Your SlideShare is downloading. ×
0
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Identificación de riesgos en ti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Identificación de riesgos en ti

1,140

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,140
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. IDENTIFICACIÓN DE RIESGOS EN TI <ul><li>INTEGRANTES: </li></ul><ul><li>Prado Marca, Fernando </li></ul><ul><li>Sulca Ramos, Homar </li></ul><ul><li>Vargas Oliva, Elmer Charle </li></ul>PROFESOR : Ing. Oscar Mujica Ruiz GRUPO : Nº 6
  • 2. CASO 1 1.- Identificación de Riesgos en TI de la Red de la UTPL - ECUADOR <ul><li>FASES </li></ul><ul><li>Estudio y clasificación de los delitos informáticos. </li></ul><ul><li>Estudio de la legislación para sancionar los delitos informáticos. </li></ul><ul><li>Identificación de riesgos. </li></ul><ul><ul><li>3.1 Laboratorio de Ethical Hacking - OSSTNM </li></ul></ul><ul><ul><li>3.2 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y Solaris. </li></ul></ul><ul><li>4. Diseño de políticas. </li></ul>
  • 3. CASOS 1 Servicios que brinda la Universidad Se ha considerado importante conocer cuales son los riesgos a los que están expuestos, tales como: fraude, robo de información, suplantación de identidades, entre otros.
  • 4. CASOS 1 <ul><ul><li>3.1 Ethical Hacking – Laboratorio de Ethical Hacking </li></ul></ul>Mapa de seguridad de OSSTMM Metodología OSSTMM ( Open-Source Security Testing Methodology Manual ) El Manual de la Metodología Abierta de Comprobación de la Seguridad Estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad
  • 5. CASOS 1 <ul><ul><li>3.1 Ethical Hacking – Laboratorio de Ethical Hacking </li></ul></ul><ul><li>3. Seguridad en las tecnologías de Internet </li></ul><ul><ul><li>3.1 Logística y Controles </li></ul></ul><ul><ul><li>3.2 Sondeo de Red </li></ul></ul><ul><ul><li>3.3 Identificación de los Servicios de Sistemas </li></ul></ul><ul><ul><li>3.4 Búsqueda de Información Competitiva </li></ul></ul><ul><ul><li>3.5 Revisión de Privacidad </li></ul></ul><ul><ul><li>3.6 Obtención de Documentos </li></ul></ul><ul><ul><li>3.7 Búsqueda y Verificación de Vulnerabilidades </li></ul></ul><ul><ul><li>3.8 Testeo de Aplicaciones de Internet </li></ul></ul><ul><ul><li>3.9 Enrutamiento </li></ul></ul><ul><ul><li>3.10 Testeo de Sistemas Confiados </li></ul></ul><ul><ul><li>3.11 Testeo de Control de Acceso </li></ul></ul><ul><ul><li>3.12 Testeo de Sistema de Detección de Intrusos </li></ul></ul><ul><ul><li>3.13 Testeo de Medidas de Contingencia </li></ul></ul><ul><ul><li>3.14 Descifrado de Contraseña </li></ul></ul>Metodología OSSTMM ( Open-Source Security Testing Methodology Manual )
  • 6. CASOS 1 <ul><ul><li>3.1 Ethical Hacking – Laboratorio de Ethical Hacking </li></ul></ul>Metodología OSSTMM ( Open-Source Security Testing Methodology Manual ) MÓDULO HERRAMIENTA Identificación de los Servicios de Sistemas Nmap v. 4.11 Búsqueda de Información competitiva Recolección de información con la utilización de buscadores online. Búsqueda y Verificación de Vulnerabilidades Nessus, Languard y Sara Descifrado de Contraseñas Caín & Abel v. 2.9 y Pwdump4 Explotación de Vulnerabilidades Perfect keylogger, Optix pro y Metasploit Enrutamiento A Través de una investigación Testeo de Sistemas Confiados Ingeniería Social Testeo de Control de Acceso Ingeniería Social Testeo de Medidas de Contingencias Ingeniería Social Revisión de Privacidad Ingeniería Social
  • 7. CASOS 1 <ul><ul><li>3.3 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y Solaris. </li></ul></ul>
  • 8. <ul><ul><li>3.3 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y Solaris. </li></ul></ul>CASOS 1
  • 9. CASO 1 Riesgos existentes en el sistema: Hace falta controles que aseguren el transporte de información por vía e-mail de acceso no autorizado, controles para cambiar las contraseñas de los usuarios frecuencia. El password de los usuarios no viaja encriptado desde el cliente hasta el servidor de autenticación, lo cual genera el riesgo de que la misma sea interceptada al momento de ser transmitida. <ul><ul><li>3.3 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y Solaris. </li></ul></ul>No existe un proceso para revisar los logs de auditoría y hacer seguimiento de los incidentes encontrados. Falta de revisión periódica para comprobar que se hayan eliminado las cuentas de empleados que hayan dejado de laborar en la Universidad.
  • 10. CASO 2: Spain is different gestionando riesgos(España-es-diferente-gestionando riesgos) la situación creada por los controladores aéreos con la empresa que les gestiona AENA, el Ministerio de Fomento y finalmente  con el Gobierno. Pongámonos en situación, semana del puente de la Constitución del 2010, buena parte de la población española estaba indignadísima con el gremio de los controladores aéreos españoles. La televisión, la radio y los periódicos se hacían eco de la “huelga salvaje”   creando un enemigo común para este país que pocas veces está unido sino es por el fútbol. Los hechos prueban que durante más de 24 horas se paralizó todo el espacio aéreo español, que afectó a cerca de 600.000 personas y que el gobierno decretó el estado de alarma por primera vez en la historia de la democracia. Confieso haber estado pegado a la televisión para seguir cada uno de los comunicados que se daban en las noticias como si fuera un culebrón. Sinceramente no podía dar crédito a lo que estaba viendo. Entre en un estado de indignación permanente y de vergüenza ajena por ser español. Mi opinión es que todo fue una verdadera irresponsabilidad, en letras mayúsculas. Y no culpé específicamente ni a los controladores, ni al gobierno…. Pero si busqué responsabilidades en todos aquellos que habían dejado que esta situación llegara hasta este extremo. Porque cuanto más profundizas en el tema, más te das cuenta que nunca nadie hizo un ejercicio de identificar riesgos o problemas, y menos poner acciones para mitigarlos.
  • 11. Cuando posiblemente se puedan modificar leyes para aceptar controladores aéreos civiles de otros países de la comunidad europea, o planificar una estrategia de ampliación de plantilla abriendo más cursos durante los próximos 3 años. Seguro que hay más sugerencias para ayudar a solventar este problema, pero mi intención en este artículo es dar una crítica constructiva Domènec Biosca, experto en el sector del turismo y entrevistado por el canal de noticias CNN+ ese mismo fin de semana, donde dio su opinión sobre la situación diciendo “soy daltónico respecto a colores políticos, pero en esta clase de situaciones se echa de menos el sentido común CASO 2
  • 12. Una empresa que fabrica un producto de gran consumo comienza a tener dificultades de liquidez, que se revela porque los niveles de tesorería se han reducido progresivamente en los últimos meses. De seguir la tendencia, los presupuestos señalan que las dificultades comenzarán de forma inmediata. Un primer análisis demuestra que el índice de morosidad de clientes se ha incrementado paulatinamente en el mismo período y que el plazo medio de cobro de los saldos de clientes se ha incrementado también notablemente. La definición de la crisis podría resultar más o menos clara: inmediatas dificultades de liquidez por tesorería insuficiente. Un primer análisis de la crisis también podría identificar las causas: la creciente morosidad y el incremento del período medio de cobro. De este análisis, también podríamos deducir la solución del problema: aplicación rigurosa de medidas contra los clientes morosos y un seguimiento exhaustivo y eficaz de los plazos de cobro a clientes. Pues bien, este tipo de crisis, por otra parte bastante común, rara vez encuentra su solución con este tipo de medidas. El problema es la deficiente identificación de las causas de la crisis. El incremento de la morosidad y del plazo medio de cobro no son las verdaderas causas de la crisis; en realidad son un estadio anterior de efectos del verdadero problema. Ese tipo de datos (morosidad, plazo medio de cobro, etc.) no son más que indicadores de una crisis, pero habitualmente no son la causa de la crisis. CASO 2
  • 13. pensar que el problema había sido identificado provocó una pérdida de tiempo que, en toda resolución de crisis, resulta fundamental. Esto, además, ilustra un fenómeno muy habitual, especialmente en las PYME's. El hecho es que en muchas circunstancias se tiende a enmarcar cualquier crisis en términos estrictamente financieros (en este caso, era pensar que se trataba de un problema de morosidad). La realidad demuestra que, en un alto porcentaje de casos, la crisis se transmite a los engranajes financieros cuando ha tenido sus orígenes y causas en otras áreas de la empresa (producción, distribución, comunicación, comercial, etc.) CASO 2
  • 14. FENOMENO WIKILEAKS ROBO DE DATOS DE SONY ROBO DE BANCO DE AMERICA CASO 3
  • 15. Check Point DLP Software Blade combina la tecnología y los procesos de revolucionar Data Loss Prevention (DLP), ayudando a las empresas de forma preventiva proteger la información sensible de la pérdida accidental, la educación de los usuarios en el manejo adecuado de los datos de las políticas y dándoles el poder para remediar los incidentes en tiempo real. CASO 3
  • 16. especialista en seguridad de Internet, consciente de la enorme cantidad de datos que últimamente se filtran, pierden o roban en las empresas y las consecuencias que estos hechos generan en las organizaciones en términos económicos, sociales y de imagen, sigue haciendo hincapié en la necesidad de disponer de una política de seguridad de la información sólida en las empresas. “A pesar de las ‘sonadas’ pérdidas de datos vividas en los últimos meses y sus graves consecuencias, muchas organizaciones todavía carecen de una política de seguridad de la información concreta. CASO 3

×