
Programación de la XI semana cultural del CEIP AlfaresProgramación de la XI semana cultural del CEIP Alfares
Programación de la XI semana cultural del CEIP Alfares
 
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍACINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
 
DIPLOMA Teachers For Future junio2024.pdf
DIPLOMA Teachers For Future junio2024.pdfDIPLOMA Teachers For Future junio2024.pdf
DIPLOMA Teachers For Future junio2024.pdf
 
ELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdf
ELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdfELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdf
ELEMENTOS DE LA COMPRENSION ORAL-ESCUCHA ACTIVA.pdf
 
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsadUrkuninaLab.pdfsadsadasddassadsadsadasdsad
UrkuninaLab.pdfsadsadasddassadsadsadasdsad
 
Fundamentos filosóficos de la metodología de la enseñanza
Fundamentos filosóficos de la metodología de la enseñanzaFundamentos filosóficos de la metodología de la enseñanza
Fundamentos filosóficos de la metodología de la enseñanza
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
 

Seguridad informatica

  • 1. Seguridad informática Una visión Global… Pedro David Marco
  • 2. Agenda • • • • Introducción Estado, preocupaciones y riesgos actuales Costes de la seguridad Tecnologías
  • 4. Introducción ¿Qué es la seguridad? • En Junio de 1942 un problema criptográfico japonés tuvo como consecuencia la destrucción de sus 4 mayores portaaviones y supuso el fin del dominio japonés del Pacífico. ¡Bueno, esto es cosa de los militares y además ya forma parte del pasado!
  • 5. Introducción • El 2 de Noviembre de 1988 un joven llamado Robert Morris escribió un pequeño programa capaz de, usando algunas vulnerabilidades de UNIX, transmitirse de unos sistemas a otros a gran velocidad infectándolos a su paso. En unas horas miles de equipos tenían sus CPUs al 100% sin solución de continuidad. Se trataba del primer Gusano (Worm) de la historia. ¡Es cosa de “los locos del UNIX” y también es ya pasado, con un AntiVirus esto se habría evitado!
  • 6. Introducción • En Junio de 2005 un hacker logró un listado de 40 millones de tarjetas de crédito. Servired, Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000 clientes en España del riesgo que corrían ¡Esto ya no hace tanta gracia!
  • 7. Introducción • Históricamente la seguridad no ha sido nunca vista como una parte más de las tecnologías de la información, sino como algo propio de pequeños círculos de amistades, curiosos o gurús. • En las universidades no existían (en muchas aún hoy no existen) asignaturas relacionadas con la seguridad • En el mundo empresarial aun hoy existe esta tendencia en muchos casos
  • 8. Introducción Existen varias razones por las que a todos los niveles no se le ha dado a suficiente importancia: 1. El riesgo y las consecuencias de ignorarlo eran mínimos 2. Siempre ha sido incomoda: mucho esfuerzo -> poco resultado 3. Los posibles ataques requerían muy altos niveles de conocimiento. 4. El acceso al conocimiento y a las redes era muy limitado
  • 9. Introducción ¿Qué es el riesgo? Riesgo = vulnerabilidades * amenazas Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo
  • 10. Introducción Factores que se consideraban fuentes de amenazas: 24.8% "Hackers" 0.0% 21.6% Terroristas Informáticos 11.7% 13.6% Competidores 8.1% 13.9% Antiguos empleados 7.4% 20.8% Usuarios no autorizados 6.2% 1998 Clientes Auditores Consultores Empleados 3.0% 2.2% 1.6% 3.5% 6.2% 3.5% 2.6% 1.9% 7.4% 7.3% Usuarios autorizados 0.0% 1997 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% Fuente: Ernst&Young
  • 11. Introducción Evolución mundial de las vulnerabilidades
  • 12. Introducción Incidentes denunciados por empresas. España. 1999. 20,5% 28,2% 7,7% Otros Accesos Ilegales a máquinas Denegaciones de Servicio Correo Basura Intentos de Entrada 28,2% 35,9% Fuente: CDI, Guardia Civil
  • 13. Introducción Hoy en día el escenario ha cambiado ¡¡ RADICALMENTE !!
  • 15. Preocupaciones y riesgos actuales ¿Cuál es el nivel de riesgo en la actualidad? 1. Las vulnerabilidades se disparan todos los años: Fuente: Cert
  • 16. Preocupaciones y riesgos actuales ¿Cuál es el nivel de riesgo en la actualidad? 2. Las amenazas también aumentan: Cada vez es necesaria menos especialización y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar información o cometer fraudes. No sólo está disponible y al alcance de todos la información sobre los fallos y las vulnerabilidades sino que también lo están los “exploits” y las herramientas para llevar a cabo todo tipo de acciones.
  • 17. Preocupaciones y riesgos actuales Si además tenemos en cuenta que: 1. Hoy día todo esta conectado con todo 2. El número de usuarios de la red crece exponencialmente 3. Cada vez hay más sistemas y servicios en la red El nivel de riesgo es suficientemente alto como para empezar a pensar en la seguridad como algo imprescindible
  • 18. Preocupaciones y riesgos actuales Tipos de ataques actuales: Ataques híbridos Son ataques en los que se mezclan más de una técnica: DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc. Suelen ser de muy rápida propagación y siempre se basan en alguna vulnerabilidad de algún sistema. Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta en cuestión de pocas horas gracias a una mezcla de técnicas de “uso de vulnerabilidad”, Buffer Overflows, escaneado de direcciones, transmisión vía Internet, y mimetización en los sistemas. Como curiosidad: el 75% de los ataques tienen como telón de fondo técnicas de Buffer Overflow ¿no podrían ser evitadas?
  • 19. Preocupaciones y riesgos actuales Tipos de ataques actuales: Ingeniería social Son ataques en los que se intenta engañar a algún usuario para hacerle creer como cierto algo que no lo es. - Buenos días, ¿es la secretaria del Director del Departamento? Si digame, ¿que desea? Soy Pedro, técnico informático del Centro de Apoyo a Usuarios y me han avisado para reparar un virus del ordenador del director pero la clave que me han indicado para entrar no es correcta, ¿podría ayudarme, por favor? Otros ataques de este tipo son: • Farming • SPAM • Pishing • Cajeros automáticos • ETC.
  • 20. Preocupaciones y riesgos actuales Tipos de ataques actuales: Ingeniería social El ataque que más preocupa hoy en día a las grandes organizaciones, sobre todo en el sector de banca online es, con diferencia, el “PISHING”:
  • 21. Preocupaciones y riesgos actuales Ejemplo de Pishing…
  • 22. Preocupaciones y riesgos actuales ¿Qué preocupa y qué no en un proyecto de seguridad? Existe un problema subyacente en la mente de TODOS los Directores de informática de las grandes compañías que nunca debemos olvidar si queremos tener éxito en la implantación de un sistema de seguridad: “La compañía puede vivir sin seguridad pero no sin comunicaciones” Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar problemas que pueden no haberse producido aun puede generar problemas Nuevos, ese sistema NO SERA ACEPTADO.
  • 23. Preocupaciones y riesgos actuales ¿Donde queda la criptografía en todo esto? Los estándares actuales de cifrado de la información (AES, DES, RSA, MD5, etc., etc.) son globalmente aceptados como buenos y suficientes en la mayoría de los casos, quedando su estudio reducidos a pocos entornos, Universidades, Fuerzas del Orden, Ministerios, etc. La criptografía capta la atención general pocas veces, pero cuando lo hace suele ser por algo serio, cuando algún protocolo y/o algoritmo es “reventado”. Por ejemplo, WEP, el cifrado que usan las redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de tráfico suficientemente grande.
  • 24. Agenda Costes de la seguridad
  • 25. Costes de la Seguridad El Coste de la seguridad El esfuerzo tanto económico como humano de los Departamentos de Seguridad debe buscar siempre cuatro objetivos: 1. Disponibilidad Se consideran sistemas aceptables a partir de dos nueves, esto es: disponibles el 99,99% del tiempo. La inversión por cada nueve extra es siempre muy elevada. 2. Confidencialidad: Seguridad “keep the good giys in” 3. Integridad: Seguridad “Keep the bad guys out” 4. Cumplimiento de la legalidad: ISO17799 LOPD, Sarbanes-Oxley,
  • 26. Costes de la Seguridad El esfuerzo económico en seguridad es imposible de medir pero como éste debe ser siempre proporcional al riesgo de perdidas, que SI ES MEDIBLE, si es posible hacer estimaciones razonables
  • 27. Costes de la Seguridad Problemas colaterales de la seguridad en las grandes compañías 1. Costes & ROI (Return of Investment) 1. Costes de personal 1. Difícil encontrar técnicos cualificados 2. Muy alta rotación en según que sectores 2. Costes tecnológicos: HW, SW, ROI 3. Costes ocultos (a menudo elevados) 4. Costes de cumplimiento de la legalidad (LOPD, Sarbanes-Oxley, etc) 5. Costes de cumplimiento de políticas y normativas 6. Costes de seguros (aprox. 25% de las compañías)
  • 28. Preocupaciones y riesgos actuales Problemas colaterales de la seguridad en las grandes compañías 2. De organización Lleva mucho tiempo y esfuerzo conocer e integrar cualquier sistema de seguridad cuando hay implicado más de un departamento. Se estima que 30 minutos de un Hacker pueden suponer una semana de trabajo de un ingeniero con experiencia para reparar lo dañado y prevenir nuevos incidentes 3. De garantía de disponibilidad 4. De garantía de ajuste a normativa y legalidad
  • 29. Costes de la Seguridad Entonces ¿Cuánto se suele gastar en seguridad?
  • 31. Tecnologías ¿Qué tecnologías existen y cuál es su estado actual? Desde el punto de vista empresarial existen dos posibles enfoques para clasificar los sistemas de seguridad: 1. Según coste: 1. Software libre: Linux, Snort, Nessus, Ethereal, etc. Suele ser difícil implantar este tipo de sistemas salvo que haya verdaderos problemas presupuestarios. 2. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS, Checkpoint, Trend, etc. Gran calidad debida a la competencia
  • 32. Tecnologías ¿Qué tecnologías existen y cuál es su estado actual? Desde el punto de vista empresarial existen dos posibles enfoques para clasificar los sistemas de seguridad: 2. Desde el punto de vista de su utilidad: 1. “Keep the good guys in”: VPN, PKI, RAS, Radius, Tacacs+, Single Sing On, etc. 2. “Keep the bad guys out”: AntiVirus, FW, IPS, IDS, ADS, etc.
  • 33. Tecnologías ¿Qué grado de implantación tiene cada una?
  • 34. Tecnologías ¿ Cuáles son las tendencias actuales ? Firewalls Todas las compañías montan sistemas de filtrado de paquetes, bien mediante FireWalls, bien mediante listas de control de acceso en routers. Existen FW personales cuya utilidad suele cuestionarse (a favor de los IPS personales) Antivirus Se montan siempre a dos niveles: a nivel de red (para filtrar correo electrónico principalmente) y a nivel de puesto de trabajo.
  • 35. Tecnologías ¿ Cuáles son las tendencias actuales ? IDS Los sistemas de detección de intrusos han estado ayudando a detectar problemas en las redes durante años pero su incapacidad de detener los ataques que ellos mismos detectaban y la gran cantidad de alarmas que generaban (imposibles de perseguir) han dado paso a los IPSs IPS Están en pleno auge. Son capaces de detectar y detener tanto ataques conocidos como desconocidos, detectar y detener virus, troyanos, aislar hackers cuando se les detecta y hasta proteger a los otros elementos de seguridad de la red, por ejemplo a los Firewalls. ADS Sistemas de detección de anomalias. Son totalmente novedosos y aún es pronto para hablar de sus resultados reales.
  • 36. Tecnologías ¿ Cuáles son las tendencias actuales ? Single Sign-on Han sido, son y seguirán siendo de gran utilidad, máxime en las grandes empresas donde la gran variedad de sistemas y claves a memorizar convierten los post-it junto a los monitores en algo común. Control de acceso a red Microsoft y Cisco están en plena pugna por “llevarse el gato al agua” en lo que a control de acceso a red se refiere y aunque recientemente anunciaron su intención de colaborar, lo cierto es que cada uno sigue por su lado, NAP, NAC… el tiempo dirá…
  • 37. Tecnologías ¿ Cuáles son las tendencias actuales ? VPN + PKI Durante años el binomio VPN + PKI han dominado el mundo de los accesos remotos seguros pero la necesidad de instalar un cliente de VPN en el PC los ha hecho incómodos. Están dejando paso a marchas forzadas a las VPN + SSL. VPN + SSL Sin más complejidad para el cliente que conectarse a una página web segura de la compañía para poder entrar en ella vía VPN. Sencillas, cómodas y ligeras. Existen ya sistemas basados en appliances de red.