identificación de riesgos en ti
TRANSCRIPT
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
IDENTIFICACIÓN DE RIESGOS EN TI
INTEGRANTES:
• Prado Marca, Fernando
• Sulca Ramos, Homar
• Vargas Oliva, Elmer Charle
PROFESOR : Ing. Oscar Mujica Ruiz
GRUPO : Nº 6
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASO 1
1.- Identificación de Riesgos en TI de la Red de la UTPL - ECUADOR
FASES
1.Estudio y clasificación de los delitos informáticos.
2.Estudio de la legislación para sancionar los delitos informáticos.
3.Identificación de riesgos.
3.1 Laboratorio de Ethical Hacking - OSSTNM
3.2 Estudio de vulnerabilidad de los sistemas operativos Windows,
Linux y Solaris.
4. Diseño de políticas.
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASOS 1Servicios que brinda la Universidad
Se ha considerado importante conocer cuales son los riesgos a los que están
expuestos, tales como: fraude, robo de información, suplantación de identidades, entre
otros.
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASOS 1
3.1 Ethical Hacking – Laboratorio de Ethical Hacking
Mapa de seguridad de OSSTMM
Metodología OSSTMM (Open-Source Security Testing Methodology Manual )
El Manual de la Metodología Abierta de
Comprobación de la Seguridad
Estándares profesionales
más completos y comúnmente utilizados en Auditorías de
Seguridad
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASOS 1
3.1 Ethical Hacking – Laboratorio de Ethical Hacking
3. Seguridad en las tecnologías de Internet
3.1 Logística y Controles
3.2 Sondeo de Red
3.3 Identificación de los Servicios de Sistemas
3.4 Búsqueda de Información Competitiva
3.5 Revisión de Privacidad
3.6 Obtención de Documentos
3.7 Búsqueda y Verificación de Vulnerabilidades
3.8 Testeo de Aplicaciones de Internet
3.9 Enrutamiento
3.10 Testeo de Sistemas Confiados
3.11 Testeo de Control de Acceso
3.12 Testeo de Sistema de Detección de Intrusos
3.13 Testeo de Medidas de Contingencia
3.14 Descifrado de Contraseña
Metodología OSSTMM (Open-Source Security Testing Methodology Manual )
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASOS 1
3.1 Ethical Hacking – Laboratorio de Ethical Hacking
Metodología OSSTMM (Open-Source Security Testing Methodology Manual )
MÓDULO HERRAMIENTA
Identificación de los Servicios de Sistemas
Nmap v. 4.11
Búsqueda de Información competitivaRecolección de información con la utilización de buscadores online.
Búsqueda y Verificación de Vulnerabilidades
Nessus, Languard y Sara
Descifrado de Contraseñas Caín & Abel v. 2.9 y Pwdump4
Explotación de Vulnerabilidades Perfect keylogger, Optix pro y Metasploit
Enrutamiento A Través de una investigación
Testeo de Sistemas Confiados Ingeniería Social
Testeo de Control de Acceso Ingeniería Social
Testeo de Medidas de Contingencias Ingeniería Social
Revisión de Privacidad Ingeniería Social
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASOS 13.3 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y
Solaris.
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
3.3 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y
Solaris.
CASOS 1
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
CASO 1
Riesgos existentes en el sistema:
Hace falta controles que aseguren el transporte de información por vía e-mail de acceso no autorizado,controles para cambiar las contraseñas de los usuarios frecuencia.
El password de los usuarios no viaja encriptado desde el cliente hasta el servidor de autenticación, locual genera el riesgo de que la misma sea interceptada al momento de ser transmitida.
3.3 Estudio de vulnerabilidad de los sistemas operativos Windows, Linux y
Solaris.
No existe un proceso para revisar los logs de auditoría y hacer seguimiento de los incidentes encontrados.
Falta de revisión periódica para comprobar que se hayan eliminado las cuentas de empleados quehayan dejado de laborar en la Universidad.
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICACASO 2: Spain is different gestionando riesgos(España-es-diferente-gestionando riesgos)
la situación creada por los controladores aéreos con la empresa que les gestiona AENA, el Ministerio de Fomento y finalmente con el Gobierno.Pongámonos en situación, semana del puente de la Constitución del 2010, buena parte de la población española estaba indignadísima con el gremio de los controladores aéreos españoles. La televisión, la radio y los periódicos se hacían eco de la “huelga salvaje” creando un enemigo común para este país que pocas veces está unido sino es por el fútbol. Los hechos prueban que durante más de 24 horas se paralizó todo el espacio aéreo español, que afectó a cerca de 600.000 personas y que el gobierno decretó el estado de alarma por primera vez en la historia de la democracia.Confieso haber estado pegado a la televisión para seguir cada uno de los comunicados que se daban en las noticias como si fuera un culebrón. Sinceramente no podía dar crédito a lo que estaba viendo. Entre en un estado de indignación permanente y de vergüenza ajena por ser español. Mi opinión es que todo fue una verdadera irresponsabilidad, en letras mayúsculas. Y no culpé específicamente ni a los controladores, ni al gobierno…. Pero si busqué responsabilidades en todos aquellos que habían dejado que esta situación llegara hasta este extremo. Porque cuanto más profundizas en el tema, más te das cuenta que nunca nadie hizo un ejercicio de identificar riesgos o problemas, y menos poner acciones para mitigarlos.
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
Cuando posiblemente se puedan modificar leyes para aceptar controladores aéreos civiles de otros países de la comunidad europea, o planificar una estrategia de ampliación de plantilla abriendo más cursos durante los próximos 3 años. Seguro que hay más sugerencias para ayudar a solventar este problema, pero mi intención en este artículo es dar una crítica constructivaDomènec Biosca, experto en el sector del turismo y entrevistado por el canal de noticias CNN+ ese mismo fin de semana, donde dio su opinión sobre la situación diciendo “soy daltónico respecto a colores políticos, pero en esta clase de situaciones se echa de menos el sentido común
CASO 2
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICAUna empresa que fabrica un producto de gran consumo comienza a tener dificultades de liquidez, que se revela porque los niveles de tesorería se han reducido progresivamente en los últimos meses. De seguir la tendencia, los presupuestos señalan que las dificultades comenzarán de forma inmediata. Un primer análisis demuestra que el índice de morosidad de clientes se ha incrementado paulatinamente en el mismo período y que el plazo medio de cobro de los saldos de clientes se ha incrementado también notablemente.La definición de la crisis podría resultar más o menos clara: inmediatas dificultades de liquidez por tesorería insuficiente. Un primer análisis de la crisis también podría identificar las causas: la creciente morosidad y el incremento del período medio de cobro.De este análisis, también podríamos deducir la solución del problema: aplicación rigurosa de medidas contra los clientes morosos y un seguimiento exhaustivo y eficaz de los plazos de cobro a clientes.Pues bien, este tipo de crisis, por otra parte bastante común, rara vez encuentra su solución con este tipo de medidas. El problema es la deficiente identificación de las causas de la crisis. El incremento de la morosidad y del plazo medio de cobro no son las verdaderas causas de la crisis; en realidad son un estadio anterior de efectos del verdadero problema. Ese tipo de datos (morosidad, plazo medio de cobro, etc.) no son más que indicadores de una crisis, pero habitualmente no son la causa de la crisis.
CASO 2
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
pensar que el problema había sido identificado provocó una pérdida de tiempo que, en toda resolución de crisis, resulta fundamental.Esto, además, ilustra un fenómeno muy habitual, especialmente en las PYME's. El hecho es que en muchas circunstancias se tiende a enmarcar cualquier crisis en términos estrictamente financieros (en este caso, era pensar que se trataba de un problema de morosidad). La realidad demuestra que, en un alto porcentaje de casos, la crisis se transmite a los engranajes financieros cuando ha tenido sus orígenes y causas en otras áreas de la empresa (producción, distribución, comunicación, comercial, etc.)
CASO 2
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
FENOMENO WIKILEAKS
ROBO DE DATOS DE SONY
ROBO DE BANCO DE AMERICA
CASO 3
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
Check Point DLP Software Blade
combina la tecnología y los procesos de revolucionar Data Loss Prevention (DLP), ayudando a las empresas de forma preventiva proteger la información sensible de la pérdida accidental, la educación de los usuarios en el manejo adecuado de los datos de las políticas y dándoles el poder para remediar los incidentes en tiempo real.
CASO 3
Porque la seguridad se practica !
SEGURIDAD INFORMÁTICA
especialista en seguridad de Internet, consciente de la enorme cantidad de datos que últimamente se filtran, pierden o roban en las empresas y las consecuencias que estos hechos generan en las organizaciones en términos económicos, sociales y de imagen, sigue haciendo hincapié en la necesidad de disponer de una política de seguridad de la información sólida en las empresas. “A pesar de las ‘sonadas’ pérdidas de datos vividas en los últimos meses y sus graves consecuencias, muchas organizaciones todavía carecen de una política de seguridad de la información concreta.
CASO 3