seguridad informática

Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011

Seguridad de la Seguridad de la InformaciónInformación

Expositor: Reynaldo Castaño Umaña


¿Porqué hablar de la Seguridad de la ¿Porqué hablar de la Seguridad de la Información?Información?

Porque los negocios se sustenta a partir de la información que manejan.....


Siendo que la Siendo que la informacióninformación debe debe considerarse como un recurso con considerarse como un recurso con el que cuentan las Organizaciones el que cuentan las Organizaciones y por lo tanto tiene valor para y por lo tanto tiene valor para éstas, al igual que el resto de los éstas, al igual que el resto de los activosactivos, debe estar debidamente , debe estar debidamente protegida.protegida.

¿Qué se debe ¿Qué se debe asegurar ?asegurar ?


Pilares de la seguridad de la InformaciónPilares de la seguridad de la Información



Pilares de la seguridad de la InformaciónPilares de la seguridad de la Información


Confidencialidad.- Condición que garantiza que la información es accedida solo por las personas autorizadas según la naturaleza de su cargo o función dentro de la organización. La Confidencialidad está relacionada con la Privacidad de la Información.Integridad.- Condición que garantiza que la información es consistente o coherente. Está relacionada con la Veracidad de la Información.Disponibilidad.- Condición que garantiza que la información puede ser accedida en el momento en que es requerida. Está relacionada con la Continuidad del Negocio y las Operaciones.


La perdida de datos, provoca…La perdida de datos, provoca…



Mitos de Seguridad

1. El sistema puede llegar al 100% de seguridad.

2. Mi red no es lo suficientemente atractiva para ser tomada en cuenta.

3. Nadie pensará que mi clave de acceso es sencilla

4. Linux es más seguro que Windows.5. Si mi servidor de correos tiene AV, mi

estación no lo necesita.

Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011

¿De que estamos ¿De que estamos hablando ?hablando ?

Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011

Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico.

¿En que consisten los ataques ¿En que consisten los ataques informáticos?informáticos?


Motivos de Ataques:Motivos de Ataques:


• Para obtener acceso al sistema; • Para robar información, como secretos industriales o propiedad intelectual; • Para recopilar información personal acerca de un usuario; • Para obtener información de cuentas bancarias; • Para obtener información acerca de una organización (la compañía del usuario, etc.); • Para afectar el funcionamiento normal de un servicio; • Para utilizar el sistema de un usuario como un "rebote" para un ataque;


Tipos de Ataques Informáticos


¿Quienes pueden atacar?


Tipos de Atacantes

Script kiddies: No saben nada acerca de redes y/o protocolos pero saben manejar herramientas de ataque creadas por otros. Por lo general no siguen una estrategia muy silenciosa de ataques.

Hackers medium: Personas que saben acerca de redes, protocolos, S.O. y aplicaciones pero que no crean sus propias herramientas, sino que utilizan las desarrolladas por otros.

Hackers: Personas que además de conocer de redes, protocolos, S.O. y aplicaciones, desarrollan sus propias herramientas.


Tipos de Amenazas/Ataques

Ingeniería Social:• Consiste en utilizar artilugios, tretas y otras técnicas

para el engaño de las personas logrando que revelen información de interés para el atacante, como ser contraseñas de acceso. Se diferencia del resto de las amenazas básicamente porque no se aprovecha de debilidades y vulnerabilidades propias de un componente informático para la obtención de información.


Tipos de Amenazas/AtaquesPhishingConsiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales de entidades/empresas legítimas con el fin de obtener datos personales y bancarios de los usuarios. Escaneo de PuertosConsiste en detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines del atacante.


Código Malicioso / Virus:

• Se define como todo programa o fragmento del mismo

que genera algún tipo de problema en el sistema en el

cual se ejecuta, interfiriendo de esta forma con el

normal funcionamiento del mismo. Existen diferentes

tipos de código malicioso; a continuación mencionamos

algunos de ellos:



• Exploits:• Se trata de programas o técnicas que explotan una vulnerabilidad

de un sistema para el logro de los objetivos del atacante, como ser, intrusión, robo de información, denegación de servicio, etc.

• Ataques de Contraseña• Consiste en la prueba metódica de contraseñas para lograr el

acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado:



Man-in-the-middle:• El atacante se interpone entre el origen y el destino en una

comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas.



Denegación de Servicio:• Su objetivo es degradar considerablemente o detener el

funcionamiento de un servicio ofrecido por un sistema o dispositivo de red.

• Envío de paquetes de información mal conformados de manera de que la aplicación que debe interpretarlo no puede hacerlo y colapsa.

• Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios.

• Bloqueo de cuentas por excesivos intentos de login fallidos. • Impedimento de logueo del administrador.



Principales vulnerabilidades

Cross-Site-Scripting (XSS) – Cuando un atacante usa una WebApp para enviar código malicioso en Java Script.

SQL injection – Usa secuencias de comandos usando lenguaje SQL (Structured Query Language).

Command injection – Permite a un atacante pasar código malicioso generalmente escrito en Perl y Python a diferentes sistemas a través de una aplicación web.


Directory Traversal – La habilidad de navegar archivos y directorios con acceso no autorizado.

Web Service Attacks – Inyectar código malicioso en servicios web para ver y modificar data.

Principales vulnerabilidades


Realizar pruebas de Detección de Vulnerabilidades

Realizar Pruebas de penetraciónDefinir plan de acción para asegurar

contingencia de servicios y continuidad del negocio.

Aplicar Normas y estándaresRediseño de la Arquitectura de Seguridad de la

organización

…y entonces como podemos protegernos?


…y entonces como podemos protegernos?

Defensa de Perímetro

Defensa de Red

Defensa de Host

Defensa de Aplicacion

Defensa de Datos y Recursos

Seguridad Física/políticas


¿Qué es la ISO 27001?La ISO 27001 es un Estándar Internacional de Sistemas

de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.


Sistema de Gestión ISO 27001SGSI: 1-PolíticaSGSI: 1-PolíticaSGSI: 2-OrganizaciónSGSI: 2-OrganizaciónSGSI: 3-Gestión de activosSGSI: 3-Gestión de activosSGSI: 4-PersonalSGSI: 4-PersonalSGSI: 5-Seguridad FísicaSGSI: 5-Seguridad FísicaSGSI: 6-Comunicaciones y operacionesSGSI: 6-Comunicaciones y operacionesSGSI: 7-Control de accesoSGSI: 7-Control de accesoSGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.SGSI: 9-Gestión de incidentesSGSI: 9-Gestión de incidentesSGSI: 10-Gestión continuidad del negocioSGSI: 10-Gestión continuidad del negocioSGSI: 11-Legislación VigenteSGSI: 11-Legislación Vigente


Consejos para evitar fuga de informaciónConocer el valor de la propia informaciónConcientizar y disuadirUtilizar defensa en profundidadIncluir herramientas tecnológicasSeguir los estándaresMantener políticas y procedimientos clarosProcedimientos seguros de contratación y

desvinculaciónSeguir procesos de eliminación segura de datos


Preguntas?

seguridad informática

Education