08/05/2012

OBJETIVOS

Adquirir los mas importantes conocimientos y conceptos

(teóricos - prácticos) en Seguridad Informática.

Audit | Tax | Advisory 1

¿QUIENES SOMOS?
ToBe Security es una compañía líder de mercado, pionera en proveer Evaluaciones de
Seguridad de Penetración de Información, Capacitación y Servicios de Consultoría a
organizaciones a nivel mundial.
Nos especializamos en las siguientes áreas:
• Políticas de Seguridad IT
• Seguridad de información y
• Seguridad Física.
En cuanto al área de consultoría de seguridad, proveemos servicios tales como:
• Asesoramiento de Riesgos Operacionales
• Revisiones de Diseño de Seguridad y
• Cumplimiento de Estándares Internacionales.
ToBe Security opera internacionalmente a través de sus oficinas basadas en:
Israel, Taiwan y Argentina.
Audit | Tax | Advisory 2

1
 08/05/2012

ALGUNOS DE NUESTRO CLIENTES

Entre nuestros clientes más destacados se encuentran:
• Las IDF (Fuerzas de Defensa de Israel)
• Bank of Taiwan
• Union Bank of Taiwan
• Dapsa Argentina y
• La Secretaría Legal y Técnica de la Presidencia de la Nación Argentina.

Audit | Tax | Advisory 3

OBJETIVOS

Adquirir los más importantes conocimientos y conceptos

(teóricos - prácticos) en Seguridad Informática.

Audit | Tax | Advisory 4

2
 08/05/2012

SEGURIDAD INFORMÁTICA

Audit | Tax | Advisory 5

ANÁLISIS DE RIESGOS

Audit | Tax | Advisory 6

3
 08/05/2012

ANÁLISIS DE RIESGOS

Audit | Tax | Advisory 7

ANÁLISIS DE RIESGOS

Audit | Tax | Advisory 8

4
 08/05/2012

Audit | Tax | Advisory 9

Audit | Tax | Advisory 10

10

5
 08/05/2012

Audit | Tax | Advisory 11

11

Audit | Tax | Advisory 12

12

6
 08/05/2012

Audit | Tax | Advisory 13

13

Audit | Tax | Advisory 14

14

7
 08/05/2012

Audit | Tax | Advisory 15

15

SEGURIDAD EN PROFUNDIDAD

Audit | Tax | Advisory 16

16

8
 08/05/2012

SEGURIDAD EN PROFUNDIDAD

Audit | Tax | Advisory 17

17

CASTILLO DE SAN FELIPE DE LARA

El Castillo de San Felipe de Lara es una fortaleza ubicada en la embocadura

del río Dulce y con el Lago de Izabal en el oriente de Guatemala. Fue
construida en el siglo 17, para proteger las propiedades coloniales contra los
ataques de piratas. El río Dulce conecta el lago de Izabal con el mar Caribe y
ha sido expuesto a repetidos ataques de piratas en el siglo XVI, y aun hasta
el XVIII. El rey Felipe II de España ordenó la construcción de la fortaleza para
contrarrestar el pillaje por los piratas.
En 2002 fue inscrito en la lista tentativa del Patrimonio de la Humanidad de
UNESCO.
Audit | Tax | Advisory 18

18

9
 08/05/2012

¡¿Por dónde empiezo?!

POR LA TOPOLOGIA O
DIAGRAMA DE LA RED

¡ ACTUALIZADA !

Audit | Tax | Advisory 19

19

TOPOLOGÍA DE LA RED

99% protegido = 100% vulnerable

DMZ
FW
Ingreso Tráfico
Router IPS

STAGING
FW
DB srvr

SWITCH
LAN

Audit | Tax | Advisory 20

20

10
 08/05/2012

PRIMER BARRERA: EL ROUTER

Audit | Tax | Advisory 21

21

HARDENING

Audit | Tax | Advisory 22

22

11
 08/05/2012

PROCEDURES

Audit | Tax | Advisory 23

23

ATAQUE POR FUERZA BRUTA

Audit | Tax | Advisory 24

24

12
 08/05/2012

HERRAMIENTA: BRUTUS

Audit | Tax | Advisory 25

25

HERRAMIENTA: HYDRA

Audit | Tax | Advisory 26

26

13
 08/05/2012

EL MODELO OSI

Audit | Tax | Advisory 27

27

SEGUNDA BARRERA: EL FIREWALL

Audit | Tax | Advisory 28

28

14
 08/05/2012

ATAQUES INFORMATICOS

Audit | Tax | Advisory 29

29

BASELINES

Audit | Tax | Advisory 30

30

15
 08/05/2012

GUIDELINES

Audit | Tax | Advisory 31

31

INCIDENT RESPONSE PLAN

Audit | Tax | Advisory 32

32

16
 08/05/2012

INCIDENTS MANAGEMENT

Audit | Tax | Advisory 33

33

ATACANTE

Audit | Tax | Advisory 34

34

17
 08/05/2012

Audit | Tax | Advisory 35

35

Audit | Tax | Advisory 36

36

18
 08/05/2012

AAA
• Authentication La autenticación se refiere a la cuestión: ¿Quién es usted?
Es el proceso de identificación de forma única a los clientes de sus
aplicaciones y servicios. Estos podrían ser los usuarios finales, otros
servicios, procesos, o las computadoras.

• Authorization La autorización se refiere a la pregunta: ¿qué puede hacer?

Es el proceso que regula los recursos y las operaciones que el cliente
autenticado tiene permiso para acceder. Los recursos incluyen archivos,
bases de datos, tablas, filas, y así sucesivamente.

• Accounting La contabilización (auditoría) es la clave para el no-repudio.

No-repudio garantiza que a un usuario no se le niegue la realización de una
operación o iniciar una transacción.
Audit | Tax | Advisory 37

37

Conceptos Varios
• Least Privilege

• Security Policy

• Disaster Recovery

• Input Validation

• Documentación

• Ingeniería social

• Av. Hardeinig, Patches

Audit | Tax | Advisory 38

38

19
 08/05/2012

Audit | Tax | Advisory 39

39

SECURITY POLICIES

Audit | Tax | Advisory 40

40

20
 08/05/2012

Security Policy

1. Acceptable Use Policy

2. Access Control Policy
3. Account Management Policies
4. Availability Policies
5. Configuration Management Policies & Procedures
6. Control of Proprietary Information and Intellectual Property
7. Data Backup Procedures
8. Firewall Management Policy
9. General Encryption Policy
10. IM Security Policy/Procedures
11. Internet Access Control Policy
12. Internet Security Awareness & Education Policy
13. Intrusion Detection Policy/Procedures
14. Network Connection Policy
15. Partner Connection Acceptable Use & Connectivity
Policy/Procedures
16. Password Management Policy/Procedures
17. Privacy Policies
Audit | Tax | Advisory 41

41

Security Policy

18. Privileged Access Policy

19. Remote Access Policy
20. Security Incident Handling Policies & Procedures
21. System Security Standards (for specific OSes)
22. Technology Purchasing Guidelines
23. User Account Policies
24. Virus Prevention Policy/Procedures
25. VoIP Security Policy/Procedures
26. Wireless Policy/Procedures

Audit | Tax | Advisory 42

42

21
 08/05/2012

BCP

Audit | Tax | Advisory 43

43

DRP

Audit | Tax | Advisory 44

44

22
 08/05/2012

Input Validation

Audit | Tax | Advisory 45

45

Input Validation

Audit | Tax | Advisory 46

46

23
 08/05/2012

DOCUMENTACIÓN

Audit | Tax | Advisory 47

47

INGENIERIA SOCIAL

Audit | Tax | Advisory 48

48

24
 08/05/2012

Kevin Mitnick

Audit | Tax | Advisory 49

49

Audit | Tax | Advisory 50

50

25
 08/05/2012

Dónde colocar el equipo de seguridad informática? (no bajo TI..)…por qué?

• La seguridad no tendrá una voz poderosa
• Seguridad tendrá probablemente problemas de fondos
• La seguridad no será independiente
• El área de seguridad debe inspeccionar TI.
Audit | Tax | Advisory 51

51

Conceptos varios

• Soporte de la gerencia

Audit | Tax | Advisory 52

52

26
 08/05/2012

EL MAPA DE LA SEGURIDAD

Las 6 Secciones del Mapa son:

1- Seguridad Física
2- Seguridad en Comunicaciones
3- Seguridad en Internet
4- Seguridad Wireless
5- Capacitación en Seguridad
6- Seguridad de la Información

Visión Amplia de la Presencia de la Seguridad.

Hay que tener en cuenta que todo lo que se agrega a la red como
servicio trae sus problemas de seguridad.

Audit | Tax | Advisory 53

53

Amenazas de Seguridad Informática relacionado Modelo Osi

Capa 7 – Aplicación

• Buffer Overflow
• Backdoors
• Covert Channels

Capa 6 – Presentación

• SQL Injection
• XSS
• Input Validation.
• Ejemplo: www.x.com/etc/password

Capa 5 – Sesión

• Falta de Autenticacion o Autenticacion débil

• Spoffing.
Audit | Tax | Advisory 54

54

27
 08/05/2012

Amenazas de Seguridad Informática relacionado Modelo Osi

Capa 4 – Transporte

• Fingerprinting
• Information Leakage.
• Ejemplo: Banner Grabbing.

Capa 3 – Red

• IP Address Spoofing (Confiar en una IP para la Autenticación).

Capa 2 – Enlace Datos

• MAC Address Spoofing

• ARP Poisoning
• VLAN Hopping (pasar de VLAN a VLAN).
• Manipulación de SMTP
• Agotar el CAM del switch
• Sniffing de la Red.

Capa 1 – Física

• Problemas de Electricidad
• Robo de PC’s
• Daño Físico
Audit• Key
| Taxlogger
| Advisory
por hardware. 55

55

28