Introducción

a la seguridad

Flag Solutions S.L.

http://www.flagsolutions.net
 Planteamiento del tema

1. Definición
2. La seguridad en cifras
3. Aspectos de la seguridad
4. Ámbito del máster
5. Comentarios
 Definición

Definiciones RAE:
- Seguridad: cualidad de seguro.
- Seguro: libre o exento de todo peligro, daño o riesgo.

- No es un estado
Seguridad - Es un proceso continuo
- Es una disciplina
 Planteamiento del tema

1. Definición
2. La seguridad en cifras
3. Aspectos de la seguridad
4. Ámbito del máster
5. Comentarios
La seguridad en cifras
El informe de CSI-FBI2006: participantes
CSI-FBI2006: participantes 2
CSI-FBI2006: participantes 3
CSI-FBI2006: encargados de responder…

OJO
CSI-FBI2006: inversión en seguridad
CSI-FBI2006: inversión en el personal
CSI-FBI2006: promedio inversión en
personal
CSI-FBI2006: contratación externa de
personal de seguridad
 Un inciso…

• El 32% de los que han respondido no

tienen relación inicial con la seguridad.
• La tasa de outsourcing es muy baja.
• El 47% de las empresas invierten menos
de un 2% en seguridad.
• El 25% de las empresas tienen unos
presupuestos inferiores a 10M$...
 Ergo…

• Existe una
desproporción
entre los recursos
dedicados a la
seguridad y a la
producción.

Veamos por qué

CSI-FBI2006: funciones externalizadas
CSI-FBI2006: Accesos no autorizados a
ordenadores

¿No revisan
los logs?
CSI-FBI 2006: Recuento de incidencias
 CSI-FBI 2006: Recuento “estadístico”

Recuento 1 Recuento 2 No saben Total

2006 144 600 28 772
2005 129 760 28 917
2004 141 800 22 963
2003 114 800 26 940
2002 126 800 23 949
2001 99 960 31 1090
2000 99 920 31 1050
1999 102 880 29 1011
CSI-FBI 2006: Recuento estadístico 2
CSI-FBI 2006: Pérdidas por amenaza
interna
CSI-FBI 2006: Evolución de tipos de
ataques
CSI-FBI 2006: Ataques recibidos en la Web
CSI-FBI 2006: Pérdidas ocasionadas por
tipo de incidente
CSI-FBI 2006: Técnicas de seguridad
aplicadas
CSI-FBI 2006: Evaluación de la seguridad
CSI-FBI 2006: Aspectos considerados de
interés para la formación

¿Qué seguridad se
estudia
normalmente en la
facultad?
CSI FBI 2006: Acciones ante intrusiones
 Reflexiones sobre CSI-FBI 2006.

• Los virus siguen siendo la mayor

amenaza.
• Las pérdidas han bajado porque “los
encuestados no quieren responder”.
• Las denuncias no son muchas por el
“miedo a la noticia” y su impacto.
• La gran mayoría considera importante la
formación en seguridad.
 Planteamiento del tema

1. Definición
2. La seguridad en cifras
3. Aspectos de la seguridad
4. Ámbito del máster
5. Comentarios
 Seguridad: objetivos
Elementos a proteger:
Disponibilidad

Confidencialidad

Integridad

Autenticidad
 Seguridad: amenazas

Cuales son las amenazas?

Interrupción

Intercepción

Modificación

Fabricación
Seguridad: amenazas

Disponibilidad
Interrupción

Confidencialidad
Intercepción

Modificación
Integridad

Autenticidad
Fabricación
El origen de los riesgos
• Sistemas operativos
con protección
deficiente??.
• Redes
implementadas de
forma no segura??.
• Servicios y
software
programado de
forma insegura??.

Telefónica I+D –
24/oct/2005
 Caracterización de los atacantes

• Hacker: burlar la seguridad

de los sistemas.
• Cracker: forzar las
cerraduras (software).
• Crasher: romper los
sistemas.
• Phreacker: aprovechar las
comunicaciones.
• Phisher: suplantación de
personalidad para banca.
 Atacantes potenciales

• Usuarios con acceso al sistema

• Usuarios sin acceso al sistema

• Buenas prácticas: uso de

perfiles para administración. No
usar administración a mano.
 Adecuación del curso a los estándares

• Estándares y metodologías de aplicación

a la materia:
– ISO-IEC 27000: 2005
• Qué debe cumplir la organización para
certificarse.
– OSSTMM (Open Source Security Testing
Management Metodology).
• Cómo comprobar si la organización cumple esos
requisitos.
 Justificación del temario de Certyred con
estándares y metodologías

Materia ISO27000 OSSTMM

Seguridad física A9 Sección F
Planificación de ataques A11 Sección A
Seguridad en sistemas A10,A5-A8 Sección C y D
Seguridad de redes A11 Sección C y E
Seguridad Web OWASP
Protección de aplicaciones No contemplado
 Metodología de las clases

• Combinación teórica fundamental, y

práctica.

Contínuamente!!
 Las herramientas del hacker

• Editores de texto.
• Sniffers.
• Escaneadores de puertos.
• Analizadores de vulnerabilidades.
• Navegadores web.
• Proxys de aplicación.
 Las herramientas del hacker (II)

• Profundo conocimiento de la tecnología.

• Sentido común.
• Uso de google.
 Los 7 pecados capitales de la seguridad

Opps… lo siento, me equivoqué de diapositiva ;-)

 Los 7 pecados capitales de la seguridad
informática y el trabajo (Sophos Security)

• Descargar música o películas.

• Abrir documentos adjuntos o hacer clic en enlaces de
mensajes no solicitados.
• Visitar paginas Web porno o de contenido ilícito.
• Abrir programas de broma enviados por amigos o
compañeros de trabajo.
• Instalar programas no autorizados o complementos
del navegador Web
• Proporcionar informaciones personales a
desconocidos por teléfono o email.
• Reutilización de contraseñas.
 Los enemigos del sysadmin

• La pereza.
• Los despistes.
• La confianza.
• La ignorancia.
 La seguridad está de moda

• Explosión del mercado tecnológico.

• El boom (y el crack) de las .com …
• Alta demanda de recursos humanos por
parte de las empresas.
• Baja oferta de recursos humanos por
parte de los trabajadores cualificados.
 Las bases del juego

• Todo software puede tener problemas.

• Toda configuración puede tener
problemas.
• Diariamente se publican nuevas
vulnerabilidades.
• Protocolos muy confiados y flexibles.
• Administradores torpes, poco
cualificados o vagos.
 Objetivos de este curso

• Conocer las principales técnicas de

ataque.
• Conocer la forma de defenderse de los
mismos.
• Desarrollar un “sexto sentido” en el
ámbito de la seguridad.
 Correspondencia con la versión online

Seguridad en Programación
redes y sistemas segura

Auditoría Aspectos legales

 Correspondencia con la versión online

Seguridad en sistemas y redes

Seguridad Seguridad
Seguridad
de de
física
sistemas redes

Acceso físico Seguridad en el arranque Gestión de información

Desastres naturales Malware Ataques típicos a redes

Seguridad local Mecanismos de protección
Riesgos del entorno (Firewalls, IDS, Honeypots)
Seguridad en los sistemas
Protección de los datos de archivos Medidas de prevención
Radiación Análisis forense Redes inalámbricas
Electromagnética
 Correspondencia con la versión online

Seguridad en Programación
redes y sistemas segura

Auditoría Aspectos legales

 Correspondencia con la versión online

Desarrollo de aplicaciones seguras

Desarrollo Seguridad
Ingeniería
y diseño de
inversa
seguro aplic. Web

Protección del software Desbordamientos de Perfilado de aplicaciones

buffer
Métodos comerciales Principales ataques
de protección Condiciones de
Detección de ataques
carrera
Debilidad en las
Prevención de ataques
protecciones Cadenas de formato
Diseño y desarrollo seguro
Estudio de programas Validación de entradas
sospechosos
Escribir aplicaciones
seguras
 Correspondencia con la versión online

Seguridad en Programación
redes y sistemas segura

Auditoría Aspectos legales

 Correspondencia con la versión online

Auditoría de seguridad
Auditoría
Normativa
ISO
informática
17799

Metodologías de Sistemas de gestión de seguridad

evaluación de sistemas de la información
Auditorías de seguridad Las 10 áreas de control de la
normativa
OSSTMM
Los 10 objetivos de control
Protección de datos y
de la información La implementación de la normativa
Mil disculpas por “el tostón”