18/04/2021

SEGURIDAD DE LA
INFORMACIÓN /
SEGURIDAD
INFORMÁTICA
Fundamentos

Mg. William Marchand N.

1
 18/04/2021

Mg. William Marchand N.

Orígenes

Mg. William Marchand N.

2
 18/04/2021

Mg. William Marchand N.

Mg. William Marchand N.

3
 18/04/2021

Mg. William Marchand N.

Mg. William Marchand N.

4
 18/04/2021

Mg. William Marchand N.

Mg. William Marchand N.

10

5
 18/04/2021

Orientado desde los inicios a la protección

de la información. Lo que posteriormente
se conocería como CIFRADO o
CRIPTOGRAFÍA.

Evolución Cifrado moderno

1950..

La escítala
500 años A.C.

Enigma 1940
Mg. William Marchand N.

11

Conceptos

Mg. William Marchand N.

12

6
 18/04/2021

 Preservación de la confidencialidad, integridad y

disponibilidad de la información. (ISO27000,2008.
http://www.iso27000.es/glosario.html#section10s)
 La seguridad de la información es una función de negocio.
(ISACA, 2008).
 Information security, dos palabras que nos hablan de la esencia
Seguridad misma de la disciplina en el arte y ciencia de la protección, de los
riesgos, de las amenazas, de los análisis de escenarios, de las
de la buenas prácticas y esquemas normativos, que nos exigen niveles
de aseguramiento de procesos y tecnologías para elevar el nivel
Información de confianza en la creación, uso, almacenamiento, transmisión,
recuperación y disposición final de la información. Hablar de
information security es hablar de la fuente misma de la práctica
de control y cuidado de la información en cualquier medio y
condición, que busca ofrecer una vista holística de su relación
con procesos, personas y tecnologías (ISACA Journal, 2011-
https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-
Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-
Emergentes.aspx)

Mg. William Marchand N.

13

 IT security / Computer Security es la distinción

táctica y operacional de la seguridad. Es la forma
como se detallan las implementaciones técnicas
de la protección de la información, el despliegue
de las tecnologías antivirus, firewalls, detección
de intrusos, detección de anomalías, correlación
Seguridad de eventos, atención de incidentes, entre otros
elementos, que—articulados con prácticas de
Informática gobierno de tecnología de información—
establecen la forma de actuar y asegurar las
situaciones de fallas parciales o totales, cuando la
información es el activo que se encuentra en
riesgo. (ISACA Journal , 2011
https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-
La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-
Emergentes.aspx)

Mg. William Marchand N.

14

7
 18/04/2021

 Otra definición aceptable de seguridad

informática es: Un conjunto de métodos y
Seguridad herramientas destinados a proteger la
Informática información y por ende los sistemas informáticos
ante cualquier amenaza, un proceso en el cual
participan además personas.
Jorge Ramió Aguirre (Madrid 2006)

Mg. William Marchand N.

15

Estratégico Seguridad de la
Información

Táctico
Seguridad
informática
Relación Operativo

InfoSec - Por lo tanto, no será lo mismo contar con un director de seguridad

informática que con un director o gerente de seguridad de la
CompuSec información. Si bien ambos, deben mantener una relación
interdependiente, para alinear las dos vistas de la seguridad: lo técnico
y lo estratégico. Ambos deben articular un discurso socio-estratégico
que permitan integrar rápidamente en el ADN de la compañía, el
entendimiento de la seguridad como un ejercicio natural para hacer
negocios en un mundo móvil, interconectado y de flujos de
información.
ISACA Journal, (2011). La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes.
https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-
de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx

Mg. William Marchand N.

16

8
 18/04/2021

Relación
InfoSec -
CompuSec

Mg. William Marchand N.

17

 Enfoque que aborda el lado de los componentes

técnicos del sistema de seguridad de la
información de una organización.
 Se ocupa principalmente de la CONFIGURACIÓN
EFICIENTE de los equipos, dispositivos y
sistemas de seguridad como: antivirus, IDS/IPS,
Seguridad antispam, webfilter, firewall, etc.
defensiva

Mg. William Marchand N.

18

9
 18/04/2021

 Enfoque que aborda el lado del análisis de

vulnerabilidades y las pruebas de penetración, bajo
metodologías de Ethical Hacking o Pentesting
 Se ocupa principalmente de “poner a prueba” los
sistemas informáticos de defensa. Pero no solo a
nivel tecnológico, también a nivel de usuario
Seguridad (personas)
Ofensiva

Mg. William Marchand N.

19

Blue Team
& Red Team

Mg. William Marchand N.

20

10
 18/04/2021

 Confidencialidad
Los componentes del sistema o la
información serán accesibles sólo Integridad
por aquellos usuarios autorizados.
 Integridad
Pilares de la Los componentes del sistema o la
información sólo pueden ser Seguridad

seguridad creados y modificados por los

usuarios autorizados.
Confidencialidad Disponibilidad
 Disponibilidad
Los usuarios deben tener
disponibles todos los componentes
del sistema o la información cuando
así lo deseen.

Mg. William Marchand N.

21

No repudio
 Está asociado a la aceptación de un protocolo de comunicación entre
emisor y receptor (cliente y servidor) normalmente a través del
intercambio de sendos certificados digitales de autenticación. (Jorge
Ramió Aguirre - 2006)
 Requiere que ni el emisor ni el receptor del mensaje puedan negar la
Otros transmisión. (BORGHELLO, CRISTIAN - 2005)
Autenticidad
elementos  Propiedad o característica consistente en que una entidad es quien dice
ser o bien que garantiza la fuente de la que proceden los datos. Contra la
de la autenticidad de la información podemos tener manipulación del origen o el
contenido de los datos. Contra la autenticidad de los usuarios de los

seguridad
servicios de acceso, podemos tener suplantación de identidad (MAGERIT
v3).
Trazabilidad
 Aseguramiento de que en todo momento se podrá determinar quién hizo
qué y en qué momento. La trazabilidad es esencial para analizar los
incidentes, perseguir a los atacantes y aprender de la experiencia. La
trazabilidad se materializa en la integridad de los registros de actividad (por
ejemplo logs). (MAGERIT v3)

Mg. William Marchand N.

22

11
 18/04/2021

Activos, amenazas,
vulnerabilidades y
ataques

Mg. William Marchand N.

23

Activo
 Un recurso o bien económico propiedad de una empresa,
con el cual se obtienen beneficios [da valor]. Los activos de
las empresas varían de acuerdo con la naturaleza de la
actividad desarrollada. (ISACA, Edgar E. Morrobert , CISA)

Activo de Activo de información

 Recursos, componente o funcionalidad de un sistema de
Información información susceptible de ser atacado deliberada o
accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones
(software), equipos (hardware), comunicaciones, recursos
administrativos, recursos físicos y recursos humanos. (UNE
71504:2008 Metodología de análisis y gestión de riesgos
para los sistemas de información España)

Mg. William Marchand N.

24

12
 18/04/2021

Vulnerabilidad

Mg. William Marchand N.

25

 Una vulnerabilidad se considera de naturaleza

“INTERNA” . Es una debilidad del sistema de
información o de la organización.
 A nivel de un sistema informático las
vulnerabilidades también se pueden presentar a
nivel de:
Vulnerabilidad  Hardware . Políticas de protección débiles. Ambientes
inadecuados para los equipos. Componentes de baja
calidad o poco confiables.
 Software . Sistema de licenciamiento y activación poco
robusto. Programación deficiente.
 Datos . Credenciales de usuarios (contraseñas débiles).
Datos importantes o críticos sin cifrar.

Mg. William Marchand N.

26

13
 18/04/2021

Amenaza

Mg. William Marchand N.

27

 Causa potencial de un incidente que puede causar

daños a un sistema de información o a una
organización. (UNE 71504:2008)
 Las amenazas en el contexto de un sistema
informático están relacionadas con los riesgos que
corren el software, hardware y datos. Las
Amenazas amenazas son de naturaleza EXTERNA
 Las amenazas a nivel organizacional pueden
categorizarse como:
 Criminalidad o Político
 Sucesos de origen físico
 Negligencia o Institucional

Mg. William Marchand N.

28

14
 18/04/2021

Las amenazas en el contexto de un sistema

informático están relacionadas con los riesgos
que corren el software, hardware y datos. Las
amenazas son de naturaleza EXTERNA.
Interrupción
Amenazas
 Una parte del sistema resulta destruida o no
a un disponible en un momento dado.
sistema  Ejemplos:
 Destrucción de una componente del hardware
informático  Corte de una línea de comunicación.
 Fallas en los sistemas operativos.
 Borrado de datos.

Mg. William Marchand N.

29

Interceptación
 Una entidad (persona, programa) no
autorizada accede a información, utilizando
privilegios no asignados. Dificil detección.
Amenazas
 Ejemplos:
a un  Sniffing (escucha de datos)
sistema  Escuchas de canales telefónicos.
informático

Mg. William Marchand N.

30

15
 18/04/2021

Modificación
 Una entidad (persona, programa) no autorizada
accede a información, utilizando privilegios no
asignados; pero además, altera o modifica la
Amenazas información o los componentes del sistema.

a un  Ejemplos:
 Modificación de bases de datos (planillas, cuentas
sistema bancarias, etc.)
 Modificación de componentes de hardware.
informático (configuración de puertos de red, tareas programadas,
etc.)

Mg. William Marchand N.

31

Generación o Fabricación
 Generación de nuevos objetos o datos dentro del
sistema o información.
 Ejemplos:
Amenazas  Adición de registros en una base de datos

a un  Adición de transacciones en una red.

sistema
informático

Mg. William Marchand N.

32

16
 18/04/2021

Interrupción Pérdida Disponibilidad

Amenazas Interceptación Acceso Confidencialidad

a un
sistema Modificación Cambio Integridad

informático
Generación Agregación Integridad

Mg. William Marchand N.

33

Además de las amenazas mencionadas, también se

consideran aquellas que son del entorno, de carácter
ambiental o físicas.
Ejemplos:
Otras  Hardware
Humedad, agua, energía eléctrica (picos de voltaje), polvo,
Amenazas fuego.

a un  Software
Borrado accidental o intencionado, copias ilegales, fallas en
sistema los discos duros, estática.
 Datos
informático Tiene las mismas amenazas que el software. Pero hay dos
aspectos importantes:
 No tienen valor intrínseco (su interpretación, si)
 Datos de carácter personal y privado que las leyes los
protegen.

Mg. William Marchand N.

34

17
 18/04/2021

Video TED
https://www.youtube.com/watch?v=cf3zxHuSM2Y

Ataques a
sistemas
informáticos

Mikko Hypponen : Fighting viruses, defending the net (2011)

Mg. William Marchand N.

35

Los ataques son las amenazas materializadas.

Ataques de reconocimiento
 Escucha clandestina (sniffing)
 Análisis de tráfico
 Captura de datos.

Tipos de Ataques de acceso

 Usurpación o robo de identidad (spoofing)
ataques  Ataques de fuerza bruta para contraseñas.
Ataques de Denegación de Servicio (DoS)
 Ataques de spam
 Virus, gusanos.
 Ataques de inundación (flooding)
Ataques de Ingeniería Social

Mg. William Marchand N.

36

18
 18/04/2021

Ataques ARP
 Envenenamiento de tablas ARP.
 Hombre en el medio ( man in the middle
Ataques de Fuerza Bruta
Ataques por diccionario.
Ataques a
Malware
Infraestructura  Gusanos
de Red  Botnets
Flooding
 Contra tablas MAC
 Contra servicios http, ftp, etc.
Buffer Over Flow

Mg. William Marchand N.

37

Sniffing
Spoofing
 DNS
Ataques a  ARP
Infraestructura Ataques de redireccionamiento
de Red  Redirección de puertos.
Ataques de Tunneling
 DNS
 SSL

Mg. William Marchand N.

38

19
 18/04/2021

 Inyección de código (SQL, Java, etc.)

 Ejecución remota de código (RCE)
 Cross Site Scripting (XSS)
Ataques  Diccionario y fuerza bruta
contra  Deserialización de código
Aplicaciones  Falsificación y Phishing
y BD  Exfiltración
 Defacement
 CSFR, XXE, etc.

Mg. William Marchand N.

39

Virus
 El resultado de este virus es el
desbordamiento de la memoria en los
servidores de correo de Internet. David
Los Smith (autor) fue sentenciado a 20 meses
en prisión federal y una multa de US$ 5,000.
primeros
malware

Mg. William Marchand N.

40

20
 18/04/2021

Spam
 El primer mensaje de spam distribuido se dio en
la Agencia de Proyectos de Investigación
Avanzada de Red (ARPANET) en 1978.

Los
primeros
malware

Mg. William Marchand N.

41

Gusano
 Robert Morris creó el primer gusano de Internet con
99 líneas de código. Cuando el Gusano Morris fue
puesto liberado, el 10% de los sistemas de Internet
se paralizó. Robert Morris fue acusado y recibió tres
Los años de libertad condicional, 400 horas de servicio
comunitario y una multa de US$ 10,000
primeros
malware

Mg. William Marchand N.

42

21
 18/04/2021

Mg. William Marchand N.

43

Mg. William Marchand N.

44

22
 18/04/2021

 MAGERIT:
https://administracionelectronica.gob.es/pae
_Home/pae_Documentacion/pae_Metodolog
/pae_Magerit.html
Links de  INCIBE:
interés https://www.incibe.es/protege-tu-
empresa/blog/analisis-riesgos-pasos-sencillo
 RISK IT (ISACA):
https://www.isaca.org/bookstore/bookstore-
risk-digital/writfs

Mg. William Marchand N.

45

Análisis de Riesgos

Mg. William Marchand N.

46

23
 18/04/2021

Activos
 Componente o funcionalidad de un sistema de
información susceptible de ser atacado
deliberada o accidentalmente con consecuencias
para la organización. Incluye: información, datos,
servicios, aplicaciones (software), equipos
Definiciones (hardware), comunicaciones, recursos
administrativos, recursos físicos y recursos
humanos. (UNE 71504:2008)
Amenaza
 Causa potencial de un incidente que puede
causar daños a un sistema de información o a una
organización. (UNE 71504:2008)

Mg. William Marchand N.

47

Impacto
 Se denomina impacto a la medida del daño sobre
el activo derivado de la materialización de una
amenaza. (MAGERIT v3)
Salvaguarda
 Se definen las salvaguardas o contramedidas
como aquellos procedimientos o mecanismos
Definiciones tecnológicos que reducen el riesgo. Hay
amenazas que se controlan simplemente
organizándose adecuadamente, otras requieres
elementos técnicos (programas o equipos), otras
seguridad física y, también, las políticas de
personal.
 Medidas de protección desplegadas para que
aquellas amenazas no causen [tanto] daño.

Mg. William Marchand N.

48

24
 18/04/2021

Riesgo (lo que probablemente pase)

 Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios
a la Organización (MAGERIT v3)
Análisis de Riesgos
 Proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una Organización.
Definiciones
Magnitud del
Probabilidad
de amenaza
daño RIESGO
(Impacto)

Mg. William Marchand N.

49

Gestión de Riesgos
 Selección e implantación de salvaguardas para
conocer, prevenir, impedir, reducir o controlar
los riesgos identificados.
 El análisis y gestión de riesgos no es un FIN en si
mismo, es parte de las actividades de GESTION
DE LA SEGURIDAD.
 Se pueden aplicar estándares o marcos de
Definiciones referencia para el análisis de riesgos como:
 MAGERIT
 ISO/IEC 27005
 RISK IT de COBIT
 OCTAVE
 Etc.

Mg. William Marchand N.

50

25
 18/04/2021

• Recursos del sistema de información o relacionados con éste,

Determinar Activos necesarios para que la Organización funcione correctamente y
alcance los objetivos propuestos

Determinar Amenazas • Situaciones o cosas que pueden causar daño a la organización

Pasos del
análisis de Determinar Salvaguardas • Mecanismos de protección de los activos

riesgos
• Daño sobre el activo derivado de la materialización de la
Estimar Impacto amenaza

• Impacto ponderado con la tasa de ocurrencia (o expectativa

Estimar Riesgo de materialización) de la amenaza

Mg. William Marchand N.

51

 El principal activo es la INFORMACIÓN.

 Los servicios que se pueden prestar gracias a aquellos
datos, y los servicios que se necesitan para poder
gestionar dichos datos.
 Las aplicaciones informáticas (software)
 Los equipos informáticos (hardware)
Identificar  Los soportes de información que son dispositivos de
almacenamiento de datos.
activos  El equipamiento auxiliar que complementa el material
informático.
 Las redes de comunicaciones
 Las instalaciones que acogen equipos informáticos y
de comunicaciones.
 Las personas que explotan u operan todos los
elementos anteriormente citados.

Mg. William Marchand N.

52

26
 18/04/2021

Grado de degradación
Totalmente degradado
Parcialmente degradado

Identificar
Valoración de la
amenaza

amenazas

Mg. William Marchand N.

53

Riesgo
 zona 1 – riesgos muy probables y de muy alto
potencial impacto
 zona 2 – franja amarilla: cubre un amplio rango
desde situaciones improbables y de impacto
medio, hasta situaciones muy probables pero de
impacto bajo o muy bajo
 zona 3 – riesgos improbables y de bajo impacto
 zona 4 – riesgos improbables pero de muy alto
impacto
Mg. William Marchand N.

54

27
 18/04/2021

 Una herramienta básica en formato de hoja de

cálculo, disponible para OpenOffice y MS-Office,
Una que permite realizar un análisis de riesgo sencillo
pero efectivo para el entendimiento de este
herramienta tema.
básica para  La herramienta se denomina MATRIZ DE
ANALISIS DE RIESGOS
Análisis de  Link de descarga:
Riesgos  http://protejete.wordpress.com/descargas/

Mg. William Marchand N.

55

 La Matriz la basé en el método de Análisis

de Riesgo con un grafo de riesgo, usando
la formula Riesgo = Probabilidad de
Amenaza x Magnitud de Daño
Matriz de  La Probabilidad de Amenaza y Magnitud
de Daño pueden tomar los valores y
Riesgos condiciones respectivamente
 1 = Insignificante (incluido Ninguna)
 2 = Baja
 3 = Mediana
 4 = Alta

Mg. William Marchand N.

56

28
 18/04/2021

El Riesgo, que es el
producto de la
multiplicación Probabilidad
de Amenaza por Magnitud
de Daño, está agrupado en
Matriz de tres rangos, y para su mejor
visualización, se aplica
Riesgos diferentes colores.
 Bajo Riesgo = 1 – 6 (verde)
 Medio Riesgo = 8 – 9
(amarillo)
 Alto Riesgo = 12 – 16 (rojo)

Mg. William Marchand N.

57

La matriz se puede adaptar a una realidad

específica

Matriz de
riesgos

Mg. William Marchand N.

58

29
 18/04/2021

 Identificado los riesgos y la zona ROJA , se deberán establecer

las acciones correctivas o preventivas, por
 ejemplo:
 A nivel estratégico, Implementar la ISO/IEC 27001. Sistema de
Gestión de la Seguridad de la información.
 A nivel estratégico, actualizar las políticas y procedimientos de
Determinar gestión de la seguridad de la información.
 A nivel táctico operativo, ajuste de los sistemas de
salvaguardas infraestructura de red.
 A nivel táctico operativo, configuración adecuada de los
sistemas de protección (firewalls, antivirus, IDS/IPS, ACLs, etc.)
 A nivel táctico operativo, aplicación de los controles de la
ISO/IEC 27002.
 Entrenamiento y concienciación de las personas de la
organización.
 Etc.

Mg. William Marchand N.

59

Aceptar el riesgo
 No hacemos nada, asumimos el riesgo.
Transferir el riesgo
Tratamiento  Se puede adquirir un seguro.
del Riesgo Eliminar el riesgo
 Eliminar el activo.
Mitigar el riesgo
 Aplicar las salvaguardas definidas.

Mg. William Marchand N.

60

30
 18/04/2021

PILAR (MAGERIT)
 https://www.ccn-cert.cni.es/soluciones-
Otras seguridad/ear-pilar.html
RiskyProject Professional
herramientas  http://intaver.com/products/riskyproject-
para el professional/
Análisis de Risk Watch
Riesgos  https://riskwatch.com/
CERO
 https://www.riesgoscero.com/soluciones/assessment

Mg. William Marchand N.

61

SEGURIDAD DE LA
INFORMACIÓN /
SEGURIDAD
INFORMÁTICA
Fundamentos

62

31