OR - Seguridad Informática y Protección de Datos

Seguridad Informtica y
Proteccin de Datos
Ctedra: Sistemas e Informacin en la Empresa

Tema 9
Profesor: Freddy Esqueda
Ponentes: Manuel Hernndez Padrn
Ofelia Ramrez Aponte
Contenido
Definiciones
Modelo de Sistema de Gestin de Sistema Informtico
Fiabilidad de la Informacin
Polticas de Seguridad (ISO-7498-2)
Seguridad (ISO/IEC 27001)
05/06/2015
Tema 9. Seguridad Informtica y Proteccin de Datos
Seguridad Informtica. Definicin

"Caracterstica que indica que un sistema
est libre de todo peligro, dao o riesgo."
(Villaln)
Es el conjunto de recursos utilizados para
obtener la mxima fiabilidad de un sistema
informtico
Gerencialmente se puede percibir como el
conjunto de medidas tcnicas, organizativas
y legales que permite a la organizacin
asegurar la confidencialidad, integridad y
disponibilidad de su sistema de informacin.
Seguridad Informtica
Qu se protege?
El Hardware: de cadas o subidas de tensin, sabotajes, etc.
El Software: de Malware (virus, troyanos, gusanos,
spyware, cookies, adware, rootkit, hijackers, sniffers, hoax,
etc)
Los datos: son la parte ms sensible de un sistema
informtico, el hardware se reemplaza, el software se
reinstala, pero si no tenemos copia de seguridad
actualizada
LA SEGURIDAD DE SISTEMAS ES UN
CAMINO, NO UN DESTINO
Objetivo: mantener los

sistemas generando
resultados.
05/06/2015
Si los sistemas no se
encuentran funcionando
entonces su costo se convierte
en perdidas financieras (en el
menos grave de los casos).
El resultado generado por un

sistema es la INFORMACION
que ALMACENA O PRODUCE.
Paradigmas
La seguridad
informtica NO es un
problema
exclusivamente de las
computadoras.
05/06/2015
Las computadoras y las

redes son el principal
campo de batalla.
Se debe proteger
aquello que tenga un
valor para alguien.
Modelo de Gestin
Activos
Amenazas
Impactos
Vulnerabilidades
Reduce
Riesgos
Funcin
Preventiva
Funcin
Correctiva
05/06/2015
Reduce
Seguridad de Informacin: Modelo PDCA

PLANIFICAR (Plan): consiste en establecer el
contexto en el se crean las polticas de
seguridad, se hace el anlisis de riesgos, se
hace la seleccin de controles y el estado de
aplicabilidad
HACER (Do): consiste en implementar el
sistema de gestin de seguridad de la
informacin, implementar el plan de riesgos
e implementar los controles .
VERIFICAR (Check): consiste en monitorear las
actividades y hacer auditoras internas.
ACTUAR (Act): consiste en ejecutar tareas de
mantenimiento, propuestas de mejora,
acciones preventivas y acciones correctivas .
05/06/2015
Seguridad de Informacin: Modelo PDCA
Compromiso de la Direccin
Planificacin
Fechas
Responsables
Definir alcance del SGSI

Definir Poltica de Seguridad
Metodologa de evaluacin de riesgos
Inventario de activos
Identificar amenazas y vulnerabilidades
Identificar impactos
Anlisis y evaluacin de riesgos
Selccin de controles
Implementar mejoras
Acciones correctivas
Acciones preventivas
Comprobar eficacia de las accionesTema 9. Seguridad Informtica y Proteccin de Datos
05/06/2015
Definir plan de tratamiento de

riesgos
Implantar plan de tratamiento de
riesgos
Implementar los controles
Formacin y concienciacin
Operar el SGSI
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditoras internas del
SGSI
Registrar acciones y eventos10
Qu es la seguridad informtica?
Polticas, procedimientos y tcnicas para asegurar la
integridad, disponibilidad y confiabilidad de datos y
sistemas.
Prevenir y detectar amenazas. Responder de una forma
adecuada y con prontitud ante un incidente.
Proteger y Mantener los sistemas funcionando.

05/06/2015
11
Qu se debe garantizar?
Confidencialidad: Se garantiza que la
informacin es accesible slo a aquellas
personas autorizadas a tener acceso a la
misma.
Integridad: Se salvaguarda la exactitud y
totalidad de la informacin y los
mtodos de procesamiento.
Disponibilidad: Se garantiza que los
usuarios autorizados tienen acceso a la
informacin y a los recursos
relacionados con la misma toda vez que
se requiera.
05/06/2015
12
05/06/2015
13
Qu es una poltica de seguridad?

Una directriz que contendr los objetivos de la empresa en
materia de seguridad del sistema de informacin.
Estos objetivos se engloban en cuatro grupos:
Identificar
Relacionar
Proporcionar
Detectar
05/06/2015
14
Alcance de la Poltica de Seguridad
Identificar:
Necesidades de seguridad
Riesgos que amenazan el sistema
Impactos ante un ataque evaluarlos-
Relacionar:
Medidas de seguridad para afrontar riesgos de activos o grupos de activos
Proporcionar:
Detectar:
05/06/2015
Perspectiva general de las reglas y procedimientos para afrontar riesgos

identificados en los diferentes departamentos
Vulnerabilidades del sistema de informacin

Controlar los fallos producidos
15
Consecuencia de la Poltica de Seguridad

Anlisis de Riesgo
La definicin del
plan de
contingencias es
uno de los
resultados y parte
de la poltica de
seguridad.
Plan de
Mantenimiento
Estrategias de
Recuperacin
Pruebas y
Entrenamiento
Desarrollo de las
Estrategias
Desarrollo de los
Procedimientos
05/06/2015
16
Esta norma define una poltica de autorizacin genrica, la cual

puede formularse de la siguiente forma:
La informacin no puede darse, ni puede permitirse el acceso a

ella, ni se puede permitir que sea inferida, ni se puede utilizar
ningn recurso por parte de personas o entidades que no estn
autorizadas de forma apropiada.
05/06/2015
17
Polticas Basadas
en Identidad:
Polticas Basadas
en Reglas:
05/06/2015
Determinacin del acceso y uso de

los recursos en base a las identidades
de los usuarios y recursos
El acceso a los recursos se controla a

travs de reglas globales impuestas a
todos los usuarios, por ejemplo,
utilizando etiquetas de seguridad.
18
Define cinco
categoras
principales
de servicios
de seguridad:
05/06/2015
Autenticacin, tanto de entidades

como de origen
Control de acceso
Confidencialidad de los datos
Integridad de los datos
No repudio
19
05/06/2015
20
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Que
pueden
tener
RECURSOS
Reducen
Fecha: __ / __ / __.
Componente : Supervisin
Formulario nmero 6 - Mapeo de Riesgos resultado de la evaluacin de Efectividad, Eficiencia y Cumplimiento de los Controles
Fecha: ________
Entidad evaluada: _____________ Proceso: _____________________________________
Sub Proceso_______________________________________
Etapa sub proceso:________________________
MAPA DE RIESGOS
explotan
Vulnerabilidades
Permiten o
facilitan
Dao
PROBABILIDAD
Amenazas
12
6
8; 5,00
3; 3,00
0
0
05/06/2015
RIESGO
12
IMPACTO
Elaborado por:__________
__________________________
Aprobado Por:___________
______________________
21
Pag __ de __
Responsabilidad de la Gerencia
05/06/2015
22
Seguridad Informtica. ISO/IEC 27001

La seguridad informtica consiste en la implantacin de un conjunto de medidas
tcnicas destinadas a preservar la confidencialidad, la integridad y la
disponibilidad de la informacin, pudiendo, adems, abarcar otras propiedades,
como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
Es la definicin ofrecida por el estndar para la seguridad de la informacin
ISO/IEC 27001, aprobado y publicado en octubre de 2005 por la International
Organization for Standardization (ISO) y por la comisin International
Electrotechnical Commission (IEC).
05/06/2015
23
Los 11 dominios de la ISO/IEC 27001

Poltica de Seguridad
Organizacin de la seguridad de la
informacin
Gestin de Activos
Seguridad de los recursos humanos
Seguridad fsica y ambiental
Comunicacin y gestin de
operaciones
Control de acceso
Sistemas de informacin de
adquisicin, desarrollo y
mantenimiento
Informacin de gestin de incidentes
de seguridad
Gestin de continuidad del negocio
Cumplimiento, Conformidad
Operaciones
Leyenda:
Aspectos Gerenciales
Aspectos Tcnicos
Aspectos Fsicos
Estructura Organizacional
Gerencia
Poltica de Seguridad
Organizacin de la Seguridad
de la Informacin
Gestin de Activos
Control de Acceso
Cumplimiento, Conformidad
Informacin de gestin de
incidentes de seguridad
Seguridad de los
recursos humanos
Gestin de continuidad del

negocio
Sistemas de Informacin de adquisicin , desarrollo y

mantenimiento
Comunicacin y gestin
de operaciones
Seguridad fsica y ambiental
Riesgos /
Amenazas
05/06/2015
Vulnerabilidades
Gestin de
Riesgos en TI
25
Riesgos / Amenazas
mbitos Espaciales de la Seguridad de Sistemas
Internos
Externos
Sistema Financiero
Estaciones
Usuarios Sistemas
Usuarios Procesos
Clientes
Proveedores
Otros
Servidores Web
Servidores
05/06/2015
26
Riesgos / Amenazas
Internos
Externos
Sistema Financiero
Clientes
DE ATAQUES
INTERNOS PARA DAAR DATOS O
SISTEMAS, FRAUDES, ERRORES EN EL MANEJO DE
Proveedores SISTEMAS
Otros
Estaciones
Usuarios Sistemas
Usuarios Procesos
Servidores Web
Servidores
05/06/2015
27
Riesgos / Amenazas
Internos
Externos
Sistema Financiero
Estaciones
Usuarios Sistemas
Usuarios Procesos
Clientes
Proveedores
Otros
Servidores Web
Servidores
05/06/2015
28
Riesgos / Amenazas
Internos
Externos
Sistema Financiero
Estaciones
Usuarios Sistemas
Usuarios Procesos
Clientes
Proveedores
Otros
Servidores Web
Servidores
05/06/2015
29
Riesgos / Amenazas
Internos
Externos
Sistema Financiero
Estaciones
Usuarios Sistemas
Usuarios Procesos
Clientes
Proveedores
Otros
Servidores Web
Servidores
05/06/2015
30
Riesgos / Amenazas
Internos
Externos
Sistema Financiero
Estaciones
Usuarios Sistemas
Usuarios Procesos
Clientes
Proveedores
Otros
Servidores Web
Servidores
05/06/2015
31
Seguridad Informtica a Nivel de Usuarios
Usuarios
comunes:
05/06/2015
Los usuarios se acostumbran a usar

la tecnologa sin saber como
funciona o de los riesgos que
pueden correr.
Son el punto de entrada de
muchos de los problemas crnicos.
Son El eslabn ms dbil en la
cadena de seguridad.
32
Dos enfoques
para
controlarlos
05/06/2015
Principio del
MENOR PRIVILEGIO
POSIBLE
EDUCAR AL
USUARIO
33

Principio del MENOR PRIVILEGIO
POSIBLE: Implica seguridad de
acceso al sistema (usuario,
password, perfiles de usuario de
manera transaccional seguridad
por posicin, workflow)
Administracin de privilegios
05/06/2015
Reducir la capacidad de accin del usuario sobre los sistemas.

Objetivo: Lograr el menor dao posible en caso de incidentes.
Usuarios nicos e intransferibles
Procesos de desactivacin de cuentas y activacin del reemplazo (en perodos vacacionales y de
reposos)
Administracin de claves de acceso
Alfanumricas + caracteres especiales + maysculas / minsculas
Caducidad
Bloqueo por intentos fallidos
Prohibicin de palabras y datos de uso comn o asociadas al usuario
Reseteo de clave de forma automtica con preguntas de desafo (p.e. usando datos encriptados que
solo el usuario conoce como fecha de ingreso a la empresa)
Perfil de usuario
De acuerdo a la actividad y delegacin de autoridad de acuerdo a su posicin y responsabilidades
Esquemas de proteccin de datos e informacin (Privado, Confidencial y Estrictamente Privado y
Confidencial) segn la posicin y actividades (previendo delincuencia comn o DDOO)
34
EDUCAR AL
USUARIO:
05/06/2015
Documentar y publicar todas las

normas y procedimientos asociados
Generar una cultura de seguridad. El
usuario ayuda a reforzar y aplicar los
mecanismos de seguridad.
Objetivo: Reducir el nmero de
incidentes
35

Adicionales
a los que ya
se mostr
para
usuarios
comunes, se
debe:
05/06/2015
Seguridad de acceso a las instalaciones (rea de desarrollo y

rea de servidores o main frame)
Poltica de respaldo de informacin y programas que incluyan
backups in situ / outside a modo copia espejo e incremental
(solo variaciones)
Polticas de sustraccin de datos, incluyendo el uso de CDROM y
Pendrivers (Wikiliks)
Crear ambientes de desarrollo de software aislados de los
ambientes de produccin (operaciones de la empresa) y de
prueba Crear ambientes de prueba con participacin funcional
Crear protocolos de procesos de cambio (implantacin de
sistemas, actualizacin de software incluidos los sistemas
operativos) que incluyan respaldo total de programas y datos a
modo espejo
36
Vulnerabilidad
En un sistema informtico lo que queremos proteger son sus activos,
es decir, los recursos que forman parte del sistema y que podemos
agrupar en:
. - Hardware
. - Datos
. - Software
. - Otros
Los mas crticos son los datos, el hardware y el software. Es decir, los
datos que estn almacenados en el hardware y que son procesados por
las aplicaciones software.
05/06/2015
37
Vulnerabilidad
Es la debilidad de cualquier tipo que compromete la seguridad del
sistema informtico.
Diseo
Implementacin
Uso
05/06/2015
Debilidad en el diseo de protocolos utilizados en las redes.

Polticas de seguridad deficientes e inexistentes.
Errores de programacin.
Existencia de puertas traseras en los sistemas informticos.
Descuido de los fabricantes.
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los
responsables de informtica.
Disponibilidad de herramientas que facilitan los ataques.
Limitacin gubernamental de tecnologas de seguridad.
38
Vulnerabilidades conocidas
Consisten en
ataques,
intercepciones de
datos y envo de
informacin
usurpando
identidad
05/06/2015
Firewall
Antivirus
Malware
Antispy
Protocolos de encriptacin
Firmas digitales
Monitoreo de redes (Comunity
Manager)
39
Vulnerabilidades
Ataques contra el flujo de la informacin
FLUJO NORMAL
Los mensajes en una red se envan a partir de un emisor a uno o varios receptores
El atacante es un tercer elemento; en la realidad existen millones de elementos atacantes,
intencionales o accidentales.
Receptor
Emisor
Atacante
05/06/2015
40
Vulnerabilidades
INTERRUPCION
El mensaje no puede llegar a su destino, un recurso del sistema es destruido o
temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destruccin de una pieza de hardware, cortar los medios de
comunicacin o deshabilitar los sistemas de administracin de archivos.
Emisor
Receptor
Atacante
05/06/2015
41
Vulnerabilidades
INTERCEPCION
Una persona, computadora o programa sin autorizacin logra el acceso a un
recurso controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos,
escalamiento de privilegios.
Emisor
Receptor
Atacante
05/06/2015
42
Vulnerabilidades
MODIFICACION
La persona sin autorizacin, adems de lograr el acceso, modifica el mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la informacin que se transmite desde una base de datos,
modificar los mensajes entre programas para que se comporten diferente.
05/06/2015
43
Vulnerabilidades
FABRICACION
Una persona sin autorizacin inserta objetos falsos en el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantacin de identidades, robo de sesiones, robo de contraseas,
robo de direcciones IP, etc...
Es muy difcil estar seguro de quin esta al otro lado de la lnea.
Emisor
Receptor
Atacante
05/06/2015
44
Quienes Atacan los Sistemas?

Gobiernos Extranjeros.
Espas industriales o polticos.
Criminales.
Empleados descontentos y abusos internos.
Adolescentes sin nada que hacer.
05/06/2015
45
INTRUSO
Estado del ataque
05/06/2015
Ejemplo de Acciones
1-Bsqueda de Ingreso
Correr un scanner de puertos
2-Penetracin
Explorar un sistema sin parches de seguridad
3-Elevacin de Privilegios
Lograr cuenta de Administrador
4-Ataque en si mismo
Robo de datos, destruccin del sitio web, etc.
5-Enmascaramiento
Borrado de rastros del ingreso y ataque

46
05/06/2015
47
05/06/2015
48
Actuacin del Criminal
Mitos
Motivaciones
personales
05/06/2015
Se requieren talentos
especiales.
El fraude ha crecido
gracias a la aparicin de
las computadoras.
Dinero.
Satisfaccin
(egocentrismo).
Ideologa.
Psicosis.
Ambiente de
trabajo.
Prestaciones.
Nivel de confianza
Motivaciones
interpersonal
ambientales
tica ambiental
Nivel de stress
AMBIENTE DE
CONTROL INTERNO
49
Ethical Hacking
Es una intrusin tica, es la aplicacin de herramientas de

intrusin, penetracin, robo, personificacin y negacin
de servicio llevado a cabo por hackers ticos, es decir,
personas con la experiencia y conocimiento suficiente
para llevar a cabo estas pruebas en nombre de la
organizacin, es decir, de manera legal y prevista, para
determinar el nivel de seguridad de una red de equipos o
servicios (incluido el aspecto de ingeniera social)
05/06/2015
50
Ethical Hacking
Por qu es
Importante?
al conocer el nivel de seguridad que se tiene en nuestra organizacin es mucho ms

sencillo, no simple, el tomar medidas que puedan subsanar estas deficiencias
No es
contraproducente?
No, al usar las armas que el enemigo usa es ms factible que podamos determinar el
nivel de riesgo, y por tanto la respuesta que debemos dar ante un ataque, vindolo
como analoga mdica, es como cuando nos vacunan, pues nos inoculan una versin
del virus del cual nos quieren hacer inmunes
Es fiable?
05/06/2015
Al contratar un servicio o realizarlo de manera interna, estamos confiando en la

tica profesional de quien evala por lo que s, siempre llevamos un riesgo, pero se
establece un contrato de buena fe, hacindolo suficientemente fiable (asegurando)
51
Ejemplos de Crmenes Electrnicos

Ataque en 1986 de alemanes
trabajando para la KGB contra
sistemas estratgicos de EEUU
(Clifford Stoll / Cuckoos egg).
El gusano Morris, que se

propag por internet en 1988
causando un problema de DoS.
La causa fue la interrupcin
causada por un programa escrito
por Robert Tappan Morris.
414 Gang enva ataques contra

los registros mdicos del
hospital para enfermos de
cncer Sloan-Kettering.
Esparcimiento del Love Letter,

difundido por Onel Guzmn en
Filipinas.
Penetracin de la red de
Microsoft en octubre de 2000
por un cracker que gan acceso
a programas en desarrollo.
Ataques de Kevin Mitnick 19891996.
05/06/2015
52
Ejemplos de Crmenes Electrnicos

DDoS contra Yahoo!,
Amazon y Zdnet.
Mltiples problemas
por virus desde
entonces.
Target (Robo de
informacin de clientes.
Identidad y datos
financieros)
Carnabank (Europa
oriental, europa
occidental, EEUU,
Panam)
Ataque a Sony
(Cyberterrorismo?) y la
Respuesta con el
apagn de internet a
Korea del Norte
Juegos del Hambre
53
05/06/2015
Algunas Clases de Ataques
Negacin de
Servicio (DoS)
Robo de
contraseas
Robo de
identidad
Ingeniera
social
Defacement
IP spoofing
Cdigo
Malicioso
Dumpster
diving
Piratera de
software
Fraude
05/06/2015
54
Algunas Clases de Ataques
Espionaje
Destruccin o
alteracin de
informacin
Uso de scripts
de ataque
desarrollados
Phishing
War Chalking
War
Driving/Walking
War Dialing
Ciber Terrorismo
05/06/2015
55
El Caso Carbanak. 1MMMUS$
La banda delictiva ciberntica CARBANAK

roba mil millones de dlares de 100
instituciones financieras en todo el mundo
Kaspersky Lab, la INTERPOL, EUROPOL y
autoridades de diferentes pases han unido
sus fuerzas para dejar al descubierto el
complot delictivo de un robo ciberntico sin
precedentes. Hasta mil millones de dlares
americanos fueron robados en cerca de dos
aos de instituciones financieras en todo el
mundo. Los expertos informan que la
responsabilidad del robo recae en una
banda multinacional de ciberdelincuentes
de Rusia, Ucrania y otras partes de Europa,
as como de China.
05/06/2015
La banda CARBANAK responsable del robo

ciberntico utiliz tcnicas extradas del
arsenal de los ataques selectivos. El
complot marca el inicio de una nueva etapa
en la evolucin de la actividad de
delincuencia ciberntica, donde usuarios
maliciosos roban dinero directamente de
los bancos, y evitan concentrar sus ataques
en los usuarios finales.
Comunicado de prensa
16/02/15 - Karpersky
56
05/06/2015
57
VOLVER
MALWARE
El malware es un tipo de software que tiene como objetivo infiltrarse o daar
un ordenador sistema de informacin sin el consentimiento de su propietario.
05/06/2015
58
VOLVER
POPUP
Un pop-up es un tipo de
ventana web que aparece
delante de la ventana de un
navegador al visitar una pgina
web
05/06/2015
59
VOLVER
ADWARE
Un programa de clase
adware es cualquier
programa que
automticamente muestra
publicidad web al usuario
durante su instalacin o
durante su uso para generar
lucro a sus autores
05/06/2015
60
VOLVER
SPAM
Se llama spam, correo basura a los mensajes no solicitados, no deseados o de
remitente no conocido, habitualmente de tipo publicitario, generalmente enviados
en grandes cantidades que perjudican al receptor
05/06/2015
61
volver
Bomba Lgica
Son programas
informticos que se
instala en un
ordenador y
permanece oculto
hasta cumplirse una o
ms condiciones
preprogramadas para,
en ese momento,
ejecutar una accin.
05/06/2015
62
VOLVER
VIRUS DE MACROS
Es una secuencia de rdenes de teclado y ratn asignadas a una sola tecla. Los
virus de macros afectan a archivos y plantillas que los contienen, hacindose pasar
por una macro y no actuarn hasta que el archivo se abra o utilice.
05/06/2015
63
VOLVER
VIRUS RESIDENTES
Se colocan automticamente en la
memoria RAM del ordenador. De este
modo, pueden controlar e interceptar
todas las operaciones llevadas a cabo
por el sistema operativo, infectando
todos aquellos ficheros y/o programas
que sean ejecutados, abiertos,
cerrados, renombrados, copiados,
etc.
05/06/2015
64
VOLVER
VIRUS DE ENLACE
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los
archivos existentes, y como consecuencia no es posible localizarlos y trabajar con
ellos.
05/06/2015
65
VOLVER
VIRUS MUTANTES
Son virus que mutan, es decir x.
Debido a estas mutaciones, cada
generacin de virus es diferente
a la versin anterior, dificultando
as su deteccin y eliminacin.
05/06/2015
66
VOLVER
VIRUS DE BOOT
Se activan en el momento en
el que se arranca el
ordenador desde un disco
infectado, ya sea desde el
disco duro o desde una
memoria USB.
05/06/2015
67
VOLVER
VIRUS DE PROGRAMA
Comnmente
infectan
archivos con
extensiones
.EXE, .COM,
.OVL, .DRV, .BIN,
.DLL, y .SYS
05/06/2015
68
VOLVER
VIRUS DE SOBREESCRITURA
Sobre-escriben en el interior de los archivos atacados, haciendo que se pierda el
contenido de los mismos
05/06/2015
69
Ataques de Seguridad
Spyware. Es un software de computadora
que al instalarse intercepta o toma control
parcial de la interaccin de la
computadora y el usuario, esto sin que el
mismo se de cuenta. Estos programas
pueden recolectar diferentes tipos de
informacin de los usuarios, as como
instalar software adicional sin el
consentimiento de los mismos.
05/06/2015
70
Herramientas de Seguridad
Gusano. Es un programa de computadora que
puede replicarse a si mismo, utiliza la red para
enviar copias de si mismo a otros nodos y lo
puede hacer sin la intervencin del usuario.
A diferencia de los virus los gusanos no
necesitan estar amarrados a un programa, y su
funcin es principalmente daar la red (ej.
desempeo), mientras que los virus daan
archivos en computadoras
71
05/06/2015
Caballo de Troya. Es una programa que se
instala bajo la creencia de que se esta
instalando alguna otra cosa. Los troyanos
son programas muy utilizados para
instalar programas tipo backdoors, que
permiten el acceso no autorizado a la
computadora atacada, un ejemplo de
programas tipo backdoor son los
Keyloogers
72
05/06/2015
DoS. Denial of service- Ataques que
hacen indisponible un servicio a los
usuarios
DDoS. Son conocidos como DNS
Backbone Distributed Denial of
Services Ataques tienen como
blanco los servidores raz DNS, por lo
tanto afectan uno de los pilares del
Internet, los nombres de los dominios.
73
05/06/2015
Footprinting. Tcnica utilizada
para reunir informacin acerca de
sistemas computacionales y las
entidades a las que pertenece,
algunos ejemplos son:
- Domain queries
- Network queries
- Organizational queries
- TCP scans
74
05/06/2015
Fingerprinting. Tambin es conocido
como TCP/IP stack fingerprinting y es
utilizado para determinar que sistema
operativo utiliza algn blanco en la red.
Existe dos tipos de fingerprinting
- Pasivo
- Activo
NMAP es una herramienta que utiliza

fingerprinting activo para mapear
puertos de red
75
05/06/2015
Escaneo de puertos. El escaneo de
puertos se basa en el Fingerprinting
Activo, es decir, transmite y recibe
seales como ICMP, TELNET, SNMP
desde un blanco determinado en la
red, esto con el fin de obtener
informacin de dicho blanco, en este
caso informacin acerca de sus
puertos de red.
76
05/06/2015
Sniffing. Para llevar a cabo el sniffing es
necesario contar con un packet sniffer
que puede ser software instalado en una
computadora
o
un
dispositivo
independiente
(appliance),
este
dispositivo es utilizado para interceptar y
registrar trfico que pasa a travs de una
red o de un segmento de la misma.
(Puede ser de una red ethernet o
wireless)
77
05/06/2015
Spoofing. Los ataques tipo spoofing son
aquellos en los que una persona o
programa logra hacerse pasar por otra,
falsificando informacin o utilizando la
ingeniera, algunos ataques tipo spoofing
son los siguientes:
- Falsificacin de direccin de email
- Falsificacin de ID de llamadas telefnicas
- Falsificacin de sitios de internet (phishing)
78
05/06/2015
Phishing. Es el uso de tcnicas de
ingeniera social con la finalidad de
adquirir de manera fraudulenta
informacin confidencial como
nombres de usuarios, contraseas,
informacin de tarjetas de crdito.
79
05/06/2015
Ingeniera Social. Se refiere a una
coleccin de tcnicas utilizadas para
manipular a las personas para que
realicen alguna accin o divulguen
informacin confidencial.
Algunos ingenieros sociales notables
son:
- Kevin Mitnik
- Frank Abagnale
80
05/06/2015
Ingeniera Social
Es el conjunto de mtodos y
prcticas usados para obtener
informacin de usuarios legtimos
y con la informacin obtenida
lograr acceso a sistemas
protegidos, siendo esta prctica
de uso comn entre piratas
informticos y delincuentes
computacionales
05/06/2015
Cmo me afecta? Al no validar las

referencias o no seguir el
protocolo de seguridad adecuado
para divulgar contraseas o
cualquier otra informacin
sensible, podemos ser cmplices
de un crimen, Mxico ha acordado
con organismos internacionales la
homologacin y/o adecuacin de
cdigos penales para que estos
delitos sean perseguidos
81
Ingeniera Social
Cmo puedo saber si estoy siendo

vctima de un ingeniero social?
Muy simple, cuando alguien nos
pide algn tipo de informacin
privilegiada y esta persona es
insistente cuando le requerimos
seguir un protocolo para validar su
intencin, es altamente probable
que estemos siendo vctimas de un
intento de robo de informacin por
un ingeniero social/hacker
05/06/2015
Cmo puedo evitarlo? Sencillo, si

no confiamos en la persona que
nos solicita los datos (supongamos
un tcnico de soporte de nuestro
lugar de trabajo) podemos pedirle
que nos deje sus datos y
comunicarnos con el 10 minutos
despus de validar que la peticin
es legtima, es decir, slo sigamos
los protocolos que existen en el
trabajo y crear los propios en casa
82
Tipificacin del delito informtico en Venezuela

Ley Especial contra los Delitos Informticos
De los Delitos Contra los Sistemas que Utilizan Tecnologas de Informacin
05/06/2015
Artculo 6. Acceso indebido.

Artculo 7. Sabotaje o dao a sistemas.
Artculo 8. Favorecimiento culposo del sabotaje o dao.
Artculo 9. Acceso indebido o sabotaje a sistemas protegidos.
Artculo 10. Posesin de equipos o prestacin de servicios de sabotaje.
Artculo 11. Espionaje informtico.
Artculo 12. Falsificacin de documentos.
83

De los Delitos Contra la Propiedad

Artculo 13. Hurto.
Artculo 14. Fraude.
Artculo 15. Obtencin indebida de bienes o servicios.
Artculo 16. Manejo fraudulento de tarjetas inteligentes o instrumentos
anlogos.
Artculo 17. Apropiacin de tarjetas inteligentes o instrumentos anlogos.
Artculo 18. Provisin indebida de bienes o servicios.
Artculo 19. Posesin de equipo para falsificaciones.
05/06/2015
84

De los Delitos Contra la Privacidad de las Personas y
de las Comunicaciones.
Artculo 20. Violacin de la privacidad de la data o informacin de
carcter personal
Artculo 21. Violacin de la privacidad de las comunicaciones.
Artculo 22. Revelacin indebida de data o informacin de
carcter personal.
De los Delitos Contra Nios, Nias o Adolescentes

Artculo 23. Difusin o exhibicin de material pornogrfico.
Artculo 24. Exhibicin pornogrfica de nios o adolescentes.
De los Delitos Contra el Orden Econmico

Artculo 25. Apropiacin de propiedad intelectual.
Artculo 26. Oferta engaosa.
05/06/2015
85
Plan de Contingencia / Continuidad

Operacional
05/06/2015
86
Plan de Contingencia
Conjunto de Normas y Procedimientos documentados
y comunicados, que tienen por objetivo minimizar los
riesgos informticos mas probables
Involucra
05/06/2015
Uso de herramientas
Cumplimiento de Tareas por
parte de personas
87
Consta de tres subplanes independientes

Plan de Respaldo: crear y conservar en un lugar seguro copias
de seguridad de la informacin
Pla de Emergencia: qu medidas tomar cuando se est
materializando una amenaza o cuando acaba de producirse
Plan de Recuperacin: medidas que se aplicaran cuando se ha
producido un desastre. El objetivo es evaluar el impacto y
regresar lo antes posible
05/06/2015
88
En la elaboracin de este plan no se puede

dejar por fuera a los miembros de la
organizacin, el cual debe estar informado y
entrenado para actuar en las funciones que
le hayan sido encomendadas en caso de
producirse una amenaza o impacto
05/06/2015
89
Continuidad Operacional
Business Continuity Planning (Plan de Continuidad de negocios)
Plan Bsico
Respaldos insitu y outside
Centro de cmputos alterno (Coldsite)
Plan Intermedio
Centro de cmputos alterno (Hotsite) fuera del rea geogrfica
Plan Alto
Centro de cmputos alterno (Hotsite) fuera del rea geogrfica
Plan de respuesta y continuidad de negocios alternativo (sin asistencia de sistemas)
Stress Testing al Plan
05/06/2015
90
El Stress Testing
Poner a prueba el plan
Revise y evalu
Respaldos
Oportunidad, integridad y funcionalidad
Custodia y transporte
Cold y Hotsite
Funcionalidad, accesibilidad y compatibilidad
Actualizacin oportuna (hotsite)
Personal
Roles y funciones
Accesibilidad (contactos y comunicaciones)
Simulacin de catstrofes
Sin previo aviso, el director encargado del BCP, se presenta en el centro de computo
cronometro en mano y baja la cuchilla de electricidad
05/06/2015
91
Plan de Recuperacin de Desastres una

experiencia exitosa (11-sep NYC)
los ataques terroristas del 11 de septiembre de 2001, en Estados Unidos, tuvieron un fuerte impacto en ciertos sectores de las tecnologas de la informacin y la comunicacin
(TIC). Esto es as dado que, tras los atentados, subieron las ventas de computadoras y aument la conciencia en las empresas sobre la necesidad de resguardar y respaldar datos en
forma remota.
La historia que mejor refleja la mayora de estos cambios es la de un gigante de las finanzas, Lehman Brothers, que sigui adelante, a pesar de que en el 11-S fueron arrasadas sus
oficinas centrales, pero al que luego le lleg finalmente su hora cuando, casi 7 aos despus (el 15 de septiembre de 2008) pidi la quiebra. Aquel trgico da, a las 8.45 (hora de
Nueva York), el vuelo 11 de American Airlines chocaba contra la Torre Uno del World Trade Center (WTC). Los escombros comenzaron a aparecer frente a la ventana del despacho
de Bob Schwartz, el director de tecnologas de la informacin (CTO, sigla en ingls) de Lehman Brothers.
El ejecutivo no dud sobre la gravedad de la situacin y moviliz a todo el personal de los departamentos de Economa y tambin al suyo, que ocupaban las plantas 38, 39 y 40 de la
torre. Los empleados y directivos huyeron por las escaleras, mientras que los servidores de la compaa quedaron solos.
Pero mientras hua, Schwartz tom la decisin de activar el plan de recuperacin y continuidad del negocio. Para ello se vali de su telfono mvil BlackBerry. Como el BlackBerry
nos permite enviar y recibir correo electrnico, alert al director informtico (CIO) de la compaa, que ese da se encontraba en nuestro centro de Londres, y a nuestros colegas de
Nueva Jersey, que rpidamente tomaron las riendas. Desde las mismas escaleras de la Torre Uno, activamos el plan de recuperacin abriendo un centro de comandos y poniendo en
marcha puentes de voz para mantener conferencias, record meses despus de los ataques Schwartz a la revista Network World.
Una media hora despus de que el ejecutivo de Lehman Brothers alcanzara la calle, la torre se vino abajo. Apenas uno de los 625 empleados del banco que estaban en el World
Trade Center perdi la vida en el atentado. Pese a la catstrofe, ese mismo da, el departamento de Economa de Lehman se desplaz al centro de respaldo y sigui con sus tareas de
gestin de fondos. El 12 de septiembre, la compaa ya tena 400 empleados en lnea preparados para manejar acciones y fondos cuando la Bolsa de Nueva York reabriera sus
puertas el lunes siguiente.
Schwartz destac que la red fue la verdadera herona. Su diseo y planificacin nos salv. A excepcin de alguna pequea cosa, ninguna informacin crtica se perdi, y pudimos
seguir dando servicios a nuestros clientes.
La sede mundial del banco estaba en el distrito neoyorkino de Manhattan, distribuida en distintas oficinas situadas en cuatro edificios del rea del World Trade Center: los equipos
de desarrolladores de aplicaciones, ingenieros y personal de gestin de tecnologa estaba albergado en la Torre Uno. Y Lehman tena personal en tres edificios del muy prximo
World Financial Center.
Para tomar dimensin de lo que le pas a este banco vale destacar que oficinas, computadoras, servidores, redes e infraestructuras del departamento tecnolgico desaparecieron
bajo los escombros, y los otros tres edificios tambin quedaron inutilizados.
La compaa perdi 5.000 computadoras de escritorio, un centro de datos entero y todo su equipamiento de redes.
05/06/2015
92

Los ataques terroristas del 11 de septiembre de 2001, en Estados Unidos, tuvieron
un fuerte impacto en ciertos sectores de las tecnologas de la informacin y la
comunicacin (TIC). Esto es as dado que, tras los atentados, subieron las ventas de
computadoras y aument la conciencia en las empresas sobre la necesidad de
resguardar y respaldar datos en forma remota.
La historia que mejor refleja la mayora de estos cambios es la de un gigante de las
finanzas, Lehman Brothers, que sigui adelante, a pesar de que en el 11-S fueron
arrasadas sus oficinas centrales, pero al que luego le lleg finalmente su hora
cuando, casi 7 aos despus (el 15 de septiembre de 2008) pidi la quiebra. Aquel
trgico da, a las 8.45 (hora de Nueva York), el vuelo 11 de American Airlines
chocaba contra la Torre Uno del World Trade Center (WTC). Los escombros
comenzaron a aparecer frente a la ventana del despacho de Bob Schwartz, el
director de tecnologas de la informacin (CTO, sigla en ingls) de Lehman
Brothers.
05/06/2015
93

El ejecutivo no dud sobre la gravedad de la situacin y moviliz a todo el personal de los
departamentos de Economa y tambin al suyo, que ocupaban las plantas 38, 39 y 40 de la torre.
Los empleados y directivos huyeron por las escaleras, mientras que los servidores de la compaa
quedaron solos.
Pero mientras hua, Schwartz tom la decisin de activar el plan de recuperacin y continuidad del
negocio. Para ello se vali de su telfono mvil BlackBerry. Como el BlackBerry nos permite enviar
y recibir correo electrnico, alert al director informtico (CIO) de la compaa, que ese da se
encontraba en nuestro centro de Londres, y a nuestros colegas de Nueva Jersey, que rpidamente
tomaron las riendas. Desde las mismas escaleras de la Torre Uno, activamos el plan de
recuperacin abriendo un centro de comandos y poniendo en marcha puentes de voz para
mantener conferencias, record meses despus de los ataques Schwartz a la revista Network
World.
Una media hora despus de que el ejecutivo de Lehman Brothers alcanzara la calle, la torre se vino
abajo. Apenas uno de los 625 empleados del banco que estaban en el World Trade Center perdi la
vida en el atentado. Pese a la catstrofe, ese mismo da, el departamento de Economa de Lehman
se desplaz al centro de respaldo y sigui con sus tareas de gestin de fondos. El 12 de septiembre,
la compaa ya tena 400 empleados en lnea preparados para manejar acciones y fondos cuando la
Bolsa de Nueva York reabriera sus puertas el lunes siguiente.
05/06/2015
94

Schwartz destac que la red fue la verdadera herona. Su diseo y planificacin
nos salv. A excepcin de alguna pequea cosa, ninguna informacin crtica se
perdi, y pudimos seguir dando servicios a nuestros clientes.
La sede mundial del banco estaba en el distrito neoyorkino de Manhattan,
distribuida en distintas oficinas situadas en cuatro edificios del rea del World
Trade Center: los equipos de desarrolladores de aplicaciones, ingenieros y
personal de gestin de tecnologa estaba albergado en la Torre Uno. Y Lehman
tena personal en tres edificios del muy prximo World Financial Center.
Para tomar dimensin de lo que le pas a este banco vale destacar que oficinas,
computadoras, servidores, redes e infraestructuras del departamento tecnolgico
desaparecieron bajo los escombros, y los otros tres edificios tambin quedaron
inutilizados.
La compaa perdi 5.000 computadoras de escritorio, un centro de datos entero y
todo su equipamiento de redes.
05/06/2015
95
La Contingencia Manual,
la ltima Frontera
05/06/2015
96
Negocio / Area / Localidad

DATOS BSICOS
Proceso
Actividad
Descripcin
Responsable
Responsable
Responsable(s) A Nivel Regional
Responsable A Nivel Corporativo
Tarea
Nombre / Cargo
Descripcin
FRECUENCIA DE LA TAREA
Descripcin
Diaria (D)
Semanal (S)
Mensual (M)
Nombre / Cargo
Trimestral (T)
PROVEEDOR (ES)
Anual (A)
Ocasional (O)
CALIFICACIN DE CONTROLES DE ENTRADA
Origen / Responsable
Frecuencia
Insumo (s)
Procesamiento
Control
Automtico (A)
De Entrada
Manual (M)
Tipo de control
Soportes
Recepcin
Archivo
Revisin /
Aprobacin
CALIFICACIN DE CONTROLES (por parte del Cliente / Receptor)
RESULTADOS
Producto (s)
Frecuencia
Cliente / Receptor
Procesamiento
Automtico (A)
Manual (M)
Soportes
Control
de salida
Tipo de control
Recepcin
Backup
Revisin /
Aprobacin
DOCUMENTOS / SISTEMAS ASOCIADOS A LOS CONTROLES
Normas y Procedimientos Asociados
RECOMENDACIONES
Adiestramiento
Proceso
Fecha ltima revisin
Sistema
NyP
Sistemas / Aplicaciones Asociadas
Otros
ELABORADO POR:
NOMBRE:
CARGO:
05/06/2015
LEYENDA:
FIRMA
Calidad de Data: (B) Buena (R) Regular (M) Mala
Oportunidad: (AT) A Tiempo (R) Retrasada
Revisin / Aprobacin: (S) Si (N) No
Soportes: Recepcin: (P) Papel (E) Electrnico Archivo: (S) Si (N) No
Soportes: Envo: (S) Si (N) No Backup: (S) Si (N) No
Calificacin: (F) Fuerte (M) Medio (B) Bajo
97
Plan de recuperacin y Reactivacin de Finanzas

Recomendaciones / Acciones
Fecha de Elaboracin:
/ 2015
DATOS BSICOS
Proceso
Actividad
OBSERVACIONES
Responsable del Proceso
Tarea
Accin (es)
Responsable (s)
ELABORADO POR:
FIRMA
05/06/2015

NOMBRE
98
La Cadena de Valor de una

Organizacin de Seguridad de Sistemas
Desarrollar
controles
de
DESARROLLAR
CONTROLES
DE PROCESOS,
NORMAS Y
procesos,
PROCEDIMIENTOS
normas y
procedimientos
ADMINISTRAR delegaciones
DELEGACIONES FINANCIERAS
Administrar
financieras
Controlar
CONTROLARseguridad
SEGURIDAD sistema
SISTEMA
OPERACIONALES, administrativos
ADMINISTRATIVOS YyOTROS
operacionales,
otros
SISTEMAS FINANCIEROS
sistemas financieros
Asesorar
normasYy
ASESORARen
ENcontroles
CONTROLESde
DEprocesos,
PROCESOS, NORMAS
PROCEDIMIENTOS
Procedimientos
ADMINISTRAR Y
PLANintegral
INTEGRALde
DE control
CONTROL( (PIC
PIC ))
Administrar
y DESARROLLAR
desarrollar plan
ADMINISTRAR SISTEMAS
ADMINISTRAR
SISTEMAS
ADMINISTRAR
CALIDAD
DEVIDA
VIDA YYRECURSOS
FINANCIEROS
ADMINISTRAR
CALIDAD
DE
RECURSOS
FINANCIEROS
05/06/2015
99

OR - Seguridad Informática y Protección de Datos

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

OR - Seguridad Informática y Protección de Datos

Caricato da

Copyright:

Formati disponibili

Seguridad Informtica y

Ctedra: Sistemas e Informacin en la Empresa

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad Informtica. Definicin

Objetivo: mantener los

Tema 9. Seguridad Informtica y Proteccin de Datos

El resultado generado por un

Las computadoras y las

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad de Informacin: Modelo PDCA

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad de Informacin: Modelo PDCA

Definir alcance del SGSI

Definir plan de tratamiento de

Proteger y Mantener los sistemas funcionando.

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Qu es una poltica de seguridad?

Tema 9. Seguridad Informtica y Proteccin de Datos

Alcance de la Poltica de Seguridad

Medidas de seguridad para afrontar riesgos de activos o grupos de activos

Perspectiva general de las reglas y procedimientos para afrontar riesgos

Vulnerabilidades del sistema de informacin

Tema 9. Seguridad Informtica y Proteccin de Datos

Consecuencia de la Poltica de Seguridad

Tema 9. Seguridad Informtica y Proteccin de Datos

Esta norma define una poltica de autorizacin genrica, la cual

La informacin no puede darse, ni puede permitirse el acceso a

Tema 9. Seguridad Informtica y Proteccin de Datos

Determinacin del acceso y uso de

El acceso a los recursos se controla a

Tema 9. Seguridad Informtica y Proteccin de Datos

Autenticacin, tanto de entidades

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad Informtica. ISO/IEC 27001

Tema 9. Seguridad Informtica y Proteccin de Datos

Los 11 dominios de la ISO/IEC 27001

Gestin de continuidad del

Sistemas de Informacin de adquisicin , desarrollo y

Seguridad fsica y ambiental

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad Informtica a Nivel de Usuarios

Los usuarios se acostumbran a usar

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad Informtica a Nivel de Usuarios

Tema 9. Seguridad Informtica y Proteccin de Datos

Seguridad Informtica a Nivel de Usuarios

Reducir la capacidad de accin del usuario sobre los sistemas.

Seguridad Informtica a Nivel de Usuarios

Documentar y publicar todas las

Seguridad Informtica a Nivel de Usuarios

Seguridad de acceso a las instalaciones (rea de desarrollo y

Tema 9. Seguridad Informtica y Proteccin de Datos

Tema 9. Seguridad Informtica y Proteccin de Datos