Piratas informticos robaron informacin confidencial de los ordenadores de Obama

La Casa Blanca, asaltada por 'piratas' informticos chinos

Aumentan las prdidas de datos confidenciales Troyano 'indetectable' roba 500,000 cuentas bancarias virtual

 Accin contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete

Robo
Delito que se comete apoderndose con nimo de lucro de una cosa mueble ajena, emplendose violencia o intimidacin sobre las personas, o fuerza en las cosas

Fraude

FRAUDE INFORMTICO

Cualquier cambio no autorizado y malicioso de datos o informaciones contenidos en un sistema informtico

Delito contra el patrimonio, consistente en el apoderamiento de bienes ajenos usando sistemas ROBO informticos INFORMTICO

Segn el tipo de persona:

Personal interno Ex-empleados Timadores Vndalos Mercenarios Curiosos

Segn el objetivo del ataque:

Dinero Informacin confidencial Beneficios personales Dao Accidente

Ataques organizativos

Hackers

Datos restringidos

Ataques automatizados

Infracciones accidentales de la seguridad

DoS Errores de conexin

Denegacin de servicio (DoS)

Virus, caballos de Troya y gusanos

Software malintencionado o malware (malicious software): trmino para designar un programa informtico que provoca de forma intencionada una accin daina para el sistema y/o usuario.
Tipos de malware

Definicin clsica Virus Gusanos Troyanos Bombas lgicas

evolucin

Ampliacin Spyware Backdoors Keyloggers Dialers RootKits Exploits

Spyware: recolecta y enva informacin privada sin el consentimiento y/o conocimiento del usuario. Dialer: realiza una llamada a travs de mdem o RDSI para conectar a Internet utilizando nmeros de tarificacin adicional sin conocimiento del usuario Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseas.. Adware: muestra anuncios o abre pginas webs no solicitadas. Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificacin legtima. Exploit, Scanners, Rootkits, etc

El arte o ciencia de hacer que la gente haga lo que queremos (GENERAR CONFIANZA) Es la forma de fraude informtico ms alto El deseo natural del hombre de ayudar lo hace vulnerable

Envo de mensajes electrnicos que fingen ser notificaciones oficiales con el fin de obtener informacin personal de los usuarios para hacerse pasar por ellos en diversas operaciones on line

Nueva modalidad: Phishing por telfono o SMS

Phisher se prepara para atacar

Phisher utiliza la informacin para suplantar a vctima

Phisher enva mail fraudulento a victimas

Vctima sigue indicaciones de phisher Vctima compromete informacin confidencial

Informacin confidencial es enviada al Phisher

Prdida de ingresos Dao a la confianza de los inversionistas Dao a la confianza de los clientes

Reputacin daada Prdida de datos o riesgo de los mismos Interrupcin de los procesos empresariales

Consecuencias legales

Aumentar la deteccin de riesgo de un agresor Reduce la posibilidad de xito de un agresor

Datos Aplicacin Host Red interna Permetro Seguridad fsica Polticas, procedimientos y conciencia
Encriptacin
Seguridad de programas y servicios Fortalecer el sistema operativo, autenticacin Marketing, Ventas, Finanzas, encriptar datos de red Oficina principal, oficina sucursal, socio de negocios. Firewall Protecciones, seguros, dispositivos de seguimiento

Documentos de seguridad, educacin del usuario

ATAQUE ACTIVO:
Accede a los archivos y hace que no funciones los programas, el ordenador, cambia el contenido de la informacin en la BD.

ATAQUE PASIVO: No alteran el funcionamiento del ordenador ni los archivos solo se limitan a obtener informacin.

Empresas en el mundo dedicadas a la Seguridad informtica

 ISO/IEC

17799 (tambin ISO 27002) es un estndar para la seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000 por International Organization for Standardization (ISO) y por la Comisin Electrotcnica Internacional(IEC) en el ao 2000. un periodo de revisin y actualizacin de los contenidos del estndar se public en el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005.

Tras

 ISO/IEC

17799 proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin.

 La

seguridad de la Informacin se define en el estndar como:

preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin).

"la

 Este

estndar contiene 11 clusulas de control de seguridad conteniendo colectivamente un total de 39 categoras de seguridad principales y una clusula introductoria que presenta la evaluacin y tratamiento del riesgo.

CLAUSULAS 1) Poltica de Seguridad 2) Organizacin de la Seguridad de la Informacin 3) Gestin de Activos 4) Seguridad de Recursos Humanos 5) Seguridad Fsica y Ambiental 6) Gestin de Comunicaciones y Operaciones 7) Control de Acceso 8) Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin 9) Gestin de Incidentes de Seguridad de la Informacin 10) Gestin de la Continuidad Comercial 11) Conformidad

 En

Per la ISO/IEC 17799 es de uso obligatorio en todas las instituciones pblicas desde agosto del 2004, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisin de su cumplimiento esta a cargo de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI

 La

Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI), se encarga de liderar los proyectos, la normatividad, y las diversas actividades que en materia de Gobierno Electrnico realiza el Estado. Entre sus actividades es brindar asesora tcnica e informtica a las entidades pblicas, as como, ofrecer capacitacin y difusin en temas de Gobierno Electrnico.

 Con

fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin en entidades del Sistema Nacional de Informtica.
Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.

Se

 La

NTP-ISO 17799 es una compilacin de recomendaciones para las prcticas exitosas de seguridad, que toda organizacin puede aplicar independientemente de su tamao o sector.
NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solucin de seguridad de acuerdo a sus necesidades.

La

CLAUSULAS
1) 2) 3) 4) 5) 6) 7) 8)

9)
10) 11)

Poltica de seguridad Organizando la seguridad de informacin Gestin de activos Seguridad en recursos humanos Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de sistemas de informacin Gestin de incidentes de los sistemas de informacin Gestin de la continuidad del negocio Cumplimiento

Se

necesita una poltica que refleje las expectativas de la organizacin en materia de seguridad, a fin de suministrar administracin con direccin y soporte. La poltica tambin se puede utilizar como base para el estudio y evaluacin en curso.

Sugiere disear una estructura administracin dentro organizacin, que establezca responsabilidad de los grupos ciertas reas de la seguridad y proceso para el manejo respuesta a incidentes.

de la la en un de

Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin.

Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

Responde a la necesidad proteger las reas, el equipo.

de

Los objetivos de esta seccin son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin. Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.

Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos.

Recuerda que en toda labor de la tecnologa de la informacin, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera que permitan una accin correctiva a tiempo.

Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre.

Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.