Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivo de la Seguridad
Gente
Procesos
Infraestructura
EL TRIÁNGULO PERFECTO DE LA SEGURIDAD
• Programa de Concientización
• Políticas de Seguridad
• Para todos los empleados.
• Aterrizadas mediante procedimientos.
• Vigiladas constantemente.
• Tecnología de seguridad
• Firewalls, Detectores/Preventores de Intrusos, Sistemas de filtrado,
Antivirus/Antispyware, Sistemas de Autenticación y Control de
Acceso, Encriptación, firma electrónica, etc.
¿POR QUÉ ES IMPORTANTE INVERTIR EN
SEGURIDAD INFORMÁTICA?
• Transacciones fraudulentas
http://www.oas.org/es/centro_noticias/comunicado_prensa.asp?sCodigo=C-082/17
LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD
Gente
Programa de concientización y entrenamiento.
• Un adecuado programa de concientización y entrenamiento,
genera la cultura de la importancia de la seguridad de la
información en la GENTE, ayuda a cambiar hábitos malos por
hábitos buenos, provoca que la gente se comprometa con la
seguridad de la información, porque la gente es la única que
hace cambios en la empresa.
• “La GENTE ES LA LLAVE, las empresas no cambian -la gente
cambia-, entonces, la gente cambia a las empresas”.
LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD
Gente
• Modificar hábitos inseguros en la operación diaria.
• Capacitar a un grupo de entrenadores líderes en la cultura de la
seguridad, quienes a su vez concientizarán al personal de la
CFE sobre los riesgos de no utilizar prácticas de seguridad.
• Diseñar e implantar un programa de comunicación a través de
medios de comunicación como: carteles, correo electrónico,
protectores de pantalla y trípticos, para fomentar la cultura a
toda la CFE.
Capacitación.
• Formar a personal representativo de la CFE en temas
especializados de seguridad informática, con base en las
necesidades de los tres planos (gente, procesos e
infraestructura).
LOS OBJETIVOS DE ESTAR CONECTADOS CON
SEGURIDAD
Procesos
Normatividad.
•Desarrollar los procedimientos que darán cumplimiento al manual
de políticas con que actualmente cuenta la CFE.
Tablero de control.
•Proporcionar una herramienta informativa que despliegue el
avance en la implantación de políticas y controles de seguridad en
la red de datos.
Infraestructura
SOC
•Administrar, monitorear, controlar, manejar incidentes de
seguridad y brindar soporte centralizado.
ZONAS SEGURAS
•Definir los lineamientos y controles de los sistemas y redes de la
CFE para reforzar la seguridad con diferentes tecnologías como
firewalls, detectores de intrusos, filtrado de contenido y VPN.
ENDURECIMIENTO
•Desarrollar y aplicar guías de configuración segura a una muestra
de equipos para prevenir ataques o amenazas de seguridad.
¿QUIÉNES DEBEMOS PARTICIPAR EN
CUIDARLA?
3-Ciberseguridad1-4
SITUACIONES COTIDIANAS
Prácticas inseguras:
• No participar en “cadenas”
4-Ciberseguridad 2-4
RIESGOS ASOCIADOS CON LA GENTE
Vulnerabilidad
•Falta de capacitación a los usuarios “La vulnerabilidad es
una debilidad en un
recurso el cual puede
•Desconocimiento de las políticas al ser explotado para violar
ingreso (firmarlas) el comportamiento
normal del mismo.”
•Falta de un adecuado programa de
seguridad
• Ataques activos:
• Implantación de virus, caballos de Troya, etc.
• Provocación de caídas de servidores
(negación del servicio).
7-Robo_de_la_informacion
RIESGOS ASOCIADOS CON LA GENTE
Algunos controles
• Portar gafetes, en general normar el acceso a
edificios y zonas de la empresa.
• Ausencia de normatividad
• Caducidad
• Asignación de contraseñas
Objetivos
Contraseñas difíciles de adivinar.
“Todos los usuarios de sistemas de cómputo deben elegir
contraseñas que no sean fácilmente adivinadas. Esto significa que
las contraseñas no deben estar relacionados al trabajo
desempeñado o a la vida personal del empleado. Por ejemplo, no
deben ser usadas fechas de nacimiento, nombres
Definicion
La Ingeniería social es la
práctica de obtener
información confidencial a
través de la manipulación
de usuarios legítimos. ... El
principio que sustenta
la ingeniería social es el
que en cualquier sistema
"los usuarios son el
eslabón más débil"
INGENIERÍA SOCIAL
8-Una_demostración_IS
INGENIERÍA SOCIAL
• Sangre fría.
INGENIERÍA SOCIAL
Empresa o persona Llamada a la recepcionista y de ahí a Hacerse pasar por otra persona
objetivo. distintos deptos., proveedores, etc. (soltando información que lo pruebe o
–incluso- contestando las preguntas
Determinar la Visita personal. Navegar por página
en forma natural).
estrategia general Web.
Forma(s) de recabar Establecer el escenario (la historia)
Buscar en la basura. Preguntarle a los
información para:
de limpieza
(telefónica, visita,
Pedir ayuda (P.ej. Preguntar por
revisión de basura, Objetivos:
cierta información; hacer que realice
hackeo vía Internet)
+ Construir organigrama. alguna acción).
+Datos “únicos”: El jefe está en Solicitar ayuda (“Podemos revisar su
París. La red acaba de ser migrada, cuenta ...”).
etc.
Ordenar algo a un subordinado
+ Saber terminología y (sobre todo en la milicia o en el
procedimientos propios de la empresa. gobierno).
9-2da_demostracion_IS
INGENIERÍA SOCIAL
Kevin D. Mitnick
Fue el pirata informático más buscado por el FBI. Después de cumplir una
condena cinco años por entrar a las computadoras de varias empresas y
dependencias oficiales estadounidenses -entre ellas el Pentágono y el FBI-,
hoy se dedica a dar conferencias sobre el “arte del engaño”.
INGENIERÍA SOCIAL
Frank W. Abagnale
Frank W. Abagnale, fue uno de los estafadores, falsificadores, impostores y
artistas de la fuga más atrevidos de la historia. En su breve pero notoria carrera
criminal, Abagnale se enfundó el uniforme de piloto y copiloto un jet de la Pan
Am, se hizo pasar por médico en un hospital, ejerció de abogado y profesor
universitario de sociología sin título y se embolsó dos millones y medio de
dólares falsificando cheques, todo ello antes de cumplir los veintiún años.
Recomendaciones generales
“Pedir un favor a un colega o a un subordinado es una práctica
común. Los ingenieros sociales saben cómo explotar nuestro
deseo de ayudar y ser un buen jugador en equipo. Un atacante
explota este deseo natural para engañar a los empleados a hacer
lo que le convenga para su objetivo. Es importante entender este
concepto sencillo, de esa forma usted tendrá más posibilidades de
reconocer cuando otro trate de manipularlo”.
• Transmiten el mensaje:
“La seguridad no es un proyecto, es un proceso continuo
responsabilidad de todos”
PROGRAMA DE CONCIENTIZACIÓN
• Win.Worm.Pykspa
• Win.Trojan.Pykspa
• Win.Worm.Autorun
• Win.Trojan.Ramnit
• Win.Worm.Mytob
• Win.Trojan.Agent
• Win.Worm.Agent
PROGRAMA DE CONCIENTIZACIÓN
Ransomware "WannaCry"
Los ataques ransomware de la
variedad WannaCry, son ataques
informáticos que usan el
criptogusano conocido como
WannaCry dirigidos al sistema
operativo Windows de Microsoft.
Durante el ataque, los datos de la
víctima son encriptados, y se
solicita un rescate económico
pagado con la criptomoneda
Bitcoin, para permitir el acceso a
los datos
http://www.bbc.com/news/technology-39901382
PROGRAMA DE CONCIENTIZACIÓN
“Industroyer” o “CrashOverRide”
En junio del 2017 aparecen noticias sobre un malware
dedicado a explotar brechas en protocolos
tradicionales de subestaciones eléctricas Ucranianas.
Nuevas amenazas
Malware Bad Rabit
El día de de Octubre de 2017, Cisco Talos fue alertado sobre una campaña de
ransomware de grande escala afectando organizaciones a lo largo de Europa
del Este y Rusia. Como en situaciones previas, nos movilizamos rápidamente
para valorar la situación y asegurar que los clientes permanecieran protegidos
de esta y otras amenazas conforme emergen a lo largo del panorama de
amenazas.
Este, aparenta tener algunas similitudes con el malware Nyetya que, a su vez,
está basado en el ransomware Petya. El mecanismo de distribución no
aparenta tener el nivel de sofisticación de otros ataques que hemos observado
recientemente. Basado en la información encontrada hasta el momento, el
malware aparenta haber estado activo por aproximadamente seis horas antes
de que el servidor huesped del malware hubiera sido apagado.
PROGRAMA DE CONCIENTIZACIÓN
Algunos datos
Existen más de 74 países afectados y diversos sectores de la industria.
Algunos datos
• 71% de las organizaciones creen que son efectivos en la
detección de amenazas desconocidas
Limitaciones
1. Presupuesto
2. Compatibilidad
3. Certificación
4. Talento
Fuente: www.cisco.com/go/acr2017
PROGRAMA DE CONCIENTIZACIÓN
Conclusiones
organizaciones
¡GRACIAS!
Creditos: CST-GTI