Lic. Angel Baspineiro V.

•20/12/21
Introducción
 El robo o alteración de información que
constituye un delito informático parece
ser un “buen negocio”:
Objeto Pequeño.
No existe contacto Físico.
Alto Valor.
No existe legislación al respecto.

•Lic Angel Baspineiro V.

Introducción
 Mientras continua aumentando el tamaño de
las redes de computadoras y su integración
con otras redes, los requerimientos para
mantener las seguridad de los datos aumentan
significativamente
 Interconexión e interoperabilidad ha hecho
mas fácil compartir información pero también
han expuesto a organizaciones a muchos
ataques con grandes pérdidas para la misma.

•Lic Angel Baspineiro V.

Percepción de la Seguridad
Informática
Riesgos reconocidos por los
administradores de red

•Lic Angel Baspineiro V.

Percepción de la Seguridad
Informática
Incidentes registrados

•Lic Angel Baspineiro V.

Percepción de la Seguridad
Informática
Medidas Implementadas

•Lic Angel Baspineiro V.

Percepción de la Seguridad
Informática
 Falta conciencia en la administración de
que la seguridad es importante:
“No nos pasará !”,
“Quien podría interesarse en nuestra
información ?”,
“No creo que logren entrar a nuestro
sistema, por que no existe los
conocimientos necesarios para hacerlo”.

•Lic Angel Baspineiro V.

Seguridad en redes

 Esta relacionada con la seguridad en sistemas

operativos, aplicaciones, datos, dispositivos de
networking, hardware cuando estos residen en
una red establecida.

 La seguridad en las redes privadas se ha vuelto

aún mas importante desde el momento en que
estas se encuentran conectadas a redes públicas.

•Lic Angel Baspineiro V.

Seguridad..un problema de todos
Red privada típica con
conexión a Internet

•Lic Angel Baspineiro V.

Datos Seguros
\6 0
35 \6 5

 Confidencialidad
30 10

25 15

Solo el grupo de personas autorizadas puede

ver la información (2 o mas personas)
 Integridad
La información debe llegar sin alteración desde
el origen al destino
 Disponibilidad
La información debe estar siempre disponible
para las personas autorizadas.(24/7)

•Lic Angel Baspineiro V.

Datos Seguros
 Existen ciertas carácterísticas de deseables
en un entorno informático seguro,
relacionadas con Internet.
Autenticación, la persona es quien dice ser
○ C.I., Certificado Digital
No repudio, las personas emisora y receptora de
información no pueden negarse de sus actos.
○ Firma, Firma digital
No re-ejecución, no se puede repetir dos veces
las misma transacción.
○ EDI, EFT

•Lic Angel Baspineiro V.

Amenazas, Vulnerabilidades y Riesgos
 Amenazas - Clasificación
Modificación
Interrupción

Intruso
Intruso

DoS sniffing - spoofing

Generación
Interceptación

Intruso Intruso

sniffing Código Malicioso

•Lic Angel Baspineiro V.
Amenazas a la seguridad
Amenazas
Activos
 Ejs.
Contraseñas débilmente formadas, compartidas
No se encripta la información
No existe restricción de acceso físico a los equipos
Se maneja informes y otros muy a la vista de extraños
Se baja e intala software de internet
indiscriminadamente
Se usan aplicaciones con navegadores, clientes de
correo, que a su vez tienen muchas vulnerabilidades.
No se actualiza los parches del sistema operativo,
etc.
Amenazas, Vulnerabilidades y Riesgos
 Vulnerabilidades
A nivel de la pila de protocolos TCP /IP. Ej:
○ ICMP, ARP, DNS, SNMP, etc
A nivel de Sistemas Operativos Servidor
○ Linux, Windows, Novell
A nivel de Sistemas Operativos Cliente
○ Windows xx, Linux
A nivel de aplicaciones de usuario
A nivel de dispositivos de networking

•Lic Angel Baspineiro V.

Riesgo - Exposición
Amenazas, Vulnerabilidades y Riesgos

valora
Gerencia
establece

Contramedidas
Pueden ser
mitigadas Pueden tener Para reducir

Vulnerabilidades

Riesgo
incrementan
aprovechan

Amenazas Activos
a

•Lic Angel Baspineiro V.

Amenazas, Vulnerabilidades y Riesgos
 Las vulnerabilidades conducen a las amenazas
que a su vez, llevan a los riesgos
 Las vulnerabilidades son debilidades en la
seguridad de un sistema.
 Las amenazas, pueden explotar (exploit) o actuar
a través de la vulnerabilidad para afectar
negativamente al sistema.
 Riesgo, es la probabilidad de que una amenaza
pueda explotar una vulnerabilidad y pueda causar
pérdida o daño en los activos (informáticos) de la
empresa.

•Lic Angel Baspineiro V.

Gestión de Riesgos

 El riesgo de una organización comienza desde el momento

mismo en que inicia sus actividades
 El riesgo puede ser identificado, reducido, nunca eliminado
 Una organización se encuentra permanentemente en riesgo
 No existe un entorno 100% seguro
Gestión de riesgos:
Preguntas a responder
Análisis de Riesgos
Tratamiento de los riesgos
Políticas, normas y procedimientos de
seguridad
 Política de seguridad
 El principal objetivo de una política de seguridad es hacer
conocer al personal administrativo, gerentes y demás
usuarios, sus obligaciones respecto a la protección de los
recursos tecnológicos e información.
 La política de seguridad también permite guiar y
proporcionar apoyo gerencial para lograr los objetivos que
la empresa desea en cuanto a confidencialidad, integridad y
disponibilidad de la información.
 Permite proporcionar una referencia a partir de la cual
diseñar, configurar y/o auditar sistemas de computación y
redes.

•Lic Angel Baspineiro V.

Políticas, normas y procedimientos de
seguridad
 Jerarquía de conceptos asociados
 Política general
○ Principios generales de seguridad sobre los cuales
deben basarse las normas, procedimientos y
estándares detallados.
 Normas
○ Definiciones concretas sobre cada uno de los temas de
seguridad que luego serán adaptadas a cada recurso
informático en particular.
 Procedimientos
○ Detalle de cursos de acción y tareas que deben realizar los
usuarios para hacer cumplir las definiciones de las normas
 Estándares
○ Acuerdos internacionales y nacionales específicos sobre
seguridad, buenas prácticas.

•Lic Angel Baspineiro V.

Políticas, normas y procedimientos de
seguridad
 Criterios de éxito
 Responsabilidades
 Apoyo político
 Gasto o inversión?
 Documentando la política
○ Quién y dónde?
○ Qué?
○ Cuándo?
○ Por qué?
○ Cómo?
○ Ejemplos: Política de responsabilidad, políticas de
autenticación, Política de acceso, Política de privacidad
 Difusión
 Cumplimiento
 Incumplimiento
 Revisión y evaluación

•Lic Angel Baspineiro V.

Políticas, normas y procedimientos de
seguridad
 Ejemplo de estructura 1
 Objetivo
 Responsables de cumplimiento
 Incumplimiento
 Definiciones (osea las normas)
 Ejemplo 2 (SANS)
 Introducción
 Propósito
 Alcance
 Política general y Lineamientos o normas especificas
 Incumplimiento
 Definiciones
 Historial de revisión

•Lic Angel Baspineiro V.

Políticas, normas y procedimientos de
seguridad
 Ejemplos de normas específicas
Tratamiento de la información
Responsabilidades de seguridad
Administración de usuarios
Licencias Software
Copias de respaldo
Uso de email y www
Comunicaciones
Antivirus
Ambientes de procesamiento

•Lic Angel Baspineiro V.

Seguridad y políticas

•Security wheel •Lic Angel Baspineiro V.

Obtenga un vuelo inicial con
los estándares de seguridad
Nivel Gerencial y Técnico de la Seguridad de la
información

Nivel Gerencial de la Seguridad

BCP ISO17799 COBIT CERT
Ethical Hacking
PNPs
ESR
Protocolos VPN E-commerce RootKits

Seguridad en Plataformas
CheckPoint Cisco Pix
Nivel Técnico
•Lic Angel Baspineiro V.
Finalmente …
“Cuanta más gente conozca la vulnerabilidad más
probabilidades habrá de anularla” Bruce Schneier
(www.counterpane.com)

•Lic Angel Baspineiro V.