You are on page 1of 42

MSc. Ing.

Victor Hugo Raa Cabello

El riesgo informtico es la posibilidad de


que una amenaza se produzca, dando lugar
a un ataque al equipo/sistema.

Esto no es otra cosa que la probabilidad de


que ocurra el ataque por parte de la
amenaza.

CONTROL DE ACCESO

DEFINIENDO:

El control de acceso consiste en la verificacin de si una


entidad (una persona, ordenador, etc...) solicitando acceso
a un recurso tiene los derechos necesarios para hacerlo.
Un control de acceso ofrece la posibilidad de acceder a
recursos fsicos (por ejemplo, a un edificio, a seccin
determinada) o lgicos (por ejemplo, a un sistema
operativo o a una aplicacin informtica especfica, BD,
etc).

CONTROL DE ACCESO

Seguridad Fsica:

Se refiere a proteger el sitio donde se encuentra la


computadora, su equipo y software a travs de medios
fsicos.
Acceso controlado a las salas de cmputo:
Cdigos de acceso (biometra, cdigo de barras,
etc.)
Control de acceso (Registro manual)
Supervisin (Circuito cerrado )
Almacn de datos en lugares seguros.
A prueba de fuego.
A prueba de agua.

CONTROL DE ACCESO

Seguridad Fsica:
Garantizar
el
ininterrumpido.

suministro

de

energa

elctrica

Alarmas que notifican situaciones de fuego, inundacin o


intrusin deben estar funcionando en todo momento.

El analista debe tomar las decisiones acerca de la


seguridad fsica cuando est planeando las instalaciones
de cmputo y la compra de equipo.

CONTROL DE ACCESO

Seguridad Lgica:

Se refiere a los controles lgicos dentro del mismo


software.
Los controles lgicos ms familiares para la mayora de los
usuarios son contraseas y cdigos de autorizacin
de algn tipo. Cuando son usados permiten que el usuario
con la contrasea correcta entre al sistema o a una parte
particular de este.

CONTROL DE ACCESO

Seguridad Lgica:
Sin
embargo,
las
contraseas
son
tratadas
desdeosamente o de manera descuidada en muchas
organizaciones:
Los empleados gritan una contrasea dentro de las
oficinas

Escriben las contraseas en papeles pegados a sus


terminales
Comparten contraseas personales con empleados
autorizados que han olvidado la suya.

CONTROL DE ACCESO

Los controles lgicos y fsicos son importantes,


pero claramente no son suficientes para
proporcionar una seguridad adecuada. Tambin se
necesitan cambios de comportamiento
Entonces

CONTROL DE ACCESO

Seguridad Conductual:
Las expectativas de comportamiento de una organizacin
estn codificadas en sus manuales de poltica y hasta en
signos puestos en tableros de noticias.
Pero el comportamiento que tienen internamente los
miembros de la organizacin tambin es critico para el
xito de los esfuerzos de seguridad.
Los firewall fallan cuando los ataques son internos.

CONTROL DE ACCESO

Seguridad Conductual:
Puede comenzar por investigar a los empleados que
eventualmente tendrn acceso a las computadoras,
datos e informacin, para asegurarse de que sus
intereses sean consistentes con los de la organizacin y
que comprenden completamente la importancia de llevar
a cabo procedimientos de seguridad.

Las polticas que se refieren a seguridad deben ser


escritas, distribuidas y actualizadas para que los
empleados estn totalmente conscientes de las
expectativas y responsabilidades.

CONTROL DE ACCESO

Seguridad Conductual:
Registrar la cantidad de intentos de registro no
satisfactorios de los usuarios es una forma de
monitorear si usuarios no autorizados estn tratando de
registrarse en el sistema.
Se recomienda el inventario peridico y frecuente de
equipo y software.
Se deben examinar sesiones extraamente largas o el
acceso despus de horas de trabajo no tpico al sistema.
Los empleados deben entender lo que se espera
claramente de ellos, lo que se prohbe y la magnitud de
sus derechos y responsabilidades.

CONTROL DE ACCESO

El control de
componentes:

acceso

generalmente

incluye

tres

Un mecanismo de autenticacin de la entidad (por


ejemplo, contrasea, una clave, una biomtrica, ...).
Este mecanismo no es til en s mismo, pero es esencial
para el funcionamiento de los dos siguientes:
Un mecanismo de autorizacin (la entidad puede
ser autenticada, pero no tiene el derecho a acceder a
este recurso en un momento dado).

CONTROL DE ACCESO

Un mecanismo de trazabilidad: a veces el


mecanismo de autorizacin puede ser insuficiente para
garantizar que la entidad tiene el derecho de acceso a
ese recurso en ese sentido; Tambin sirve si se desea
identificar a posteriori al responsable de una accin.

CONTROL DE ACCESO
En el mbito de la seguridad de la informacin, AAA
(Autenticacin, Autorizacin y Auditora) es un modelo lder
para el control de acceso.
En l, la Autenticacin es el proceso de identificacin del
individuo, usualmente basado en un nombre de usuario y una
contrasea. Despus de que un usuario es autenticado, l o ella
pueden acceder a los recursos con base en su autorizacin.
La Autorizacin es el proceso de dar a los individuos acceso a los
objetos del sistema basndose en su identidad.

Finalmente, Auditora es el proceso de mantener un registro de la


actividad de un usuario mientras se encuentra usando los recursos,
incluyendo la cantidad de tiempo, los servicios a los que accede
mientras tanto y la cantidad de datos transferidos durante cada
sesin.

CONTROL DE ACCESO

Para la Autenticacin
nos basamos en:

AUTENTICACIN MEDIANTE ALGO QUE SE SABE


Contraseas:
Tanto para equipos de cmputo individuales como para
redes enteras, el mtodo ms comn de autenticacin es la
contrasea. Una contrasea es una serie secreta de
caracteres que habilita a un usuario a tener acceso a un
archivo especfico, equipo de cmputo o programa.
PIN: (Numero de Identificacin Personal)
Es una contrasea numrica secreta compartida entre un
usuario y un sistema que puede ser usado para autenticar al
usuario en el sistema. Debido a que estos consisten
solamente de dgitos y son relativamente cortos
(usualmente cuatro dgitos), los PIN son usados slo en
casos de baja seguridad, tales como obtener acceso a un
sistema, o en combinacin con otros mtodos de
autenticacin.

CONTROL DE ACCESO

Para la Autenticacin
nos basamos en:

AUTENTICACIN POR MEDIO DE ALGO QUE SE POSEE

Certificado Digital
Es un documento electrnico que contiene una identidad,
tal como un nombre de usuario o de organizacin, junto
con una clave pblica correspondiente.
Debido a que un certificado digital es usado para probar la
identidad de una persona, puede tambin ser usado para el
proceso de autenticacin. Se puede comparar al certificado
digital con una licencia de conducir o pasaporte que
contiene su fotografa y su huella digital de forma que no
hay duda de quin es el usuario.

CONTROL DE ACCESO

Para la Autenticacin
nos basamos en:

AUTENTICACIN POR MEDIO DE ALGO QUE SE POSEE

Tarjeta Inteligente:
Es una tarjeta de bolsillo con circuitos integrados incorporados
que consta de componentes de almacenamiento de memoria no
voltiles y una lgica de seguridad posiblemente dedicada. La
memoria no voltil es memoria que no olvida su contenido al
apagar el equipo. Este tipo de memoria puede contener
certificados digitales para probar la identidad de la persona que
porta la tarjeta, y puede tambin contener informacin de los
permisos y del acceso. Debido a que las tarjetas inteligentes
pueden ser robadas, algunas no tienen ninguna marca sobre
ellas; esto hace difcil a un ladrn identificar a qu da acceso la
tarjeta.

Adems, muchas organizaciones solicitan a los usuarios


proporcionar contraseas o PIN en combinacin con sus tarjetas
inteligentes.

CONTROL DE ACCESO

Para la Autenticacin
nos basamos en:

AUTENTICACIN POR MEDIO DE ALGO QUE SE POSEE

Token de Seguridad:
Es un dispositivo fsico proporcionado a un usuario autorizado de
un equipo de cmputo para facilitar su autenticacin. Los
aparatos tokens son generalmente pequeos para ser llevados en
el bolsillo y estn diseados para ir unidos a un llavero que
porta el usuario. Algunas de estos token incluyen un conector tipo
USB, funciones de interfaz inalmbrica Bluetooth para facilitar la
transferencia de una secuencia de nmeros clave generada para
un sistema cliente. Algunos pueden tambin incluir tecnologa
adicional, tal como una contrasea esttica o certificado digital
incorporado en el token de seguridad, de manera muy similar a
una tarjeta inteligente. Otros token de seguridad pueden
automticamente generar un segundo cdigo que los usuarios
deben ingresar para poder ser autenticados.

CONTROL DE ACCESO

Para la Autenticacin
nos basamos en:

AUTENTICACIN DEMOSTRANDO QUIEN SE ES

Biometra :
La Biometra es un mtodo de autenticacin que identifica y
reconoce personas con base en rasgos fsicos, tales como huellas
dactilares, reconocimiento de rostro, reconocimiento de iris,
escaneo de retina y reconocimiento de voz.
Muchos equipos de cmputo porttiles incluyen un escner
dactilar, y es relativamente fcil instalar dispositivos biomtricos
sobre las puertas y gabinetes para verificar que slo personas
autorizadas entren a reas de seguridad.

CONTROL DE ACCESO

Factores
que
se
consideran fuentes de
amenazas

Fuente de extraccin: Seguridad Fsica Lgica MSc. Ing. Franz Troche A.

Suelen ser de muy rpida propagacin y siempre se basan en


alguna vulnerabilidad de algn sistema.
El 75% de los ataques tienen como teln de fondo
tcnicas de Buffer Overflow

Password cracking

Keylogging

Desactualizacin
Violacin de contraseas
Puertos Vulnerables Abiertos
Interrupcin de los servicios
Intercepcin y modificacin y violacin de e-mails
Incumplimiento de leyes y regulaciones
Robo o extravio de notebooks
empleados deshonestos
Robo de informacin
Destruccin de soportes documentales
Acceso clandestino a redes
Intercepcin de comunicaciones voz y wireless
Programas bomba, troyanos
Acceso indebido a documentos impresos
Propiedad de la informacin
Agujeros de seguridad de redes conectadas
Falsificacin de informacin para terceros
Indisponibilidad de informacin clave

No va a pasar nada!!
Pero si nunca paso nada!!.
Esto no es real.
Lo que sucede es que hoy sabemos muy poco.

La empresa necesita contar con informacin


sobre la cual tomar decisiones a los efectos de
establecer controles necesarios y eficaces.

Inadecuado compromiso de la direccin.


Personal
inadecuadamente
concientizado.

capacitado

Inadecuada asignacin de responsabilidades.


Ausencia de polticas/ procedimientos.
Ausencia de controles
fsicos/lgicos
disuasivos/preventivos/detectivos/correctivos
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado
controles.

seguimiento

monitoreo

de

los

Son ataques en los que se intenta engaar a algn usuario para


hacerle creer como cierto, algo que no lo es.

Buenos das, es la secretaria del Director del


Departamento?
Si dgame, que desea?
Soy Pedro, tcnico informtico del Centro de Apoyo a
Usuarios y me han avisado para reparar un virus del
ordenador del director pero la clave que me han
indicado para entrar no es correcta, podra ayudarme,
por favor?

Otros ataques de este tipo son:

SPAM
Baiting
Cajeros automticos
ETC.

Phishing

Entre 2011 y 2014, los ataques aumentaron; los blancos


Sitios WEB del gobierno
FF.AA. Naval

YPFB - Refinacin
- Cambios de portada
- Msica y mensajes anti gobierno
- Finalidad desprestigiar
Las investigaciones dijeron que fueron Bolivianos

Fuente:

- Israel Rosales (Especialista en seguridad de la informacin CISSP) Bolivia


COSIN-TI: Organizadora del congreso internacional de profesionales de la
seguridad de la informacin SANTA CRUZ BOLIVIA 2016

"Para atrapar a un intruso,


primero debes pensar como
intruso"

El objetivo fundamental del Ethical Hacking (hackeo tico)


es explotar las vulnerabilidades existentes en el sistema de
"inters" valindose de test de intrusin, que verifican y
evalan la seguridad fsica y lgica de los sistemas de
informacin, redes de computadoras, aplicaciones web,
bases de datos, servidores, etc. Con la intencin de ganar
acceso y "demostrar" que un sistema es vulnerable, esta
informacin es de gran ayuda a las organizaciones al
momento de tomar las medidas preventivas en contra de
posibles ataques malintencionados.

Dicho lo anterior, el servicio de Ethical Hacking


consiste en la simulacin de posibles escenarios
donde se reproducen ataques de manera
controlada, as como actividades propias de los
delincuentes cibernticos.

Buscados y reconocidos en Bolivia desde 2013

Auditoria Informtica VS. Seguridad Informtica

Auditoria Informtica Vs.


Seguridad Informtica

Qu es un SGSI?

SGSI es la abreviatura utilizada para referirse a un Sistema de


Gestin de la Seguridad de la Informacin. ISMS es el concepto
equivalente en idioma ingls, siglas de Information Security

Management System

El SGSI es el concepto central sobre el que se construye ISO


27001.
La gestin de la seguridad
de la informacin debe
realizarse mediante un
proceso
sistemtico,
documentado y conocido
por toda la organizacin.

Auditoria Informtica Vs.


Seguridad Informtica

Qu es un SGSI?

Se Basa en:
Se Construye:
INFRAESTRUCTURA
DE
LA SEGURIDAD
DE LA
INFORMACION

Auditoria Informtica Vs.


Seguridad Informtica

Para que sirve un SGSI?

El Sistema de Gestin de la Seguridad de la Informacin


(SGSI) ayuda a establecer polticas y procedimientos
en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de
exposicin siempre menor al nivel de riesgo que la propia
organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que
est sometida su informacin y los asume, minimiza,
transfiere o controla mediante una sistemtica definida,
documentacin conocida por todos, que se revisa y mejora
constantemente.

Auditoria Informtica Vs.


Seguridad Informtica

Para que sirve un SGSI?

Auditoria Informtica Vs.


Seguridad Informtica

Qu incluye un SGSI?

Auditoria Informtica Vs.


Seguridad Informtica

Qu incluye un SGSI?

Nivel 1: Manual de seguridad


Por analoga con el manual de calidad, aunque el trmino
se usa tambin en otros mbitos. Sera el documento
que inspira y dirige todo el sistema, el que expone y
determina
las
intenciones,
alcance,
objetivos,
responsabilidades, polticas y directrices principales,
etc., del SGSI.

Nivel 2: Procedimientos
Documentos en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificacin, operacin
y control de los procesos de seguridad de la
informacin.

Auditoria Informtica Vs.


Seguridad Informtica

Qu incluye un SGSI?

Nivel 3: Instrucciones, checklists y formularios


Documentos que describen cmo se realizan las
tareas y las actividades especficas relacionadas con la
seguridad de la informacin
Nivel 4:Registros
Documentos que proporcionan una evidencia objetiva
del cumplimiento de los requisitos del SGSI; estn
asociados a documentos de los otros tres niveles como
output que demuestra que se ha cumplido lo indicado en
los mismos

Auditoria Informtica Vs.


Seguridad Informtica

Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la


seguridad de la Informacin en base a ISO 27001, se utiliza el
ciclo continuo PDCA, tradicional en los sistemas de gestin de la
calidad.

Auditoria Informtica Vs.


Seguridad Informtica

Qu tareas tiene la Gerencia en un SGSI?


Compromiso de la Direccin

Establecer una poltica de seguridad de la informacin.


Asegurarse de que se establecen objetivos y planes del SGSI.
Establecer roles y responsabilidades de seguridad de la
informacin.
Comunicar a la organizacin tanto la importancia de lograr los
objetivos de seguridad de la informacin y de cumplir con la
poltica de seguridad, como sus responsabilidades legales y la
necesidad de mejora continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus
correspondientes niveles.
Asegurar que se realizan auditoras internas.
Realizar revisiones del SGSI, como se detalla ms adelante

Auditoria Informtica Vs.


Seguridad Informtica

Qu tareas tiene la Gerencia en un SGSI?


Asignacin de Recursos

Establecer, implementar, operar, monitorizar, revisar, mantener y


mejorar el SGSI.
Garantizar que los procedimientos de seguridad de la
informacin apoyan los requerimientos de negocio.
Identificar y tratar todos los requerimientos legales y
normativos, as como las obligaciones contractuales de
seguridad.
Aplicar correctamente todos los controles implementados,
manteniendo de esa forma la seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar
adecuadamente segn los resultados de las mismas.
Mejorar la eficacia del SGSI donde sea necesario

Auditoria Informtica Vs.


Seguridad Informtica

Qu tareas tiene la Gerencia en un SGSI?


Formacin & Concienciacin

Determinar las competencias necesarias para el personal que


realiza tareas en aplicacin del SGSI.
Satisfacer dichas necesidades por medio de formacin o de
otras acciones como, p. ej., contratacin de personal ya
formado.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin,
experiencia y cualificacin

habilidades,

Auditoria Informtica Vs.


Seguridad Informtica

Qu tareas tiene la Gerencia en un SGSI?


Revisin del SGSI

Resultados de auditoras y revisiones del SGSI.


Observaciones de todas las partes interesadas.
Tcnicas, productos o procedimientos que pudieran ser tiles
para mejorar el rendimiento y eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y
correctivas.
Vulnerabilidades o amenazas que no fueran tratadas
adecuadamente en evaluaciones de riesgos anteriores.
Resultados de las mediciones de eficacia.
Estado de las acciones iniciadas a raz de revisiones anteriores
de la direccin.
Cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora