Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01 Seguridad MaestriaFISUNCP 2021
01 Seguridad MaestriaFISUNCP 2021
SEGURIDAD DE LA
INFORMACIÓN /
SEGURIDAD
INFORMÁTICA
Fundamentos
1
18/04/2021
Orígenes
2
18/04/2021
3
18/04/2021
4
18/04/2021
10
5
18/04/2021
La escítala
500 años A.C.
Enigma 1940
Mg. William Marchand N.
11
Conceptos
12
6
18/04/2021
13
14
7
18/04/2021
15
Estratégico Seguridad de la
Información
Táctico
Seguridad
informática
Relación Operativo
16
8
18/04/2021
Relación
InfoSec -
CompuSec
17
18
9
18/04/2021
19
Blue Team
& Red Team
20
10
18/04/2021
Confidencialidad
Los componentes del sistema o la
información serán accesibles sólo Integridad
por aquellos usuarios autorizados.
Integridad
Pilares de la Los componentes del sistema o la
información sólo pueden ser Seguridad
21
No repudio
Está asociado a la aceptación de un protocolo de comunicación entre
emisor y receptor (cliente y servidor) normalmente a través del
intercambio de sendos certificados digitales de autenticación. (Jorge
Ramió Aguirre - 2006)
Requiere que ni el emisor ni el receptor del mensaje puedan negar la
Otros transmisión. (BORGHELLO, CRISTIAN - 2005)
Autenticidad
elementos Propiedad o característica consistente en que una entidad es quien dice
ser o bien que garantiza la fuente de la que proceden los datos. Contra la
de la autenticidad de la información podemos tener manipulación del origen o el
contenido de los datos. Contra la autenticidad de los usuarios de los
seguridad
servicios de acceso, podemos tener suplantación de identidad (MAGERIT
v3).
Trazabilidad
Aseguramiento de que en todo momento se podrá determinar quién hizo
qué y en qué momento. La trazabilidad es esencial para analizar los
incidentes, perseguir a los atacantes y aprender de la experiencia. La
trazabilidad se materializa en la integridad de los registros de actividad (por
ejemplo logs). (MAGERIT v3)
22
11
18/04/2021
Activos, amenazas,
vulnerabilidades y
ataques
23
Activo
Un recurso o bien económico propiedad de una empresa,
con el cual se obtienen beneficios [da valor]. Los activos de
las empresas varían de acuerdo con la naturaleza de la
actividad desarrollada. (ISACA, Edgar E. Morrobert , CISA)
24
12
18/04/2021
Vulnerabilidad
25
26
13
18/04/2021
Amenaza
27
28
14
18/04/2021
29
Interceptación
Una entidad (persona, programa) no
autorizada accede a información, utilizando
privilegios no asignados. Dificil detección.
Amenazas
Ejemplos:
a un Sniffing (escucha de datos)
sistema Escuchas de canales telefónicos.
informático
30
15
18/04/2021
Modificación
Una entidad (persona, programa) no autorizada
accede a información, utilizando privilegios no
asignados; pero además, altera o modifica la
Amenazas información o los componentes del sistema.
a un Ejemplos:
Modificación de bases de datos (planillas, cuentas
sistema bancarias, etc.)
Modificación de componentes de hardware.
informático (configuración de puertos de red, tareas programadas,
etc.)
31
Generación o Fabricación
Generación de nuevos objetos o datos dentro del
sistema o información.
Ejemplos:
Amenazas Adición de registros en una base de datos
sistema
informático
32
16
18/04/2021
informático
Generación Agregación Integridad
33
a un Software
Borrado accidental o intencionado, copias ilegales, fallas en
sistema los discos duros, estática.
Datos
informático Tiene las mismas amenazas que el software. Pero hay dos
aspectos importantes:
No tienen valor intrínseco (su interpretación, si)
Datos de carácter personal y privado que las leyes los
protegen.
34
17
18/04/2021
Video TED
https://www.youtube.com/watch?v=cf3zxHuSM2Y
Ataques a
sistemas
informáticos
35
36
18
18/04/2021
Ataques ARP
Envenenamiento de tablas ARP.
Hombre en el medio ( man in the middle
Ataques de Fuerza Bruta
Ataques por diccionario.
Ataques a
Malware
Infraestructura Gusanos
de Red Botnets
Flooding
Contra tablas MAC
Contra servicios http, ftp, etc.
Buffer Over Flow
37
Sniffing
Spoofing
DNS
Ataques a ARP
Infraestructura Ataques de redireccionamiento
de Red Redirección de puertos.
Ataques de Tunneling
DNS
SSL
38
19
18/04/2021
39
Virus
El resultado de este virus es el
desbordamiento de la memoria en los
servidores de correo de Internet. David
Los Smith (autor) fue sentenciado a 20 meses
en prisión federal y una multa de US$ 5,000.
primeros
malware
40
20
18/04/2021
Spam
El primer mensaje de spam distribuido se dio en
la Agencia de Proyectos de Investigación
Avanzada de Red (ARPANET) en 1978.
Los
primeros
malware
41
Gusano
Robert Morris creó el primer gusano de Internet con
99 líneas de código. Cuando el Gusano Morris fue
puesto liberado, el 10% de los sistemas de Internet
se paralizó. Robert Morris fue acusado y recibió tres
Los años de libertad condicional, 400 horas de servicio
comunitario y una multa de US$ 10,000
primeros
malware
42
21
18/04/2021
43
44
22
18/04/2021
MAGERIT:
https://administracionelectronica.gob.es/pae
_Home/pae_Documentacion/pae_Metodolog
/pae_Magerit.html
Links de INCIBE:
interés https://www.incibe.es/protege-tu-
empresa/blog/analisis-riesgos-pasos-sencillo
RISK IT (ISACA):
https://www.isaca.org/bookstore/bookstore-
risk-digital/writfs
45
Análisis de Riesgos
46
23
18/04/2021
Activos
Componente o funcionalidad de un sistema de
información susceptible de ser atacado
deliberada o accidentalmente con consecuencias
para la organización. Incluye: información, datos,
servicios, aplicaciones (software), equipos
Definiciones (hardware), comunicaciones, recursos
administrativos, recursos físicos y recursos
humanos. (UNE 71504:2008)
Amenaza
Causa potencial de un incidente que puede
causar daños a un sistema de información o a una
organización. (UNE 71504:2008)
47
Impacto
Se denomina impacto a la medida del daño sobre
el activo derivado de la materialización de una
amenaza. (MAGERIT v3)
Salvaguarda
Se definen las salvaguardas o contramedidas
como aquellos procedimientos o mecanismos
Definiciones tecnológicos que reducen el riesgo. Hay
amenazas que se controlan simplemente
organizándose adecuadamente, otras requieres
elementos técnicos (programas o equipos), otras
seguridad física y, también, las políticas de
personal.
Medidas de protección desplegadas para que
aquellas amenazas no causen [tanto] daño.
48
24
18/04/2021
49
Gestión de Riesgos
Selección e implantación de salvaguardas para
conocer, prevenir, impedir, reducir o controlar
los riesgos identificados.
El análisis y gestión de riesgos no es un FIN en si
mismo, es parte de las actividades de GESTION
DE LA SEGURIDAD.
Se pueden aplicar estándares o marcos de
Definiciones referencia para el análisis de riesgos como:
MAGERIT
ISO/IEC 27005
RISK IT de COBIT
OCTAVE
Etc.
50
25
18/04/2021
Pasos del
análisis de Determinar Salvaguardas • Mecanismos de protección de los activos
riesgos
• Daño sobre el activo derivado de la materialización de la
Estimar Impacto amenaza
51
52
26
18/04/2021
Grado de degradación
Totalmente degradado
Parcialmente degradado
Identificar
Valoración de la
amenaza
amenazas
53
Riesgo
zona 1 – riesgos muy probables y de muy alto
potencial impacto
zona 2 – franja amarilla: cubre un amplio rango
desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de
impacto bajo o muy bajo
zona 3 – riesgos improbables y de bajo impacto
zona 4 – riesgos improbables pero de muy alto
impacto
Mg. William Marchand N.
54
27
18/04/2021
55
56
28
18/04/2021
El Riesgo, que es el
producto de la
multiplicación Probabilidad
de Amenaza por Magnitud
de Daño, está agrupado en
Matriz de tres rangos, y para su mejor
visualización, se aplica
Riesgos diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9
(amarillo)
Alto Riesgo = 12 – 16 (rojo)
57
Matriz de
riesgos
58
29
18/04/2021
59
Aceptar el riesgo
No hacemos nada, asumimos el riesgo.
Transferir el riesgo
Tratamiento Se puede adquirir un seguro.
del Riesgo Eliminar el riesgo
Eliminar el activo.
Mitigar el riesgo
Aplicar las salvaguardas definidas.
60
30
18/04/2021
PILAR (MAGERIT)
https://www.ccn-cert.cni.es/soluciones-
Otras seguridad/ear-pilar.html
RiskyProject Professional
herramientas http://intaver.com/products/riskyproject-
para el professional/
Análisis de Risk Watch
Riesgos https://riskwatch.com/
CERO
https://www.riesgoscero.com/soluciones/assessment
61
SEGURIDAD DE LA
INFORMACIÓN /
SEGURIDAD
INFORMÁTICA
Fundamentos
62
31