Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
FOX News Insider
Target: Cronología
● Atacantes engañan a un proveedor HVAC de
Target
● Usan sus credenciales para acceder al sistema de
co...
Target: ¿Qué falló?
● Excesiva confianza en proveedores
● No hubo una real preocupación por la seguridad
– No habían ofici...
Target: ¿Qué falló?
● Mal manejo posterior al incidente
– CEO despedido
– Preocupados más por “comprar cajitas” que de
ent...
Protección de la Información
Una necesidad en los tiempos modernos
Cristián Rojas, CSSLP
Consultor independiente en Seguri...
En esta sesión
1. ¿Qué es la seguridad?
2. ¿Quiénes son los enemigos?
3. ¿Cuáles son las consecuencias de un ataque?
4. ¿E...
¿Qué es la seguridad?
Seguridad de la Información
● Capacidad de un sistema de operar en un
ambiente hostil
– Por ejemplo, Internet
– ¿Hay algún...
CIA: Confidencialidad
● La información sólo
puede ser mostrada a
quién corresponde
– Controles de acceso
– Encriptación
– ...
CIA: Integridad
● La información no debe ser alterada por terceros
– Los datos transmitidos, procesados y almacenados
debe...
CIA: Disponibilidad (Availability)
● La información debe
estar disponible
– ¿Cuándo?
– ¿Para quién?
● Aspectos:
– Uptime
–...
Información
Confidencialidad
Integridad Disponibilidad
(Availability)
¿Quiénes son los enemigos?
Me han contado que los mejores
crackers del mundo hacen esta
pega en 60 minutos...
Lamentablemente yo necesito a
alguien q...
Curiosos
“The Shining”, Warner Bros., 1980.
Malware automatizado
“Terminator 3: Rise or the Machines”, Warner Bros. 2003.
(Ex) empleados disgustados
“Office Space”, 20th Century Fox, 1999.
Cibercriminales
Ciberactivistas
Foto: sklathill / CC BY-SA
Auspiciadores estatales
Fuente: “Alchemy”, Wikipedia
¿Cuáles son las
consecuencias de un ataque?
Howard, Lipner: “The Security Development Lifecycle”
El modelo STRIDE
● Spoofing
● Tampering
● Repudiation
● Information D...
Spoofing
“Star Wars IV: A New Hope”, LucasFilm, 1977.
Tampering
“Star Wars IV: A New Hope”, LucasFilm, 1977.
Repudiation
“Star Wars IV: A New Hope”, LucasFilm, 1977.
Information Disclosure
“Star Wars IV: A New Hope”, LucasFilm, 1977.
Denial of Service
“Star Wars VI: Return of the Jedi”, LucasFilm, 1983.
Elevation of Privilege
“Star Wars IV: A New Hope”, LucasFilm, 1977.
¿Es importante la seguridad?
(Mejor dicho, ¿tiene valor la seguridad?)
¿o pegada con
cinta de embalaje?
¿Seguridad integrada?
Requisitos Diseño Implementación Pruebas Operación
1X 1X
7X
15X
100X
IBM Systems Sciences Institute, “Implementing Softwar...
generando a los atacantes
ganancias por
USD 53.7millones
De las cuales entre
1-3 millones
ya han sido vendidas en el
merca...
¿Qué podemos hacer para
proteger nuestra información?
¿Qué información tenemos y quién puede acceder a ella?
Multipass!
“The Fifth Element”, Gaumont, 1997.
Ojo con la amenaza interna
Wi-Fi, BYOD y trabajo remoto
ed.cl
El eslabón más débil: La password
● Usar buenas
passwords
– Largas, que combinen
números, mayúsculas,
minúsculas y símbolo...
Ars Technica: “Stanford’s password policy shuns one-size-fits-all security”
El eslabón más débil: La password
● No usar una sóla password para todo. Usar
compartimentalización
– ¿Y cómo recordamos t...
Dorkly, “How to Make Yourself Hack-Proof”
Otras formas de autentificación
● Factores de
Autentificación:
– Conocimiento
– Propiedad
– Característica
● 2FA: El uso d...
Auditar periódicamente
Riesgos
Sistemas
Configuraciones
Usuarios
I know ISO27001!
Los desafíos de la Nube
Foto: perspec_photo88 / CC BY-SA 2.0
Herramientas de seguridad
● Criptografía
– Simétrica
– Asimétrica
– Hashing
● Anti-malware
● Gestión de identidades
● Dete...
Pero no podemos olvidar la herramienta más importante
Google Street View
Desarrollar aplicaciones seguras
● Hacer el software
seguro desde el
principio
● Adentrarse en
conceptos de
seguridad para...
No olvidarse de los usuarios
ianlloyd@flickr
Estar siempre listos
nick19@flickr
“No seas un idiota”*
● Puedes saber sólo lo
que el usuario te dice
● Puedes compartir sólo
lo que el usuario te diga
● ......
En resumen
● Las amenazas a la información pueden venir de
fuera, pero también quienes manejan la información
pueden const...
Bibliografía interesante
● Verizon, “2014 Data Breach Investigations Report”
● Counsil on Cybersecurity, “The Critical Sec...
Sitios web interesantes
● SOPHOS, “Naked Security” y “60 Second
Security”
https://nakedsecurity.sophos.com
● ESET, “We Liv...
Muchas gracias por su atención.
¿Preguntas? ¿Inquietudes?
Protección de la Información: Una necesidad en los tiempos modernos
Protección de la Información: Una necesidad en los tiempos modernos
Upcoming SlideShare
Loading in …5
×

0

Share

Download to read offline

Protección de la Información: Una necesidad en los tiempos modernos

Download to read offline

Presentación sobre Seguridad de la Información para el Postítulo en Gestión Informática INGES

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Protección de la Información: Una necesidad en los tiempos modernos

  1. 1. FOX News Insider
  2. 2. Target: Cronología ● Atacantes engañan a un proveedor HVAC de Target ● Usan sus credenciales para acceder al sistema de control de aire ● Doble ataque: – Infectan servidores de archivos Windows – Infectan terminales POS (no parchados) ● POS infectados envían datos de tarjetas de crédito a servidores Windows infectados, quienes los transmiten a servidores externos
  3. 3. Target: ¿Qué falló? ● Excesiva confianza en proveedores ● No hubo una real preocupación por la seguridad – No habían oficiales de seguridad ni CISO – Los terminales POS eran Windows XP no actualizados y sin medidas anti-malware ● “Pero si están en una red aislada. ¿Quién podría atacarnos?” ● Hubo alertas tempranas, pero fueron ignoradas
  4. 4. Target: ¿Qué falló? ● Mal manejo posterior al incidente – CEO despedido – Preocupados más por “comprar cajitas” que de entrenar a sus empleados – Información mal dada al público ● Incompleta al principio: Dijeron que fueron 40 y no 70 millones de registros de clientes los afectados ● Tardía: El ataque se realizó un mes antes, y recién cuando un investigador la reveló públicamente la reconocieron
  5. 5. Protección de la Información Una necesidad en los tiempos modernos Cristián Rojas, CSSLP Consultor independiente en Seguridad de la Información Profesor de Seguridad de la Información, MTIG PUC Foto: perspec_photo88 / CC BY-SA 2.0
  6. 6. En esta sesión 1. ¿Qué es la seguridad? 2. ¿Quiénes son los enemigos? 3. ¿Cuáles son las consecuencias de un ataque? 4. ¿Es importante la seguridad? 5. ¿Qué hacemos para proteger nuestra información?
  7. 7. ¿Qué es la seguridad?
  8. 8. Seguridad de la Información ● Capacidad de un sistema de operar en un ambiente hostil – Por ejemplo, Internet – ¿Hay algún otro? ● CIA ¿ ?
  9. 9. CIA: Confidencialidad ● La información sólo puede ser mostrada a quién corresponde – Controles de acceso – Encriptación – Esteganografía
  10. 10. CIA: Integridad ● La información no debe ser alterada por terceros – Los datos transmitidos, procesados y almacenados deben ser tan precisos como quien los originó quiso – El software debe desempeñarse en forma confiable ● Aspectos: – Hashing – Autenticidad (Certificados Digitales, etc.) – No-repudiación
  11. 11. CIA: Disponibilidad (Availability) ● La información debe estar disponible – ¿Cuándo? – ¿Para quién? ● Aspectos: – Uptime – Redundancia – SLA's – DoS
  12. 12. Información Confidencialidad Integridad Disponibilidad (Availability)
  13. 13. ¿Quiénes son los enemigos?
  14. 14. Me han contado que los mejores crackers del mundo hacen esta pega en 60 minutos... Lamentablemente yo necesito a alguien que la haga en 60 segundos. "Swordfish", Warner Bros, 2001.
  15. 15. Curiosos “The Shining”, Warner Bros., 1980.
  16. 16. Malware automatizado “Terminator 3: Rise or the Machines”, Warner Bros. 2003.
  17. 17. (Ex) empleados disgustados “Office Space”, 20th Century Fox, 1999.
  18. 18. Cibercriminales
  19. 19. Ciberactivistas Foto: sklathill / CC BY-SA
  20. 20. Auspiciadores estatales
  21. 21. Fuente: “Alchemy”, Wikipedia
  22. 22. ¿Cuáles son las consecuencias de un ataque?
  23. 23. Howard, Lipner: “The Security Development Lifecycle” El modelo STRIDE ● Spoofing ● Tampering ● Repudiation ● Information Disclosure ● Denial of Service ● Elevation of Privilege
  24. 24. Spoofing “Star Wars IV: A New Hope”, LucasFilm, 1977.
  25. 25. Tampering “Star Wars IV: A New Hope”, LucasFilm, 1977.
  26. 26. Repudiation “Star Wars IV: A New Hope”, LucasFilm, 1977.
  27. 27. Information Disclosure “Star Wars IV: A New Hope”, LucasFilm, 1977.
  28. 28. Denial of Service “Star Wars VI: Return of the Jedi”, LucasFilm, 1983.
  29. 29. Elevation of Privilege “Star Wars IV: A New Hope”, LucasFilm, 1977.
  30. 30. ¿Es importante la seguridad? (Mejor dicho, ¿tiene valor la seguridad?)
  31. 31. ¿o pegada con cinta de embalaje? ¿Seguridad integrada?
  32. 32. Requisitos Diseño Implementación Pruebas Operación 1X 1X 7X 15X 100X IBM Systems Sciences Institute, “Implementing Software Inspections”
  33. 33. generando a los atacantes ganancias por USD 53.7millones De las cuales entre 1-3 millones ya han sido vendidas en el mercado negro Target: Los números 40millones de tarjetas de crédito robadas 70millones de registros de clientes robados 46%de caída en las ganancias de Target respecto al año anterior 0oficiales de seguridad en Target 200 Millones (USD) costará a bancos comunitarios y cooperativas reemitir la mitad de las tarjetas de crédito robadas Krebs on Security: “The Target Breach, By the Numbers”
  34. 34. ¿Qué podemos hacer para proteger nuestra información?
  35. 35. ¿Qué información tenemos y quién puede acceder a ella? Multipass! “The Fifth Element”, Gaumont, 1997.
  36. 36. Ojo con la amenaza interna
  37. 37. Wi-Fi, BYOD y trabajo remoto ed.cl
  38. 38. El eslabón más débil: La password ● Usar buenas passwords – Largas, que combinen números, mayúsculas, minúsculas y símbolos – Que no tengan información relacionable (ej. fecha de cumpleaños, nombres...) http//xkcd.com/936
  39. 39. Ars Technica: “Stanford’s password policy shuns one-size-fits-all security”
  40. 40. El eslabón más débil: La password ● No usar una sóla password para todo. Usar compartimentalización – ¿Y cómo recordamos tantas passwords? ● Protegerlas tanto durante el transporte como al almacenarlas ● No usar passwords cognitivas
  41. 41. Dorkly, “How to Make Yourself Hack-Proof”
  42. 42. Otras formas de autentificación ● Factores de Autentificación: – Conocimiento – Propiedad – Característica ● 2FA: El uso de 2 de éstos es considerado seguro ● “Algo que eres” es delicado purpleslog@flickr (CC BY 2.0)
  43. 43. Auditar periódicamente Riesgos Sistemas Configuraciones Usuarios I know ISO27001!
  44. 44. Los desafíos de la Nube Foto: perspec_photo88 / CC BY-SA 2.0
  45. 45. Herramientas de seguridad ● Criptografía – Simétrica – Asimétrica – Hashing ● Anti-malware ● Gestión de identidades ● Detección de intrusos (IDS) ● Protección contra pérdida de datos (DLP) ● Firewalls ● Scanners de seguridad ● Security Information and Event Management (SIEM)
  46. 46. Pero no podemos olvidar la herramienta más importante Google Street View
  47. 47. Desarrollar aplicaciones seguras ● Hacer el software seguro desde el principio ● Adentrarse en conceptos de seguridad para programación ● Auditar código, configuraciones, servicios, ejecutables... Developers!
  48. 48. No olvidarse de los usuarios ianlloyd@flickr
  49. 49. Estar siempre listos nick19@flickr
  50. 50. “No seas un idiota”* ● Puedes saber sólo lo que el usuario te dice ● Puedes compartir sólo lo que el usuario te diga ● ... y con quién te lo diga ● ... y sólo si él quiere hacer algo que lo requiera * Graham Lee, “Don't be a dick”
  51. 51. En resumen ● Las amenazas a la información pueden venir de fuera, pero también quienes manejan la información pueden constituir una amenaza a ésta ● El valor de la seguridad no puede verse en términos de ROI, sino en el evitar perder el valor ganado con el uso de sistemas de información ● La seguridad es algo que se debe pensar desde el principio, no “pegar con cinta de embalaje” después de la implementación de sistemas de información
  52. 52. Bibliografía interesante ● Verizon, “2014 Data Breach Investigations Report” ● Counsil on Cybersecurity, “The Critical Security Controls for Effective Cyber Defense” (ver. 5.0) ● Imperva: “The Anatomy of an Anonymous Attack” ● Adam Shostack, “Threat Modeling: Designing for Security” ● OWASP Top 10 2013 ● Ross Anderson, “Security Engineering” ● NIST, SP 800-100, “Information Security Handbook: A Guide for Managers” ● NIST, SP 800-61 rev. 2, “Computer Security Incident Handling Guide”
  53. 53. Sitios web interesantes ● SOPHOS, “Naked Security” y “60 Second Security” https://nakedsecurity.sophos.com ● ESET, “We Live Security” http://www.welivesecurity.com/la-es/ ● Ars Technica, Risk Assessment – Security & Hacktivism http://arstechnica.com/security/
  54. 54. Muchas gracias por su atención. ¿Preguntas? ¿Inquietudes?

Presentación sobre Seguridad de la Información para el Postítulo en Gestión Informática INGES

Views

Total views

462

On Slideshare

0

From embeds

0

Number of embeds

7

Actions

Downloads

3

Shares

0

Comments

0

Likes

0

×