JCH-1

Conceptos de Seguridad Informtica...

Metodologa ?
Riesgos Informticos
y contra medidas...

Qu debo tener en cuenta al desarrollar un Area de SI ?...

Seguridad Informtica

JCH-2

Conceptos Bsicos,
Riesgos Informticos,
Modelos de Ataques,
Cmo defendernos,
Arquitectura de Seguridad Informtica,
Area de Seguridad Informtica,
Estamos seguros ?.
Seguridad Informtica

JCH-3

Seguridad Informtica

JCH-4

Consecuencias de la ausencia de Seguridad,

Daos por fenmenos naturales:
Infraestructura Fsica:
Centro de Cmputo,
Hardware,
Redes de Comunicacin,
Informacin.

Fraude Informtico:

Virus,
Robo de Software, Piratera,
Intereses econmicos,
Inculpar a otros,
Imagen Corporativa.

Seguridad Informtica

JCH-5

Circunstancias que motivan el Fraude,

Oportunidad,
Baja probabilidad de deteccin,
Grado de conocimiento del sistema, herramientas y sitios
sobre vulnerabilidades,
Justificacin,
Ego personal.
Cmo evitar el Fraude Informtico ?,
Aplicar Metodologa de seguridad clara,
Seguridad Informtica

JCH-6

Consideraciones importantes(1),
Seguridad en todo el esquema computacional,
Un intruso utilizar cualquier medio de penetracin; no necesariamente el ms
obvio ni el ms complicado de romper...
Medio Cliente:

C
Medio Comunicacin:

Medio Servidor:
Medio Logstico:

Seguridad Informtica

JCH-7

Consideraciones importantes(2),
Costos Vs Riesgos ==== Balance,

Seguridad Informtica

JCH-8

Administracin de Riesgos
Riesgo: Probabilidad de ocurrencia de un evento
adverso (DoS)
Amenaza: Causante de un evento adverso (Virus)
Vulnerabilidad: Debilidad frente a una amenaza(No
tener AntiVirus)
Incidente: Materializacin de un riesgo
Impactos: Imagen, dinero, mercado, etc.
Seguridad Informtica

JCH-9

Fundamentos Bsicos de la Seguridad Informtica(1)

Autenticacin:Garantizar que quin solicita un acceso es
quin dice ser:
Manejo de Passwords (Algo que se conoce)
Estticos
Dinmicos (cambio perodico),
Reglas de Induccin (Algo que se sabe generar),
Token Cards, SmartCards (Algo que se tiene),
Biomtricos (Algo propio de un ente).
Seguridad Informtica

JCH-10

Fundamentos Bsicos de la Seguridad Informtica(1)

Integridad: Garantizar que la informacin es la misma de
origen a destino:
Huella digital de los datos - Hash (Checksum),
MD5 (Message Digest 5),
SHA-1 (Secure Hash Algoritm 1).

Seguridad Informtica

JCH-11

Fundamentos Bsicos de la Seguridad Informtica(1)

Confidencialidad: Garantizar que nadie pueda entender
la informacin que fluye:
Software y Hardware (combinaciones),
Encripcin Simtrica y Asimtrica,
DES, TripleDES, AES(Seleccionado RIJNDAEL),
RSA.

Seguridad Informtica

JCH-12

Fundamentos Bsicos de la Seguridad Informtica(2)

Disponibilidad: Garantizar que los servicios estn activos
en todo momento:
Plan de Continuidad: Planes de Contingencia,
Operativa y Tecnolgica,
Pruebas Peridicas,
Talleres Prcticos,
Compromiso de los Clientes (Nivel de Acuerdo).
Seguridad Informtica

JCH-13

Fundamentos Bsicos de la Seguridad Informtica(3)

Control de Acceso: Permitir que algo o alguien acceda
slo lo que le es permitido:
Polticas de Acceso,
Asociacin usuarios y recursos,
Administracin de recursos,
Perifricos,
Directorios,
Archivos, etc,
Seguridad Informtica

Operaciones,
Perfiles,
Niveles de
Sensibilidad,
ACLs,
Horarios y holgura,
Privilegios.
JCH-14

Fundamentos Bsicos de la Seguridad Informtica(4)

No-Repudiacin: Garantizar que quin genere un evento
vlidamente, no pueda retractarse:
Certificados Digitales,
Firmas Digitales,
Integridad,
No copias de la llave privada para firmar.

Seguridad Informtica

JCH-15

Fundamentos Bsicos de la Seguridad Informtica(5)

Auditoria:Llevar registro de los eventos importantes:
Monitoreo de pistas,
Ocasional,
Peridico,
Alertas,
Herramientas Amigables.
Seguridad Informtica

JCH-16

Este es un
Mensaje

Este es un
Mensaje

Este es un
Mensaje

Este es un
Mensaje

Encripcin (A)

?&# # (/
%#/+*#

E=?
A => u = (
j=*

DesEncripcin (A)

?&# # (/
%#/+*#

A debe ser secreto,

Pocos participantes,

Encripcin (Ak)

?&# # (/
%#/+*#

E=?
Ak => u = (
j=*

DesEncripcin (Ak)

A siempre igual,
A es conocido por todos,
Muchos participantes,
A usado con claves diferentes
genera distintos resultados,

?&# # (/
%#/+*#

t=&
s=
M=%

t=&
s=
M=%

e=#
n=/
a=+

e=#
n=/
a=+

E=$
t=#
e=!
Am=> u = )
s=?
n=
j=
M=*
a=La clave es la Seguridad, no A,
Dos o mas participantes deben
compartir la misma clave,
Algoritmos simtricos,
Cmo distribuyo la clave de
manera segura ?.

Seguridad Informtica

JCH-17

 Cada participante tiene 2 claves:

Pedro

Clave Privada (Pri): Slo la conoce

el dueo,
Clave Pblica (Pub): Puede ser
conocida por cualquiera.
El algoritmo A es conocido por todos,
No importa la cantidad de

Intercambio de pblicas

PriPedro
PubPedro
PubAna

Encripcin (APubAna)
Este es un
Mensaje

Ana
PriAna
PubAna
PubPedro
?&# # (/
%#/+*#

DesEncripcin (APriAna)

participantes,
La Seguridad se basa en el par de
claves de cada participante (Pri, Pub),
No hay problema en distribuir las
claves pblicas,

?&# # (/
%#/+*#

Este es un
Mensaje

DesEncripcin (APriPedro) Encripcin (APubPedro)

De la clave pblica no se puede

deducir la privada y viceversa,
Algoritmos Asimtricos,

Este es un
Mensaje

Seguridad Informtica

JCH-18

 Las firmas dependen tanto de la clave

privada como de los datos del
mensaje,
Los procesos de encripcin y firma
digital se pueden combinar,
Ojo: Si cambio de claves (Pub y Pri)
debo preservar las anteriores para

Pedro

Intercambio de pblicas

PriPedro
PubPedro
PubAna

Ana
PriAna
PubAna
PubPedro

Firmar (APrivPedro)

Verificar (APubPedro)

Verificar (APubAna)

Firmar (APriAna)

Este es un
Mensaje
Firmado

Este es un
Mensaje
Firmado

validar los mensajes anteriores,

Fundamentos de los PKIs.

Este es un
Mensaje
Firmado

Seguridad Informtica

Este es un
Mensaje
Firmado

JCH-19

Cmo funciona actualmente el modelo simtrico y asimtrico ?

Comienzo de sesin segura. Proponer llave de sesin. Asimtrico.
Pedro
Ana
S

PrvPedro

PubAna

PubPedro

PrvAna

OK

Mensajes encriptados con llave acordada. Simtrico.

Este es un
Mensaje

Este es un
Mensaje

Seguridad Informtica

JCH-20

Seguridad Informtica

JCH-21

 Medio Logstico,
Medio Cliente,
Medio Comunicacin,
Medio Servidor.

Seguridad Informtica

JCH-22

Medio Logstico(1)
Descuido de papeles o documentos confidenciales,
Passwords,
Listas de control de Acceso,
Mapas de la Red de la Organizacin,
Listados de informacin sensible.
Contra medida: Admon. de documentos y/o papeles sensibles.
Categoras para los documentos.

Seguridad Informtica

JCH-23

Medio Logstico(2)
Ingeniera Social,
Ataque de Autoridad: con o sin armas,
Ataque de Conocimiento: Solicitar otro tipo de informacin basndose en
conocimiento profundo,
Ataque de Respuesta: Basarse en mentiras,
Ataque Persistente: Intentos repetitivos con amenazas,
Ataques sobre las actividades diarias: Revisar acciones, movimientos, etc.,
El ataque 10: Usar el atractivo fsico,
Ataque por engao: Habilitar falsas alarmas para deshabilitar las
verdaderas,
Ataque Help-Desk: Pasarse por un usuario de la red de la organizacin,
Ataque de los premios: Prometer premios si se llena cierta informacin.
Contra medida: Esquemas de autenticacin. Proteccin fsica. Seleccionar
personal idneo para funciones sensibles. Procedimientos claros.

Seguridad Informtica

JCH-24

Medio Logstico(3)
Responsabilidad sobre una sola rea o persona,
Contra medida: Segregacin de funciones (definicin de polticas
de seguridad Vs. Administracin de las polticas) en reas
diferentes. Doble intervencin. Doble autenticacin.
Empleados y/o Ex-empleados disgustados,
Contra medida: Sacar de todo acceso a los ex-empleados. Poltica
de autenticacin y control de acceso clara para los empleados.
Cultura de seguridad informtica.

Seguridad Informtica

JCH-25

Medio Cliente(1)
Virus:
Tabla de Particiones,
Boot Sector,
Archivos,
Polimrficos: Encripcin, se alteran solos,
Stealth: Parcialmente residentes en memoria,
Mltiples partes: Combina 2 anteriores,
Macro Virus.
Contra medida: Antivirus para Micros, Servidores, Firewalls, Correo e
Internet. Polticas claras sobre riesgos en Internet. Restringir mensajes
de fuentes dudosas.

Seguridad Informtica

JCH-26

Medio Cliente(2)
Mal uso de los passwords:
Muy cortos,
Muy simples (sin nmeros, smbolos y/o caracteres especiales),
Palabras comunes a un diccionario,
Lgicas simples (password = login al contrario),
Passwords estticos.
Contra medida: Polticas de administracin de passwords (vigencia,
herramientas para romperlos y generar reportes). Esquemas robustos
de autenticacin (Token Cards, Smart Cards, Biomtricos).

Seguridad Informtica

JCH-27

Medio Cliente(3)
Ningn control de acceso al Micro:
Micro sensible no protegido fsicamente,
No control de acceso al sistema operacional,
Passwords escritos cerca al Micro,
Administracin pobre del sistema de archivos y privilegios locales,
Compartir el Micro sin discriminar el usuario.
Ningn sistema de seguridad local (permite cargar agentes
residentes locales).
Contra medida: Control de acceso fsico al Micro. Polticas de
administracin en el sistema operacional. Perfiles claros por usuario.
Mdulos de seguridad activos.

Seguridad Informtica

JCH-28

Medio Comunicaciones y Servidor(1)

Ver informacin por la Red,
Contra medida: Encripcin,
Modificar informacin que viaja por la Red,
Contra medida: Checksums (hash), firmas,
Modificar informacin que viaja por la Red,
Contra medida: Checksums (hash), firmas,

Seguridad Informtica

JCH-29

Seguridad Informtica

JCH-30

Spoofing
Tipo de Spoof
Email

Remailer annimo
Login
Routing

DNS
Direcciones IP
Robo de sesin

Spoofing de WEB

Escenario
Enva mensajes vagos con
falso "from" a un servidor
SMTP
Atacante envia mensaje va
una cuenta de remailer
annimo
Usar el login y el pw de otra
persona para lograr acceso
Enviar paquetes RIP o ICMP
redireccionados a un router
Enviar un no solicitado
dominio/dir. al servidor
vctima
Enviar direccin falsa a un
Host
Atacante inserta paquetes
falsos en sesin activa

Por qu puede suceder

No Autenticacin en SMTP

No Autenticacin en SMTP

Cmo prevenir
Verificar direccin IP fuente
del mensaje o usar firmas
digitales

No autenticacin en DNS

Firmas digitales
Proteger pw o usar
autenticacin robusta
No los use en redes
inseguras
Usar DNS modificados que
no hagan cache en sus
entradas

La IP fuente no es verificada

Bloquear red interna

No cuidar paswwords
No autenticacin en
redirecionamiento RIP o ICMP

Ya hubo una autenticacin

Un tpico "hombre en el medio"
Atacante crea una copia del donde se reescriben las
WEB site, permitiendo que solicitudes finales (y las
todo el trfico pase por ah
respuestas)

Seguridad Informtica

Sesiones encriptadas

Est seguro que su URL si

es la correcta

JCH-31

DoS
Ataque
Cargar grandes datos va
ftp
Causar mensajes grandes
en logs

Disco

Ancho de banda

BufferOverflow

Ciclos CPU o Crash

Llena el disco

SYN Flood

Teardrop

Smurf

Snork

UDP bomba

OOB ataque

X
X

X
X

WinNuke

Land

Ping of Death
Flood Ping

Mailbombs, spam

Notas

Seguridad Informtica

Disco o buffer overflow

Bloquear puerto por
corto tiempo
Overlapping frafmentos
IP
Redirecciona
broadcast, spoof de IP
de la vctima
Enva mensajes de
error a NT RPC puerto
135
Spoofing de paquetes
entre echo y puertos
Usa apuntadores de
datos urgentes falsos
Buffer overflow de los
datagramas IP
Empantana la red
Manda basura al
puerto 139 de NT
Enva spoof de la
vctima como fuente
Sobrecarga servidor de
correo, gateway o
mailbox de los
usuarios

JCH-32

Buffer Overflow(1)
Char *
vg_error;
int f_suma(int x, int y)
{
printf(Escriba algo..\n);
gets(vg_error);
........
/*--- Si hubo error mensaje en p_error ---*/
Return(x+y);
}
int main ()
{
int
res;
printf(Comienzo...\n);
vg_error = (char *)malloc(10);
res = f_suma(3, 4, vg_error);
printf(Suma = %i. \n, res);
free(vg_error);

Seguridad Informtica

Tope Pila

Dir. de retorno
Vg_error

Datos
Cdigo

JCH-33

Buffer Overflow(2)

Tope Pila
gets(vg_error); === 1234567890Dir.Cod.Maligno Cod.Maligno

Cod. Maligno
Dir. Cod. Maligno
Vg_error=1234567890
int main ()
{
int
res;
printf(Comienzo...\n);
vg_error = (char *)malloc(10);
res = f_suma(3, 4, vg_error);
printf(Suma = %i. \n, res);
free(vg_error);

Seguridad Informtica

Datos
Cdigo

JCH-34

Tecnologas Vs Fundamentos

Seguridad Informtica

JCH-35

Tecnologas Vs Fundamentos (1)

Seguridad Informtica

JCH-36

Tecnologas Vs Fundamentos (2)

Seguridad Informtica

JCH-37

Tecnologas Vs Fundamentos (3)

Acuerdos de Servicios de Seguridad
Ley 527

Marco Legal

Mecanismos de
Seguridad

Ley,

Acuerdo en

Modelos de

Decreto,

trminos de

encripcin,

Resolucin

seguridad

etc.

Seguridad Informtica

JCH-38

SSL - SET

Seguridad Informtica

JCH-39

Transaccin SSL...
1. Cliente abre conexin con Servidor y enva mensaje ClientHello
2. Servidor responde con ServerHello. Session ID

Cliente
(Browser)

Servidor
WEB

3. Servidor enva su Certificado. Llave Pblica LPS

4. Servidor enva solicitud de certificado del Cliente
5. Cliente enva su certificado
6. Cliente enva mensaje ClientKeyExchange LSe LPS

LVS

7. Cliente enva mensaje para verificar certificado

LSe

8. Ambos envan confirmacin de que estn listos

9. Prueba de mensaje de ambos sin modificaciones

Seguridad Informtica

JCH-40

Cliente

1. Cliente Navega y decide comprar. Llena forma de compra Comerciante

4. Banco comerciante verifica con

banco cliente por autorizacin de pago
5. Banco cliente autoriza pago
Banco de la Tarjeta(VISA)

6. Banco autoriza pago

9. Enva cuenta
de pago

!!!!Hay Encripcin,
Certificados firmados
basados en autoridades
certificadoras

3. Comerciante inf. De pago al banco

7. Comerciante completa la orden de compra

8. Comerciante captura Transaccin

2. SET enva informacin del pedido y pago

Banco del Comerciante

Seguridad Informtica

JCH-41

VPNs

Seguridad Informtica

JCH-42

VPN(1)
MODEM
14.4Kbps

Red Telefnica
Pblica Conmutada

Enrutador
PPP 19.2Kbps
Asinc. Cifrado 14.4bps

Enrutador

inc
As

s
bp
4
.
14
do
a
ifr
.C

Enrutador

Enrutador

MODEM

Criptos

RED DE LA ENTIDAD CENTRAL

Criptos

RED DE ACCESO

Plataforma de Acceso actual

PPP 19.2Kbps

Seguridad Informtica

JCH-43

VPN(2)

Transmisin: Lneas telefnicas

Alto tiempo de establecimiento de conexin,

Baja velocidad de transmisin,

Cantidad limitada de lneas de acceso,

Sin opcin de contingencia automtica,

Obsolescencia de los equipos utilizados.

Seguridad Informtica

JCH-44

VPN(3)

Virtual Private Network - VPN,

Es una red privada virtual, que utiliza como

medio de transmisin una red publica (como
Internet) o privada para conectarse de manera
segura con otra red .

Seguridad Informtica

JCH-45

VPN(6)

Flexibilidad

Operacin independiente
del medio de tx.

Seguridad

VPNs

Seguridad Informtica

Costo-Beneficio

JCH-46

VPN(12)
Por qu son seguras las VPNs ?

El equipo de VPN realiza funciones de autenticacin, encripcin, chequeo de

integridad y autenticidad de la informacin

Y
B

X YC

Seguridad Informtica

JCH-47

VPN(13)
Por qu son seguras las VPNs ?

X y Y son VPN Gateway que van a establecer un tnel seguro

Por medio de certificados digitales Y conoce a X
X conoce a Y

Seguridad Informtica

JCH-48

VPN(14)
Por qu son seguras las VPNs ?

X y Y realizan un intercambio seguro de llaves y acuerdan una clave secreta con la cual cifrarn los datos
El cifrado de los datos se hace con algoritmos robustos como 3DES cuyas claves pueden ser de 168 bits (DES: clave de 56 bits)

Seguridad Informtica

JCH-49

VPN(15)
Por qu son seguras las VPNs ?

Una clave de 128 bits es imposible de descubrir en un tiempo favorable

Sin la clave no se pueden descifrar los datos
Y y X pueden negociar una nueva clave cada cierto tiempo (minutos)

Seguridad Informtica

JCH-50

VPN(22)
Criterios para seleccionar una VPN

Cumplir recomendaciones de
Superbancaria,
Cumplir estndares internacionales para
VPN,
Flexibilidad Gestin remota,
Desempeo,
Costo,
Seguridad.
Seguridad Informtica

JCH-51

PKI

Seguridad Informtica

JCH-52

PKI Problemtica Actual

Correo
Intermediarios
Financieros

Correo
Usuarios
Internos

Certificados
Digitales Servidores Web

Autenticacin
de Usuarios

Portal de
Seguridad

Mltiples Mdulos
De Seguridad

Seguridad Informtica

JCH-53

PKI Definicin
Infraestructura de seguridad de gran alcance
con servicios basados en tcnicas y
conceptos de llaves pblicas

Seguridad Informtica

JCH-54

PKI - Funciones
n
n
n

Brindar interoperabilidad entre sistemas.

Facilitar seguridad en las operaciones.
Fomentar el desarrollo del Comercio
Electrnico Mecanismos.

Seguridad Informtica

JCH-55

PKI Componentes (cont.)

n

CA Autoridad Entidad Certificadora

Es la entidad que genera los certificados.

Implementa las politicas definidas.
Usa un procedimiento de cmo se van a utilizar
los certificados.

Seguridad Informtica

JCH-57

PKI Componentes (cont.)

n

RA Autoridad Entidad de Registro

Es un servicio subordinado de la CA.

Ofrece facilidad en la delegacin de tareas para
esquemas de organizaciones distribuidas.

Seguridad Informtica

JCH-58

PKI Componentes (cont.)

n

Repositorio de Certificados

Lugar en donde se almacenan los certificados.

Llamado tambin directorio.
LDAP (Lightweight Directory Access Protocol)
n
n
n
n
n

Es un estndar adoptado por los sistemas de PKI.

Soporta gran cantidad de usuarios.
Es fcilmente escalable.
Es eficiente para requerimientos de bsqueda.
Est basado en un estndar abierto (RFC 1777).

Seguridad Informtica

JCH-59

PKI Componentes (cont.)

n

CRL Certificate Revocation List

Es un directorio usado por las aplicaciones

cliente para verificar la validez de un
certificado digital.
Hay incertidumbre de la actualizacin del
directorio
Una alternativa es el procedimiento naciente
OCSP (On-line Certificate Status Protocol)

Seguridad Informtica

JCH-60

PKI - Arquitectura
Ncleo de la PKI
Solicitud
Validacin
Aprobacin
Registro
Informar

Usuarios finales

RA
Autoridad
de Registro

Expide
Genera copias
Revoca
Autoridad de Expiracin
Certificacin Histrico
Actualiza CRL
Actualiza CVL

LanInternet

CA

CVS

Repositorio

Atiende
consultas
Organizaciones

X
CRL CVL

Seguridad Informtica

JCH-61

PKI Cerrada y Abierta en

Colombia
n
n

Cerrada
Abierta

Seguridad Informtica

JCH-62

PKI Alcance del Proyecto

n

Fase 1

Estudio tcnico de los diferentes proveedores de

sistemas de PKI.

Fase 2

Implantacin del sistema elegido.

Integracin con el correo electrnico.
Integracin con los dispositivos de VPN.
Aseguramiento de los servidores WEB .
Aseguramiento de los documentos electrnicos.
Seguridad Informtica

JCH-63

PKI Alcance del Proyecto

n

Fase 3

Generacin de un esquema real de SSO.

Adecuacin de aplicaciones Legacy para operar
con la PKI (este punto se realizar de manera
incremental).

Fase 4

Retroalimentacin de los esquemas generados y

adaptacin de las nuevas tecnologas
(mantenimiento continuo y soporte)
Seguridad Informtica

JCH-64

Seguridad Informtica

JCH-65

Autenticacin, Integridad, Privacidad, Disponibilidad,

Control de Acceso, No-Repudacin, Auditoria

Polticas Glogales
Polticas de Seguridad Informtica

CIVISI

Anlisis de Riesgos
e Impactos

Diseo Polticas
de Seguridad

Diseo Mecanismos
de Seguridad
Implementacin y
Pruebas de
Polticas, Mecanismos
Implantacin Polticas
y Mecanismos

ASI
Seminarios, Estndares

Control Interno

3
2

Equipo Atencin Emergencias

Recomendaciones

Modelo Seguridad de la Org.

Definicin del Mundo

Mercadeo Cultura Seguridad, Polticas,

Planes deContingencia y Mapas de Accin

1
1
6

Area Adm. SI

Talleres, Pruebas Continuidad

Activar Continuidad

Rastreo y Manejo Incidente

4
3

Volver Normalidad
Plan de Accin
Inmediata - Grupo Incidentes

Ataques Reales o
Falla de Esquema

Evaluacin Resultados
Vulnerabilidad

1
1

Auditora

Seguridad Informtica

Pruebas de Vulnerabilidad
Monitoreo y Seguimiento

JCH-66

Seguridad Informtica

JCH-67

Control
Interno

Arquitectura de
Seguridad

Area de Seguridad Informtica

Polticas, estndares
y Visin Seguridad
Polticas de SI
Visin Tecnolgica
Estndares sobre SI

Seguridad
de Redes
Encripcin x HW

Anlisis de Riesgos
e Impactos

Seguridad
Aplicaciones

Metodologas

Anlisis Riesgos
VPNs y
Encripcin x SW Anlisis Impactos

Continuidad del
Negocio

BD

Metodologas

WEB

Estrategias

Seguridad Apls

Procedimientos

FWs

Incidentes/CERT

Herr. Auditora

Planes Conting.

Virus

LIB Mecanismos

Herr. Libres

Talleres

Seguimiento AR
SSO
Correo Interno
Externo - Seguro Nuevos Proyectos
Fundamentos
PKIs
Liderar Certificacin

Pruebas Planes
Certificacin
Acuerdos

Centro de Cmputo
Pruebas de Vulnerabilidad
Sistemas Operacionales
Transferencias Seguras

Proyectos de SI
en Produccin

Seguridad Informtica

Area Admon de SI
Auditora

JCH-68

FUNDAMENTOS DE SEGURIDAD

POLTICAS DE SEGURIDAD
Son las directrices de alto nivel que
establecen un marco de referencia para la
actuacin de todos los empleados y
funcionarios del Banco de la Republica.

Seguridad Informtica

JCH-69

FUNDAMENTOS DE SEGURIDAD

POLTICAS DE SEGURIDAD

ESTNDARES Y PROCEDIMIENTOS
Estndar: Conjunto de requisitos de
obligatorio cumplimiento que especifican
tecnologias y mtodos para implementar las
polticas de seguridad
Seguridad Informtica

JCH-70

FUNDAMENTOS DE SEGURIDAD

POLTICAS DE SEGURIDAD

ESTNDARES Y PROCEDIMIENTOS
Procedimiento: define un conjunto de pasos
operacionales para efectuar una labor
particular

Seguridad Informtica

JCH-71

FUNDAMENTOS DE SEGURIDAD

POLTICAS DE SEGURIDAD

ESTNDARES Y PROCEDIMIENTOS

M1

M2

Mi

....

Mn

MECANISMOS DE SEGURIDAD
Seguridad Informtica

JCH-72

Seguridad Informtica

JCH-73

 Fundamental en toda Organizacin entender los conceptos e

importancia de la Seguridad Informtica,
Areas dentro de la Organizacin que se hagan cargo,
Los fundamentos bsicos son buen punto de partida para
estudio de Seguridad Informtica,
Visin sobre la Seguridad Informtica alineada con
estndares internacionales,
Campaas preventivas en toda la organizacin,

Seguridad Informtica

JCH-74

No existe la seguridad 100% pero si se pueden

minimizar, evitar, transferir y/o aceptar riesgos,
Es necesario seguir una metodologa para estudio de la
seguridad,
Ataque la seguridad por frentes, sin perder su
globalidad,
Tecnologa valiosa: Encripcin, Llaves P y P, PKI, VPN,

Seguridad Informtica

JCH-75

 PKIs (3 o 4 mximo) sern una realidad en Colombia,

Si ud. no prueba su SI, otros lo harn y posiblemente
comprometern sus activos y su imagen corporativa,
Pruebas de Vulnerabilidad: Buena herramienta para validar el
modelo de seguridad de la Organizacin,
Vital mantener Plan de Continuidad del Negocio robusto en la
Organizacin.

Seguridad Informtica

JCH-76

Seguridad Informtica

JCH-77