Information Security

Ethical Hacking & Computer Forensics

ZL-SSC Certifications:

Consultor en Seguridad e Inteligencia Corporativa

ZL SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing Butty 240, 4 Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar

Delitos Informticos

Delitos Informticos
Concepto
El delito informtico puede comprender tanto aquellas conductas que valindose de medios informticos lesionan intereses protegidos como la intimidad, el patrimonio econmico, la fe pblica, la seguridad, etc., como aquellas que recaen sobre herramientas informticas propiamente dichas tales como programas, computadoras, etc.

Principales Amenazas
Existen cuatro tipos bsicos.

1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informticos.

2. Delitos de fraude informtico.

3. Delitos por su contenido.

4. Delitos relacionados con la infraccin de la propiedad intelectual.

Quienes pueden atacar?

80% Novatos
12% Intermedio 5% Avanzados

3% Profesionales

A quienes afectan los delitos informticos

Las empresas utilizan sistemas de informacin llegando a ser inevitablemente dependientes de ellos, ya que la mayor parte de sus datos estn almacenados en los equipos informticos. Cualquier problema en los sistemas de informacin repercute instantneamente en la totalidad de la empresa y afecta al funcionamiento normal.
Un tercio de los usuarios utiliza contraseas como el nombre de su mascota, su hijo o un plato favorito. Cualquiera de ellas es fcil de adivinar en cuestin de minutos y cada vez ms virus se valen de esta debilidad de los usuarios. (el virus "Deloder", que logr ingresar en ms de 10.000 sistemas en el mundo a partir de una serie de listas con contraseas). Las amenazas pueden surgir tanto desde el exterior como desde el interior de la compaa: virus, hackers, los propios empleados, etc.

Como afectan los delitos informticos

Vulnerabilidades mas comunes

Vulnerabilidades Hack Passwords Ejemplos Uso de passwords default o en blanco Passwords predecibles

Configuracin Incorrecta
Ingeniera Social

Usuarios con privilegios excesivos Aplicaciones corriendo sin autorizacin

Administradores que resetean passwords sin verificar la identidad del llamado Servicios no usados y puertos inseguros Firewalls y Routers usados incorrectamente Paquetes de autenticacin en texto plano Datos importantes sin encriptar va Internet Service Packs no mantenidos Antivirus sin actualizar

Seguridad Dbil
Transferencia de datos sin encriptar Software sin parche de seguridad

Ataque paso a paso

INTRUSO Estado del ataque 1-Bsqueda de Ingreso 2-Penetracin Ejemplo de Acciones Correr un scanner de puertos Explorar un sistema sin parches de seguridad

3-Elevacin de Privilegios
4-Ataque en si mismo 5-Enmascaramiento

Lograr cuenta de Administrador

Robo de datos, destruccin del sitio web, etc. Borrado de rastros del ingreso y ataque

Tcnicas de Ataque
Footprinting
El uso de herramientas y de la informacin para crear un perfil completo de la postura de la seguridad de una organizacin. El atacante usa herramientas y la informacin obtenida para determinar qu sistemas estas vivos y accesibles desde Internet as como qu puertos estn escuchando en el sistema. Uso de herramientas para obtener la informacin detallada (servicios ejecutndose, cuentas de usuario, miembros de un dominio, polticas de cuentas, etc.) sobre un sistema remoto, con el intento de atacar la seguridad de cuentas y servicios en el objetivo

Scanning

Enumeration

Tcnicas de Ataque
Port Redirection
Despus que el atacante tiene identificado y accede al trafico del firewall que puede permitir trfico de entrada de un puerto origen 53, procurar instalar un software Port Redirector en el equipo dentro del firewall. El Port Redirector tomar el trfico entrante destinado para un puerto (53) y lo enviar a otro equipo detrs del firewall en otro puerto (3389). Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer los passwords de los archivos. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos, el hacker podra utilizar l0phtcrack y extraer los usuarios y passwords exactos.

Gaining Access

Tcnicas de Ataque
Un hacker puede causar la mayora del dao consiguiendo privilegios administrativos en una red. Privilege Escalation Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest.

Remote Administration Tools

Eso permite que un usuario remoto realice cualquier accin remotamente va un puerto a su eleccin sin un usuario local del sistema que lo habilite. Ejemplo: Sub7 es el ms popular / NT Rootkit es el ms avanzado

Footprinting El servicio WHOIS

El servicio WHOIS es uno de los tantos servicios de informacin disponible en Internet.
Con l se puede obtener informacin sobre direcciones IP y nombres de dominio, por lo que es muy utilizado por los atacantes para obtener informacin a la hora de planificar un ataque. Existen numerosos servidores whois ya que los registros de dominios estn descentralizados, pero usualmente existe al menos uno por cada cdigo de pas. (.ar, .ru, .es, etc.)

Footprinting El servicio WHOIS

En el caso de los .com, .org, .edu (gTLDs- Generic Top Level Domains), la informacin est disponible en los servidores de las distintas entidades registrante. El registro de las IP es mantenido por el servidor ARIN (American Registry of Internet Numbers) para las asignadas a EEUU y Canad; el Servidor LACNIC (Latin America and Caribean Network Information Center) para las de Amrica Latina y el Caribe y el servidor RIPE NCC (Resaux IP Europens Network Cordination Centre) para las europeas.

Footprinting El servicio WHOIS

ACCEDIENDO AL SERVICIO: Para acceder al servicio whois solo hace falta la herramienta telnet y su nica funcin ser la de establecer una conexin TCP mediante el puerto 43 con el servidor del que se va a requerir la informacin. Usando el comando $ telnet servidorwhois 43 se crear la conexin entre nuestro sistema y el servidor whois

Footprinting El servicio WHOIS

$ telnet whois.crsnic.net 43 trying 198.41.3.54 connected to whois. crsnic.net. Escape character is '^]'. domain google.com Whois Server Version 1.3

Peticin realizada sobre google.com

Domain names in the .com and .net domainscan now be registered with many different competing registars. Go to http://www.internic.net for detailed information. Domain Name: GOOGLE.COM Registrar: ALLDOMAINS.COM INC. Whois Server: whois.alldomains.com Referral URL: http://www.alldomains.com Name Server: NS2.GOOGLE.COM Name Server: NS1.GOOGLE.COM Name Server: NS3.GOOGLE.COM Name Server: NS4.GOOGLE.COM Status: REGISTRAR-LOCK Updated Date: 03-oct-2002 Creation Date: 15-set-1997 Expiration Date: 14-set-2011

>>> Last update of whois database: Sun, 9 Jul 2006 16:16:02 EDT <<< The Registri database contains ONLY .COM, .NET, .EDU domains and Registrars. Connection closed by foreing host.

Footprinting El servicio WHOIS

$ telnet whois.alldomains.com 43 trying 64.124.14.21... connected to whois.alldomains.com. Escape character is '^]'. Google.com Administrative Contact: DNS Admin (NIC-1340142) Google Inc. 2400 E. Bayshore Pkwy Mountain View CA 94043 US dns-admin@google.com +1.6503300100 Fax- +1.6506181499 Tecnical Contact, Zone Contact: DNS Admin (NIC-1340144) Google Inc. 2400 E. Bayshore Pkwy Mountain View CA 94043 US dns-admin@google.com +1.6503300100 Fax- +1.6506181499 Created on .............................: 1997-Set-15 Expires on .............................: 2011-Set-14 Record last updated on .......: 2003-Apr-07 10:42:46

Peticin realizada sobre google.com enviada a whois.alldomains.com

Connection closed by foreing host.

Footprinting El servicio WHOIS

Peticin realizada sobre una IP enviada a whois.lacnic.net

Footprinting El servicio WHOIS

Otras forma de acceder al servicio whois es mediante la interfaz que brindan sitios en Internet.

Footprinting El servicio WHOIS

Fraudes
Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin de datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias indebidas. Omitir ingresar datos verdaderos

manipulacin del input

Ingresar datos falsos
interferir en el procesamiento de la informacin alterar el programa modificar los programas originales

manipulacin del output

adicionar programas especiales

Fraude Corporativo
Se calcula que las empresas pierden entre el 5% y 6% de sus ingresos brutos a causa de los fraudes corporativos.
Los mayores perjuicios son consecuencia de los delitos cometidos a nivel gerencial.

Menos del 10% de los casos son denunciados a la justicia.

Las compaas optan por deshacerse del empleado infiel buscando una solucin puertas adentro, lo que implica, muchas veces, el pago de una jugosa indemnizacin. La defraudacin es el delito mas extendido dentro de las empresas.

Fraude Corporativo
En la Argentina las prdidas ascendieron a U$S 2,7 millones en los ltimos dos aos. En Latinoamrica 9 de cada 10 empresas padecen malversacin de fondos.

Siguiendo un orden jerrquico los delitos se agravan a medida que se asciende en la estructura de una corporacin.
Actualmente se recupera menos del 20% de la prdida, mientras que el 40% de las empresas no recupera nada.

Fraude Corporativo
Los fraudes cometidos por ejecutivos causan prdidas 6 veces mayores que los cometidos por supervisores y 14 veces mas altas que las cometidas por otros empleados. El 60% de los casos de fraude proviene de empleados, el 20% de los clientes y el 16% de vendedores o representantes. Mas del 50% de los fraudes se descubren por denuncias annimas. Para prevenirse deben utilizarse procedimientos de anlisis y verificacin no tradicionales ni rutinarios, para evitar que el defraudador, ya prevenido, de los controles pueda borrar las huellas detectables.

Top Five de las Ciberestafas

Fraude en sitios de Solos y Solas
El engao consiste en enamorar por e-mail a un hombre, en la mayora de los casos mayor y con la excusa de querer conocerlo le hacen que pague los gastos ocasionados por el viaje, regalos, traductores, etc. y por supuesto la supuesta novia por correo nunca aparece.
Se le ofrece a una empresa realizar exportaciones de gran volumen a Nigeria, para poder lograrlo debe abonar previamente tasas aduaneras, impuestos, etc. Las ofertas se realizan desde E-Mail gratuitos de Europa.

Inversiones en Nigeria

Top Five de las Ciberestafas

Las subastas
Algunos mercados virtuales ofrecen una amplia seleccin de productos a precios muy bajos. Una vez que el consumidor ha enviado el dinero puede ocurrir que reciban algo con menor valor de lo que crea, o peor todava, que no reciba nada.

Pginas para adultos

En algunos sitios para adultos, se pide el nmero de la tarjeta de crdito con la excusa de comprobar que el usuario es mayor de 18 aos. El verdadero objetivo es obtener los nmeros de tarjeta para realizar otras operaciones.

Top Five de las Ciberestafas

Manual para Hackear Hotmail
Se le ofrece un sistema infalible para obtener el password de una cuenta de hotmail enviando un mail a una cuenta forgot_pass@hotmail.com, colocando en el subject la direccin de correo a hackear y el nombre de usuario y password propio.

Algunas otras Ciberestafas

Ventas piramidales - Viajes y vacaciones Gay - Trabaje desde su casa - Productos y servicios milagrosos - Venta de pasajes de avin Bancos Falsos en Internet Venta y Alquiler de propiedad.

Otros Delitos Informticos

Delitos informticos contra la privacidad
Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas informticos
Esto es que alguien, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o soportes informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o registro pblico o privado.

Ej: Base de Datos A.N.Se.S. Veraz Padrones

Otros Delitos Informticos

Intercepcin de e-mail: En este caso es equiparable a la violacin de correspondencia, y la intercepcin de telecomunicaciones, por lo que la lectura de un mensaje electrnico ajeno reviste la misma gravedad.
Terrorismo: Mensajes annimos aprovechados por grupos terroristas para remitirse consignas y planes de actuacin a nivel internacional. Crimen Organizado Transnacional: para la coordinacin de
Trfico de drogas Trfico de armas Trfico de personas Lavado de dinero Trfico de tecnologa y material nuclear, qumico y bacteriolgico

Otros Delitos Informticos

Espionaje: Se ha dado casos de acceso no autorizado a sistemas informticos gubernamentales e interceptacin de correo electrnico secreto, entre otros actos que podran ser calificados de espionaje si el destinatario final de esa informacin fuese un gobierno u organizacin extranjera.

Espionaje industrial: Tambin se han dado casos de accesos no autorizados a sistemas informticos de grandes compaas, usurpando diseos industriales, frmulas, sistemas de fabricacin y know how estratgico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgacin no autorizada.

Seguridad de la Informacin
NORMA IRAM-ISO IEC 17799

Seguridad de la Informacin
La informacin es un recurso de valor estratgico para las empresas y como tal debe ser debidamente protegida.
Las polticas de seguridad de la informacin protegen de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de informacin, minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos. Es importante que los principios de la poltica de seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las mximas autoridades de la compaa para la difusin y consolidacin de las polticas de seguridad.

Beneficios de implementar polticas de seguridad de la informacin

Consolidacin de la seguridad como tema estratgico.

Planeamiento y manejo de la seguridad ms efectivos.

Mayor seguridad en el ambiente informtico y mejor reaccin ante incidentes.

Minimizacin de los riesgos inherentes a la seguridad de la informacin.

Cuantificacin de los posibles daos por ataques a la seguridad de la informacin.

Beneficios de implementar polticas de seguridad de la informacin

Orden en el trabajo bajo un marco normativo que evita la duplicacin de tareas y facilita el intercambio de informacin.
Concientizacin global sobre la importancia de la seguridad de la informacin. Mejora de la imagen. Aumento de la confianza de terceros.

Mayor control de la informacin proporcionada a terceros.

Auditoras de seguridad ms precisas y confiables.

Por qu basarse en la norma ISO/IRAM 17799?

Aumento de los niveles de seguridad en las organizaciones Planificacin de actividades Mejora continua Posicionamiento estratgico Cumplimiento de normativas y reglamentaciones Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones
El Instituto Argentino de Normalizacin (IRAM), ha homologado en nuestro pas la norma ISO 17799, como Norma ISO/IRAM 17799

Dos preguntas bsicas relacionadas a polticas de Seguridad de la Informacin

1. Cunto tiempo insume el desarrollo de una Poltica de Seguridad? 2. Es necesario incorporar personal especializado en seguridad de la informacin para cumplir con las definiciones en la materia?

Prejuicios a la hora de implementar polticas de seguridad de la informacin

1. La seguridad informtica no afecta mi actividad. 2. La seguridad es una incumbencia del rea informtica

3. La informacin que manejamos no es objeto de ataques

4. Mi red es segura porque se encuentra protegida de ataques externos

5. Tenemos seguridad pues en la ltima auditora no tuvimos observaciones crticas.

Prejuicios a la hora de implementar polticas de seguridad de la informacin

6. Tenemos un control absoluto de los incidentes de seguridad que ocurren en nuestra red. 7. El tiempo invertido en documentacin debe ser descontado de las tareas habituales del personal destinado a la elaboracin de la poltica. 8. Los recursos valiosos debern ser apartados de la lnea de fuego 9. Posibles conflictos polticos, comerciales o de relaciones humanas..

10. No disponemos de personal especializado.

Seguridad de la Informacin
OBJETIVO Proteger los recursos de informacin y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin.

Asegurar la implementacin de las medidas de seguridad, identificando los recursos, sin que ello implique necesariamente la asignacin de recursos adicionales.
Mantener la Poltica de Seguridad actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

Seguridad de la Informacin
RESPONSABILIDAD Todos el personal, tanto se trate de Directores, Gerentes o personal tcnico, etc. sea cual fuere su nivel jerrquico son responsables de la implementacin de las Poltica de Seguridad de la Informacin dentro de sus reas de responsabilidad, as como del cumplimiento por parte de su equipo de trabajo. La Poltica de Seguridad de la Informacin debe ser de aplicacin obligatoria para todo el personal, cualquiera sea el rea a la cual se encuentre afectado y el nivel de las tareas que desempee.

Seguridad de la Informacin
ASPECTOS GENERALES Organizacin de la Seguridad Orientado a administrar la seguridad
de la informacin y establecer un marco de control

Clasificacin y Control de Activos Destinado a mantener una

adecuada proteccin de los activos de Informacin.

Seguridad del Personal Orientado a reducir los riesgos de error

humano, comisin de ilcitos o uso inadecuado.

Seguridad Fsica y Ambiental Destinado a impedir accesos no

autorizados, daos e interferencia a las sedes y/o la informacin.

Seguridad de la Informacin
ASPECTOS GENERALES

Gestin de las Comunicaciones y las Operaciones Dirigido a

garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y medios de comunicacin.

Control de Acceso Orientado a controlar el acceso a la informacin.

Administracin de la Continuidad de las Actividades est

dirigido a contrarrestar las interrupciones de las actividades y proteger los procesos crticos.

Cumplimiento Destinado a impedir infracciones y violaciones de las

polticas y legislacin vigente.

Organizacin de las polticas de seguridad de la informacin

Revisar y proponer la poltica y las funciones generales en materia de seguridad de la informacin.

Monitorear cambios significativos en los riesgos frente a las amenazas ms importantes.

Supervisar la investigacin y monitoreo de los incidentes relativos a la seguridad. Acordar y aprobar iniciativas, metodologas y procesos especficos relativos a la seguridad de la informacin de acuerdo a las competencias asignadas a cada rea.

Organizacin de las polticas de seguridad de la informacin

Garantizar que la seguridad sea parte del proceso de planificacin de la informacin. Evaluar y coordinar la implementacin de controles especficos para nuevos sistemas o servicios. Coordinar el proceso de administracin de la continuidad de la operatoria de los sistemas de tratamiento de la informacin frente a interrupciones imprevistas.

Responsabilidad
Seguridad del Personal Seguridad Fsica y Ambiental.
Comit de Seguridad de la Informacin

Seguridad en las Comunicaciones y las Operaciones Control de Accesos Seguridad en el Desarrollo y Mantenimiento de Sistemas Planificacin de la Continuidad Operativa

Departamento Legal

Cumplimiento Sanciones

Clasificacin y Control de Activos

Se debe tener un acabado conocimiento sobre los activos que poseemos como parte importante de la administracin de riesgos. Algunos ejemplos de activos son: Activos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. Activos fsicos: equipamiento informtico (CPU, monitores, notebooks, mdems), equipos de comunicaciones (routers, mquinas de fax, contestadores automticos), medios magnticos (cintas, discos), otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.).

Clasificacin y Control de Activos

Los activos de informacin deben ser clasificados de acuerdo a la sensibilidad y criticidad de la informacin que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en funcin a ello, con el objeto de sealar cmo ha de ser tratada y protegida dicha informacin. Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. La informacin puede pasar a ser obsoleta y por lo tanto, ser necesario eliminarla, para ello se debe asegurar la confidencialidad de la misma hasta el momento de su eliminacin Las pautas de clasificacin deben prever y contemplar el hecho de que la clasificacin de un tem de informacin determinado no necesariamente debe mantenerse invariable por siempre, y que sta puede cambiar de acuerdo con una Poltica predeterminada.

Clasificacin y Control de Activos Objetivo:

Garantizar que los activos de informacin reciban un apropiado nivel de proteccin.

Clasificar la informacin para sealar su sensibilidad y criticidad.

Definir niveles de proteccin y medidas de tratamiento especial acordes a su clasificacin.

Responsabilidad
Los propietarios de la informacin son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificacin efectuada, y de definir las funciones que debern tener permisos de acceso a la informacin.

Clasificacin y Control de Activos

El nuevo valor de la informacin requiere indiscutiblemente un alto nivel de seguridad a fin de lograr mantener:

LA CONFIDENCIALIDAD LA INTEGRIDAD LA DISPONIBILIDAD

Clasificacin y Control de Activos

CONFIDENCIALIDAD
1 PUBLICO- Informacin que puede ser conocida y utilizada sin autorizacin por cualquier persona, sea empleado o no. 2 USO INTERNO - Informacin que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para la entidad o terceros. 3 CONFIDENCIAL - Informacin que slo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas para la entidad o terceros. 4 SECRETA - Informacin que slo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves para la entidad o terceros.

Clasificacin y Control de Activos

INTEGRIDAD
1- Informacin cuya modificacin no autorizada puede repararse fcilmente, o no afecta la operatoria. 2- Informacin cuya modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves. 3- Informacin cuya modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas. 4- Informacin cuya modificacin no autorizada no podra repararse, ocasionando prdidas graves.

Clasificacin y Control de Activos

DISPONIBILIDAD
1- Informacin cuya inaccesibilidad no afecta la operatoria. 2- Informacin cuya inaccesibilidad permanente durante una semana podra ocasionar prdidas significativas. 3- Informacin cuya inaccesibilidad permanente durante un da podra ocasionar prdidas significativas. 4- Informacin cuya inaccesibilidad permanente durante una hora podra ocasionar prdidas significativas.

Seguridad del Personal

Es fundamental educar e informar al personal desde su ingreso y en forma continua, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad.

Objetivo
Reducir los riesgos de error humano, comisin de ilcitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la informacin. Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y se encuentren capacitados para respaldar la Poltica de Seguridad en el transcurso de sus tareas normales. Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de informacin.

Establecer las herramientas y mecanismos necesarios para promover la comunicacin de debilidades existentes, as como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

Seguridad Fsica y Ambiental

Brinda el marco para minimizar los riesgos de daos e interferencias a la informacin y a las operaciones del Organismo. Asimismo, pretende evitar al mximo el riesgo de accesos fsicos no autorizados, mediante el establecimiento de permetros de seguridad.

Objetivo
Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin.

Proteger el equipamiento de procesamiento de informacin crtica ubicndolo en reas protegidas y resguardadas por un permetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados.
Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento informtico. Implementar medidas para proteger la informacin manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

Seguridad en las Comunicaciones y Operaciones

La proliferacin de software malicioso, como virus, troyanos, etc., hace necesario que se adopten medidas de prevencin, a efectos de evitar la accin de tales amenazas. Los sistemas de informacin estn comunicados entre si, tanto dentro de la compaa, como con terceros fuera de ella. Por lo tanto es necesario establecer criterios de seguridad en las comunicaciones que se establezcan, permitiendo el intercambio de informacin, de manera regulada para garantizar las condiciones de confidencialidad, integridad y disponibilidad de la informacin que se emite o recibe por los distintos canales.

Objetivo
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y comunicaciones. Establecer responsabilidades y procedimientos para su gestin y operacin, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separacin de funciones.

Control de Accesos
Para impedir el acceso no autorizado a los sistemas de informacin se deben implementar procedimientos para controlar la asignacin de acceso a los sistemas, bases de datos y servicios de informacin, y estos deben estar claramente documentados, comunicados y controlados.

Objetivo
Impedir el acceso no autorizado a los sistemas y servicios de informacin, implementando medidas de seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin. Controlar la seguridad en la conexin entre las redes pblicas o privadas, garantizndola tambin cuando se utiliza computacin mvil e instalaciones de trabajo remoto. Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos.

Desarrollo y Mantenimiento de Sistemas

Dado que los analistas y programadores tienen el conocimiento total de la lgica de los procesos en los sistemas, se deben implementar controles que eviten maniobras dolosas por parte de estas personas u otras que puedan operar sobre los sistemas, bases de datos y plataformas de software de base y en el caso de que se lleven a cabo, identificar rpidamente al responsable.

Objetivo
Asegurar la inclusin de controles de seguridad y validacin de datos en el desarrollo de los sistemas de informacin. Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan. Definir los mtodos de proteccin de la informacin crtica o sensible.

Planificacin de la Continuidad Operativa

El desarrollo e implementacin de planes de contingencia es una herramienta bsica para garantizar que las actividades puedan restablecerse dentro de los plazos requeridos,

Objetivo

Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas:
a) Notificacin / Activacin: Consistente en la deteccin y determinacin del dao y la activacin del plan.

b) Reanudacin: Consistente en la restauracin temporal de las operaciones y recuperacin del dao producido al sistema original.
c) Recuperacin: Consistente en la restauracin de las capacidades de proceso del sistema a las condiciones de operacin normales.

Cumplimiento
El diseo, operacin, uso y administracin de los sistemas de informacin estn regulados por disposiciones legales y contractuales y los requisitos normativos y contractuales de cada sistema de informacin deben estar debidamente definidos y documentados.

Garantizar que los sistemas cumplan con la poltica, normas y procedimientos de seguridad. Revisar la seguridad de los sistemas de informacin peridicamente a efectos de garantizar la adecuada aplicacin de la poltica, normas y procedimientos de seguridad, sobre las plataformas tecnolgicas y los sistemas de informacin.

Cumplimiento

Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Garantizar la existencia de controles que protejan los sistemas en produccin y las herramientas de auditoria en el transcurso de las auditorias de sistemas.

Determinar los plazos para el mantenimiento de informacin y para la recoleccin de evidencia.

Para finalizar... Quin es responsable de la seguridad? El usuario? Las empresas? El Mercosur? La Unin Europea? Los profesionales? El Estado? Estados Unidos? El mundo?

La respuesta es una sola

Es responsabilidad de TODOS

Muchas gracias por su atencin

Zacaras Leone
| Director | ZL-SSC C.E.H. and C.H.F.I.

ZL SECURITY SENIOR CONSULTANT Tel.: +54 11 4590 2320 Fax.: +54 11 4590 2201 Edificio Laminar Plaza Ing Butty 240, 4 Piso C1001AFB Capital Federal - Argentina www.zacariasleone.com.ar