Está en la página 1de 65

Tecnología para la seguridad de la

Información
Quiénes Somos
El Grupo SIDIF, fundado en 1975, es una Organización
que presta soluciones y servicios empresariales en
Administración de Sistemas, Seguridad de Información,
Alta Disponibilidad, Continuidad de Negocios y
Recuperación en Caso de Desastres.

Donde Estamos
El Grupo SIDIF, tiene presencia en 6 países de la región,
a saber :
Puerto Rico
Costa Rica
Panamá
Venezuela
Argentina
Republica Dominicana
Qué Hacemos

A través de herramientas especializadas, “best-of-breed”, proveemos los


mecanismos para administrar, integrar, y consolidar información

Nuestras soluciones para grandes, medianas y pequeñas organizaciones,


son fundamentales en el cumplimiento de regulaciones como, Basilea II,
GLBA, SOX, FDA CFR21 Part 11, HIPPA, PCI-CISP entre otras.
Apostamos a generar relaciones duraderas, sustentadas en nuestra
filosofía de negocios y compromiso constante con nuestros clientes.
Confiabilidad, Flexibilidad, Experiencia y Calidad de Servicio es lo que nos
diferencia.
Como cubrir seguridad
de la información
¿Que es seguridad de la
información?
¿Que es la información?
La información, es un precioso activo de toda organización,
como cualquier otro activo dentro de la misma organización, y en
consecuencia debe ser convenientemente protegido.
Esto es especialmente importante en nuestro creciente mundo de
negocios interconectados.
Como resultado de esta creciente ínter conectividad, la
información se encuentra expuesta a una amplia variedad de
riesgos y vulnerabilidades.
La información, puede existir en muchas formas:
• Impresa en papel.
• Almacenada electrónicamente.
• Transmitida por correo o por medios electrónicos.
• Presentada en films.
• Es forma verbal.
Cualquier forma que la información tome, o cualquier manera
que la misma es almacenada o transmitida, esta debe ser
protegida apropiadamente.
Ejemplo de Software mal intencionado
Energía
Redundante
Activos Encriptación

Normas Alta
Procedimientos Disponibilidad

Tecnología

Políticas de
Mirroing
Seguridad

Control de
UTMs
Accesos
Ambiente
Tecnología al servicio de la inseguridad

Inteligencia
Artificial Comportamiento
Troyanos
Humano
Video
Laptops
vigilancia

Farmning Encriptación

Phishing Túneles

Spam Malas configuraciones

Virus Mirroing
Virtualización
Ejemplo Esteganografico
Música
Seguridad de la información es la protección de la información
contra una gran variedad de riesgos, para asegurar:
• La continuidad del negocio.
• Minimizar los riesgos del negocio.
• Maximizar el retorno de las inversiones.
• Maximizar las oportunidades del negocio.
La información y los procesos que la soportan, las redes, y los
sistemas, son activos importantes del negocio.
Definiendo, manteniendo, y mejorando la seguridad de la
información puede ser esencial para mantener:
• El límite competitivo
• Un flujo de caja saludable
• Un rendimiento económico aceptable
• Cumplimiento legal con requerimientos gubernamentales o
de la industria y;
• La imagen comercial.
Tecnología en seguridad apoyados en tecnología

• Comparación entre Estándares y Certificaciones


• Metodologías
• Estandarización
• Conocimiento
• Divulgación
• Ventajas
• Unificación de información
• Comparabilidad
• Actualización
• Crecimiento
Clases de certificados

Certificados técnicos y no técnicos(Neutrales de Vendedor)

Certificados Técnicos(Casas Matrices):


• Provistos por proveedores de las diferentes soluciones
• Orientados normalmente a las tecnologías
• Orientados a puestos operativos
• No validos entre las diferentes casas
• Su nivel de obsolescencia depende del avance de la tecnología
Certificados Neutrales:
• No dependen necesariamente de la tecnología.
• Su nivel de obsolescencia no necesariamente depende de la
tecnología.
• Mas orientados a puestos administrativos que operativos
Comerciales
Las casas matrices de las diferentes Neutrales
tecnologías los proveen, por ejemplo: Las organizaciones sin fines de lucro
las proveen:
CISCO
ISACA
CCNA, CCDA,
CCNP,CCSP CISA
Microsoft ISC2
MCSE, MCSA, MCDBA CISSP
Checkpoint EC-Council
Firewall 1 CEH
Symantec
SPS
Ranking de Certificaciones
Certificación CISSP

Certified Information Systems Security Professional

Desarrollada desde 1989 por el International Information Systems


Security Certification Consortium (ISC2), hace poco tiempo
desarrolaron una nueva Certificación, la SSCP, dirigida hacia TI.
Certificación CISSP
Certified Information Systems Security Professional
Basada en 10 dominios:
Access Control Systems and Methodology
Telecommunications and Network Security
Security Management Practices
Applications and Systems Development Security
Cryptography
Security Architecture and models
Operations Security
Business Continuity Planning(BCP) and Disaster Recovery Planning(DRP)
Law, Investigations, and Ethics
Physical Security
El CBK es gratuito en (www.isc2.org)
Términos y definiciones de seguridad
Principios de seguridad con el uso de tecnología

Authentication(I&A): Ingresa quien es quien realmente dice ser que es.


Authorization:Obtiene lo que esta autorizado para obtener.
Accountability: La habilidad de asociar a un sujeto o un proceso con sus
acciones.
Confidentiality:La habilidad de presentar la información solo a aquellos que
tienen derechos a obtenerla.
Integrity: La habilidad de preservar la información en su estado original.
Availability: La información se encuentra disponible en el lugar y momento
que se necesita.
Términos generales
Repositorio de información – Tecnológicos o no

Repositorio de información es cualquier medio, en el cual se


pueda almacenar datos, ejemplo : Papel, cintas magnéticas,
discos ópticos, microfichas, discos magnéticos, memory
sticks, etc.
Términos generales
Seguridad de la información
Muchas veces se impone la definición de seguridad informática
como preconcepto a la definición de seguridad de la
Información, en realidad Sistemas de Información es, en la gran
mayoría de los casos, el principal repositorio de información, y
por lo tanto un objetivo de seguridad muy claro, pero, no es el
único objetivo de un ataque.
Ni tampoco el principal conjunto de repositorios de información
donde centrar los esfuerzos por proteger dicha información
Términos generales
Dispositivo de seguridad
Cualquier esfuerzo por asegurar un repositorio de
información puede generar como resultado un dispositivo
de seguridad, no solo físico o lógico, sino, de cierta
manera intangible incluso.
Términos generales
Amenaza(Threat)

Cualquier circunstancia natural, o creada, o evento que


pueda tener un impacto adverso o no deseado, menor o
mayor,
Términos generales
Vulnerabilidad
La ausencia o debilidad de una protección hacia un activo,
la cual hace una amenaza potencialmente mas peligrosa o
costosa, mas propensa a ocurrir o que pueda ocurrir con
mas frecuencia.
Términos generales
Riesgo

Riesgo = Amenaza + Vulnerabilidad


Términos generales
Activo

Un activo es: Un recurso, proceso, producto o sistema,


que tiene algún valor para una organización, y el cual
debe ser protegido.
Un activo puede ser tangible(Computadoras, datos,
software, registros,etc) o intangible(Privacidad, acceso,
imagen pública, ética) y puede tener un valor
tangible(Precio de compra), o un valor intangible(Ventaja
competitiva).
Ingeniería Social – Inseguridad sin
tecnología
Ingeniería social

Te puedes gastar una fortuna comprando tecnología y


servicios... Y tu infraestructura de redes puede aun así
mantenerse vulnerable a viejas manipulaciones

Kevin Mitnick, Security Consultant


Principios generales de la cognoscitiva humana

1. El cerebro humano aprende de las experiencias.


2. A través de ciertos parámetros las personas son
predecibles.
3. El cerebro humano esta abierto naturalmente a las
influencias.
4. Sin saberlo, todos estamos influenciados por
nuestro entorno, ética, valores.
Principio de riesgo

Puntos acerca de la ingeniería social:


2. Es una de las técnicas mas comunes y efectivas desde el punto
de vista de seguridad.
3. Es mucho mas sencillo levantar el teléfono y llamar a alguien
para engañarlo y pedirle el userid y el password, que
descubrirlos y de-encriptarlo.
4. Identificando esta habilidad en un funcionario es la prueba
mas acertada de que esta persona es un Hacker natural
Tipos de Ataques de Ingeniería Social
• Ingeniería Social por Teléfono(El tipo mas común)
• Ingeniería Social en Línea
• Ejemplo de vulnerabilidad : Tendencia a utilizar el mismo password en
diferentes medios.
• Ejemplo de Exploit : Crear un fake mail requiriendo credenciales.
• Persuasión
• Convencer a la persona que el atacante es en realidad una persona a la
que se le puede confiar información sensible.
• Ingeniería Social Reversa
• El Hacker crea un ambiente de autoridad en el cual el atacado(Objetivo)
puede pedir ayuda al atacante, en lugar de alguna otra fuente de ayuda.
• Por lo general requiere mayor planeamiento.
Ingeniería Social( Procesos de Seguridad)

Cualquier medio que provea comunicaciones uno a uno, o uno a muchos entre
personas, puede ser explotado, incluyendo Cara a Cara, Telefónica, Correo
electrónico, todo esto puede convertirte en un buen mentiroso.

Dorothy E. Denning, Information Warfare and Security


Típicas etapas de un ataque por ingeniería social reversa

1. Sabotaje: El hacker genera un sabotaje en la red, causando que el problema


crezca.
2. Publicidad: El hacker informa que él es la persona apropiada para resolver el
problema.
3. El Hacker ayuda a resolver un problema que él mismo creó, requiriendo en el
proceso una serie de información al personal, el personal nunca sabe que esta
persona era en realidad el hacker, esto debido a que el problema de la red se
resolvió, y todos “felices”, en teoría
Requerimientos de Seguridad

Privacidad: Solamente las personas a las que se les


envió el mensaje pueden leerlo.

Integridad: El mensaje o dato no puede ser cambiado

Autenticidad: Podemos saber que el mensaje es


realmente de quien esperamos que sea.

No-Repudiación: La persona que envía el mensaje no


puede negar que envió el mensaje
Ejemplo Virtualización
Archivo Oculto
Archivo normal
Archivo a enviar
Ataques a Criptosistemas
Archivo final
Escondiendo datos
JPG

BMP
Key Logging
Keystroke Monitoring

Conocido también como Keylogging,continúa siendo uno


de los métodos mas efectivos de conseguir los password
de los usuarios y cualquier otro dato que se desee obtener
de los usuarios.
Además se esta convertido en una herramienta para
control de accesos que los padres quieren implementar
acerca de lo que ven sus hijos por Internet.
Keystroke Monitoring

Existen 2 métodos diferentes:


• Por Hardware
• Por Software
Key Loggers
Por Hardware: De los dispositivos mas populares se
encuentran estos.
Keylogger

Usualmente un pequeño dispositivo colocado entre el teclado


y la computadora
Keystroke Monitoring

Monitoreo del teclado por software:


Existe un buen número de herramientas basadas en monitoreo
del teclado, un buen número de troyanos también tienen dicho
monitoreo ínter-construido.
Keylogger.exe
• Muy Pequeño
• Corre en la sesión del usuario
• Termina cuando el usuario hace logoff
• No adquiere el tecleo de logon del MSGINA
¿Que puede suceder en cada organización?

• Usuarios traviesos, descargando y probando herramientas


de Internet, gente que no conoce las políticas.
• Personal molesto, gente que no conoce las sanciones.
• Mano criminal, empleados que no supieron que hacer o
como hacerlo.
•Poco control administrativo, falta de un sistema
automatizado para el ciclo de las políticas de seguridad de
la información.
Importancia de los parches en los equipos

• Las vulnerabilidades son publicadas todos los días. Entre


mas programas tenemos en los equipos mas parches hacen
falta para los mismos.
• Afectan tanto a sistemas y equipos modernos, así como a
sistemas antiguos. Puede ser la última versión del sistema
operativo o la aplicación, y aun tener fallas.
• Las puertas traseras en los sistemas operativos y los
programas de usuarios son una entrada muy común para los
piratas informáticos.
Importancia de los productos de software que
usan e instalan los usuarios en los equipos
Ejemplos prácticos :
• Kazza
• Imesh
• Productos P2P
• FreeWare.
Se tienen UTMs, Antivirus, Antispam, etc. Y un solo
funcionario puede inhabilitar toda una red de cientos de
máquinas.
Dinámica
Jack
Desarrollo de la creatividad
Jack el electricista

Eres un electricista, y tienes en frente una bombilla encendida


colgando del techo, en la pared un interruptor que apaga y enciende
la bombilla.
Tareas :
1. Menciona 10 maneras de pagar la bombilla.
2. Menciona 10 componentes que hacen funcionar la bombilla.
3. Menciona 10 maneras saber que la bombilla esta apagada
4. Menciona 10 maneras de prevenir que alguien apague la
bombilla.
Seguridad en la Información

Es líder en soluciones de seguridad incluyendo,


protección de virus, firewall, antispam, detección y
prevención de intrusos, tecnologías de administración
remota, y servicios de seguridad a empresas y
proveedores de servicio en todo el mundo.

Procesos Gerenciales
Permite el monitoreo en tiempo real del nivel de
servicio que están prestando las aplicaciones críticas
del negocio así como los sistemas operativos.

Administrador de eventos: Permite la detección y


correlación de eventos en tiempo real, consolidación
de logs y almacenamiento histórico para análisis
forense de información.

Seguridad de la Información: Identificar los


 

riesgos rápidamente, reducir los costos y las


complicaciones, y responder a amenazas y
vulnerabilidades, es critico en un mundo lleno de
continuas amenazas.
Control de Cambios/Manejo de Versiones
Permite manejar la complejidad, el tiempo y los costos
involucrados en el desarrollo, implementación y
mantenimiento de las aplicaciones criticas.
A través de Serena las compañías podrán manejar de
manera centralizada todos los procesos empresariales,
automatizando y documentando los mismos y
mejorando la calidad.

Virtualización
Con VMWare podrás virtualizar todos los
sistemas operativos y probar nuevos programas
sin utilizar otra computadora.

Permite virtualizar todos los servidores, en caso


de daño en el servidor o sistema operativo,
copias imagen plana y sigues trabajando sin
perder ninguna configuración.
Administración de Respaldos de Datos
La información es el motor de su empresa.  La Nueva
Veritas combina la seguridad de la información junto
con la disponibilidad, de modo de proveer
simultáneamente seguridad del más alto nivel, y la
mejor administración de su data center y recursos
de red. Este criterio ha sido diseñado para que su
empresa se mantenga en ejecución y crecimiento,
sin importar lo que suceda.

Administración de DATOS
Permite
  implementar estrategias corporativas
dirigidas a garantizar la protección y disponibilidad
de la información crítica del negocio.
EMC y Legato Corporation es el líder mundial en
productos, servicios y soluciones para
almacenamiento y administración de la información.
Son el estándar del manejo del ciclo de vida de la
información (ILM) para las principales plataformas
computacionales. Mediante sus soluciones, actúan
como “encargados” de más de dos tercios de la
información más crítica del mundo.
Administración de Escritorio
Permite automatizar la tarea de distribuciones de
software, administración remota y determinación del
inventario de software y de hardware en la
infraestructura de IT. 
Permite llevar a cabo la administración del hardware y
software de forma automatizada, sobre múltiples
plataformas: Windows, Netware, Macintosh, Linux, Unix y
sistemas operativos de las Handheld con un mínimo
impacto sobre los recursos de la red y los tiempos de
respuesta. Permite generar alertas, soporte remoto,
distribución de software, monitoreo de licenciamiento de
software, entre otros

Seguridad y administración Web


Watchfire proporciona software y el servicio a la ayuda
asegura la seguridad y la conformidad de Web site.
Nuestra ayuda de prueba en línea del software de la
seguridad del uso de la gerencia y del Web de riesgo
conduce coste significativo del tratamiento en línea
automatizando procesos manuales e identificándolos y
dando la prioridad a las ediciones para la remediación
inmediata.
Output Management
Permite automatizar la distribución de información para
la toma de decisiones.
Symtrax, propone soluciones a sus necesidades,
facilitando las tareas, aumentando así la productividad
de las empresas que confían en su iSeries AS/400 y en
el PC para agilizar las decisiones a nivel gerencial. 

Storage Manager
El líder en administración de almacenamiento
en AS/400, LXI provee software y servicios
diseñados para preservar, proteger, salvar y
recuperar datos. Sus soluciones fomentan la
utilización del almacenamiento de recursos a
la vez que abaratan el costo total de
propiedad.
Help Desk
Permite automatizar el cumplimiento de los niveles
de servicios al cliente a través de la consolidación y
automatización de la resolución de problemas.

IT Asset Management
Permite administrar y automatizar el ciclo
de vida de los activos de la infraestructura
de IT. 
Password Management / /User Provisioning
 Permiten la administración de usuarios y
sincronización de contraseñas, de forma centralizada
en ambientes multiplataformas, delegación de la
administración, work-flow de requerimientos de
seguridad, propagación de los cambios a través de
múltiples plataformas: Windows, LDAP, Unix,
NetWare, OS390, OS400, ERPs, sistemas de e-mail,
servidores de DB, aplicaciones personalizadas, entre
otros.

Administración de Encriptación
PGP es la solución líder del mercado para
encriptar datos. PGP permite la encriptación
de información en Discos Duros, Correos
Electrónico, Dispositivos de Almacenamiento
(USB’s) y dispositivos móviles.
Network Management
 Permite el monitoreo en tiempo real todos los dispositivos
de redes corporativas diagnosticando las fallas que pueden
afectar a la continuidad de las comunicaciones. 

BCP Business Continuity Planning

SunGard provee una completa gama de servicios diseñados


para ayudarte a identificar las áreas donde los recursos
críticos de negocio y TI están expuestos al riesgo, para así
generar un plan metódico de acción en caso de fallas y
desastres:
                                                                                                   
  

Mejorar la protección contra amenazas internas


y externas.                                  

Mejorar la confiabilidad y uso de los activos de negocio y TI


de misión crítica.

Mitigar riesgos y eliminar los costos y la pérdida de


productividad por interrupciones.

Cumplir más con las directivas legales y regulatorias, como


HIPAA, Sarbanes-Oxley y US PATRIOT Act.
Certificaciones
Nuestra empresa esta respaldada por
organismos internacionales quienes
certifican nuestro desarrollo y
especialización en materia de
seguridad.
Además estamos desarrollando un programa de
certificación en seguridad, para las empresas; CSI +
dominio de cumplimiento (Certified Security
Improvement) este comprende los dominios de
seguridad basados en el ISO 17799/ 27100
El objetivo de este programa es certificar a las
empresas de acuerdo a su nivel de madurez alcanzado
en materia de seguridad y facilitarle la implementación
de estrategias para que alcance la certificación ISO
27000, procesos y cumplimientos como; ITIL, CMM,
PCI-CISP entre otras regulaciones
Eventos
Especiales

Nuestra empresa busca satisfacer las


necesidades de nuestros clientes,
mediante la calidad, innovación y
creatividad.

Nos gusta estar en contacto con nuestros


clientes a través de actividades tales
como seminarios, charlas, capacitaciones,
foros entre otros
Preguntas?