GESTIÓN DE LA

SEGURIDAD INFORMÁTICA
EN LA EMPRESA
(IFCT050PO)
PROGRAMA DEL CURSO
1. INTRODUCCIÓN A LA SEGURIDAD

1. Introducción a la seguridad de información.

2. Modelo de ciclo de vida de la seguridad de la información.
3. Confidencialidad, integridad y disponibilidad. Principios de protección de la seguridad de la información.
4. Políticas de seguridad.
5. Tácticas de ataque.
6. Concepto de hacking.
7. Árbol de ataque .
8. Lista de amenazas para la seguridad de la información.
9. Vulnerabilidades.
10.Vulnerabilidades en sistemas Windows.
11.Vulnerabilidades en aplicaciones multiplataforma.
12.Vulnerabilidades en sistemas Unix y Mac OS.
13.Buenas prácticas y salvaguardas para la seguridad de la red.
14.Recomendaciones para la seguridad de su red.

2. POLÍTICAS DE SEGURIDAD.

15.Introducción a las políticas de seguridad.

16.¿Por qué son importantes las políticas?
17.Qué debe de contener una política de seguridad.
18.Lo que no debe contener una política de seguridad.
19.Cómo conformar una política de seguridad informática.
20.Hacer que se cumplan las decisiones sobre estrategia y políticas.
3. AUDITORIA Y NORMATIVA DE SEGURIDAD.

1. Introducción a la auditoría de seguridad de la información y a los sistemas de gestión de seguridad de la información.

2. Ciclo del sistema de gestión de seguridad de la información.
3. Seguridad de la información.
4. Definiciones y clasificación de los activos.
5. Seguridad humana, seguridad física y del entorno.
6. Gestión de comunicaciones y operaciones.
7. Control de accesos.
8. Conformidad y legalidad.

4. ESTRATEGIAS DE SEGURIDAD.

1. Menor privilegio.
2. Defensa en profundidad.
3. Punto de choque.4.4. El eslabón más débil.
5. Postura de fallo seguro.
6. Postura de negación establecida: lo que no está prohibido.
7. Postura de permiso establecido: lo que no está permitido.
8. Participación universal.
9. 4.9. Diversificación de la defensa.
10. 4.10. Simplicidad.

5. EXPLORACIÓN DE LAS REDES.

1. Exploración de la red.
2. Inventario de una red. Herramientas del reconocimiento.
3. NMAP Y SCANLINE.
4. Reconocimiento. Limitar y explorar.
5. Reconocimiento. Exploración.
6. Reconocimiento. Enumerar.
6. ATAQUES REMOTOS Y LOCALES.
1. Clasificación de los ataques.
2. Ataques remotos en UNIX.
3. Ataques remotos sobre servicios inseguros en UNIX.
4. Ataques locales en UNIX.
5. ¿Qué hacer si recibimos un ataque?

7. SEGURIDAD EN REDES INALÁMBRICAS

1. Introducción.7.2. Introducción al estándar inalámbrico 802.11 – WIFI
3. Topologías.
4. Seguridad en redes Wireless. Redes abiertas.
5. WEP.
6. WEP. Ataques.
7. Otros mecanismos de cifrado.

8. CRIPTOGRAFÍA Y CRIPTOANÁLISIS.
1. Criptografía y criptoanálisis: introducción y definición.
2. Cifrado y descifrado.
3. Ejemplo de cifrado: relleno de una sola vez y criptografía clásica.
4. Ejemplo de cifrado: criptografía moderna.
5. Comentarios sobre claves públicas y privadas: sesiones.

9. AUTENTICACIÓN.
1. Validación de identificación en redes.
2. Validación de identificación en redes: métodos de autenticación.9.3. Validación de identificación basada en clave
secreta compartida: protocolo.
4. Establecimiento de una clave compartida: intercambio de claves Diffie-Hellman.
5. Validación de identificación usando un centro de distribución de claves.
6. Protocolo de autenticación Kerberos.
7. Validación de identificación de clave pública.
8. Validación de identificación de clave pública: protocolo de interbloqueo.
1. INTRODUCCIÓN A LA SEGURIDAD

Introducción a la seguridad de información.

1. INTRODUCCIÓN A LA SEGURIDAD

1. Introducción a la seguridad de información.

2. Modelo de ciclo de vida de la seguridad de la información.

3. Confidencialidad, integridad y disponibilidad. Principios de protección de la seguridad de la información.

4. Políticas de seguridad.

5. Tácticas de ataque.

6. Concepto de hacking.

7. Árbol de ataque.

8. Lista de amenazas para la seguridad de la información.

9. Vulnerabilidades.

10. Vulnerabilidades en sistemas Windows.

11. Vulnerabilidades en aplicaciones multiplataforma.

12. Vulnerabilidades en sistemas Unix y Mac OS.

13. Buenas prácticas y salvaguardas para la seguridad de la red.

14. Recomendaciones para la seguridad de su red.

DEFINICIÓN

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las

organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

• El concepto de seguridad de la información no debe ser confundido con el

de seguridad informática.

• Para el hombre como individuo, la seguridad de la información tiene un efecto

significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.

• El campo de la seguridad de la información ha crecido y evolucionado

considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una
carrera acreditada a nivel mundial.

• Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas

de información, planificación de la continuidad del negocio, ciencia forense digital y
administración de sistemas de gestión de seguridad, entre otros.
 Dos visiones Distintas

CIBER - DELINCUENTE CIBER - AGENTE

 Dos Estilos de Vida

- Te puedes hacer rico - Cobras, pero no te haces rico

- Acabas condenado - Ayudas a la sociedad
- Una vida al límite - Desmoraliza, Desmotiva
- Desafío continuo - Siempre un paso por detrás
 Pero … no todo es
blanco o negro

- Te puedes hacer rico - Eres hacker y agente - Cobras, pero no te haces rico

- Acabas condenado - Siempre “al limite” de la legalidad - Ayudas a la sociedad

- Una vida al límite - Una vida al límite - Desmoraliza, Desmotiva

- Desafío continuo - Trabajas para el mejor postor - Siempre un paso por detrás
 ¿Quiénes Somos?

“Sólo somos una organización de recogida de datos. Nosotros no exculpamos a nadie.

Nosotros no condenamos a nadie.”
J. Edgar Hoover
Director del FBI

“Yo podría haber eludido la FBI mucho más tiempo si hubiera sido capaz de controlar mi
pasión por la piratería.”
Kevin Mitnick
Pirata Informático
 Modelo del ciclo de vida de la
seguridad de información

• El aumento en la cantidad y
complejidad de las amenazas a
la seguridad de la información hace que
la seguridad debe ser vista como un
proceso continuo y no como un estado
finito.

• Los riesgos a los que está expuesta la

información son dinámicos y se
encuentran en constante cambio. Un
ciclo de mejora continua permitirá
hacer frente a dichos riesgos.

• En este sentido, las políticas de

seguridad de la información también
deben mantener su vigencia e
idoneidad.
 Modelo del ciclo de vida de la seguridad de
información

REDACCIÓN:

Escribir las políticas requiere utilizar un

lenguaje conciso y fácil de comprender, a
través de la selección de un enfoque que
puede ser permisivo o restrictivo, así como
evitar enunciados escritos en sentido
negativo.

Temas a abordar en los documentos:

• Legislación aplicable
• Información sensible
• Clasificación de la información
 Modelo del ciclo de vida de la seguridad de
información

REVISIÓN:

Es necesario analizar el contenido para

verificar que está alineado con los
intereses de la organización, el sentido de
la redacción y la funcionalidad de lo
descrito en los enunciados, es decir,
mantener el equilibrio entre la protección
y operación.

En esta fase, la retroalimentación es una

actividad muy importante para comprobar
que se emiten políticas que pueden ser
cumplidas.
 Modelo del ciclo de vida de la seguridad de información

APROBACIÓN:

 las políticas deben ser ratificadas

para su publicación es conveniente
que los niveles jerárquicos más
elevados dentro de la organización
otorguen el visto bueno y
promuevan la aplicación de las
mismas.
 Modelo del ciclo de vida de la seguridad de información

APROBACIÓN:

Las políticas deben ser ratificadas para su

publicación.

Es conveniente que los niveles jerárquicos

más elevados dentro de la organización
otorguen el visto bueno y promuevan la
aplicación de las mismas.
 Modelo del ciclo de vida de la seguridad de información

PUBLICACIÓN:

• Una actividad de gran importancia en este

ciclo consiste en dar a conocer las políticas
entre las audiencias a las cuales están
dirigidas.

• Es necesario contar con estrategias que

permitan difundir el contenido entre los
miembros de la organización.

• Evaluar el conocimiento del personal con

relación a estos documentos.

• Asumir que las políticas se leen y se cumplen

sólo por mandato SIEMPRE es una
equivocación.
 Modelo del ciclo de vida de la seguridad de
información

ACTUALIZACIÓN:

La seguridad debe ser vista como un proceso de

mejora continua, en donde los controles técnicos o
medidas de seguridad se pueden mantener,
corregir o cambiar en función de los resultados
obtenidos y de los parámetros de medición
establecidos.

Nuevos riesgos identificados, la recurrente

violación de una política, sugerencias de las partes
interesadas, el uso de nuevas tecnologías o
cambios significativos dentro de la organización y
en su contexto, son algunas de las razones por las
cuales se puede actualizar una política.
 Modelo del ciclo de vida de la seguridad
de información

ACTUALIZACIÓN:

La seguridad debe ser vista como un proceso de

mejora continua, en donde los controles técnicos o
medidas de seguridad se pueden mantener,
corregir o cambiar en función de los resultados
obtenidos y de los parámetros de medición
establecidos.

Nuevos riesgos identificados, la recurrente

violación de una política, sugerencias de las partes
interesadas, el uso de nuevas tecnologías o
cambios significativos dentro de la organización y
en su contexto, son algunas de las razones por las
cuales se puede actualizar una política.
 1. INTRODUCCIÓN A LA SEGURIDAD

Confidencialidad, integridad y disponibilidad. Principios de protección de la

seguridad de la información.
 1. INTRODUCCIÓN A LA SEGURIDAD

Modelo del ciclo de vida de la seguridad de información.

 Confidencialidad, integridad y disponibilidad

• Tenemos que recordar que ningún sistema de

seguridad es completamente seguro, siempre
debemos tener claro que un sistema es mucho más
vulnerable de lo que pensamos.

• Es necesario que tengamos en cuenta las causas de

los riesgos y la posibilidad de que ocurran fallos. Una
vez que tenemos esto claro podemos tomar las
medidas necesarias para tener un sistema
para conseguir un sistema menos vulnerable.

• A continuación aclaramos cada uno de los puntos

que forman la CIA:
 Confidencialidad, integridad y disponibilidad
Confidencialidad
La confidencialidad se conoce como una forma de prevenir la divulgación de la
información a personas o sistemas que no se encuentran autorizados.

Integridad
Cuando hablamos de integridad en seguridad de la información nos referimos a cómo los
datos se mantienen intactos libre de modificaciones o alteraciones por terceros. Por este
motivo se debe proteger la información para que sólo sea modificada por la misma
persona, evitando así que se pierda la integridad.

Disponibilidad
Es un pilar fundamental de la seguridad de la información, nada hacemos teniendo segura e
integra nuestra información, si no va a estar disponible cuando el usuario o sistema necesite
realizar una consulta.

Para cumplir con la última condición tenemos que tener claro cuál será el flujo de datos que
debemos manejar, para conocer donde se debe almacenar dicha información, que tipo de
servicio debemos contratar, etc.
1. INTRODUCCIÓN A LA SEGURIDAD

Políticas de Seguridad
QUE SON POLÍTICAS DE SEGURIDAD?

Son las reglas y procedimientos que regulan la forma

en que una organización, mitiga los riesgos y busca
establecer los estándares de seguridad a ser
seguidos por todos los involucrados en el uso y
mantenimiento de las herramientas tecnológicas.

Se consideran como el primer paso para aumentar la

conciencia de seguridad de la información, están
orientadas hacia la formación de buenos hábitos.
De modo que se cumplan los objetivos de:

• Reducir o eliminar los peligros y riesgos inherentes a nuestras actividades por medio de la mejora
continua del desempeño en seguridad en nuestros procesos y servicios.

• Mejorar la confidencialidad de la información, especialmente de los alumnos de las actividades

formativas, que Academia Lugones almacena en sus sistemas de información, y maximizar la
disponibilidad y la integridad de los servicios prestados a nuestros usuarios, así como de los activos
utilizados para el tratamiento de la información.

• Gestionar eficientemente las incidencias que afecten a la integridad, disponibilidad y confidencialidad

de la información de la empresa.

• Implantar planes de continuidad del negocio que garanticen la continuidad de las actividades de
Academia Lugones en caso de incidencias graves o contingencias.

• Garantizar que nuestras operaciones y procesos actuales y futuros cumplan con la legislación vigente en
materia de seguridad de la Información.
 Clasificamos las políticas de seguridad en los siguientes grupos:

• Equipos: Todo lo relacionado con el • Redes e Internet: las medidas que se deben
hardware, su uso y cuidado. tomar a la hora de utilizar los recursos de
telecomunicación.

• Usuarios: Concerniente a las personas • Datos e Información: Políticas que regulan la

que utilizan los recursos informáticos manipulación, transporte y almacenamiento
de la institución. de la información de la institución.

• Administración de seguridad Informática:

• Software: los recursos lógicos tales Establece la forma en que la Oficina de
como programas, aplicativos y demás. Sistemas de Información gestiona la seguridad
de la infraestructura informática
1. INTRODUCCIÓN A LA SEGURIDAD

Tácticas de Ataque y Concepto de Hacking

 Tácticas de Ataque y Concepto de Hacking

La palabra “hacker” viene del inglés “hack” que significa

“dar un hachazo”.

Originalmente, dicho término se usaba para describir la

forma en que los técnicos arreglaban aparatos defectuosos.

En la actualidad, ese término ha evolucionado hasta

adquirir una connotación negativa.

En los medios de comunicación y el cine el “hacker” es

un personaje “romántico” que utiliza la informática
como herramienta anti-sistema o para hacer su
“justicia divina”
 Tácticas de Ataque y Concepto de Hacking

1. Black Hat 1. Defacer

2. White Hat 2. Spammers y diseminadores de
3. Grey Hat Spyware
4. Crackers 3. Script-kiddle
5. Carder 4. Wizard
6. Pharmer 5. Programador Vodoo
7. War Driver 6. El Newbie
 Tácticas de Ataque y Concepto de Hacking

1. Black Hat: Son los villanos de la película. Usan sofisticadas técnicas para acceder a sistemas, apoderarse de ellos y sus
datos, destruirlos, venderlos, etc.

2. White Hat: Son hackers éticos, que trabajan asegurando y protegiendo sistemas de TI. Usualmente se desempeñan en
empresas de seguridad informática y dan cuenta de las vulnerabilidades de las empresas para poder tomar medidas
correctivas.

3. Grey Hat: Es un híbrido, ya que a veces actúa de manera ilegal, aunque con buenas intenciones. Puede penetrar
sistemas y divulgar información de utilidad al público general, como por ejemplo acusar con pruebas a grandes compañías
por la recopilación no autorizada de datos de los usuarios.

 
      

4. Los Crackers: Son un tipo de Black Hat. Su principal finalidad es dañar sistemas y ordenadores, rompiendo sistemas de
seguridad de computadores, colapsando servidores, infectando redes y entrando a zonas restringidas. El término
“programas crackeados” viene de los generadores de números o claves de acceso que logran vulnerar los sistemas.

5. Carder: Experto en fraudes con tarjetas de crédito. Generan números falsos y códigos de acceso que violan exitosamente
los sistemas de control para robar y clonar tarjetas.
 Tácticas de Ataque y Concepto de Hacking
6. Pharmer: Se dedican a realizar ataques de “phishing”, donde el usuario cree que está entrando a un sitio real y en realidad
introduce sus datos en uno creado por el hacker. Posteriormente usan las credenciales para robar fondos de las cuentas de sus
víctimas.

7. War driver: Son crackers que saben aprovechar las vulnerabilidades de todo tipo de redes de conexión móvil.

8. Defacer: Buscan bugs de páginas web en internet para poder infiltrarse en ellas y así modificarlas.

9. Spammer y diseminadores de Spywares: Hay empresas que les pagan por la creación de spams de sus principales productos
y en otros casos también lucran con publicidad ilegal.

10. Script-kiddie: Son internautas que se limitan a recopilar información, herramientas de hacking gratuitos y otros programas
para probar sus efectos en posibles víctimas. Más de alguna vez terminan comprometiendo sus propios equipos.
 
      

11. Wizard: Es el que conoce a fondo como actúa cada sistema por complejo que sea. Un hacker usa técnicas avanzadas, pero el
wizard entiende cómo o por qué funcionan.

12. Programador Vodoo: Es el programador que se basa en técnicas que leyó, pero que todavía no entiende. Así que éstas
podrían funcionar o no.

13. El Newbie: Alguien “noob” o novato que aprende hacking a partir de tutoriales o información de una web. Son aprendices
que aspiran a ser hackers.
 Tácticas de Ataque y Concepto de Hacking

El hacker legendario Kevin Mitnick, quien habla de sus

motivaciones en interesante entrevista para NPR.

Atención a estas palabras:

Mi motivación para hackear fue siempre el reto

intelectual, la seducción de la aventura y, lo más
importante , la búsqueda del conocimiento [...] Yo
simplemente quería aprenderlo todo.

Sabemos que disfruta de una vida tranquila y exitosa,

alegrada por una fama que los años han vuelto
romántica, lejos de los caminos subterráneos de sus
inicios, pero feliz de recibir un buen sueldo por hacer
exactamente lo mismo: vulnerar sistemas --sólo que
esta vez a petición de sus dueños
 Tácticas de Ataque y Concepto de Hacking

La recomendación es tomar las palabras

de Mitnick como catalizadores para crecer
en el trabajo, la escuela, el auto
aprendizaje.

Ya sea porque eres programador, profesor,

político, hacktivista, estudiante, periodista,
diseñador, escritor, cómico, padre o
madre, lo que sea que eres o quieras llegar
ser, hacker o no, el nombre es lo de
menos.
Tácticas de Ataque y Concepto de Hacking

Datos Ministerio fiscal 2014

 Tácticas de Ataque y Concepto de Hacking

• Busca el reto intelectual;

• Déjate seducir por la experimentación,
como si de una aventura se tratara,
porque lo es.
• Disfruta de equivocarte y volver a
empezar.
• Busca el conocimiento, el placentero y
socrático acto de querer aprenderlo todo
aceptando que no sabes nada.
• Sorpresa: no esperes nada a cambio, que
de por sí el camino merece mucho la
pena ser andado.
 Tácticas de Ataque y Concepto de Hacking

Un hacker que pretenda hackear un

sistema informático, primero busca fallas,
es decir vulnerabilidades que puedan
afectar la seguridad del sistema en
protocolos, sistemas operativos,
aplicaciones e incluso a los empleados de
una organización.

Los términos vulnerabilidad, infracción y

el más informal carencia de seguridad
también se usan para referirse a las fallas
de seguridad.
 Tácticas de Ataque y Concepto de Hacking

Para poder sacar provecho de un punto

vulnerable (el término técnico para
aprovechar una falla), el hacker primero
debe recuperar una cantidad máxima de
información acerca de la arquitectura de red
y acerca de los sistemas operativos y
aplicaciones que se ejecutan en esta red.

La mayoría de los ataques son producto de

hackers inexpertos que intentan usar los
puntos vulnerables que encuentran en
Internet, sin conocimiento del sistema ni de
los riesgos relacionados.
 Tácticas de Ataque y Concepto de Hacking

Una vez que el hacker asigna el sistema, podrá

aplicar estas formas de explotación de los
puntos vulnerables a las versiones de las
aplicaciones que ha catalogado. El acceso
inicial a un equipo le permitirá expandir su
acción para recuperar otra información y
posiblemente elevar sus privilegios en el
equipo.

La siguiente estructura resume toda la metodología: