Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información / Seguridad
Informática
Fundamentos
https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic
Orígenes
Conceptos
Seguridad de la información
› Preservación de la confidencialidad, integridad y disponibilidad de la información.
(ISO27000,2008. http://www.iso27000.es/glosario.html#section10s)
› La seguridad de la información es una función de negocio. (ISACA, 2008).
› Information security, dos palabras que nos hablan de la esencia misma de la
disciplina en la ciencia de la protección, de los riesgos, de las amenazas, de los análisis
de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles
de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la
creación, uso, almacenamiento, transmisión, recuperación y disposición final de la
información. Hablar de information security es hablar de la fuente misma de la práctica
de control y cuidado de la información en cualquier medio y condición, que busca
ofrecer una vista holística de su relación con procesos, personas y tecnologías
(ISACA Journal, 2011- https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-
Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx)
Seguridad informática
› IT security / Computer Security es la distinción táctica y
operacional de la seguridad. Es la forma como se detallan las
implementaciones técnicas de la protección de la información, el
despliegue de las tecnologías antivirus, firewalls, detección de intrusos,
detección de anomalías, correlación de eventos, atención de incidentes,
entre otros elementos, que—articulados con prácticas de gobierno de
tecnología de información—establecen la forma de actuar y asegurar las
situaciones de fallas parciales o totales, cuando la información es el
activo que se encuentra en riesgo. (ISACA Journal, 2011-
https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-
Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx)
Seguridad informática
› Otra definición aceptable de seguridad informática es: Un conjunto de
métodos y herramientas destinados a proteger la información y por
ende los sistemas informáticos ante cualquier amenaza, un proceso
en el cual participan además personas.
Jorge Ramió Aguirre (Madrid 2006)
Relación Seguridad de la Información y
Seguridad informática
Por lo tanto, no es lo mismo contar con un
director de seguridad informática que con un
director o gerente de seguridad de la
Estratégico Seguridad de la información. Ambos deben mantener una
Información
relación interdependiente, para alinear las dos
vistas de la seguridad: lo técnico y lo
estratégico.
Táctico Seguridad
informática Ambos deben articular un discurso socio-
estratégico que permitan integrar rápidamente
Operativo en el ADN de la compañía, el entendimiento de
la seguridad como un ejercicio natural para
hacer negocios en un mundo móvil,
interconectado y de flujos de información.
Trazabilidad
Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento.
La trazabilidad es esencial para analizar los incidentes, perseguir a los atacantes y aprender de la
experiencia. La trazabilidad se materializa en la integridad de los registros de actividad (por
ejemplo logs). (MAGERIT v3)
Activo de Información
Activo
Un recurso o bien económico propiedad de una empresa, con el cual se obtienen
beneficios. Los activos de las empresas varían de acuerdo con la naturaleza de la
actividad desarrollada. (ISACA, Edgar E. Morrobert, CISA,CRISC)
Activo de información
Recursos, componente o funcionalidad de un sistema de información susceptible de
ser atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
(UNE 71504:2008 - Metodología de análisis y gestión de riesgos para los sistemas de
información - España)
Amenazas
o Causa potencial de un incidente que puede causar daños a un
sistema de información o a una organización. (UNE 71504:2008)
o Las amenazas en el contexto de un sistema informático están
relacionadas con los riesgos que corren el software, hardware y
datos. Las amenazas son de naturaleza EXTERNA.
o Las amenazas a nivel organizacional pueden categorizarse como:
o Criminalidad y Político
o Negligencia y Institucional
Vulnerabilidades
o Una vulnerabilidad se considera de naturaleza INTERNA. Es una
debilidad del sistema de información o de la organización.
o A nivel de un sistema informático las vulnerabilidades también se
pueden presentar a nivel de:
o Hardware. Políticas de protección débiles. Ambientes inadecuados para los
equipos. Componentes de baja calidad o poco confiables.
o Software. Sistema de licenciamiento y activación poco robusto. Programación
deficiente.
o Datos. Credenciales de usuarios (contraseñas débiles). Datos importantes o
críticos sin cifrar.
Vulnerabilidades
Amenazas a un sistema informático
Interrupción
o Una parte del sistema resulta destruida o no disponible en un
momento dado.
o Ejemplos:
o Destrucción de una componente del hardware
o Borrado de datos.
Amenazas a un sistema informático
Interceptación
o Una entidad (persona, programa) no autorizada accede a
información, utilizando privilegios no asignados. Dificil detección.
o Ejemplos:
o Sniffing (escucha de datos)
o Escuchas de canales telefónicos.
Amenazas a un sistema informático
Modificación
o Una entidad (persona, programa) no autorizada accede a
información, utilizando privilegios no asignados; pero además,
altera o modifica la información o los componentes del sistema.
o Ejemplo:
o Modificación de bases de datos (planillas, cuentas bancarias, etc.)
Amenazas a un sistema informático
Generación o Fabricación
o Generación de nuevos objetos o datos dentro del sistema o
información.
o Ejemplos:
o Adición de registros en una base de datos
Interrupción Pérdida
Interceptación Acceso
Modificación Cambio
Generación Agregación
Amenazas a un sistema informático
Otras amenazas
o Además de las amenazas mencionadas, también se consideran aquellas que son del
entorno, de carácter ambiental.
o Ejemplos:
o Hardware
o Humedad, agua, energía eléctrica (picos de voltaje), polvo, fuego.
o Software
o Borrado accidental o intencionado, copias ilegales, fallas en los discos duros, estática.
o Datos. Tiene las mismas amenazas que el software. Pero hay dos aspectos
importantes:
o No tienen valor intrínseco (su interpretación, si)
https://www.youtube.com/watch?v=cf3zxHuSM2Y
Tipos de ataques
Los ataques son las amenazas materializadas.
o Ataques de reconocimiento
o Escucha clandestina (sniffing).
o Análisis de tráfico
o Captura de datos.
o Ataques de acceso
o Usurpación o robo de identidad (spoofing).
o Ataques de fuerza bruta para contraseñas.
o Ataques de Denegación de Servicio (DoS)
o Ataques de spam
o Virus, gusanos.
o Ataques de inundación (flooding)
o Ataques de Ingeniería Social
Ataques a infraestructuras de red
oAtaques ARP
o Envenenamiento de tablas ARP.
o Hombre en el medio (man-in-the-middle)
oAtaques de Fuerza Bruta
o Ataques por diccionario.
oMalware
o Gusanos
o Botnets
oFlooding
o Contra tablas MAC
o Contra servicios http, ftp, etc.
Ataques a infraestructuras de red
oSniffing
oSpoofing
o DNS
oAtaques de redireccionamiento
o Redirección de puertos.
oAtaques de Tunneling.
o DNS
o SSL
Ataques contra Aplicaciones y BD.
oInyección de código (SQL, Java, etc.)
oEjecución remota de código (RCE)
oCross Site Scripting (XSS)
oDiccionario y fuerza bruta
oDeserialización de código
oFalsificación y Phishing
oExfiltración
oDefacement
El primer virus
Ojo, la creación de virus tuvo origen años antes con virus Brian A.
para computadoras personales (PC).
El primer spam
El primer mensaje de
spam distribuido se dio
en la Agencia de
Proyectos de
Investigación Avanzada
de Red (ARPANET) en
1978.
Análisis de Riesgos
o Proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una Organización.
Gestión de riesgos
o Selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados.
o El análisis y gestión de riesgos no es un FIN en si mismo, es parte
de las actividades de GESTION DE LA SEGURIDAD.
o Se pueden aplicar estándares o marcos de referencia para el
análisis de riesgos como:
o MAGERIT
o ISO/IEC 27005
o RISK-IT de COBIT
o OCTAVE
o Etc.
Análisis de Riesgos
• Recursos del sistema de información o relacionados con
Determinar Activos éste, necesarios para que la Organización funcione
correctamente y alcance los objetivos propuestos
Grado de degradación
Totalmente degradado
Parcialmente degradado
Valoración de la
amenaza
Riesgo potencial
› zona 1 – riesgos muy
probables y de muy alto
impacto
› zona 2 – franja amarilla:
cubre un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables
pero de impacto bajo o muy
bajo
› zona 3 – riesgos improbables
y de bajo impacto
› zona 4 – riesgos improbables
pero de muy alto impacto
Una herramienta básica para el análisis
de riesgos
o Una herramienta básica en formato de hoja de cálculo, disponible
para OpenOffice y MS-Office, que permite realizar un análisis de
riesgo sencillo pero efectivo para el entendimiento de este tema.
o La herramienta se denomina MATRIZ DE ANALISIS DE RIESGOS
o Link de descarga: http://protejete.wordpress.com/descargas/
Matriz de Riesgos (1)
o La Matriz la basé en el método de Análisis de Riesgo con un grafo
de riesgo, usando la formula:
Riesgo = Probabilidad de Amenaza x Magnitud de Daño
o La Probabilidad de Amenaza y Magnitud de Daño pueden tomar
los valores y condiciones respectivamente:
– 1 = Insignificante (incluido Ninguna)
– 2 = Baja
– 3 = Mediana
– 4 = Alta
Matriz de Riesgos (2)
› El Riesgo, que es el producto de
la multiplicación Probabilidad de
Amenaza por Magnitud de Daño,
está agrupado en tres rangos, y
para su mejor visualización, se
aplica diferentes colores.
– Bajo Riesgo = 1 – 6 (verde)
– Medio Riesgo = 8 – 9 (amarillo)
– Alto Riesgo = 12 – 16 (rojo)
Matriz de Riesgos (3)
Determinación de Salvaguardas
Identificado los riesgos y la zona ROJA, se deberán
establecer las acciones correctivas o preventivas, por
ejemplo:
– A nivel estratégico, Implementar la ISO/IEC 27001. Sistema de Gestión de la
Seguridad de la información.
– A nivel estratégico, actualizar las políticas y procedimientos de gestión de la
seguridad de la información.
– A nivel táctico-operativo, ajuste de los sistemas de infraestructura de red.
– A nivel táctico-operativo, configuración adecuada de los sistemas de
protección (firewalls, antivirus, IDS/IPS, ACLs, etc.)
– A nivel táctico-operativo, aplicación de los controles de la ISO/IEC 27002.
– Entrenamiento y concienciación de las personas de la organización.
– Etc.
Tratamiento del Riesgo
oAceptar el riesgo
o No hacemos nada, asumimos el riesgo.
oTransferir el riesgo
o Se puede adquirir un seguro.
oEliminar el riesgo
o Eliminar el activo.
oMitigar el riesgo
o Aplicar las salvaguardas definidas.
Otras herramientas para el Análisis de
Riesgos
oPILAR (MAGERIT)
o https://www.ccn-cert.cni.es/soluciones-seguridad/ear-pilar.html
oRiskyProject Professional
o http://intaver.com/products/riskyproject-professional/
oRisk Watch
o https://riskwatch.com/
oCERO
o https://www.riesgoscero.com/soluciones/assessment
Información de Identificación
Personal (PII) y la Privacidad
Video TED: ¿Por qué me vigilan, si no soy nadie? | Marta
Peirano
https://www.youtube.com/watch?v=NPE7i8wuupk
Seguridad Vs. Privacidad
o La seguridad está orientada a la protección de información y
sistemas de una organización, como hardware, software, aspectos
de gestión, entre otros.
o La privacidad está orientada a la confidencialidad y protección de
datos e intimidad de las personas.
Vamos a proteger su identidad!!
¿Qué es PII? (1)
o PII es cualquier información sobre un individuo mantenida por
alguna institución gubernamental o privada, que incluye:
o Cualquier información que pueda usarse para distinguir o
rastrear la identidad de un individuo, como nombre, número de
seguro social, fecha y lugar de nacimiento, registros biométricos,
etc.
o Cualquier otra información que esté vinculada a un individuo,
como información médica, educativa, financiera y laboral
o Los ejemplos de PII abarcan desde el nombre o la dirección de
correo electrónico de una persona hasta los registros financieros y
médicos de una persona o su historial criminal.
¿Qué es PII? (2)
o Para distinguir a un individuo es identificar al individuo. Algunos ejemplos
de información que podría identificar a un individuo incluyen, pero no se
limitan a, nombre, número de pasaporte, número de identidad nacional o
datos biométricos.
o Rastrear a un individuo es procesar información suficiente para tomar una
determinación sobre un aspecto específico de las actividades o el estado de
un individuo. Por ejemplo, un registro de auditoría que contenga registros
de las acciones del usuario podría usarse para rastrear las actividades de
un individuo. También algunas publicaciones en las redes sociales.
o La información vinculada es información sobre o relacionada con un
individuo que está lógicamente asociada con otra información sobre el
individuo. Por ejemplo, si dos bases de datos contienen diferentes
elementos PII, entonces alguien con acceso a ambas bases de datos puede
vincular la información de las dos bases de datos e identificar a las
personas, así como acceder a información adicional sobre las personas
relacionadas con ellas. Ej. Base de datos de vehículos y datos de tarjetas
de crédito
Ejemplos de PII (1)
La siguiente lista contiene ejemplos de información que pueden ser
considerados PII:
o Nombre, nombre completo, nombre de pila.
o Número de Identidad Nacional (DNI), número de pasaporte, número
de licencia de conducir, número de registro de contribuyente (por ej.
RUC), Número de Seguro de salud, número de tarjeta de crédito.
o Información de Dirección, como dirección de calle o dirección de
correo electrónico.
o Información de activos, como Dirección IP, Dirección MAC,
direcciones de otros host específicos asociados a un individuo o
grupo.
Ejemplos de PII (2)
La siguiente lista contiene ejemplos de información que pueden ser
considerados PII:
o Número telefónicos, incluido móvil, laboral o números personal o de casa.
o Características personales, incluido fotografía, huella digital, rayos-x, u otros
datos biométricos (Por ej. escaneo de retina, firma de voz, geometría facial,
etc.)
o Información de propiedad, como número de registro de vehículos, títulos de
propiedad, entre otros.
o Información sobre un individuo que está vinculado o vinculable a uno de los
anteriores (por ejemplo: fecha de nacimiento, lugar de nacimiento, raza,
religión, peso, actividades, indicadores geográficos, información laboral,
información médica, información educativa, información financiera, etc.)
PII y prácticas de uso de información
o La protección de PII y la privacidad de la información en general son
inquietudes tanto para las personas cuya información personal está
en juego como para las organizaciones que pueden ser
responsables o tener su reputación dañada si dicha PII se accede,
utiliza o revela de manera inapropiada.
o El tratamiento de PII es distinto de otros tipos de datos porque no
solo debe protegerse, sino también recopilarse, mantenerse y
difundirse de acuerdo con la ley de protección de datos personales
(Ley 29733).
o Las Directrices de privacidad de la Organización para la Cooperación
y el Desarrollo Económico (OCDE) son los principios de privacidad
más ampliamente aceptados, de las cuales muchos países adoptan
para su dominio nacional.
PII y prácticas de uso de información
En la UNIÓN EUROPEA:
o GDPR, por sus siglas en inglés
(General Data Protection
Regulation), o RGPD por sus
siglas en español (Reglamento
General de Protección de Datos)
http://gdprpdf.org/gdpr-rgpd-ley-completa
Principios básicos de práctica justa de PII
1. Principio de limitación de recopilación
– Deberán existir límites para el recojo de datos personales y cualquiera de estos
datos deberán obtenerse con medios legales y justos y, siempre que sea
apropiado, con el conocimiento o consentimiento del sujeto implicado.
2. Principio de calidad de los datos
– Los datos personales deberán ser relevantes para el propósito de su uso y, en
la medida de lo necesario para dicho propósito, exactos, completos y actuales.
3. Principio de especificación del propósito
– El propósito del recojo de datos se deberá especificar a más tardar en el
momento en que se produce dicho recojo, y su uso se verá limitado al
cumplimiento de los objetivos u otros que no sean incompatibles con el
propósito original, especificando en cada momento el cambio de objetivo.
Principios básicos de práctica justa de PII
4. Principio de limitación de uso
– Los datos personales no deben divulgarse, ponerse a disposición o usarse de otro modo para
fines distintos a los especificados, excepto con el consentimiento del interesado o por la
autoridad de la ley.
5. Principio de transparencia
– Deberá existir una política general sobre transparencia en cuanto a evolución, prácticas y
políticas relativas a datos personales. Se deberá contar con medios ágiles para determinar la
existencia y la naturaleza de datos personales, el propósito principal para su uso y la identidad
y lugar de residencia habitual de quien controla esos datos.
6. Principio de participación individual: Todo individuo tendrá derecho a:
– que el controlador de datos u otra fuente le confirme que tiene datos sobre su persona;
– que se le comuniquen los datos relativos a su persona en un tiempo razonable; a un precio, si
existiese, que no sea excesivo; de forma razonable; y de manera inteligible;
7. Principio de salvaguarda de la seguridad
– Se emplearán salvaguardias razonables de seguridad para proteger los datos personales
contra riesgos, tales como pérdida, acceso no autorizado, destrucción, uso, modificación o
divulgación de los mismos.
Exponiendo nuestros datos
Exponiendo nuestros datos
Exponiendo nuestros datos
Exponiendo nuestros datos
Exposición de dispositivos
Exposición de dispositivos
Exposición de dispositivos
Exposición de dispositivos
Exposición de dispositivos
Actividad 01 – Análisis de Riesgos
oRealizar el análisis de riesgos de su empresa o
institución.
oIndicaciones generales:
o Adecuar la plantilla de la matriz de riesgos a la realidad de
cada caso. Considerar el catálogo de MAGERIT para los
activos.
o Formular las salvaguardas para cada caso y por prioridades.
o Determinar qué tipo de tratamiento de riesgo está aplicando a
cada caso.
o La actividad es individual o grupal (3 personas)
o Tiempo estimado: 4 horas.
o Entregable: Matriz + Informe.
o Exposición: 5 minutos.
Seguridad de la
Información / Seguridad
Informática
Fundamentos