Seguridad Informática

SEGURIDAD EN
TECNOLOGIAS DE
INFORMACION
SEGURIDAD EN TECNOLOGIAS DE
INFORMACION
1. INTRODUCCION
2. RIESGOS Y CONTROLES
EN AMBIENTES
COMPUTARIZADOS
1.
2.
3.
Redes
Aplicaciones en
funcionamiento
Exposiciones y controles
ambientales
Introduccin a la
Seguridad
Informtica
Introduccin a la Seguridad Informtica

CONCEPTO DE UNA CORRECTA SEGURIDAD
La seguridad debe ser adecuada a los riesgos, su probabilidad

de ocurrencia y el posible impacto de los mismos.
ENTONCES . . . . . .
Es imprescindible entonces conocer el concepto de riesgo, su

analisis y evaluacin antes de incorporar cualquier medida de
seguridad y control en un negocio.

ANTES DEL CONCEPTO DE RIESGO, ES IMPORTANTE
SABER QUE
Hacer algo requiere de innovacin
La innovacin involucra cambios

Los cambios generan elecciones
Las elecciones crean riesgos y oportunidades
El riesgo siempre precede a la oportunidad
La oportunidad siempre implica la posibilidad de perder o ganar
ARQUITECTURA DE
SEGURIDAD

INTRODUCCIN AL RIESGO
Los riesgos son inherentes a cualquier proyecto o negocio.
Tratar con los riesgos requiere que la administracin de los
mismos sea vista como parte de un proceso dinmico y
competititvo, en lugar de que sea un anlisis adicional e inicial
completamente esttico.
Es importante tener en cuenta que los riesgos son generalmente
conocidos por los principales responsables de un proyecto o
negocio, pero por lo general inadecuadamente comunicados.

QUE ES LA SEGURIDAD INFORMATICA ?
La informacin es un bien que, al igual que otros bienes importantes de
negocios, tiene valor para una empresa y, por lo tanto, necesita estar protegida
adecuadamente.
La Seguridad Informtica protege la informacin contra una gran variedad de
amenazas para garantizar la continuidad de los negocios, reducir los daos y
aumentar el retorno en inversiones y oportunidades de negocios.
La informacin puede tomar distintas formas. Puede estar impresa o escrita en
un papel, almacenada electrnicamente, transmitirse por correo o utilizando
medios electrnicos, mostrarse en pelculas, intercambiarse en una
conversacin. Cualquiera sea la forma que adopte o los medios que se utilicen
para compartirla o almacenarla, siempre deber protegerse adecuadamente.

CUALES SON LOS RIESGOS BASICOS DE SEGURIDAD ?
ACCESO
ESTRUCTURA
CAMBIOS
CONTINUIDAD
Estos riesgos son los de nivel ms general y engloban cualquier otro

riesgo dependiente cubriendo todas las posibilidades de incidencias
intencionales o no que se puedan presentar a nivel de plataforma
tecnolgica.
La Seguridad Informtica se caracteriza por preservar:
La Confidencialidad: garantiza el acceso a la informacin

slo a aqullos que estn autorizados.
La Integridad: salvaguarda la precisin y totalidad de la

informacin y
procesamiento.
de
los
mtodos
de
La Disponibilidad: asegura que los usuarios autorizados

puedan acceder a la informacin y a sus
valores asociados cada vez que lo
requieran.
La Seguridad Informtica se caracteriza por preservar:
Cumplimiento
Auditabilidad
Garantizar el cumplimiento de leyes,

regulaciones y contratos relacionados
con los procesos de TI.
asegura el poder establecer responsables

frente a cualquier actividad dentro de un
proceso relacionado con TI
DEFINICION DE SEGURIDAD INFORMATICA

Es la disciplina que protege su equipo y todo
lo asociado a l (edificio, terminales, discos,
impresoras, archivos, cableado, programas,
etc.) y la informacin, para que sta no sea
destruida
(intencional
accidental),
divulgada o modificada sin autorizacin.

Afirmamos que la seguridad absoluta NO
existe
FUNCIONES DE LA SEGURIDAD INFORMATICA

Evitar
Evitar. .. .. .posibles
posiblespeligros
peligros
Disuadir
Disuadir. .. .. .es
esinspirar
inspirarrespecto
respecto
Prevenir
Prevenir. .. .. .inconvenientes
inconvenientes
Por ejemplo, participando en la

etapa de diseo de los sistemas.
Medidas activas, por ejemplo,

divisin de responsabilidades.
Medidas pasivas, por ejemplo,
colocacin de carteles de
prohibiciones, circuitos de TV,
etc.
Ya sea en lo fsico como en

lo lgico.
IMPORTANCIA DE LA ADMON DE
SEG
FUNCIONES DE LA SEGURIDAD INFORMATICA
Detectar
Detectar. .. .. .acciones
accionesincorrectas
incorrectas
Recuperar
Recuperaryycorregir
corregir. .. .. .para
para
continuar
continuarlalaoperatividad
operatividad
Con acciones que permitan

seguirle
el
rastro
a
las
acciones de usuarios
Ante
inconvenientes
equipo y/o programas.
de
SEG
ESTADISTICAS
El 65 % de los
problemas de
Seguridad
Informtica son
internos, el
resto es desde
Internet
35%
INTERNO
65%
EXTERNO
Los problemas que puedan ocurrir desde el interior

de la empresa, no siempre son violaciones de
seguridad.
SEG
SEG
Incidentes de Seguridad
Estadsticas de incidentes del CERT
Publicaciones del CERT (Computer Emergency Response Team) sobre incidentes seguridad en los
ltimos aos.
250000
200000
150000
INCIDENTES
100000
50000
0
1998
2000
2002
2004
SEG
Incidentes de Seguridad
Theft of Proprietary Information
Denial of Service
Financial Fraud
Virus
Sabotage
Insider Net Abuse
System Penetration
Laptop Theft
Telecom Fraud
Unauthorized Insider Access
$ 1,150,752
591,381
166,990
107,804
84,402
65,373
31,300
27,322
20,632
5,643
Losses are USD average per organization, per year

Source: Computer Security Institute/FBI study, Spring 2003
SEG
La informacin
es uno de los
mayores activos
con los que
cuentan las
empresas
FACTORES CRITICOS DE EXITO

La experiencia ha demostrado que los siguientes factores
generalmente son cruciales para la exitosa implementacin de la
seguridad informtica dentro de una empresa:
Actividades, objetivos y polticas de seguridad informtica que

reflejen las metas de la empresa.
Un enfoque para implementar la seguridad que sea coherente con la

cultura de la empresa.
Un buen entendimiento de los requerimientos de la seguridad, de la

evaluacin de los riesgos y de la gestin de riesgos.
FACTORES CRITICOS DE EXITO
Un marketing efectivo de la seguridad para todos los gerentes y

empleados.
La distribucin de las pautas sobre las normas y la poltica de

seguridad informtica a todos los empleados y contratistas.
Ofrecer educacin y entrenamiento adecuados.
Un sistema equilibrado y completo para evaluar el rendimiento de la

gestin de la seguridad informtica que permita el feedback de
sugerencias para mejorar dicha gestin.
Compromiso y apoyo concretos por parte de la Alta Direccin.
ALCANCE DE ALGUNOS TRABAJOS DE SEGURIDAD

INFORMATICA
Configuracin y
Controles de las
Aplicaciones
Control
de
Cambios
Ethical
Hacking
Backup,
Recuperacin
y Plan de
Contingencias
Seguridad
Fsica
Aplicaciones
Lotus
Notes
DB2
Adabas
SQL
/Server
Oracle
Otras
B.D.
Windows
NT
Unix
OS/400
OS/390
VMS
Otros
S.O.
Comunicaciones
Seguridad
de las
Comunicaciones
Internet
Seguridad en
E-Commerce
Integridad
de la Base
de Datos
Implantacin
herramienta
s
de seguridad
Seguridad
del
Sistema
Operativo
Seguridad
en
Internet
Ethical
Hacking
Aplicaciones
Lotus
Notes
DB2
Adabas
SQL
Otras
Oracle
/Server
B.D.
Windows Unix OS/400 OS/390 VMS

NT
Comunicaciones
RIESGOS Y
CONTROLES
EN REDES E
INTERNET
Otros
S.O.
Internet
RIESGOS EN REDES E INTERNET
Exposiciones del Acceso Lgico

Exposiciones Tcnicas
Caballo de Troya Estos implican ocultar cdigo malicioso,

fraudulento en un programa
Redondeo hacia Abajo
implica retirar pequeas cantidades de dinero
en una transaccin de una cuenta y desviarla
a la cuenta del perpetrador
Tcnicas del Salami

implican rebanar pequeas sumas de dinero
desde una transaccin computarizada o
cuenta y es similar a la tcnica del redondeo
hacia abajo
Virus
Los virus son un cdigo malicioso de
programa insertado en otro cdigo ejecutable
que puede autoreplicarse y diseminarse de
una computadora a otra.
Gusanos
son programas destructivos que puede
destruir los datos o utilizar recursos
excesivos de computadora y de
comunicacin pero no se replican como los
virus
Bombas Lgicas
son similares a los virus de computadora, pero no se

autorreplican, programan la destruccin o la
modificacin de datos a una hora especfica en el
futuro. A diferencia de los virus y de los gusanos, las
bombas lgicas son muy difciles de detectar antes
que estallen
Puertas Traseras
son puertas de salida de un programa autorizado
que permiten la insercin de una lgica especfica,
como por ejemplo, el programa se interrumpe para
permitir una revisin de datos durante el
procesamiento. Estos huecos permiten tambin la
insercin de lgica no autorizada.
Ataques Asncronos
Las transmisiones de datos deben esperar a que la
lnea se desocupe antes de ser transmitidas. Los
datos que estn en espera son susceptibles de
accesos no autorizados llamados ataques asncronos
Agitacin de Datos (Data Diddling)

implica cambiar los datos antes de o
cuando los mismos son ingresados a la
computadora
Fuga de Datos
consiste en extraer o hacer que se fugue
informacin de la computadora
Intercepcin de Informacin por Cable
consiste en escuchar furtivamente la
informacin que es transmitida a travs de
las lneas de telecomunicacin
Cierre de la Computadora
consiste en apagar el sistema sin autorizacin
Negacin del Servicio
Empleando trafico legitimo contra un solo sitio, lo cual no afecta la
integridad ni la confidencialidad sino la disponibilidad del servico,
es un ataque que interrumpe o niega por completo el servicio a los
usuarios legtimos, redes, sistemas, o a otros recursos

Ingeniera Social
Es una tcnica utilizada para aprovechar el
conocimiento del ser humano para romper
la seguridad de una red corporativa.
La mejor defensa contra la Ingeniera Social
es la realizacin de un programa de
concientizacin en seguridad en el cual
todos los empleados son educados acerca
de los peligros que la ingeniera social puede
presentar.

Rutas de acceso lgico
Puntos generales de entrada
Conectividad de la red
Conexion del PC a la red
Acceso remoto
Llamada remota para coneccin al servidor
Consola del operador

Terminales privilegiadas controlan operacioness
Terminales en lnea
Estaciones de trabajo en ambientes cliente-servidor
Posibles Atacantes a la seguridad:
Hackers
Crackers
Empleados (autorizados o no autorizados)
Personal de Tecnologa
Usuarios finales
Personal de tiempo parcial y temporal
Ex-empleados
Personas externas interesadas
Vendedores y consultores
Ignorantes accidentales
INTERNET
RIESGOS EN INTERNET
AMENAZAS EN LA RED
1.
ATAQUES PASIVOS
Analisis de red footprinting crear un perfil

de la infraestructura de seguridad de la red
Fisgonear sniffer recoger informacin que

viaja
Analisis de trfico
RIESGOS EN INTERNET
AMENAZAS EN LA RED
1.
ATAQUES ACTIVOS
Ataques de fuerza bruta
Enmascaramiento spoofing
Reenvio de paquetes
Modificacion de mensaje, perdida de integridad
Negacin de servicio
Bombardeo y spamming de correo electrnico
Explotacion de vulnerabilidades
RIESGOS EN INTERNET
AMENAZAS EN LA RED
1.
ATAQUES ACTIVOS
Spyware
Key Logger
Pishing
Seguridad Informtica desde la

concepcin
La mejor y ms fcil manera para crear
una infraestructura tecnolgica segura
es teniendo en cuenta desde el
propio desarrollo y planeacin de
las iniciativas de Comercio Electrnico
el aspecto de Seguridad Informtica.
CONTROLES
CONTROLES
Son todas las acciones
orientadas a minimizar
la probabilidad de
ocurrencia de un riesgo
o el impacto de estos
La capacidad de ejercer
influencia o restriccin
sobre una accin
CONTROLES
Es la accin que se toma para
condicionar una operacin
de acuerdo a un plan
Son las polticas, prcticas y las
estructuras organizativas
diseadas para brindar
garanta adicional de que se
lograrn los objetivos del
negocio y se impedirn o se
detectarn o corregirn los
acontecimientos no
deseados
CONTROLES
Los controles son acciones o medidas adoptadas dentro de una
entidad para:
Salvaguardar activos
Verificar la adecuacin, fiabilidad, consistencia e integridad

de la informacin
Promover la eficacia y / o eficiencia operacional
Fomentar la adherencia a las polticas establecidas

(Internas y Externas)
CONTROLES
Fundamentos de la
seguridad
informatica:
Autenticacin
Privacidad y
Confidencialidad
Integridad
No Repudiacin
Disponibilidad
Seguridad de la Informacin:
Autenticacin
Manera de identificar a un
usuario. Comnmente se
utiliza un nombre de
usuario y una clave de
acceso (contrasea). Esta
informacin es
comparada con una base
de datos con lo cual se
permite o niega el acceso
al usuario.
AAA Autenticacin,
Autorizacin y
Accountability
(contabilidad de acciones)
AUTENTICACION
SW de control de acceso lgico

Previene acceso y modificacin no
autorizado de datos sensitivos y
uso de sistemas para las funciones
crticas de una organizacin
AUTENTICACION
Funcionalidad del SW de control de acceso lgico
Funciones generales de los sistemas de control de acceso:
Aplicar mecanismos para identificacin y
autenticacin para los usuarios
Limitacin de terminales especficas para Logon Ids
especficas as como el acceso sobre la base de horas
predeterminadas
Establecer reglas para el acceso especfico a los
recursos de informacin (e.g., system-level
application resources and data)
Crear o cambiar perfiles de usuario
Registro de eventos
Registro de actividades del usuario
Capacidad de emitir reportes
Software de Control de Acceso (cont.)

Proceso de solicitudes de acceso
Identificacin de los Usuarios-,
Su nombre y nmero de
cuenta.
Autenticacin- Los usuarios deben probar que son quienes
dicen ser.. Por ejemplo: los usuarios pueden suministrar la
siguiente informacin:
Informacin que debe recordar como el nombre, nmero de
cuenta y contrasea
Objetos como, tarjeta plstica y llave
Caractersticas personales como la huella digital, la voz y la
firma
Verficacin de autorizacin
Caractersticas de las Contraseas
La primera vez, el sistema debera forzar a un cambio

de contrasea Las cuentas nunca usadas con o sin la
asignacin de una contrasea inicial deben ser
eliminadas del sistema.
Tres fallos y ests fuera!"
Las contraseas deben estar encriptadas internamente
en una direccin
Caractersticas de las Contraseas

Cambiadas peridicamente Cambiadas por el usuario en
su propia terminal y no en la terminal del administrador
Las contraseas deben ser nicas para una persona
Las contraseas deben tener una longitud entre cinco y
ocho caracteres
Las contraseas deben permitir una combinacin de
caracteres alfabticos, numricos
Las contraseas no deben ser especialmente identificables
con el usuario
El sistema no debe permitir que se usen contraseas
anteriores
Los logon-IDs que no se hayan usado despus de un
nmero de das, deben ser desactivados
El sistema debe desconectar automticamente una sesin
de logon si no ha ocurrido actividad alguna por un perodo
de tiempo determinado
CRACKING DE PASSWORDS
A una velocidad de 100.000 contraseas por segundo
Reglas de acceso
El acceso debe darse sobre una base documentada a
"necesito saber, necesito hacer".
REGLAS DE ACCESO
Restricciones de acceso a nivel de
archivos
Leer, consultar o copiar solamente
Escribir, crear, actualizar o eliminar
solamente
Ejecutar solamente
Combinacin de las anteriores
Identificacin y autenticacin
Single sign-on (SSO)
SSO es el proceso dc consolidacin de la plataforma de la
empresa basada en la funcin de administracin,
autenticacin y autorizacin a travs de SSO el cual tiene
interfaz con:
Sistemas distribuidos y cliente /servidor
Aplicaciones mainframe
Seguridad del Host
Seguridad de las estaciones
Seguridad de red incluyendo el acceso remoto
Ventajas del Single sign-on (SSO)
No se requieren claves mltiples, por ello el usuario
debe utilizar claves mas fuertes
Optimiza la habilidad del administrador para
administrar las cuentas y las autorizaciones asociadas
a todo el sistema
Reduce la sobrecarga de trabajo del administrador
relacionado con el borrado de claves olvidadas sobre
mltiples plataformas y aplicaciones.
Reduce el tiempo que le toma a los usuarios ingresar a
multiples aplicaciones y plataformas.
Desventajas del Single sign-on (SSO)
El soporte en la mayora de los ambientes de los
sistemas operativos es dificil
Los costos asociados con el desarrollo de SSO puede
ser significativo cuando consideramos la naturaleza
y extensin del desarrollo y mantenimiento de
interfases que son necesarias.
La naturaleza centralizada de SSO presenta la
posibilidad de un nico punto de falla que puede
comprometer la totalidad de la informacin de la
organizacin
Vas de Acceso Lgico

Consola del Operador
Debe estar ubicada con control de

acceso fsico solo a personal autorizado.
En un rea asegurada fsicamente.
Terminales en Lnea
Requiere por lo menos un nmero de

usuario y una contrasea y puede
tambin requerir una autenticacin de
los datos para tener acceso a los
sistemas de aplicacin especficos
Puertos de Llamada
Identificar el usuario remoto a fin de

determinar la autorizacin de acceso.
Esto puede ser una lnea de rellamada, el
uso de nmero de usuario de inicio de
sesin y un software de control de
acceso o puede requerir que un operador
de computadora verifique la identidad
del que llama y luego suministre la
conexin a la computadora.
Red de Telecomunicaciones
Las lneas de telecomunicacin

pueden ser privadas (por ejemplo,
dedicadas a un usuario) o pblicas,
como por ejemplo, el sistema
telefnico de un pas
Privacidad y confidencialidad
Proveer el debido cuidado a la
informacin de los usuarios/clientes
Se podr compartir informacin de
clientes?
Con quien se podr compartir la
informacin? (gobierno, instituciones
financieras, otros comercios?).
Es un punto crtco en las transacciones
por Internet.
PRIVACIDAD Y CONFIDENCIALIDAD
Encripcin
Elementos claves de los Sistemas de
Encripcin
Algoritmo de Encripcin
Llaves de Encripcin
Longitud de la llave
Criptosistema Simtrico - DES

Criptosistema Asimtrico - RSA
Encripcin
SIMETRICA
ENCRIPCION DE LLAVE SIMETRICA

ENCRIPTO Y DESENCRIPTO CON LA MISMA LLAVE.
SON RAPIDOS.
EJEMPLO: DES(BLOCK) , IDEA (BLOCK) , RC4 (STREAM)
Encripcin
ASIMETRICA
ENCRIPCION DE LLAVE ASIMETRICA

CON UNA LLAVE ENCRIPTO Y CON OTRA DESENCRIPTO.
SE TIENEN DOS LLAVES UNA PRIVADA Y OTRA PUBLICA.
MAS LENTOS (100 A 10.000 VECES) QUE LOS SIMETRICOS.
USADOS EN AUTENTICACION E INTERCAMBIO DE
LLAVES SIMETRICAS
EJEMPLO: RSA, DIFFIE-HELLMAN
RED PRIVADA VIRTUAL
FIREWALLS
Seguridad Firewall
Problemas que enfrentan las organizaciones
Integridad
Necesitmos mecanismos y
procedimientos que garanticen que
al ingresar un 1 se procese,
transmita y almacene ese mismo 1.
El evadir este tema puede llevar al
fracaso a cualquier iniciativa de
comercio electrnico.
Hashes MD5
Seguridad De Infraestructura De Red

Encripcin
HASH Y MAC
HASH Y MAC
FUNCION UNIDIRECCIONAL PARA PRODUCIR UN CODIGO
ASOCIADO AL MENSAJE.
CUANDO INTERVIENE UNA LLAVE SE LLAMA MAC.
EJEMPLOS: MD5 (128 bits) Y SHA-1 (160 bits)
HASH
MAC
Controles sobre los Virus .

Construir cualquier sistema a partir de un original,
limpiar copias principales. Reiniciar solamente a
partir de los disquetes originales que siempre
hayan tenido puesta la proteccin de escritura
No permitir que se use ningn disco hasta que
haya sido escaneado en una mquina
independiente que no se use para ningn otro
propsito y que no est conectada a la red
Controles sobre los Virus (cont.)

Actualizar con frecuencia las definiciones de
escaneo de virus de software .
Proteger contra escritura todos los
disquetes con las extensiones .EXE o .COM .
Hacer que los vendedores ejecuten
demostraciones en sus mquinas no en las
de uno .
Seguridad de la Informacin: No
repudiacin
Concepto fundamental en transacciones
electrnicas ya que no existe una
validacin fsica con en el comercio
tradicional.
Requerimos mecanismos que nos
garanticen que una compra fue realizada
efectivamente por quien dice ser.
Los primeros fraudes en Internet se dieron
por evadir el tema de no repudiacin.
Firmas digitales
FIRMA DIGITAL
HASH ENCRIPTADO CON LA LLAVE PRIVADA EN EL
ESQUEMA ASIMETRICO.
FIRMA DIGITAL
CERTIFICADO DIGITAL
Infraestructura de Llave Pblica (PKI)

Es el marco para emitir, mantener y revocar
los certificados de llave pblica, realizado
por un tercero e quien se puede confiar.
Permite que los usuarios interactuen con
otros y obtengan y verifiquen identidades y
llaves a partir de fuentes confiables
Infraestructura de Llave Pblica (PKI)

Elementos claves del PKI
Certificado digital Contiene la llave pblica e
informacion del propietario.El objetivo es asociar
una llave con la identidad de una persona. Son
documentos electronicos firmados digitalmente por
una entidad confiable que contiene informacin
sobre el individuo
Infraestructura de Llave Pblica

(PKI)
Elementos claves del PKI
Autoridad de Certificacin (CA) Da fe de las
llaves y de la autenticidad del propietario
Autoridad de Registro (RA) Mantiene un
directorio de los certificados para referencia
de quienes lo reciban
Seguridad de Internet
El remitente realiza:
Genera el cdigo de comprobacin a partir del
mensaje.
Encripta el cdigo de comprobacin usando su llave
privada.
Encripta el mensaje y cdigo de comprobacin con
llave secreta.
Consigue la llave pblica del destinatario y verifica
la autenticidad de su certificado digital con una AC.
Encripta la llave secreta con la llave pblica del
destinatario

Seguridad de Internet
El destinatario realiza:
Usa la llave privada para desencriptar la llave secreta
Usa la llave secreta para desencriptar el mensaje y el
cdigo de comprobacin previa
Consigue la llave pblica del remitente y verifica su
cetificado con una AC
Usa la llave pblica del remitente para desencriptar
el codigo de comprobacin previa
Genera un cdigo de comprobacin posterior a partir
del mensaje y compara

Seguridad del correo electronico
El remitente realiza:
Deriva matematicamente el codigo Hash
proveniente del mensaje que esta enviando
Encripta el codigo Hash usando la calve
privada del remitente
Encripta el mensaje con una llave secreta
(llave de sesion)
Encripta la llave de sesion con la llave publica
del destinatario

Seguridad del correo electronico
El destinatario realiza:
Usa la llave privada para desencriptar la llave
secreta
Usa la llave secreta para desencriptar el
mensaje
Consigue la llave pblica del remitente y
verifica para desencriptar el codigo Hash
Calcula Hash y compara y compara
Plan de Continuidad de
Operaciones (BCP)
La disponibilidad es
pieza clave en el
xito de cualquier
iniciativa de
Comercio
Electrnico es por
esto que un Plan de
Continuidad de
Operaciones es
bsico.
Seguridad de la Informacin: Plan

de Continuidad de Operaciones
(BCP)
Preparacin, prueba y
actualizacin de las
acciones requeridas
para proteger los
procesos crticos de
negocio por el
advenimiento de
sucesos
inesperados/fallas en las
redes o sistemas.

de Recuperacin en Caso de
Desastre (DRP)
Declaracin consistente de las
acciones que se debern tomar antes,
durante y despus de un evento que
cause prdida significativa en los
recursos informticos del negocio.

de Recuperacin en Caso de
Desastre (DRP)
Establece los procedimientos
para responder a una
emergencia, la estrategia de
respaldo de operaciones a
seguir durante el desastre,
los procedimientos para
recuperar los procesos.
Anlsis de Vulnerabilidades
Pruebas a los sistemas
expuestos y crticos que
soportan los procesos de
Comercio Electrnico con
el objetivo de identificar
vulnerabilidades que
pudieran permitir el
comprometer ya sea uno,
varios o todos los
sistemas.
Seguridad de la Informacin: Anlsis de

Vulnerabilidades
Sistemas de Deteccin de Intrusos (ID

Vulnerabilidades
COMPONENTES DE UN IDS
SENSORES responsables por
recolectar los datos
ANALIZADORES reciben la
informacion y analizan para
determinar la actividad del intruso
CONSOLA. Que permite visualizar
la informacin
INTERFASE DE USUARIO

Vulnerabilidades
Sistemas de Deteccin de Intrusos (IDS)
Caracteristicas
Deteccin de intrusos
Recoleccion de evidencias sobre la
actividad de intrusos
Respuesta automatizada
Administracin de polticas de
seguridad y monitoreo.
Interfase con herramientas del
sistema

Vulnerabilidades
Sistemas de Deteccin de Intrusos (IDS)
Limitaciones
No ayuda en las siguientes debilidades:
Debilidades en la definicin de polticas
Vulnerabilidades a nivel de aplicativo
Puertas traseras en las aplicaciones
Plan de Respuesta a Incidentes
Siempre existe el riesgo de que los

sistemas puedan ser comprometidos. Es
por esto que se requiere un plan de
respuesta a incidentes que establece los
procedimientos adecuados y las acciones
a tomar en caso de que uno suceda.
Polticas
La Poltica de
Seguridad Informtica
es nuestra primera
lnea de defensa ya
que define la postura
del Negocio en cuanto
al tema de Seguridad
Informtica.
Polticas
Requiere el patrocionio de la
Direccin General, recordar que la
Seguridad Informtica es un aspecto de
Negocio y no puramente Tecnolgico.
Define la estrategia de Seguridad
Informtica y la manera de cumplir los
lineamientos.
Polticas
Un conjunto bien definido de polticas y
procedimientos de seguridad pueden prevenir
perdidas y ahorrar dinero
Las polticas son responsabilidad de la alta gerencia
Polticas
Componentes de una Poltica de
Seguridad
Soporte y Compromiso de la Gerencia

Filosofa de Acceso
Autorizacin de Acceso
Revisiones de la Autorizacin de Acceso
Cumplimiento de la Legislacin y de las
Regulaciones Relevantes
Conciencia de la Seguridad
Administracin de la Seguridad
Separacin de Funciones
Eliminar la posibilidad de
que una sola persona sea el
responsable de todo un
proceso crtico (segregacin
de funciones).
Establecer doble verificacin
y consolidaciones.
Aplicar el concepto de
mnimo privilegio.
Administracin de usuarios
Un nmero importante de violaciones
de seguridad es debido a una mala
administracin de usuarios, as como a
la asignacin de sus privilegios.
Poltica de Contraseas.
Educacin en todo el ciclo de vida
Se requiere que todos los
involucrados en la
planeacin, desarrollo,
prueba, puesta en
produccin y operacin de
las iniciativas de Comercio
Electrnico tengan
conocimientos de
Seguridad Informtica
para que en todo
momento entiendan los
riesgos de las decisiones
tomadas.
Anlisis de Riesgos en todo el ciclo
de vida
Es fundamental realizar anlisis de
riesgos durante la planeacin, desarrollo,
prueba, puesta en produccin y operacin
de las iniciativas de Comercio Electrnico.
Cualquier decisin por mnima que
parezca puede ocasionar graves
problemas en el futuro si no se analiza en
trminos de riesgo.
Monitoreo y Auditora
Procedimientos y
mecanismos
adecuados para el
monitoreo de los
sistemas y las
transacciones que en
estos se realizan
Identificar eventos
inusuales
Seguridad Fsica
Una vez que un
intruso ha logrado
entrar al centro de
cmputo el negocio
puede estar en
grave riesgo.
Generalmente se
utilizan tcnicas de
ingeniera social
para sobrepasar los
controles fsicos.
Actualizaciones de Seguridad
Es indispensable
establecer los
procedimientos
adecuados para
mantener al da los
sistemas expuestos a
Internet y los sistemas
internos que soportan
los procesos crticos.
Tener la informacin o el
servicio cuando se requiera
2.1 APLICACIONES EN
FUNCIONAMIENTO
Riesgos
Controles
APLICACIONES EN FUNCIONAMIENTO
RIESGOS EN LAS APLICACIONES
1. RIESGO DE ACCESO
2.INGRESO DE DATOS
3. ITEMS RECHAZADOS
4. PROCESAMIENTO
5. SALIDA DE INFORMACIN
6. ESTRUCTURA DE SISTEMAS
7. CAMBIO DE SOFTWARE
8. CONTINUIDAD DEL PROCESO
Riesgo: DE ACCESO
ACCESO GENERAL
ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo: DE ACCESO
ACCESO GENERAL:
Personas no autorizadas pueden accesar los archivos o programas
CONSECUENCIAS:
Acceso no autorizado a informacin confidencial

Realizar fraudes o provocar errores por cambios a archivos o
programas.
Sabotear o destruir recursos del rea de sistemas
Copia o robo de programas
Riesgo: DE ACCESO
CONSECUENCIAS(continuacin):
Ingreso de virus
Generacin y distribucin de informacin a personal no autorizado
Riesgo: DE ACCESO
ACCESO A FUNCIONES DE PROCESAMIENTO
Personas no autorizadas pueden accesar las funciones de procesamiento
CONSECUENCIAS
El usuario que modifica tablas y archivos maestros puede tambin
modificar transacciones
Posibilidad de que una persona no autorizada consulte inf.
confidencial
El usuario autorizado a determinados aplicativos modifique otros
Riesgo: INGRESO DE DATOS
Los datos pueden ser incorrectos, incompletos, duplicados o no ingresados

CONSECUENCIAS
Transacciones fraudulentas, duplicadas o incorrectas
Transacciones incompletas
Errores en campos claves
Errores contables
Riesgo: ITEMS RECHAZADOS O EN SUSPENSO
Los datos rechazados o pendientes de procesar pueden no ser identificados,

analizados y corregidos
CONSECUENCIAS
Las transacciones pueden ser omitidas
Pueden ser resueltas sin autorizacin
Pueden ser resueltas en forma inoportuna
Riesgo: PROCESAMIENTO
Las transacciones pueden perderse o procesarse en forma incompleta,

inexacta o inoportuna
CONSECUENCIAS:
Las transacciones pueden ser omitidas
Las transacciones pueden ser procesadas de manera incompleta
Las transacciones pueden ser procesadas en forma inexacta
Perdida de informacin en la transmisin de datos
Pueden ser resueltas en forma inoportuna
CONSECUENCIAS:
Perdida de transacciones por interrupciones en el procesamiento
Falta de confianza en los resultados obtenidos del procesamiento
Generacin y distribucin de repotes incompleto
Errores por deterioro de los medios magnticos utilizados
Riesgo: SALIDA DE INFORMACION
La informacin generada por los sistemas puede ser entregada a personas no

autorizada en el formato que no corresponde o de manera inoportuna
CONSECUENCIAS:
Perdida de confidencialidad de la informacin
Errores en la toma de decisiones
Uso inapropiado de documentos de valor
Perdida de informacin en la transmisin de datos
Inoportunidad en la ejecucin de tareas o decisiones
Riesgo: ESTRUCTURA ORGANIZACIONAL DEL AREA
La estructura organizacional del departamento de sistemas y los procedimientos

operativos no garantizan un ambiente de procesamiento de datos apropiado
para preparar informacin confiable
CONSECUENCIAS:
Concentracin de funciones incompatibles

Cada programador podra utilizar sus propios criterios de programacin
Desarrollo de aplicaciones que no concuerdan con los planes
informticos
Desconocimiento de las aplicaciones
Alta dependencia del personal de sistemas
Inadecuada adquisicin de Software y Hardware
Riesgo:CAMBIOS A LOS PROGRAMAS
Los programadores pueden realizar cambios incorrectos o no autorizados en

el software de aplicacin
CONSECUENCIAS:
Fraudes cometidos por los programadores
Peden surgir errores inadvertidos por cambios no autorizados y/o
no probados
Desconocimiento de cambios hechos y no documentados
Riesgo:CONTINUIDAD DE OPERACIONES
Imposibilidad de recuperar la capacidad de procesamiento ante una interrupcin

CONSECUENCIAS:
Perdida de ingresos ante la interrupcin

Prdida de ventaja competitiva
Prdida parcial o total de informacin
Prdida de clientes o disminucin de penetracin de mercado
Multas y sanciones, por violaciones de normas contractuales, litigios,
etc
CONTROLES PARA LOS RIESGOS DE SISTEMAS COMPUTARIZADOS
CONTROLES EN LAS APLICACIONES
Los controles de las aplicaciones son controles sobre las

funciones de entrada, procesamiento y salida de datos, los
controles deben asegurar.
Que solo se introducen y actualizan, datos completos, exactos,
vlidos y autorizados.
Que se realice el procesamiento adecuado.
Que los resultados del procesamiento satisfagan las expectativas.
Que se mantengan los datos.
Riesgo: DE ACCESO
MEDIOS DE CONTROL
Asegura el acceso por parte de personal autorizado
Software de control de acceso lgico
Anlisis de logs
Control de acceso fsico
Proteccin de datos
Riesgo: ACCESO A FUNCIONES DE PROCESAMIENTO
MEDIOS DE CONTROL
ADECUADA ESTRUCTURA
C AR G O 1
E s c r ib a a q u e l c a r g o
C AR G O 2
C AR G O 3
C AR G O 3

MEDIOS DE CONTROL
Medios de control de acceso
Riesgo: DE ACCESO A FUNCIONES DE PROCESAMIENTO
SEGREGACION DE FUNCIONES
Otorgar acceso solo a quienes no tengan
funciones incompatibles
Impedir accesos no autorizados para asegurar la
separacin
Adecuada
estructura
Software de
control de
acceso
Segregacin
efectiva

CONTROL DE ACCESO
Utilizar medios fsicos como llaves
Protectores de pantalla
Utilizar perfiles y contraseas
Utilizar Menus obligatorios
Restringir usuarios a determinadas
terminales
Dejar Logs

Toda transaccin que vaya a ser procesada
debe ser recibida y registrada correcta y
completamente.
MEDIOS DE CONTROL
Controles de edicin y validacin
Controles de lotes y balanceo de lotes
Doble digitacin de campos crticos
1.Controles edicin y Validacin

Chequeo de secuencia
Lmites
Rango
Verificacin de validez
Verificacin de parmetros
Verificacin de existencia
Razonabilidad
Digito verificador
Campos faltantes (Verificacin de
integridad)
Duplicidad
Correlacin
Digito verificador
Multiplica cada digito por su posicin y
suma
Dividir por el mdulo
El complemento del resto frente al
mdulo es el digito verificador
2.Controles de Lote
Se agrupan las transacciones de entrada
y se calculan totales de control. Se
pueden basar en:
Totales monetarios
Total de registros o elementos
Total de documentos
Totales calculados
Control de datos
Ingreso de datos
nro lote 002

ti[po registro 30
total 2000
nro tipo
lote reg
002 30
003 20
validaciones
total
2000
600
CONCILIACION
Recha
zos
informe
de
control
Acept
ado
DATOS
3.DOBLE INGRESO
COMPARACION
Riesgo: TRANSACCIONES RECHAZADAS O EN SUSPENSO

Los errores que se presenten en el ingreso
deben ser reconocidos y corregidos de
manera oportuna exacta y autorizada
TRATAMIENTO QUE SE LE PUEDE DAR A LOS
ERRORES
Rechazar las transacciones que tengan errores
Rechazar todo el lote de las transacciones
Aceptar el lote pero dejarlo en suspenso
Aceptar el lote y marcar las transacciones que contienen errores
Riesgo: TRANSACCIONES RECHAZADAS O EN SUSPENSO

PROCEDIMIENTO PARA LA CORRECCION DE ERRORES
Registrar los errores
Archivo de error o informe de error
Archivo en suspenso
Correccin oportuna
Ingreso de los datos corregidos
Validacin de las correcciones
Aprobacin de las correcciones
Se debe asegurar la integridad y la exactitud de los datos

acumulados. Aseguran que los datos contenidos en los
archivos sigan siendo completos y exactos hasta el final del
procesamiento
Reclculos manuales
Una muestra de transacciones puede ser calculada
manualmente para asegurar su procesamiento
Edicin
Una subrutina que prueba que los datos ingresados
y procesados por una aplicacin son correctos,
completos y vlidos
Totales de Proceso a Proceso

Verificar los datos a travs de las diferentes etapas
del proceso
Controles Programados
Controles realizados directamente por el software
para detectar e iniciar accin correctiva Ej. Archivo
incorrecto
Verificacin de Razonabilidad de Valores

Calculados
Verificacin en el proceso de la razonabilidad de los
valores calculados
Controles de balanceo
Maestro
Novedad
Maestro
actializado
Controles de rotulos internos de archivos
Abril
Febrero
Marzo
Abril
Controles de transmisin de datos

001
001 001
CONTROLES DE TRANSMISION DE DATOS
Verificacin de paridad (Parity check). Se agrega un bit adicional a
cada carcter antes de la transmisin. El rceptor lo calcula y
compara
Verificacin de suma de bloque (block sum check) Un conjunto
adicional de bits de paridad es agregado al bloque
Verificacin cclica de redundancia (CRC) un solo conjunto de dgitos
de verificacin son anexado al final del marco
Procedimientos de recuperacin
Riesgo: SALIDA DE INFORMAC ION
Se debe proveer garanta de que los datos entregados a los

usuarios sern presentados, formateados y entregados en
una forma consistente y segura
CONTROLES
Registro y almacenamiento de formularios sensitivos y crticos
en lugar seguro
Generacin automatizada de instrumentos negociables,
formularios y firmas debidamente controlada
Distribucin de reportes de acuerdo con los parmetros de
distribucin autorizada, los reportes deben ser registrados
antes de su entrega.
CONTROLES
Control sobre los spooles.
Control en la destruccin de los reportes
Control en la retencin de reportes
Verificacin de recibo de reportes sensitivos
Riesgo: Estructura organizativa
Asegurar operaciones efectivas y eficientes realizadas por personal
calificado y responsable
Medios de control
Segregacin de funciones
en el departamento de sistemas
C AR G O 1
C AR G O 2
C AR G O 3
C ARG O 4
Controles y procedimientos
operativos
Operacin
Sistemas
Medios de control
Segregacin de funciones en el departamento de
sistemas:
Segregacin de las funciones de los usuarios
Segregacin dentro del departamento de sistemas
Administracin de la base de datos
Funciones de programacin
Funciones de operacin
Administrador de seguridad
Medios de control
Controles y procedimientos operativos
* Manuales de operacin
* Controles operativos diarios
. Supervisin
6 AM 2 PM
2 PM 10PM
10 PM
6 AM
Medios de control

. Revision de logs
. Cronogramas de operacin
Medios de control

. Autorizacin de corridas
no programadas
Form 2
Form 1
Medios de control
. Rtulos internos
. Separacin de librerias
Fecha cre
Nombre
Aplicaci
Expiracin
Desarrollo Produccin
Medios de control
* Supervisin de usuarios privilegiados

* Control de software sensitivo
* Controles sobre desarrollo
Riesgo: Cambios a los programas
Garantizar que solo cambios autorizados seran realizados en
los aplicativos
Medios de control
Modificacin
NO
Procedimientos de
Iniciacin, aprobacin
y documentacin
SOLICITUD DEL CAMBIO

Porveniente de fuente autorizada
Completa
Clara
PRUEBAS
Completas
Documentadas
Realizado por las personas apropiadas
Errores corregidos
Certificacin de los resultaddos
DOCUMENTACION
MANUALES DE USUARIO Y DE SOPORTE
Asegurar que la disponibilidad de manuales de
usuario y soporte.
Deben existir diferentes niveles de
documentacin de preferencia magntica
Documentacion tcnica adecuada.
APROBACION
Certificacion
Aprobacin por autoridad competente
Riesgo: Continuidad de operaciones
Asegurar que el negocio continue funcionando en caso de
una interrupcin y sobrevivan a una interrupcin desastrosa
Medios de control
Desarrollar y documentar el plan de contingencias
Procedimientos de backup
Contratos de mantenimiento
Documentacin actualizada de aplicaciones
Utilizar UPS
Convenios de soporte con otras empresas
Polizas de seguros
Habilidad de la Organizacin para

continuar con las operaciones
Planeacin rigurosa y asignacin de
recursos
Reduccin del riesgo de interrupciones
inesperadas para funciones crticas
Asegurar la continuidad del nivel mnimo
de servicio necesario para las
operaciones crticas
Habilidad de la Organizacin
para continuar con las
operaciones
Cubrir todas las funciones y activos
requeridos para continuar como una
organizacin viable
2.3 EXPOSICION Y CONTROLES

AMBIENTALES
Exposiciones y Controles Ambientales

Problemas y exposiciones ambientales
Fuego
Desastres Naturales
ASALTO
ROBO
FRAUDE
ABUSO DE CONFIANZA
ABUSO DE FACULTADES
HECHOS CATASTROFICOS
ERROR
Falla de energa elctrica y subidas de voltaje

Falla del sistema de aire acondicionado
Otros (Corto Circuito, Falla del equipo, Daos
por agua, Amenaza de bomba/ataque)
Asalto robo dao

Qu proteger?
Area de programacin
Sala de los computadores
Consolas y terminales de operador
Magnetoteca/cintoteca
Almacenamiento externo de respaldos
Salas de suministros / almacenamiento
Closet / equipo de comunicaciones
UPS

Qu proteger?
Microcomputadores
Eliminacin de la basura
Central telefnica, telfonos
Equipos porttiles
Impresoras locales / remotas
LAN

Controles para las Exposiciones
Ambientales
CENTRO DE COMPUTO
Ubicacin del C.P.D
Caracteristicas de la instalacion
Estandares de construcin
Controles de acceso
Controles ambientales
Proteccion contra incendios
Proteccin contra innundaciones
Proteccin contra terremotos
Suministro de energia elctrica

Ambientales
Ubicacin del C.P.D
Protegido contra innundaciones, avalanchas
incendios terremoto
Fuera de linea de aproximacion de aviones
Lejos de radares
Lejos de vibraciones de lineas ferreas
Fuera de zonas de disturbio civiles
Con acceso a fuentes de energia electrica

Ambientales
Estandares de construcin
Construcci no infamable
Antisismica
Muebles y separaciones no combustibles
Controles de acceso
Puertas/Exclusas
Controles biomtricos
Circuito de television
Vigilancia

Ambientales
Controles de acceso
Rodeado
de
controlado
barreras
de
acceso
Area sensible dos puntos de control de acceso

Area restringida un punto de control de acceso
El personal advertido sobre restricciones

de acceso
Controlar el uso de tarjetas de acceso
Alarma cuando usan tarjeta no autorizada

Ambientales
Controles Ambientales
Control de temperatura
Equipo de aire acondicionado
Control de humedad
Protector de voltaje
Proteccion contra incendios
Prevencin
Deteccion
Supresion
A nivel mundial el incendio es la catastrofe

mas frecuente aprox 40%

Controles para las Exposiciones Ambientales
Detectores de Agua
Extintores Manuales de Incendios
Alarmas Manuales de Incendios
Detectores de Humo
Sistemas de Supresin de Incendios
Sistemas basados en agua (tubera cargada /
seca)
Sistemas de rociadura automtica de Tubera Seca
Sistemas de Halon
Sistemas de Dixido de Carbono (CO2)
Inspeccin Regular del Depto Bomberos

Paredes, Pisos y Cielorrasos a prueba de incendios
Materiales de Oficina Resistentes al Fuego

Ambientales
Proteccin contra inundaciones
No caerias por encima

Desagues
Cubiertas al lado de equipos
Sensores para el agua
Bombas
para
evacuacion
subterraneas
Proteccin contra terremotos
Construccin antisismica
Cortes de energia
Mobiliario anclado a la pared
en
instalaciones

Controles que reducen el
riesgo
Suministro de energa elctrica
Suministro (UPS)/ Generador de Energa Elctrica
Ininterrumpible
Interruptor de Energa de Emergencia
Lneas de Energa Provenientes de Dos
Subestaciones
Alambrado Colocado en los Paneles Elctricos y
Conductos

Controles que reducen el
riesgo
Prohibicin De Comer, Beber y Fumar
dentro
de
las
instalaciones
de
Procesamiento de Informacin
Planes Documentados y Probados de
Evacuacin de Emergencia
Las vulnerabilidades Top que afectan

a todos los sistemas (G)
G1 - Instalaciones por defecto de sistemas y

aplicaciones
La mayora del software, incluyendo sistemas operativos
y aplicaciones, viene con programas de instalacin. La
meta de estos programas de instalacin es dejar los
sistemas operativos lo ms rpido posible, con la mayor
parte de funciones disponibles o habilitadas, y con la
ayuda de muy poco trabajo por parte del administrador.
Para lograr esta meta, los scripts tpicamente instalan
ms componentes de los que se necesitan en realidad.

G2 - Cuentas sin contrasea o contraseas dbiles

La mayora de los sistemas se encuentran configurados
para usar contraseas secretas como primera y nica
lnea de defensa. Los nombres de usuario (user IDs) son
relativamente fciles de conseguir y la mayora de las
compaas tienen accesos telefnicos que se saltan el
cortafuegos. Es por esto que si un atacante puede
determinar el nombre de una cuenta y su contrasea
correspondiente, l o ella pueden entrar en la red. Dos
grandes problemas lo constituyen las contraseas fciles
de adivinar y las contraseas por defecto, pero an as,
uno mucho mayor son las cuentas sin contrasea.

G2 - Cuentas sin contrasea o contraseas dbiles

En la prctica, todas las cuentas con contraseas
dbiles, contraseas por defecto o contraseas en
blanco deben de ser eliminadas de su sistema.
Adicionalmente, muchos sistemas contienen cuentas
que vienen incluidas o cuentas por defecto. Estas
cuentas generalmente tienen la misma contrasea para
todas las instalaciones del software. Los atacantes
habitualmente buscan estas cuentas ya que son bien
conocidas por su comunidad. Por esta razn, cualquier
cuenta preexistente o por defecto, debe ser identificada
y eliminada del sistema.

G3. Respaldos (backups) incompletos o inexistentes
Cuando ocurre un incidente (y va a ocurrir en casi todas

las organizaciones), la recuperacin requiere respaldos
actualizados y mtodos probados para restaurar la
informacin. Algunas organizaciones hacen respaldos
diarios, pero nunca verifican que stos se encuentren
realmente funcionando. Otros definen polticas de
respaldo, pero no polticas o procedimientos de
restauracin. Tales errores son usualmente descubiertos
despus de que un hacker ha entrado en los sistemas y
ha destruido o arruinado la informacin.

G3. Respaldos (backups) incompletos o inexistentes
Un segundo problema que afecta a los respaldos es la

insuficiente proteccin fsica del medio de respaldo. Los
respaldos contienen la misma informacin sensible que
reside en los servidores, y debe, por lo tanto, ser
protegido de la misma forma.

G4 - Gran nmero de puertos abiertos
Tanto los usuarios legtimos como los atacantes se

conectan a los sistemas por medio de puertos. Cuantos
ms puertos se encuentren abiertos ms formas hay
para que alguien se conecte. Por lo tanto, es importante
mantener abiertos slo los puertos imprescindibles para
que el sistema funcione correctamente. El resto de los
puertos deben ser cerrados.
.

G5 Insuficiente filtrado de los paquetes con

direcciones de inicio y destino inadecuadas
La falsificacin de direcciones IP es un mtodo

comnmente utilizado por los atacantes para cubrir sus
huellas cuando atacan a una vctima. Por ejemplo, el
popular ataque "smurf" hace uso de una caracterstica
de los enrutadores (routers) para enviar una secuencia
de paquetes a miles de mquinas. Cada paquete
contiene una direccin IP de origen que es suplantada
de una vctima. Las mquinas a las que estos paquetes
falsificados son enviados inundan a la mquina vctima
generalmente deteniendo sus servicios o bien

G5 Insuficiente filtrado de los paquetes con

direcciones de inicio y destino inadecuadas
Utilizar un mecanismo de filtrado sobre el trfico que entra en

la red (ingress filtering) y el que sale (egress filtering) le
ayudar a lograr un alto nivel de proteccin. Las reglas para
dicho filtrado son las siguientes:
1. Cualquier paquete que entre en la red no debe tener como
direccin de origen una direccin de la red interna.
2. Cualquier paquete que entre en la red debe tener como
direccin de destino una direccin de la red interna.
3. Cualquier paquete que salga de la red debe tener como
direccin de origen una direccin de la red interna.
4. Cualquier paquete que salga de la red no debe tener como
direccin de destino una direccin de la red interna.

G6 - Registro de eventos (logging) incompleto o

inexistente
Una de las mximas de la seguridad es, "la prevencin es

ideal, pero la deteccin es fundamental". Mientras usted
permita fluir el trfico entre su red y la Internet, la
probabilidad de que un atacante llegue silenciosamente y la
penetre est siempre latente. Cada semana se descubren
nuevas vulnerabilidades y existen muy pocas formas de
defenderse de los ataques que hagan uso de las mismas. Una
vez que usted ha sido atacado, sin registros (logs) hay muy
pocas probabilidades de que descubra qu hicieron realmente
los atacantes.

G6 - Registro de eventos (logging) incompleto o

inexistente
Usted no puede detectar un ataque si no sabe qu est

ocurriendo en la red. Los registros le proporcionan los
detalles de lo que est ocurriendo, qu sistemas se
encuentran bajo ataque y qu sistemas han sido
comprometidos.
El registro debe ser realizado de forma regular sobre todos
los sistemas clave, y deben ser archivados y respaldados
porque nunca se sabe cundo se pueden necesitar. La
mayora de los expertos recomiendan enviar todos los
registros a un recolector central que escribe la informacin en
un soporte que slo admita una escritura, con el fin de que el
atacante no pueda sobreescribir los registros para evitar la
3. ARQUITECTURA DE SEGURIDAD
Definicin
COMPONENTES
La seguridad se basa en:
Autenticacin
Confidencialidad
Disponibilidad
Integridad
No repudiacin
Auditora
Cumplimiento
Definicin
BRECHA DE SEGURIDAD
Definicin
CERRAR LA BRECHA DE SEGURIDAD
Riesgos Informticos
LISTA DE ERRORES DE SEGURIDAD
CONTRASEAS DBILES
ERRORES DE LOS USUARIOS
Abrir archivos adjuntos en el e-mail

Instalacin de protectores de pantalla o juegos no autorizados
No realizar copias de seguridad
Utilizar un mdem cuando se est conectado a una LAN
ERRORES DE LOS EJECUTIVOS DE LAS EMPRESAS

Asignar a gente no preparada la actividad de seguridad
No ser conscientes de la importancia de la seguridad
Llevar a cabo unas pocas soluciones de seguridad y luego no
hacerles seguimiento
Confiar casi nicamente en un firewall
No darse cuenta de la importancia que tiene la reputacin de
su empresa en cuanto a informacin y organizacin
Riesgos Informticos
LISTA DE ERRORES DE SEGURIDAD
ERRORES DE LOS RESPONSABLES DE LA SEGURIDAD

Conectar los sistemas a Internet antes de probarlos
No tener al da los sistemas cuando se encuentren agujeros
Proporcionar a los usuarios contraseas a travs del
telfono, o cambiar las contraseas del usuario en
respuesta a peticiones que no han sido autenticadas
No llevar al da las copias de seguridad
Poner en marcha firewalls con reglas que no restringen el
trfico peligroso entrante o saliente
No tener actualizado el software de deteccin de virus
No educar a los usuarios sobre lo que deben hacer ante un
potencial problema de seguridad.
Arquitectura de Seguridad
Estrategias
Herramientas
Caminos de Acceso
Plataformas
Anlisis de Impacto al Negocio

Identificacin de Riesgos
Clasificacin de Informacin
Auditora
Personal
Alianzas Estratgicas
Polticas
Programa de Conocimiento
Organizacin
Seguridad Fsica
Procesos
Plan de Contingencias
GESTIN DE
RIESGOS
TECNOLOGA
COMPONENTES
MONITOREO &
REPORTAJE
Responsabilidades
Eventos de Rastreo
Proceso
Respuesta
ADMINISTRACIN
Las nueve partes de la seguridad
1. POLTICAS DE SEGURIDAD
1. POLTICAS DE SEGURIDAD
6.Admon de
La seguridad
Control de la
Red
Proteccin
Antivirus
Revision de
vulnerabilidades
5.Control de
seguridad
Deteccin de
Intrusos
4.Conectividad
segura
Comunicaciones
Seguras
VPN
Entrada nica
Administracin
de certificados
Autorizacin y
Autenticacin
2.Identidad
Firewall
3.Seguridad
Del perimetro
Algoritmos
HMD5-SHA
Monitoreo
Certificados y
firmas digitales
Polticas de
acceso
Serv
idor
Tokens
Passwords
SmartCards
Biometra
Polticas de
Seguridad
Plan de Continuidad
Encripcin
HW - SW VPNs
es
PCs
Telecomunicaciones
Auditoria
Ne
g
rkin
o
tw
Integridad
No repudiacin
Fundamentos de Seguridad
Control de acceso
Disponibilidad
Confidencialidad
Autenticacin
Propuesta de Prioridades
Requerimientos de Seguridad en la Empresa
Seguridad Alta
Seguridad Media
Seguridad Baja
Bases de Seguridad
Costos altos, aplicada slo a sistemas crticos
Costos moderados, aplicada a grupos medianos de

Activos importantes
Costos moderados, aplicada a grupos pequeos de
Activos importantes
La seguridad es imposible sin un slido conocimiento
de los activos de seguridad y el flujo de
transacciones

Seguridad Informática

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Seguridad Informática

Загружено:

Авторское право:

Доступные форматы

SEGURIDAD EN

Introduccin a la Seguridad Informtica

La seguridad debe ser adecuada a los riesgos, su probabilidad

Es imprescindible entonces conocer el concepto de riesgo, su

Introduccin a la Seguridad Informtica

La innovacin involucra cambios

Introduccin a la Seguridad Informtica

Introduccin a la Seguridad Informtica

Introduccin a la Seguridad Informtica

Estos riesgos son los de nivel ms general y engloban cualquier otro

La Seguridad Informtica se caracteriza por preservar:

La Confidencialidad: garantiza el acceso a la informacin

La Integridad: salvaguarda la precisin y totalidad de la

La Disponibilidad: asegura que los usuarios autorizados

La Seguridad Informtica se caracteriza por preservar:

Garantizar el cumplimiento de leyes,

asegura el poder establecer responsables

DEFINICION DE SEGURIDAD INFORMATICA

divulgada o modificada sin autorizacin.

FUNCIONES DE LA SEGURIDAD INFORMATICA

Por ejemplo, participando en la

Medidas activas, por ejemplo,

Ya sea en lo fsico como en

Con acciones que permitan

Los problemas que puedan ocurrir desde el interior

Losses are USD average per organization, per year

FACTORES CRITICOS DE EXITO

Actividades, objetivos y polticas de seguridad informtica que

Un enfoque para implementar la seguridad que sea coherente con la

Un buen entendimiento de los requerimientos de la seguridad, de la

FACTORES CRITICOS DE EXITO

Un marketing efectivo de la seguridad para todos los gerentes y

La distribucin de las pautas sobre las normas y la poltica de

Ofrecer educacin y entrenamiento adecuados.

Un sistema equilibrado y completo para evaluar el rendimiento de la

Compromiso y apoyo concretos por parte de la Alta Direccin.

ALCANCE DE ALGUNOS TRABAJOS DE SEGURIDAD

Windows Unix OS/400 OS/390 VMS

RIESGOS EN REDES E INTERNET

Exposiciones del Acceso Lgico

Caballo de Troya Estos implican ocultar cdigo malicioso,

RIESGOS EN REDES E INTERNET

Tcnicas del Salami

RIESGOS EN REDES E INTERNET

son similares a los virus de computadora, pero no se

RIESGOS EN REDES E INTERNET

RIESGOS EN REDES E INTERNET

Agitacin de Datos (Data Diddling)

RIESGOS EN REDES E INTERNET

RIESGOS EN REDES E INTERNET

RIESGOS EN REDES E INTERNET

Consola del operador

Posibles Atacantes a la seguridad:

Analisis de red footprinting crear un perfil

Fisgonear sniffer recoger informacin que

Ataques de fuerza bruta

Modificacion de mensaje, perdida de integridad

Bombardeo y spamming de correo electrnico

Seguridad Informtica desde la

Verificar la adecuacin, fiabilidad, consistencia e integridad

Promover la eficacia y / o eficiencia operacional

Fomentar la adherencia a las polticas establecidas

SW de control de acceso lgico

Software de Control de Acceso (cont.)