Curso taller: Sistemas de Gestión de Seguridad de la Información

SISTEMAS DE GESTÓN DE SEGURIDAD DE LA
INFORMACIÓN
Expositor:
Mg. Ing. Miguel Robles-Recavarren Benites
M_roblesrecavarren@hotmail.com

Contenido
 Estado del Arte.
 Introducción a la Seguridad en TI.
 Definiciones Básicas.
 Plan de Seguridad de la
Información (PSI).
 Principios.
 Consideraciones.
 Tipos de Seguridad.
 Plan de Contingencias (PCN).
 Seguridad en Internet.
 Metodologías para la elaboración
del PCN y PSI.

Innovación
Estado del Arte
Competencia
Global
Manejo del
Cambio
Poder de
Negociación
Ventaja
Competitiva
Negocios
Internacionales
Recursos y
Utilidad
Velocidad en
Los Servicios
Negocios
Organizaciones
Instituciones
Personas
Valor Generado

Estado del Arte
EMPRESA
ESTRATEGIAS DE NEGOCIOS
OBJETIVOS ESTRATÉGICOS
DEL NEGOCIO
 Reingeniería de procesos
 Reestructuración
 Organización horizontal
 Manejo de personas
 Procesamiento distribuido
 Dimensionamiento correcto
 Benchmarking
 Offshoring
 Outsourcing
 E-business
 SCM – BI - CRM

Introducción a la
Seguridad en TI

Introducción
PROCESOS DE
NEGOCIOSTECNOLOGÍA DE
LA INFORMACIÓN
SEGURIDAD
DE TI
GESTIÓN DE
SEGURIDAD

Identificación de Amenazas
Tipos de Amenazas
Amenazas a
Instalaciones
Amenazas
Sociales

Vulnerabilidades
Tipos de
Vulnerabilidades
Seguridad de los
recursos humanos
Seguridad física
y ambiental
Controlde
Acceso

El modelo de la
administración de
los recursos e
información.
Ventaja competitiva.
Entorno
Entorno
Plan de negocio
estratégico
Inteligencia de
negocio
Vicepresidente
de finanzas
Vicepresidente
de
manufactura
DI
DE
Vicepresidente
de recursos
humanos
Vicepresidente
de
mercadotecnia
Plan específico para los
recursos de información
Comité Directivo
del SIA
Política y estándares
Centros de
información
Instalación de
computo
central
Áreas del
usuario
Usuarios
Finales
Usua
rios
Recursos de información

Introducción
 “El único sistema seguro es aquel que está
apagado y desconectado, enterrado en un
refugio de concreto, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun así, yo no
apostaría mi vida por el”
Gene Spafford

Mitos de Seguridad
El Sistema puede llegar al 100% de
seguridad.
Mi red no es lo suficientemente
atractiva para ser tomada en cuenta.
Nadie pensara que mi clave de acceso
es sencilla.
Linux es más seguro que Windows.
Si mi servidor de correos tiene
antivirus, mi estación no lo necesita.

Tecnología de la Información
 Conjunto de ciencias relacionadas con los
Sistemas y la Informática que constituyen el
elemento indispensable para el desarrollo de
la humanidad y la generación sostenida de
puestos de trabajo.

Términos y Definiciones
 ACTIVO: Algo que presenta valor para la
organización.
 DISPONIBILIDAD: Garantizar que los
usuarios autorizados tengan acceso a la
información y activos asociados cuando sea
necesario.
 CONFIDENCIALIDAD: Garantizar que la
información sea accesible únicamente para
quienes tengan acceso autorizado.

 SEGURIDAD DE LA INFORMACIÓN: Preservar
la confidencialidad, integridad y
disponibilidad de la información; además,
también pueden ser involucradas otras
características como la autenticación,
responsabilidad, no-repudio y fiabilidad.

 EVENTO DE LA SEGURIDAD DE LA
INFORMACIÓN: Ocurrencia identificada en un
sistema, servicio o red indicando una posible
brecha de la política de seguridad de la
información o falla de las salvaguardas o una
situación desconocida previa que puede ser
relevante. .

 INCIDENTE DE LA SEGURIDAD DE LA
INFORMACIÓN: Una serie de eventos no
deseados que tienen una probabilidad
significativa de comprometer operaciones del
negocio y amenazar la seguridad de la
información.

 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN - ISMS: Es la parte del
Sistema Integral de Gestión, basado en un
enfoque del riesgo del negocio para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de
la información.
El sistema de gestión incluye la estructura
organizacional, políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos,
procesos y recursos.

 INTEGRIDAD: Salvaguardar la exactitud e
integridad de la información y activos
asociados.
 RIESGO RESIDUAL: Riesgo remanente
después de un tratamiento del riesgo.
 ACEPTACIÓN DEL RIESGO: Decisión de
aceptar el riesgo.
 ANÁLISIS DEL RIESGO: Uso sistemático de
información para identificar amenazas y
estimular el riesgo.

 ESTIMACIÓN DEL RIESGO: Proceso total de
análisis y evaluación del riesgo.
 EVALUACIÓN DEL RIESGO: Proceso de
comparación del riesgo estimado frente al
criterio de riesgo para determinar el
significado del riesgo.
 GESTIÓN DEL RIESGO: Actividades
coordinadas para dirigir y controlar el riesgo
en una organización.

 TRATAMIENTO DEL RIESGO: Proceso de
Selección e implementación de controles para
minimizar el riesgo.
 DECLARACIÓN DE APLICABILIDAD:
Documento que describe los objetivos de
control y los controles que son relevantes y
aplicables al ISMS de la organización.

Algunos artículos:
www.diarioti.com

Repercusión de las infracciones
de seguridad
Pérdida de
beneficios
Deterioro de la
confianza del
inversionista
Perjuicio de la
reputación
Pérdida o
compromiso
de la seguridad
de los datos
Interrupción de
los procesos
empresariales
Deterioro de la
confianza del
cliente
Consecuencias
legales

QUÉ BUSCA LA SEGURIDAD?
 Proteger Derechos
El derecho a la privacidad
El derecho a estar informados
 Proteger activos
Información
Equipos ( Sistemas, Redes,
computadoras)
 Reforzar las reglas
Leyes, Políticas y Procedimientos

VIDEO: PRIVACIDAD EN
INTERNET
BRUSELAS - BÉLGICA

Sistema Nacional de Informática
IMPLEMENTACIÓN DE LA NORMA TÉCNICA
PERUANA “NTP-ISO/IEC 27001:2008 EDI
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN. REQUISITOS”.

Aspectos críticos de la seguridad
Arquitectura
Segura
de IT
Kerberos
Personas
Developer
USER
Backup

El riesgo está en función del valor del activo de
la información, la magnitud de la amenaza y
las vulnerabilidades existentes MEDIDAS

33
2/18/2014
Entre mediados de Abril y Junio del 2007, un gran número
de servidores Web fueron infectados. Se asumió que la
causa fue un fallo común afectando servidores Apache e
IIS o un error de configuración en el proveedor de
servicios.
En Junio del 2007, mas de 10,000 sitios fueron afectados,
de los cuales, 80% estuvieron en Italia. Mas de 80,000
sistemas fueron infectados.
Tan pronto como los usuarios visitaban el sitio, estos eran
direccionado silenciosamente a un servidor que contenía
la pagina PHP de una herramienta llamada MPack.
Estando en esta página, varios ataques diseñados para
aprovechar las fallas de seguridad del navegador del
usuario (Firefox, IE, Opera, etc.) se aplicaban.
Esta forma de ataque se hizo común en el 2008
The Italian Mpack Job

Seguridad de SI
 Seguridad de la información debe ser
elemento integral de la empresa.
 Fases del Proceso:
* Identificación de riesgos.
* Plan de Seguridad.
* Infraestructura.
* Mantenimiento y Coste

Valor de la Información
 El principal bien de las empresas es la
información la cual hay que proteger en la
medida que su pérdida afecte a la empresa u
organización.
 En el valor de la información entra a tallar el
flujo de la misma.
 Si el bien fluye de un lado a otro, el camino
que recorre también debe ser protegido y el
medio de transporte lógico debe ser seguro.

Tipo de Información según Empresa
Empresa Privada Empresa Gubernamental
Pública
Sensible
Privada
Confidencial
No Clasificada
Sensitiva pero no Clasificada
Confidencial
Secreta
Top Secret

The National Strategy for
Homeland Security of the United
States

Taller 1: Trabajo en Grupo
a. Proponer soluciones de manejo de la
información.
b. Proponer soluciones de integración de
procesos.

EjeY
Ciclo de
Vida
Empresa
Crediticio
Mercado
Operativo
Huelgas
Catástrofe
Terrorismo
Robo
$
AÑO
PERDIDA
ESPERADA
PROVISIONADO
PERDIDA
INESPERADA
TIEMPO (años)
Perdidas
Catastróficas
$
NORMA
BASILEA II
Riesgo
Riesgos
RIESGOS EN ORGANIZACIONES FINANCIERAS

¿Cuánto dinero se ha perdido?,
El mensaje entre líneas …

NORMAS
ORGANIZACIÓN
(PERSONAS)
METODOLOGÍAS
OBJETIVOS DE CONTROL
PROCEDIMIENTOS DE CONTROL
TECNOLOGÍA DE LA SEGURIDAD
HERRAMIENTAS
FACTORES DE LA CONTRAMEDIDA
HARDWARE
SOFTWARE
INFORMÁTICA
USUARIOS
FUNCIONES
PROCEDIMIENTOS
PLANES
ESTÁNDARES
POLÍTICAS

OBJETIVO:
POLÍTICAS DE SEGURIDAD
El objetivo de una política de seguridad es el de
comunicar a toda una organización que la
información que posee la empresa es muy valiosa y
es responsabilidad y compromiso de todos los
trabajadores resguardarla y en caso de compartirla
deben tener en cuentan los riesgos que puedan
ocurrir si esta información cae en manos no
autorizadas.

POLÍTICAS DE SEGURIDAD
Buena Política :
Una buena política de seguridad proporcionará a la
empresa la base para que diseñe un eficaz sistema de
seguridad.

Problemas de Seguridad
Problemas
Estructurales :
1. ORGANIGRAMA Y FUNCIONES.
2. CANALES DE COMUNICACIÓN.
3. RECURSOS ASIGNADOS.

Problemas en el
planeamiento : 1. FALTA DE COHERENCIA.
2. DIRECTRICES HETEROGÉNEAS.
3. FALTA DE DEFINICIÓN DE FUNCIONES.
4. NO SE DEFINEN NORMAS NI
PROCEDIMIENTOS DE SEGURIDAD.
5. DIFICULTAD EN JUSTIFICAR RECURSOS.

El problema
tecnológico :
1. LA TECNOLOGÍA NO ES LA PANACEA.
2. LAS HERRAMIENTAS NO CUBREN TODAS LAS
NECESIDADES.
3. EXCESIVA CONFIANZA.

Modelos de Políticas de Seguridad
• Política Individual.
• Política General Plana.
• Política de Tres Capas.
• Modelo ISO 17799.

Esquema de Desarrollo de una Política de Seguridad
Identificar requerimientos técnicos y
Administrativos de la organización
Definir políticas
individuales
Definir políticas
generales
Definir estándares,
guidelines
Definir procedimientos
Evaluación
¿Necesitan
Corrección?
Replanteamiento
Presentación final
Aprobación por la
Alta dirección

¿Qué es un Plan de Seguridad de
la Información (PSI)?

P S I
Estrategia planificada de acciones y
proyectos para la protección de:
información (D/B), sistemas de
información (SW-IS) e
infraestructura física (HW-TIC).

Demostrar cómo una estrategia
integrada de Seguridad de la
Información puede contribuir de
manera efectiva al logro de los
objetivos de Negocio de su empresa.
Objetivo

Objetivo
 Consolidación de:
- Confidencialidad
- Integridad y autenticidad
- Disponibilidad
- No repudio
 Si se cumplen estos puntos, diremos en
general que los datos están protegidos y
seguros.

Medidas y sus objetivos
 Una serie de niveles de control.
- La falla de un nivel será “absorbida” por las
otras.
- Reducir el impacto global al mínimo.
 Objetivos
- Disuadir
- Detectar
- Minimizar el impacto de pérdida o desastre
- Investigar
- Recuperar

Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:
Aumentar la detección de riesgo de un agresor
Reduce la posibilidad de éxito de un agresor
Políticas de seguridad, procedimientos
y educaciónPolíticas, procedimientos y conciencia
Protecciones, seguros, dispositivos de
seguimiento
Seguridad física
Fortalecimiento de la aplicaciónAplicación
Fortalecer el sistema operativo,
autenticación administración de
actualizaciones de seguridad,
actualizaciones de antivirus, auditoría
Host
Segmentos de red, NIDSRed interna
Firewalls, enrutadores más amplios,
VPNs con procedimientos de cuarentenaPerímetro
Contraseñas fuertes, ACLs, estrategia
de respaldo y restauraciónDatos

Arquitectura General de Seguridad

Protección de la capa perimetral
La protección del perímetro de la
red incluye:
Socio de negocios
Oficina sucursal
Red
inalámbrica
LAN
Usuario
remoto
Internet
Oficina principal
LAN
Servicios de InternetServicios de Internet
LAN
Firewalls
Bloquear puertos de
comunicación
Traducción de puerto y
dirección IP
Redes privadas virtuales
(VPNs)
Protocolos de túnel
Cuarentena de la VPN

Riesgo de la capa interna de
la red
Acceso no
autorizado a
sistemas
Acceso a todo el
tráfico de la red
Acceso no autorizado
a redes virtuales
Puertos de
comunicación
inesperados
Examinar
paquetes de la
red

Ejemplo 1: Análisis de Riesgo
Academia PAMER

 Seguridad
Física
 Seguridad
Lógica

Ubicación física y disposición del centro
de TI
 Consideraciones:
- Características del equipo
- Valor del equipo
- Importancia del equipo
 Lugar mas conservador y clandestino
- Lejos del tránsito terrestre y aéreo.
- Lejos de elementos electrónicos
Radares (5 volts / metro)
Microondas

Riesgos por ubicación
Nivel
Actividad
Al Me Ba So
Acceso a Máquinas G M P P
Acceso de elementos de
trabajo
G M I P
Carga del suelo G M P I
Filtraciones de agua G P P P
Inundación I P M G
Sabotaje P G G P
Al = Alto
Me = Medio
Ba = Bajo
So = Sótano
G = Grave
M = Mediano
P = Poco
I = Inexistente

Instalaciones Físicas del Centro de TI
 Factores inherentes a la localidad:
- Naturales
Hundimiento del piso
Temperatura
Sismos
- Servicios
Líneas Telefónicas
Instalaciones Eléctricas
Antenas de Comunicación
- Seguridad
Lugares desolados o desprotegidos
Fuentes de incendios
Inundaciones

 Factores inherentes al centro de TI:
- Piso falso
Sellado hermético
Nivelado topográfico
Tierra física (aterrizado)
Cableado cubierto
Aprox. 40 cm.
- Cableado
De alto y bajo voltaje
Cables de Telecomunicaciones
Cables de señales para monitores

- Paredes y techos
Pintura plástica lavable
Falso (amarres del plafón)
La altura neta: 2.70 a 3.30 mts.
- Puertas de acceso
Puertas de doble hoja de 1.50 cm.
Salida de emergencia
Dimensiones máximas del equipo
- Iluminación
Generadores fuera de la sala.
La alimentación de la iluminación diferente
al del equipo.
El 25% debe ser de emergencia conectado
al UPS.

- Filtros
* 99% de eficiencia sobre partículas de 3
micrones
* Si existen otros contaminantes seleccionar
filtros adecuados
* Aire de renovación y ventilación tratado
previamente:
Temperatura
Humedad
- Vibración
Equipos antivibraciones
- Ductos
Lisos y sin desprendimiento de partículas

Control de acceso físico
 Estructura y disposición del área de
recepción.
- Identificación del personal y visitantes.
- Recursos magnéticos.
- Vidrio reforzado.
 Acceso de terceras personas
- De mantenimiento del aire acondicionado y
cómputo.
- De limpieza.
- Identificación plenamente.

 Acondicionamiento del local
- Necesidades de espacio
Especificaciones técnicas del equipo
Áreas de cintas, discos, archivos
Evitar áreas con formas extrañas
Preferentemente rectangulares
Consideraciones a futuro
- Distribución en planta
Planos civiles y arquitectónicos
Hidráulicos Sanitario
Planta Teléfono
Memoria de Cálculo Seguridad
Energía Eléctrica

Control de acceso físico
 Identificación del personal
- Algo que sea portátil.
- Algo que se sabe.
- Alguna característica física especial.
Guardias y escoltas especiales
Registro de firmas de entrada y salida
Puertas con chapas de control electrónico
Tarjetas de acceso y gafetes de identificación
Biometría
Entrada de dos puertas
Alarmas contra robos
Trituradores de papel

Aire acondicionado
 Riesgos
- Mal funcionamiento del AC ocasiona que el
equipo de cómputo sea apagado.
- La instalación del AC es una fuente de
incendios.
 Prevenciones
- Instalar AC de respaldo.
- Extintores y detectores de humo.
- Alarmas de temperatura y humedad.

Aire acondicionado
 Capacidad del equipo de AC
- Disipación térmica de las máquinas y del
personal
- Pérdidas por puertas y ventanas
- El AC debe ser independiente del aire
general
- Conectarse directamente al generador de
electricidad
 Distribución del aire en la sala
- Distribución por techo
- Distribución por piso falso
- Distribución por dos canales

Instalación eléctrica
 Corriente regulada
 Sistemas de corriente interrumpida
- Regular la corriente eléctrica
- Proporcionar energía eléctrica continua
- Tipos de sistemas
Básico
Completo
Redundante

Instalación eléctrica
 Plantas generadoras de energía
- Clasificación
Gas
Diesel
Gasolina
 Sistemas de conexión de tierra

Impacto de la Energía Eléctrica en
la TI

DISTURBIOS DE LA
ENERGÍA
ELÉCTRICA
EQUIPO QUE BRINDA LA PROTECCIÓN
SUPRES.
PICOS
ESTAB.
VOLTAJE
ACONDIC
LINEA
EQUIPO
APS
EQUIPO
SPS
EQUIPO
UPS
Picos de Voltaje y
Efectos Transitorios
X X X X
Sobretensión o
Sobrevoltaje
X X X X X
Micro Cortes de
Energía
X X
Armónicos de
Corriente
X X X
Ruido Eléctrico en
Modo Común
X X
Ruido Eléctrico en
Modo Normal
X X
Interferencias EM y de
RF
X X X
Descargas Eléctricas
Atmosféricas
X X
Cortes de Energía ó
Apagones
X X X

Protección, detección y extinción de
incendios
 Consideraciones sobresalientes
- Paredes de material incombustible
- Techo resistente al fuego
- Canales y aislantes resistentes al fuego
- Sala y áreas de almacenamiento
impermeables
- Sistema de drenaje en el piso firme
- Detectores de fuego alejados del AC
- Alarmas de incendios conectado al general

Protección, detección y extinción de
incendios
Tipo de Extintor
Tipo de Material
H2O CO2 Espuma Polvo seco
Seco E Luego
agua
E Luego agua
Líquidos Si E E E
Eléctrico NU E NO SI
NU = No usar
E = Excelente

GABINETE CERCA DE MATERIAL INFLAMABLE

Mantenimiento
 Propio o externo
 Equipo informático
- Electricidad, agua, AC, etc.
 Refleja las actividades disciplinarias
 Falta provoca una fractura en la seguridad

Taller 2: Trabajo Grupal
a. Establezca una lista de 10 activos en
su empresa.
b. Determine para cada activo sus
debilidades y amenazas a los que están
expuestos.
c. Establezca el nivel de impacto de la
amenaza sobre el activo.

Causas de inseguridad
 La deficiencia en los equipos respectivos de
soporte
 La “inteligencia” social
 El espionaje industrial
 La deficiente administración de una red
 Los virus
 Fallos en la seguridad de
programas
 Los vándalos informáticos

Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Amenazas
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento

Captura de PC desde el exterior
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus
Mails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos
Propiedad de la información
Agujeros de seguridad de redes conectadas
Falsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
Más Amenazas!!

Programador de aplicaciones.
* Programación de aplicaciones
que se comportan de modo
contrario a la especificación.
Terminales
* Localizadas en un
entorno inseguro
Terminales de usuarios
* Identificación fraudulenta.
* Fuga ilegal de información
autorizada.
Programador de Sistemas
• Desviación de los
mecanismos de seguridad.
• Inhabilitación de los
mecanismos de seguridad.
• Instalación de un sistema
inseguro.
Entorno externo
• Desastres naturales.
• Ataques mal
intencionados.
• Acceso no autorizado al
centro de computo.
Operador
• Duplicación de informes
confidenciales.
• Inicio de un sistema
inseguro.
• Robo de un material
confidencial.
Autorización
• Especificación
incorrecta de la política
de seguridad.
Radiación
Base de datos
Reglas de
Acceso
Base de Datos
• Acceso no
autorizado.
• Copia.
• Robo.
Hardware
• Falla de los mecanismos
de protección.
• Fuga de la información.
Software de sistemas
• Falla de los mecanismos
de protección.
• Fuga de información.
PROCESADOR
Diafonía
Derivación

113
El Mercado negro mantiene el robo de identidad
Crimeware/Author Description Listed Price
FTP Checker Tool for automating FTP account validation (username/password) from
a predefined list.
$15
IcePack
(by IDT Group)
Application installed on a web server to allow malicious software to be
implanted on remote systems by means of exploits. Redirection is done
using hidden IFRAME tags, most commonly on compromised legitimate
sites.
Advanced administrator interface.
$40 to $400
Limbo
V1.7 (December
2006)
Grabber: tool for collecting banking information 1,000 wmz (see note)
MPack
(by DreamCoders
Team)
V0.99 (August 2007)
sites.
$700
Nuclear Grabber
(by Corpse)
V5 (February 2007)
Improved version of Haxdoor without a backdoor. Universal kit for
creating tools to capture targeted banking data. Able to intercept and
retransmit authentic transactions on the fly between the bank and its
client. Addition of new fields to fill out, management of checkboxes and
option lists, virtual keyboards, etc. Data transmitted to the bank is also
sent to a collection site.
$3,000 (October 2005)
$100 (July 2007)
Pinch
(originally by
Coban2k)
V2.99 (March 2007)
Trojan designed to steal information sent by various office tools, such as
RDP (Remote Desktop Protocol) clients and messaging tools (The Bat!,
Outlook, etc.). Guaranteed non-detection.
$30
Update: $5
Management help tool:
$100
Power Grabber
(by privat.inattack.ru)
v1.8 (March 2007)
Grabber: tool for collecting banking information. Works with many
banking organizations, as well as PayPal, eBay, e-gold, etc.
$700
Add $30 for anti-virus
protection.
Web-Attacker
(from inet-lux.com)
sites. Technical support available.
$25 to $300 (July 2006)
Approx. $17
Note: wmz is the symbol for one of the electronic money units used by WebMoney (1$US = 1wmz).

114
2/18/2014
Código malicioso estilo parasito regresa.
La vieja escuela!!!

115
La producción de Malware alcanza
proporciones epidémicas
0
100000
200000
300000
400000
500000
600000
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Count Estimation

TEMAS DE PROGRAMACIÓN DE FRAUDE
Técnica de
programación
Definición
Virus
Instrucciones secretas dentro de programas (o datos) que
se ejecutan inocentemente durante tareas ordinarias. Las
instrucciones secretas talvez obstruyan o alteren los
datos, además de diseminarse dentro o entre sistemas
computarizados.
Gusanos
Un programa que se duplica por sí solo y penetra a un
sistema computarizado válido. Tal vez dentro de una red,
penetrando en todas las computadoras conectadas.
Caballo de Troya
Un programa ilegal, contenido dentro de otro programa
que “está latente” hasta que ocurra algún evento
específico, desatando luego la activación del programa
ilegal y la producción de daños.
Rebanada de salami
Un programa diseñado para extraer pequeñas cantidades
de dinero de varias transacciones grandes, de manera que
la cantidad extraída no se manifieste con facilidad.
Super zapping
Un método consistente en utilizar un programa “zap” de
utilería que puede desviar controles para modificar
programas o datos.
Puerta trasera
Una técnica que permite entrar el código de un programa,
posibilitando insertar instrucciones adicionales.

VIDEO
DELITOS INFORMÁTICOS EN
PERÚ

118
Tendencias del Delito Informático
Móvil
Social
Rootkits
Parásitos

Estrategias de Defensa
 Detección
 Limitación
 Recuperación
 Corrección

Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos
países/organizaciones
Auditoría en la seguridad de informática:
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la
industria

Internet
RED
RED
PC’s
Usuarios
Cosapi
DMZ BVL
SMS 8340
Websense
Enterprise
Red Admin.
Red01
Red 02
LANCOSAPI
ISS Proventia 3200Consola
Antivirus
Servidores
BVL
Red Capacittaciones
Red03
ISS Proventia 4200
Prevenciòn de intrusos
Firewall
Checkpoint
Situación Sugerida

Interés en el delito informático
 El delito informático parece ser un “buen negocio “:
- Objeto pequeño: la información esta
almacenada en “contenedores pequeños”: no es
necesario un camion para robar el banco, joyas,
dinero,…
- Contacto físico : no existe contacto físico en la
mayoría de los casos. Se asegura el anonimato y
la integridad física del delincuente
- Alto valor : el objeto codiciado tiene un alto
valor. El contenido (los datos) vale mucho más
que el soporte que los almacena (disquete, disco
compacto,…).
 Única solución: el uso de Políticas de seguridad

125
Bajo riesgo +
Gran recompensa
+ Oportunidad
=
Más seguro que el crimen tradicional
Prueba rápida:
¿Cuál es el principio criminal?

Triángulo de Debilidades
Interrupción
( perdida)
Interceptación
( acceso)
Modificación
( cambio)
Generación
( perdida)
Los datos serán la
parte más vulnerable
del sistema
DATOS
HD SW
Ejemplos de ataques
Interrupción (denegar servicio)
Interceptación (robo)
Modificación (falsificación)
Interrupción (borrado)
Interceptación (copia)

MODELOS DE CYBER
CRIMEN: BOTNETS

Comprender los tiempos de las
vulnerabilidades
Producto
enviado
Vulnerabilidad
descubierta
Actualización
disponible
Actualización
implementada
por el cliente
Vulnerabilidad
presentada
La mayoría de los
ataques ocurren
aquí

En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a
una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son
finalmente recogidos en un servidor ubicado en Taiwán.

¿Cómo estamos en Latinoamérica?

Certificaciones de Seguridad
 Certified Information Systems Security Professionals
(CISSP).
 Certified Information Security Manager (CISM).
 Certified Information Systems Auditor (CISA).
 SANS Global Information Assurance Certifications
(GIAC).
 Federal Information Systems Controls Audit Manual
(FISCAM).

AUDITORÍA DE SISTEMAS DE
INFORMACIÓN

Control Interno y Auditoria
CONTROL INTERNO
INFORMATICO
AUDITOR
INFORMÁTICO
Similitudes
Conocimientos especializados en Tecnología de la Información.
Verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Dirección de Informática y la
Dirección General para los sistemas de información.
Diferencias
Análisis de los controles en el día a día.
Análisis de un momento
informático determinado.
Informa a la Dirección del
Departamento de Informática.
Informa a la Dirección
General de la Organización.
Sólo personal interno.
Personal interno y/o
externo.
El alcance de sus funciones es
únicamente sobre el Departamento de
Informática
Tiene cobertura sobre todos
los componentes de los
sistemas de información de
la Organización.

Entender los componentes de la
auditorías de seguridad de informática
Proceso
Tecnología
Implementación
Documentación
Operaciones
Empezar con la política
Integrar el proceso
Aplicar tecnología
Modelo de
política de
seguridad
Política

Implementar una auditoría de seguridad
de informática
Comparar cada área contra estándares y mejores prácticas
Política de seguridad
Procedimientos
documentados
Operaciones
Lo qué debe hacer Lo qué dice que hace Lo qué realmente hace

Estrategias Básicas de Auditoría y
Valoración
 Lineamientos Básicos.
 Seguridad Basada en el Tiempo (TBS):
P > E D + R = E
P: Protección medida en el tiempo
D: Detección medida en el tiempo
R: Reacción medida en el tiempo
E: Exposición medida en el tiempo

Nueva Ley de Delitos
Informáticos

ADMINISTRACIÓN DEL RIESGO Y
ANÁLISIS DE COSTO - BENEFICIO

Comparar los enfoques con la
administración de riesgos
Muchas organizaciones se han enfocado en la administración
de riesgos de seguridad al adoptar lo siguiente:
La adopción de un proceso que reduce el
riesgo de nuevas vulnerabilidades en su
organización
Enfoque
proactivo
Un proceso que responde a los eventos de
seguridad conforme ocurren
Enfoque
reactivo

Comparar los enfoques con la
priorización de riesgos
Enfoque Beneficios Inconvenientes
Cuantitativo
Riesgos priorizados por su
impacto financiero; activos
priorizados por sus valores
financieros
Los resultados facilitan la
administración de riesgos por el
retorno sobre la inversión en
seguridad
Los resultados se pueden expresar
con una terminología
administrativa
Los valores del impacto
asignados a los riesgos se
basan en las opiniones
subjetivas de los
participantes
Requieren mucho tiempo
Puede ser demasiado costoso
Cualitativo
Permite tener una visibilidad y
comprensión de los niveles de
riesgos
Es más sencillo llegar a un
consenso
No es necesario cuantificar la
frecuencia de las amenazas
No es necesario determinar los
valores financieros de los activos
Granularidad insuficiente
entre los riesgos importantes
Dificultad para justificar la
inversión en el control debido
a que no existe una base para
un análisis costo-beneficio
Los resultados dependen de
la calidad del equipo de
administración de riesgos
que se haya creado

Administración del Riesgo
 Identifica las amenazas y permite
seleccionar las medidas de seguridad de
costo adecuado.
 Análisis de la Administración del Riesgo:
Pérdida Esperada = P1 x P2 x L
P1 = Probabilidad de ataque
P2 = Probabilidad de éxito del ataque
L = Pérdida si el ataque tiene éxito

Paso 1. Valoración de Activos
Determinar el valor y la importancia de los activos tales como los datos, el
hardware, el software y la redes
Paso 2. Vulnerabilidad de los Activos
Registrar las debilidades en el sistema de protección actual con respecto a
todas las amenazas potenciales.
Paso 3. Análisis de Perdidas
Evaluar la probabilidad de daño y especificar las pérdidas tangibles e
intangibles que puedan originarse.
Paso 4. Análisis de Protección
Proporcionar una descripción de los controles disponibles que deben
considerarse, su probabilidad de defensa exitosa y su costos.
Paso 5. Análisis de costo-beneficio
Comparar los costos y los beneficios. Considerar la probabilidad que ocurran
daños y la protección exitosa de esos daños. Por último, decidir cuáles
controles instalar.
El proceso de administración del riesgo

Proceso de administración de riesgos
de seguridad de Microsoft
Realizar un soporte
basado en decisiones
2Implementar los
controles
3
Medir la efectividad
del programa
4
Evaluar los riesgos
1

Mitigación
¿Qué está
reduciendo el
riesgo?
Comunicar el riesgo
Declaración de riesgo
Impacto
¿Cuál es el impacto al
negocio?
Probabilidad
¿Cuán probable es la
amenaza dados los
controles?
Activo
¿Qué intenta
proteger?
Amenaza
¿Qué teme que
suceda?
Vulnerabilidad
¿Cómo puede
ocurrir la
amenaza?

Ejemplo 2: Análisis de Riesgo
SUNARP Huancayo

 Provee principios y técnicas que facilitan la
investigación y persecución de ofensas catalogadas
como criminales.
 Implica la aplicación de la ciencia al campo legal.
 Cualquier principio científico o técnica puede ser aplicada
para:
o Identificar,
o Recuperar,
o Reconstruir y
o Analizar evidencia durante un investigación de un
crimen.
 Aplicando métodos científicos los especialistas forenses
pueden analizar la evidencia para:
o Crear hipótesis, efectuar pruebas para verificar dichas
hipótesis, generando posibilidades claras sobre lo que
ocurrió.
Informática Forense

Víctima Sospechoso
Escena crimen
Evidencia
Física
Principio de Intercambio de Locard. En CASEY.2000.
Pág.4
Informática Forense

Plan de Contingencia
(Continuidad del Negocio – PCN)

Definición
 Conjunto de procedimientos de recuperación
 Acciones contemplan:
- Antes
- Durante
- Después
 Reducir las pérdidas
 Control preventivo

Objetivos
 Mantener al organismo y sus actividades
operando en una situación de desastre.
 Las pérdidas provocan:
- Pérdidas financieras directas
- Pérdidas de la producción
- Pérdidas financieras indirectas
- Pérdidas de clientes
- Costos extras para apoyo
- Costo de compensación
- Perdidas de control
- Información errónea o incompleta
- Bases pobres para la toma de decisiones

P C N
Partes de un PCN:
Evaluación del riesgo.
Determinación de alternativas de
recuperación.
Implementación del plan de recuperación.
Validación del plan de recuperación.

Información
Tecnología
Telecomunicaciones
Procesos
Personas
Instalaciones
Recursos Críticos

Factores Críticos de Éxito - FCE
 Identificación de los procesos críticos del negocio
 Dependencia de la TI
 Gestión de riesgos adecuados
 Calificación y cuantificación del impacto tangible e
intangible
 Aplicabilidad y viabilidad de las estrategias de
recuperación

Factores Críticos de Éxito - FCE
 Participación multidisciplinaria
 Retroalimentación - actualización
 Documentación de los procesos,
operaciones y funciones
 Personal capacitado

Metodologías para la
Elaboración del PCN y del PSI

Metodologías para la Elaboración
del PCN y del PSI
 ESTÁNDAR INTERNACIONAL ISO 17799 / BS7799
 ESTÁNDAR INTERNACIONAL ISO 17799:2005
 ESTÁNDAR INTERNACIONAL ISO 27001:2005
 ESTÁNDAR INTERNACIONAL AS/NZS 4360:1999
 ITIL – INFORMATION TECHNOLOGY INFRASTRUCTURE
LIBRARY
 COBIT – CONTROL OBJECTIVES FOR INFORMATION
AND RELATED TECNOLOGY

Estructura Piramidal ISO 17799

 El ISO 27001:2005 esta basado en el enfoque de procesos,
siendo muy compatible con el ISO 9001:2000.
ISO 27001:2005

 El modelo obliga a la empresa a establecer el
alcance que tendrá en la empresa (que procesos
abarcará). Cada empresa estratégicamente debe
establecer el alcance que crea conveniente deba
tener el modelo.
 Actualmente existen unas 1200 empresas
certificadas con el modelo a nivel internacional.
 ISO/IEC 27001:2005 especifica los requisitos
para establecer, implantar, operar, monitorizar,
revisar, mantener y mejorar un sistema de
gestión de la seguridad de la información
documentado en relación al contexto de la
organización y sus riesgos.
ISO 27001:2005

2
Hacer
3
Revisar
4
Actuar
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
1
Planificar
Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo

 Planificar.
Definir el enfoque de evaluación del riesgo de la
organización.
Establecer metodología de cálculo del riesgo.
Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
Identificar los riesgos asociados al alcance
establecido.
Analizar y evaluar los riesgos encontrados.

 Planificar.
Identificar y evaluar las opciones de
tratamiento de los riesgos.
Aplicar controles.
Aceptarlo de acuerdo a los criterios de aceptación.
Evitarlo.
Transferirlo.
Seleccionar objetivos de control y controles
sugeridos por la norma y/u otros que apliquen.
Obtener la aprobación de la gerencia para los
riesgos residuales e implementar el SGSI.
Preparar el Enunciado de Aplicabilidad.

1
Planificar
3
Revisar
4
Actuar
2
Hacer

 Hacer.
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medición de la efectividad de los
controles a través de indicadores de gestión.
Implementar programas de capacitación.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de detección y
respuesta a incidentes de seguridad.

1
Planificar
4
Actuar
2
Hacer
3
Revisar

 Revisar.
Procedimientos de monitoreo y revisión para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de
seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
Determinar efectividad de las acciones
correctivas tomadas para resolver una
violación de seguridad.
Realizar revisiones periódicas.

Revisar.
Medición de la efectividad de los controles.
Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.
Realizar auditorías internas al SGSI.
Realizar revisiones gerenciales.
Actualizar los planes de seguridad a partir de
resultados del monitoreo.
Registrar las acciones y eventos con impacto sobre el
SGSI.

1
Planificar
3
Revisar
2
Hacer
4
Actuar

 Actuar.
Implementar las mejoras identificadas en el SGSI.
Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
Comunicar los resultados y acciones a las partes
interesadas.
Asegurar que las mejoras logren sus objetivos
señalados.

ISO17799
Communications
and
Operations
Management
Organizational
Security
Security Policy
Asset
Classification
and
Control
Business
Continuity
Management
Access Control
Physical
and
Environmental
Security
Personnel
Security
Systems
Development
and
Maintenance
Compliance
COBiT
Monitor
and
Support
Acquire
and
Implement
Plan
and
Organize
Define
and
Support
COSO
Monitoring
Internal
Environment
Risk
Assessment
Control
Activities
Information
and
Communications
ITIL
ICT Infrastructure
Management
Service
Delivery /
Support
Business
Perspective
Planning to
Implement
Service
Management
Application
Management
Security
Management
Objective
Setting
Risk
Response
Event
Identification

Recursos de TI
Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y
Organización
Adquisición e
Implementación
Seguimiento
Prestación de
Servicio y
Soporte
1. Seguimiento de los procesos
2. Evaluar lo adecuado del control Interno
3. Obtener aseguramiento inndependiente
4. Proveer una auditoría independiente
1. Identificación de soluciones
2. Adquisición y mantenimiento de SW aplicativo
3. Adquisición y mantenimiento de arquitectura TI
4. Desarrollo y mantenimiento de Procedimientos
de TI
5. Instalación y Acreditación de sistemas
6. Administración de Cambios
IT. Governance
1. Definir un plan estratégico de TI
2. Definir la arquitectura de información
3. Determinar la dirección tecnológica
4. Definir la organización y relaciones de TI
5. Manejo de la inversión en TI
6. Comunicación de la directrices Gerenciales
7. Administración del Recurso Humano
8. Asegurar el cumplir requerimientos externos
9. Evaluación de Riesgos
10. Administración de Proyectos
11. Administración de Calidad
1.Definición del nivel de servicio
2.Admistración del servicio de terceros
3.Admon de la capacidad y el desempeño
4.Asegurar el servicio continuo
5.Garantizar la seguridad del sistema
6.Identificación y asignación de costos
7.Capacitación de usuarios
8.Soporte a los clientes de TI
9.Admistración de la configuración
10.Administración de problemas e incidentes
11.Administración de datos
12.Administración de Instalaciones
13.Administración de Operaciones

CONCLUSIÓN
1. Impacto creciente de la tecnología
de información en los procesos de
negocio.
2. Grandes cambios en los controles
de procesos de TI.

CONCLUSIÓN
3. La productividad y supervivencia de
una organización depende cada vez en
mayor grado, del funcionamiento
ininterrumpido de los sistemas de
tecnología informática.
4. Transformación de todo el entorno
como un proceso crítico adicional.

CONCLUSIÓN
5. Todas las empresas sufren el
impacto de los nuevos escenarios
de riesgo.
6. Es importante contar con un
marco de referencia metodológico
que agilice el proceso de gestión
de seguridad de TI.

Curso taller: Sistemas de Gestión de Seguridad de la Información

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Curso taller: Sistemas de Gestión de Seguridad de la Información

Similar to Curso taller: Sistemas de Gestión de Seguridad de la Información (20)

Recently uploaded

Recently uploaded (20)

Curso taller: Sistemas de Gestión de Seguridad de la Información