Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agenda
Mg. Andrés Alberto Gómez Acosta
FORMACIÓN ACADÉMICA
Ingeniero de Sistemas
Especialista en Gerencia de información
Candidato a Magister en Gestión de la Información y el Conocimiento
Bruce Schneier
Las empresas invierten millones en firewalls, cifrado y
dispositivos para acceder de forma segura, y es dinero
malgastado, porque ninguna de estas medidas corrige el
nexo más débil de la cadena.
Kevin Mitnick
La seguridad no es un producto, es un proceso
Bruce Schneier
Atributos o Dimensiones
Atributos o Dimensiones: Las dimensiones de un activo tienen
que ver con las características de la información que se deben
precisar o valorar, los tres comunesson:
Calcular HASH
Sha1sum imagen.jpeg
CIFRADO SIMETRICO Y ASIMETRICO CON GPG
$ gpg documento_cifrado.gpg
CIFRADO SIMETRICO Y ASIMETRICO CON GPG
$ gpg --gen-key
$ gpg documento.asc
CIFRADO SIMETRICO Y ASIMETRICO CON GPG
$ gpg documentoafirmar.asc
¿Qué es Google Hacking?
Cámaras de seguridad:
• Vulnerabilidades de día 0
• Es diferente de detección de
vulnerabilidades
• Es diferente de Ethical Hacking
• Es una de las medidas básicas de
seguridad
• Implica la detección, remoción y
control del riesgo generado por las
vulnerabilidades mediante el uso de
herramientas y workflows que
ayudan a minimizar los riesgos de
explotación
GESTION DE VULNERABILIDADES
Elementos básicos
• Políticas
• Inventario
• Priorización
Búsqueda de vulnerabilidades
• Identificación deamenazas
• Métricas deriesgo
• Remediación
• Revisión deimpacto
• Cumplimiento depolíticas
GESTION DE VULNERABILIDADES
GV Políticas de Seguridad
GV Políticas de Seguridad
• Activos
– Que activos serán incluidos en la GV
– Ancho de banda disponible
– Segmentos de red dónde están ubicados
los activos
– Cómo llegar a revisar los activos incluidos
– Cuándo es conveniente efectuar revisiones
• Servicios
– Identificar y proveer el mínimo suficiente
GESTION DE VULNERABILIDADES
Priorización
• Clasificación deactivos
• Clasificaciónde información
• Por unidadesde negocio
• Porprocesos productivos
• Por uso
GESTION DE VULNERABILIDADES
Búsqueda de Vulnerablidades
• Por severidad
• Por sistemasoperativos
GESTION DE VULNERABILIDADES
Búsqueda de Amenzas
• ISO27001
• SOX
• HIPAA
• Sarbanes−Oxley
• FISMA
• PCI
• COBIT
• ITIL
GESTION DE VULNERABILIDADES
Buenas prácticas en GV
• Descubra susactivos
• Clasifíquelos
• Revise todos los
segmentos de red
• Efectúe revisiones constantes y
detalladas
• Revise los reportes técnicos y
gerenciales
• Priorice, ejecute de manera
continua las medidas de
remediación
GESTION DE VULNERABILIDADES
¿Porqué GV?
• http:ƒƒwww.cert.org
• NIST: Creating a Patch and Vulnerability Management Program,
http:ƒƒcsrc.nist.govƒpublicationsƒnistpubsƒ800−40−Ver2ƒSP800−40v2.pdf
• http:ƒƒwww.ocio.usda.gov: USDA Vulnerability ScanProcedures
• Curing the Patch Management Headache: Felicia M Nicastro
• Integrated Risk and Vulnerability Management Assisted by Decision Support Systems: Relevance
and Impact on Governance (Topics in Safety, Risk, Reliability and Quality) : Adrian V.Gheorghe
Mg. Andrés Alberto Gómez Acosta
E-mail: andresgomezacosta@gmail.com
andresgomez1703@correo.itm.edu.co
Cel/Whatsapp: 300 6201078