SEGURIDAD INFORMÁTICA

Esp. Administración de la Seguridad

 EDGAR ALFONSO GODOY LÓPEZ

Perfil Profesional

Profesional especializado en el diseño, implementación y

administración de proyectos de Seguridad de la Información,
relacionados con Sistemas de Gestión de Seguridad,
Arquitectura de Seguridad, Análisis de Riesgos, Continuidad
del Negocio, Normatividad, Hardening de Plataforma,
Ethical Hacking, Respuesta a Incidentes y soluciones
tecnológicas de seguridad, entre otros, capaz de liderar y
desarrollar proyectos en el área de Seguridad de la
Información que impliquen un alto grado de compromiso,
conocimiento y experiencia.
 EDGAR ALFONSO GODOY LÓPEZ
Formación
• Magister en Seguridad de la Información – Universidad de los Andes
• Especialista en Seguridad de la Información - Universidad de los Andes
• Ingeniero de Sistemas
Certificaciones
• CISSP (CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL)
• CISM (CERTIFIED INFORMATION SECURITY MANAGEMENT)
• MANAGER CYBERSECURITY ISO/IEC 27032:2012
• LEAD IMPLEMENTER ISO 27001:2013 E ISO 27003:2017
• LEAD AUDITOR ISO 22301:2012
• LEAD AUDITOR ISO 27001:2013
• CRISC (CERTIFIED IN RISK AND INFORMATION SYSTEMS CONTROL)
• CEH (CERTIFIED ETHICAL HACKER)
• IPV6 FORUM CERTIFIED SECURITY ENGINEER (GOLD)
• ECIH (EC-COUNCIL CERTIFIED INCIDENT HANDLER)
• CCNA SECURITY (CISCO CERTIFIED NETWORK ASSOCIATE SECURITY)
• NSE4 FORTINET NETWORK SECURITY EXPERT
• RISK MANAGER ISO 31000
 EDGAR ALFONSO GODOY LÓPEZ

Experiencia en Seguridad de la Información

• Mas de 20 años de experiencia en Seguridad de la Información:

 CONSULTOR SENIOR EN SEGURIDAD DE LA INFORMACIÓN – NDV SAS

 OFICIAL DE SEGURIDAD DE LA INFORMACIÓN - ETB S.A. ESP.

 OFICIAL DE SEGURIDAD DE LA INFORMACIÓN - LEGIS S.A.

 ESPECIALISTA DE SEGURIDAD DE LA INFORMACIÓN - GRUPO AVAL

 INGENIERO DE PROYECTOS DE SEGURIDAD – EJERCITO NACIONAL

• Amplia experiencia en proyectos de Seguridad Informática y Seguridad de la

Información en entidades de orden nacional y territorial y en empresas
privadas.
 SEGURIDAD INFORMÁTICA

• 6:00 PM – DESCANSO 10 minutos 8:00 PM – 9:45 PM

• 6:10 PM – Quiz de los temas vistos

• 40 % - Quices y Talleres
• 30% - Evaluación Individual
• 30% - Estado del Arte de Seguridad en …
 ESTADO DEL ARTE DE SEGURIDAD EN …

GRUPOS DE 3 PERSONAS

• Infraestructuras Criticas

• Seguridad Física soportada en soluciones tecnológicas

• Internet de las Cosas

• Inteligencia Artificial

• Identidad Digital

• Redes Moviles 4G, 5G

• Blockchain

• Servicios Cloud
 SEGURIDAD INFORMÁTICA

• Contexto y Conceptos Básicos de Seguridad de la Información

• Sistema de gestión de Seguridad de la Información

• Gestión de Riesgos

• Gestión de Incidentes de Seguridad

• Continuidad del Negocio

• Arquitecturas y Plataforma de Seguridad

• Controles y buenas practicas de Seguridad de la Información

• Estado del Arte de Seguridad de diferentes temas

 QUIZ

Si me llega un correo de un desconocido, induciéndome a

visitar una pagina o abrir un archivo adjunto, que debo
hacer?

a) Abro el archivo, miro de que se trata y luego lo borro

b) Lo borro sin abrirlo
c) Le informo del correo a los de Tecnología
d) Abro el archivo y si me parece gracioso se lo reenvío a mis
compañeros y amigos
e) Se lo reenvío a los de Soporte Informático
 QUIZ

Cuales son los pilares de Seguridad de la Información?

a) Integralidad, Confidente y Disponible

b) Disponibilidad, Integridad y Confiabilidad
c) Integridad, Disponibilidad y No repudio
d) Confiabilidad, No repudio y Disponibilidad
e) Integridad, Confidencialidad y Disponibilidad
 QUIZ

Yo estoy totalmente protegido si:

a) Tengo un antivirus actualizado

b) Tengo un antivirus y un firewall actualizado
c) Tengo un antivirus y un firewall actualizado y tengo
parchado mi equipo
d) Tengo todas las anteriores y un filtro de paginas
web
e) Todas las anteriores ayudan pero no son suficientes
 QUIZ

Protejo a los menores de mi casa de las amenazas de la red,

si:
a) Tengo un antivirus y no les permito las redes
sociales
b) Cada vez que vayan a usar Internet estoy
supervisando que están haciendo
c) Les enseño las amenazas de Internet
d) Les enseño las amenazas de Internet, les genero
confianza e instalo una solución que permita
controlar lo que navegan y en que horarios
e) Lo mejor es darles toda la libertad
 QUIZ

En las entidades quien es el responsable por la seguridad

de la Información?
a) Todos somos responsables por la Seguridad de la
Información
b) Los de Tecnología
c) Los de Tecnología y Control Interno
d) Los de Tecnología, Control Interno y Talento
Humano
e) No se pueden determinar responsables
DEFINICIÓN DE RIESGO

Posibilidad de ocurrencia, de
una situación que puede
afectar negativamente el logro
de los objetivos, o la gestión
de un proceso.

El riesgo se define como la

combinación de la
probabilidad de que se
produzca un evento y sus
consecuencias negativas.
INFORMACIÓN CONFIDENCIAL EXPUESTA
EQUIPOS SIN ASEGURAR
EQUIPOS DESATENDIDOS
INTERNET DE LAS COSAS SIN ASEGURAR
 Amenazas

• Naturales: Terremotos, Huracanes, desastre natural.

• Personas: empleados descontentos, cibercriminales, etc

• Virtual: programa malicioso, keylogger, rasomware

LEY No.1273 del 5 de Enero de 2009
DEMO Amenazas

PHISHING REDES SOCIALES

PHISHING REDES SOCIALES
PHISHING REDES SOCIALES
PHISHING REDES SOCIALES
PHISHING REDES SOCIALES
PHISHING REDES SOCIALES

M1fac3b00k
PHISHING REDES SOCIALES
PHISHING REDES SOCIALES

M1fac3b00k
PHISHING REDES SOCIALES
AMENAZA RANSOMWARE
 PILARES DE SEGURIDAD DE LA INFORMACIÓN

Confidencialidad:

Integridad:

Disponibilidad:
 PILARES DE SEGURIDAD DE LA INFORMACIÓN

Confidencialidad: Información accesible a quienes estén autorizados.

Integridad: Información completa, exacta, veraz, etc.

Disponibilidad: Acceso al activo de Información por quienes están

autorizados en el momento que lo requieran.
 CONCEPTOS RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN

Vulnerabilidad:

Amenaza:
 CONCEPTOS RIESGOS DE SEGURIDAD DE LA
INFORMACIÓN

Vulnerabilidad: Debilidad del activo de información

Amenaza: agente o vector que genera la materialización del riesgo

 TRATAMIENTO DEL RIESGO SEGURIDAD DE LA
INFORMACIÓN

Evitar: Consiste en eliminar la amenaza por medio del retiro de las actividades causantes o desistimiento de
llevar a cabo una actividad.
 
Mitigar: Actividades y medidas tendientes a reducir la probabilidad de ocurrencia de un riesgo y/o minimizar
la severidad de su impacto en caso de suceder
 
Transferir: Actividades y medidas tendientes a transferir a un tercero la responsabilidad por el manejo de
riesgos y/o la obligación por las consecuencia financieras del riesgo en caso de ocurrencia
 
Aceptar: Ésta respuesta aplica para aquellos eventos en los cuales:
 
• No se pueden definir acciones, dado que no son de control de la organización, y su actuación deberá estar
dirigida en la definición de planes de contingencia en caso que se llegue a materializar.
• Se identifica inicialmente como bajos, y dado que no tienen gran incidencia sobre el proyecto, se decide no
definir e implementar acciones de respuesta.
 ERRORES COMUNES AL GESTIONAR RIESGOS

• No se definen de manera correcta

• No se hace seguimiento periodico

• Se definen riesgos a muy alto nivel

• Los planes de tratamiento no atacan las causas del riesgo

• Se limitan a gestionar los identificados, pero no se identifican

nuevos riesgos
 TRATAMIENTO DE RIESGOS

ACEPTAR MITIGAR

RIESGO

ELIMINAR TRANSFERIR
 ESCENARIO DE RIESGO

Atravesar la carrera 11 para almorzar en el otro

costado
• Riesgo?

• Amenaza?

• Vulnerabilidad?

• Opción de Tratamiento?

• Control a implementar?
TABLAS PARA IDENTIFICACIÓN, VALORACIÓN Y
TRATAMIENTO DE RIESGO
MAPA DE CALOR DE RIESGOS
 EJEMPLO DE RIESGO

Perdida de disponibilidad de los registros de video de las cámaras de

vigilancia, debido a una eliminación de los videos ya que no estaban afinados
los permisos de acceso al directorio donde se encontraban, ocasionando
multas por no cumplir una obligación contractual

Riesgo: Perdida de disponibilidad de los registros de video de las cámaras de

vigilancia,

Causa: debido a una eliminación de los videos ya que no estaban afinados los
permisos de acceso al directorio donde se encontraban

Consecuencia: ocasionando multas por no cumplir una obligación contractual

 ENFOQUE DE GESTIÓN DEL RIESGO

• Identificar los activos de información.

• Valorizar los activos de información (asignando un valor cuantitativo, como dólares, o un valor
cualitativo, como alto, medio o bajo).

• Evaluar amenazas para los activos de información.

• Evaluar la probabilidad de ocurrencia de las amenazas.

• Identificar las vulnerabilidades existentes y las previstas.

• Evaluar el impacto de un evento de pérdida o divulgación en la organización.

• Identificar los controles de seguridad existentes y planificados u otras opciones para enfrentar
el riesgo.

• Evaluar y priorizar los riesgos, basado en sus probabilidad e impacto organizacional.

 ALGUNOS ESCENARIOS DE RIESGOS
• Denegación de servicios (DOS por sus siglas en inglés): capacidad de un individuo
malintencionado para detener el funcionamiento de un sistema informático

• Inserción de datos inexactos: agregar datos incorrectos en una base de datos o archivo

• Modificación de Datos: cambiar datos o información en un sistema sin estar autorizado

• Destrucción de Datos

• Inserción de datos inexactos

• Robo de datos

• Modificación de Datos

• Destrucción de Datos

• Divulgar información restringida a alguien no autorizado

• …
 ESCENARIO DE RIESGOS
Exposición
de
contraseñas

Equipo
Medios con
desatendido
información
acc fácil s
o
de ent

Crítica
s
cum

to
e so

m en ir
cu estru
Do

D o d
si n
 ESTRATEGIAS DE MITIGACIÓN

• Copias de respaldo de la información critica

• Campañas de sensibilización en temas de seguridad de la información

• Protección en capas

• Aseguramiento de la plataforma tecnológica

• Actualización oportuna de parches de seguridad

• No divulgar información critica de manera verbal o escrita

• Monitoreo permanente

• Documentación escrita y controlada

• Registros controlados y protegidos

• Barreras físicas

• Conectarse a redes seguras o por canales seguros

• …
 ESTRATEGIAS DE MITIGACIÓN

• Cambio de contraseñas de manera periódica

• Asegurar una separación de responsabilidades o segregación de funciones

• Exigirle a los proveedores cumplir como mínimo los mismos niveles de seguridad que se
tienen implementados en la entidad

• Controlar uso de dispositivos electrónicos en áreas seguras o criticas

• Establecer acuerdos de no divulgación

• Personal identificado mientras se encuentre en el interior

• Auditorias periódicas

• Lineamientos no deben violar derechos fundamentales

• Capacitación o conocimiento permanente en seguridad

• Aseguramiento de sistemas y equipos antes de paso a producción

• …
 ESTRATEGIAS DE MITIGACIÓN

• Cambio de contraseñas de manera periódica

• Asegurar una separación de responsabilidades o segregación de funciones

• Exigirle a los proveedores cumplir como mínimo los mismos niveles de seguridad que se
tienen implementados en la entidad

• Controlar uso de dispositivos electrónicos en áreas seguras o criticas

• Establecer acuerdos de no divulgación

• Personal identificado mientras se encuentre en el interior

• Auditorias periódicas

• Lineamientos no deben violar derechos fundamentales

• Capacitación o conocimiento permanente en seguridad

• Aseguramiento de sistemas y equipos antes de paso a producción

• …
Gracias