CONCEPTOS EN SEGURIDAD

DE LA INFORMACIÓN

Docente
Sandra Patricia Bonilla Gerena
Objetivo del módulo

Obtener los conceptos mínimos requeridos

en Seguridad de la Información que
permita a los participantes del diplomado
comprender y fortalecer conceptos de los
siguientes módulos.
 Seguridad

“El único sistema seguro es aquel que

está apagado, desconectado, dentro de
una caja fuerte de titanio, enterrado en
un bunker, rodeado de gas toxico y
vigilado por guardias armados y muy
bien pagados. Y aun así, no apostaría mi
vida a que es seguro”. (Gene Spafford).
Seguridad de la información
Seguridad de la información no es una tecnología
especifica. Por el contrario, es una estrategia
organizacional ejecutada por varios procesos,
responsables de gestionar los riesgos en materia de
seguridad de la información, con el objetivo de mitigar
impactos de una organización derivados de la posibilidad
de perdida de la Confidencialidad, Integridad y
Disponibilidad de la información.
Seguridad de la información

Confidencialidad Integridad Disponibilidad

Principios de Seguridad de la Información

Confidencialidad: propiedad que asegura que la información es
accedida solamente por personal o entidad autorizada.

Integridad: propiedad que asegura que la información no es

alterada sin autorización en su trasporte, procesamiento o
almacenamiento.

Disponibilidad: propiedad que asegura que los activos de la

información están disponibles para personal autorizado en su uso
y demanda.
 De qué nos protegemos

Threat Risk vulnerability

Amenaza Riesgo Vulnerabilidad
Amenaza
“Potencial causa de un incidente no deseado, el cual
puede resultar en daño para un sistema o una
organización”. (ISO 27000)

“Es la intención de infligir un daño; algo que pudiese o

fuese a ocurrir causando una pérdida de activos o
reducción en el valor de los activos”. (Seguridad en los sistemas
informáticos - Royal P. Fisher)
 Amenazas
Escalamiento de privilegios
Password cracking
Fraudes informáticos
Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default
Desactualización Keylogging Port scanning

Hacking de Centrales Telefónicas

 Más Amenazas!!
Spamming
Intercepción y modificación y violación de e-mails
Violación de contraseñas
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
para terceros
 Creadores de amenazas
Orígenes de la amenaza, creadores de la amenaza y
agentes de la amenaza son los términos empleados para
describir a un grupo o individuo que pretende conseguir
acceso no autorizado a redes informáticas y sistemas. Entre
las distintas publicaciones, tanto del sector público como
privado, que intentan clasificar dichas amenazas,
encontramos que generalmente los autores se clasifican en
tres tipos: países, delincuentes organizados y hacktivistas.

Tomado de: McAffe Labs informe agosto de 2015

 Perfil de los agresores

Tomado de: McAffe Labs informe agosto de 2015

 Motivación
La motivación es una de las características fundamentales
que distinguen a los creadores de las amenazas. Aunque no
todos ellos necesitan robar datos durante cada una de las
campañas para conseguir su objetivo, suele ser el caso en
muchas de las campañas.
Cuando se requiere el robo de datos, el autor del ataque
normalmente intenta encontrar los tipos de datos más
atractivos.

Tomado de: McAffe Labs informe agosto de 2015

 Motivación

Tomado de: McAffe Labs informe agosto de 2015

 Motivación - Países

El objetivo de los países es generalmente conseguir una

ventaja estratégica que con frecuencia implica apoderarse
de propiedad intelectual

Tomado de: McAffe Labs informe agosto de 2015

 Motivación – Crimen organizado

Los objetivos financieros de los responsables del crimen

organizado son bastante más fáciles de entender. En este
caso se suelen centrar en hallar el cofre del tesoro lleno de
números de tarjetas de crédito, información bancaria o datos
de identificación personal. La mayoría de los tipos de datos
siguen un formato estándar y estructurado que facilita su
búsqueda. Además, los datos suelen estar sujetos a
normativas, lo que significa que se encuentran en
ubicaciones establecidas de la red.

Tomado de: McAffe Labs informe agosto de 2015

 Motivación – Hacktivistas

Los más difíciles de detener posiblemente sean los

hacktivistas, ya que cualquier información interna puede
afectar a la reputación de una organización. Por este motivo,
todos los tipos de datos, de cualquier tamaño, desde
números de tarjetas de crédito hasta mensajes de correo
electrónico son susceptibles de ser robados por estos
creadores de amenazas.

Tomado de: McAffe Labs informe agosto de 2015

 Acceso físico
Si el creador de una amenaza tiene la posibilidad de
acceder físicamente a un sistema, aunque sea a través de
un proxy, ya cuenta con una ventaja enorme.
Los dispositivos de almacenamiento USB ofrecen un método
fácil para filtrar grandes cantidades de datos sorteando los
controles de seguridad de la red.
Para iniciar un ataque, un ciberdelincuente puede darle un
soporte extraíble a un empleado que no sospeche nada y,
de manera inadvertida, lance el ataque al insertar el
dispositivo.

Tomado de: McAffe Labs informe agosto de 2015

 Conocimiento del entorno

Para conocer el entorno de las redes y los sistemas, los

creadores se sirven de técnicas de ingeniería social, la
ayuda de personal interno e información de código abierto.
Dichas técnicas reducen el tiempo que necesitan para
descubrir los datos, obtener acceso a los sistemas y realizar
la filtración.

Tomado de: McAffe Labs informe agosto de 2015

Riesgo
“La probabilidad de que una amenaza se materialice,
utilizando la vulnerabilidad existentes de un activo o
grupos de activos, generándoles pérdidas o daños”. (ISO).

Riesgo es una medida de la magnitud de los daños frente

a una situación peligrosa.(wikipedia)
Vulnerabilidad

Debilidad de un activo o control, que puede ser explotado

por una amenaza. (ISO 27000)

“Son ciertas condiciones inherentes a los activos o

presentes en su entorno que facilitan que las amenazas
se materialicen” (Introducción a riesgo informático – Leonardo sena y Simón
Tenzer)
 Vulnerabilidad

Tomado de: Symantec informe 2015

 Vulnerabilidad

Tomado de: Symantec informe 2015

 Vulnerabilidad

Tomado de: Symantec informe 2015

 Vulnerabilidades Comunes

Inadecuado compromiso de la dirección.

Personal inadecuadamente capacitado y concientizado.
Inadecuada asignación de responsabilidades.
Ausencia de políticas / procedimientos.
Ausencia de controles
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles.
 Comparación relativa de los intentos de
infección a los usuarios de Kaspersky

http://latam.kaspersky.com/mx/Malware2013LatAm
 Ataques informático

“Un ataque informático consiste en aprovechar alguna

debilidad o falla (vulnerabilidad) en el software, en el
hardware, e incluso, en las personas que forman parte de un
ambiente informático; a fin de obtener un beneficio, por lo
general de índole económico, causando un efecto negativo
en la seguridad del sistema, que luego repercute
directamente en los activos de la organización”. (Evil Fingers)
 Seguridad en nuestro mundo

Pero si nunca paso nada!!.

Esto no real.

La empresa no sabe que tiene.

http://www.elespectador.com/tecnologia/colombia-lidera-lista-de-ataques-informaticos-paises-de-articulo-523201
Saturación de SYN
Denegación de servicio Distribuida
¿Que podemos hacer?
 Políticas de seguridad
Una política es un conjunto de principios que guían los procesos de
toma de decisiones y permiten que los líderes de una organización
distribuyan la autoridad con confianza.

Una política de seguridad debe cumplir los siguientes objetivos:

• Informar a los usuarios, al personal y a los gerentes acerca de
los requisitos obligatorios para proteger los bienes de tecnología
e información
• Especificar los mecanismos a través de los cuales se pueden
cumplir estos requisitos
• Proporcionar una línea de base a partir de la que se pueda
adquirir, configurar y auditar redes y sistemas informáticos para
que cumplan la política
 Medidas de seguridad lógicas

RAID
Autenticación (LDAP, Radius, kerberos)
RSA, SHA, DES, 3DES, MD5
Spanning-tree, Ethernet Channel, HSRP,
Port-security
VPN, IPSec, SSH.
ACL, Firewall, IDS.
Antivirus, Parches SO.
https://www.ietf.org/rfc/rfc2196.txt
Opciones de tratamiento de riesgo

Evitar
CONTROL DEL RIESGO Prevenir
Proteger

Aceptar
FINANCIAMIENTO DEL RIESGO

Transferir
 Control
Medida para el tratamiento del riesgo, incluyendo, políticas,
procedimientos, normas, prácticas o estructuras
organizacionales, las cuales pueden ser administrativas,
técnicas, de gestión o legal. (ISO 27000)

Tipos de controles
•Preventivos: Permiten mitigar la probabilidad o posibilidad de
ocurrencia de un evento.
•Detectivos: Detectan la ocurrencia de un evento.
•Correctivos: Permiten mitigar el impacto de un evento.
(De protección)

Tomado de: McAffe Labs informe agosto de 2015

Sistema de Gestión de Seguridad de la
información
El Sistema de Gestión de Seguridad de la información
(SGSI) hace parte del sistema gerencial de una
organización. Se basa en la metodología de riesgos del
negocio para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información.
Certificación en Seguridad de la Información
Nuevas tendencias
Privacidad
Bienvenidos