Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciberseguridad de la Información
Oscar Sierra L.
Seguridad de la Información
Menti.com
4982 6586
Seguridad
de la
Información
Triada
Seguridad de la Información
Así lentamente se empieza a hablar de estos principios básicos
que afectan a la seguridad.
Es de característica polimórfico, lo que quiere decir que cada vez que se descarga, cambia su “forma”
de modo de no ser detectado por antivirus basado en firmas.
30 minutos
Trabajo Grupal
Confidencialidad
¿Cómo partirían en el manejo de la seguridad de la información en su empresa?
Usualmente la información procesada en la empresa tiene una relación directa con la misión y objetivos de ella.
Es decir… una compañía de seguros tendrá información relacionada con sus pólizas de seguros, asegurados,
siniestros etc.
Confidencialidad
Disponibilidad
Modelo Militar
Confidencialidad
Disponibilidad
Confidencialidad
Modelo Retail
CASO 1
La empresa “La Llave”, empresa dedicada a la elaboración de cerraduras de puertas para hogares y
oficinas, lo contrata para comenzar con el diseño de un programa de seguridad de la información. La
empresa invierte una gran cantidad de dinero en un departamento de diseño e innovación, pero no ha
podido lograr esta innovación, ya que al momento de lanzar un nuevo producto, la empresa de la
competencia “El Candado” siempre saca el mismo producto o mejor.
El programa tiene un presupuesto de $10.000.000 para implementar este programa en el primer año.
Elija 3 iniciativas que incluiría, en qué orden y por qué.
1.Actualización del sitio web de la compañía que promociona los servicios de la empresa- 2 mil.
2.Contratar un análisis de vulnerabilidades al sitio de la compañía – 3 mil.
3.Levantamiento de los activos de información de la compañía – 2 mil.
4.Programa de concientización de cuidados de seguridad en los empleados – 1 mil.
5.Instalación de cámaras de seguridad en el perímetro de la empresa – 2 mil.
6.Preparar un evento de presentación sobre los riesgos de seguridad a los dueños de la empresa – 3
mil.
7.Actualizar el sistema contable de la empresa que es anticuado y con muchos problemas – 3 mil.
8.Implementar un sistema de investigación de datos personales en los empleados. 3 mil.
9.Definir una políticas de seguridad de la información. 2 mil.
10 minutos
Dirección IP
Para que una carta llegue a su destinatario, tiene que llevar la dirección exacta:
-Calle,
-Número,
-Ciudad,
-Código postal y
-País.
Lo mismo ocurre en internet: cada dispositivo dentro de una red interna o externa
necesita un “número de puerta” concreto para poder comunicarse con otros
dispositivos y recibir de ellos información (paquetes de datos).
Dirección IP
La internet protocol address, es decir, la dirección IP o simplemente IP, se
basa en el protocolo de Internet (IP ; internet protocol), que es, además, la
base del funcionamiento de Internet.
Con IPv4 se pueden representar un total de unos 43 000 millones de direcciones diferentes.
Se trata de muchas menos direcciones que dispositivos en el mundo (y muchas de ellas están reservadas
para usos especiales) pero, puesto que nunca se necesitan todas a la vez, y ya que algunas solo se usan en
redes privadas, hasta ahora han sido más que suficientes.
Dirección IP
Sin embargo y especialmente por la internet de las cosas, esta situación no tardará en
cambiar: puesto que cada vez más dispositivos se conectan a Internet y gran parte de
ellos necesita una dirección IP, la capacidad de IPv4 de asignar direcciones se vuelve
poco a poco insuficiente.
Las direcciones de esta versión se componen de 128 bits de modo que deberían
escribirse como un código binario de 128 cifras. Una cifra así sería demasiado larga y
poco práctica, de manera que se recurre a una escritura hexadecimal que separa los 128
bits en 8 bloques de 16 bits separados entre ellos por dos puntos.
Servidor DCHP (protocolo de configuración dinámica de host) es un “dador de IPs” a los dispositivos que
se quieren conectar a una red.
192.120.120.120
Fija
http:\\misitiobonito.cl\index.asp\
192.120.120.120
Fija
192.120.120.120 = misitiobonito
http:\\misitiobonito.cl\index.asp\
Fija 192.120.120.120
192.120.120.120 = misitiobonito
¿Puedo cambiar mi dirección IP?
https://www.pandora.com/
Caso 2
La zapatería “El buen calzado” se ha ganado un prestigio produciendo calzado artesanal de excelente
calidad y variados diseños. Debido a la pandemia de Covid, no pudo vender la cantidad de zapatos en la
temporada Verano por lo que tiene exceso de stock.
Está pensando ofrecer sus servicios en el próximo Black Friday (24 horas) que se acerca en 30 días.
Para ello posee un sitio web, diseñado por el hijo del dueño (aventajado alumno de informática) que se
encuentra alojado (el sitio web) en el PC de última generación que tiene el hijo en la empresa.
Le encarga su asesoría (gratis) para que lo oriente en donde poder invertir ese dinero de la mejor manera
con 3 de las siguientes iniciativas.
CASO 1
•Pensemos que nuestra empresa ha pensado trasladar las cintas de respaldo de nuestro
sistema estratégico, a una localidad segura en las afueras de la ciudad. Para ello ha
contratado una prestigiosa empresa, en cuyos camiones se transportan las únicas copias de
nuestras cintas de respaldo y para facilitar la lectura no se encuentran encriptadas.
¿Qué pasa si el camión tiene un accidente y se
incendia?
Spyware
¿Qué podría pasar de malo? – Amenazas actuales
Este malware es un programa que se instala en el ordenador
y recopila la información del usuario, como números
de tarjetas de crédito, datos de formularios o direcciones de
correo electrónico.
Spyware Puede robar información personal que se puede utilizar para el robo de identidades.
(historial de navegación, las cuentas de correo electrónico, las contraseñas guardadas
utilizadas para operaciones bancarias y compras online, además de para las redes sociales,
se puede recopilar información más que necesaria para crear un perfil que imite tu
identidad. Además, si has visitado sitios de banca online, el spyware puede sustraer la
información de tu cuenta bancaria o de tus tarjetas de crédito y venderla a terceros o usarla
directamente.
¿Qué podría pasar de malo? – Amenazas actuales
Este malware es un programa que se instala en el ordenador
y recopila la información del usuario, como números
de tarjetas de crédito, datos de formularios o direcciones de
correo electrónico.
Spyware El spyware puede consumir una gran cantidad de recursos del ordenador, lo que
provoca que se ejecute lentamente, retrasos entre aplicaciones o mientras está online, fallos
o bloqueos frecuentes del sistema e incluso una sobrecarga del ordenador que causa daños
permanentes. También puede manipular los resultados del motor de búsqueda y entregar
sitios web no deseados en su navegador, lo que puede llevar a sitios web potencialmente
peligrosos o fraudulentos. También puede hacer que tu página de inicio cambie e incluso
puede modificar la configuración del ordenado.
¿Qué podría pasar de malo? – Amenazas actuales
Adware
¿Qué podría pasar de malo? – Amenazas actuales
Es aquel software que ofrece publicidad no deseada o
engañosa. Estos anuncios pueden aparecer en el
navegador con pop-ups o ventanas con gran contenido
visual, e incluso audios. Estos anuncios se reproducen
de manera automática con el fin de generar ganancias
económicas a los creadores.
Adware
¿Qué podría pasar de malo? – Amenazas actuales
Gusano
¿Qué podría pasar de malo? – Amenazas actuales
La diferencia fundamental entre un gusano y un virus es la
forma en la que aquel propaga copias de sí mismo a
máquinas no infectadas. Si desea una definición de gusano
informático, piense en los gusanos como malware
autosuficiente capaz de ejecutarse y proliferar sin la
interacción del usuario. Ni siquiera tiene que estar usando su
equipo para que el gusano se active, se replique y se
propague. Una vez que el gusano ha llegado a su equipo,
puede comenzar a propagarse inmediatamente.
Gusano
¿Qué podría pasar de malo? – Amenazas actuales
Troyano
¿Qué podría pasar de malo? – Amenazas actuales
Un troyano oculta software malicioso dentro de un
archivo que parece normal. Hay una gran cantidad de
virus troyanos en Internet que pueden realizar
diversas tareas. La mayoría de los troyanos tienen
como objetivo controlar el equipo de un usuario, robar
datos e introducir más software malicioso en el equipo
de la víctima.
Troyano • Troyano de puerta trasera: estos troyanos pueden crear una “puerta trasera” en el equipo
de un usuario, lo cual permite al atacante acceder al equipo a fin de controlarlo, cargar
datos robados e, incluso, descargar más software malicioso en el equipo.
¿Qué podría pasar de malo? – Amenazas actuales
Un troyano oculta software malicioso dentro de un
archivo que parece normal. Hay una gran cantidad de
virus troyanos en Internet que pueden realizar
diversas tareas. La mayoría de los troyanos tienen
como objetivo controlar el equipo de un usuario, robar
datos e introducir más software malicioso en el equipo
de la víctima.
• Troyano Infostealer: el principal objetivo de este troyano es robar información del equipo
infectado.
¿Qué podría pasar de malo? – Amenazas actuales
Un troyano oculta software malicioso dentro de un
archivo que parece normal. Hay una gran cantidad de
virus troyanos en Internet que pueden realizar
diversas tareas. La mayoría de los troyanos tienen
como objetivo controlar el equipo de un usuario, robar
datos e introducir más software malicioso en el equipo
de la víctima.
Troyano • Troyano de acceso remoto: este troyano está diseñado para brindar al atacante control
total sobre el equipo.
Ramsonware
¿Qué podría pasar de malo? – Amenazas actuales
Viene del ingles Ramson (rescate) y ware (diminutivo de
software).
Ramsonware
¿Qué podría pasar de malo? – Amenazas actuales
¿Qué podría pasar de malo? – Amenazas actuales
Técnicas de ataque
¿Qué podría pasar de malo? – Amenazas actuales
Phishing
¿Qué podría pasar de malo? – Amenazas actuales
Phishing es el delito de engañar a las personas para que
compartan información confidencial como contraseñas y
números de tarjetas de crédito.
Phishing
http://prixa.tech/index_original.php/
http://prixa.tech/index_original.php/
¿Qué podría pasar de malo? – Amenazas actuales
Smishing
¿Qué podría pasar de malo? – Amenazas actuales
Smishing
Smishing es la combinación de las palabras SMS y
phishing, es el intento de fraude para obtener información
personal, financier o de seguridad a través de un mensaje
de texto.
¿Qué podría pasar de malo? – Amenazas actuales
Dumpster Diving
¿Qué podría pasar de malo? – Amenazas actuales
Dumpster Diving
Es el robo de información confidencial a través de la basura. Empresas eliminan información de rut
de clientes, lista de anexos telefónicos con cargos.
¿Qué podría pasar de malo? – Amenazas actuales
Whaling
¿Qué podría pasar de malo? – Amenazas actuales
Los objetivos del "cyberwhaling" son en su mayoría ejecutivos,
preferiblemente de alto nivel, como directores ejecutivos,
directores financieros y otros tomadores de decisiones de alto
nivel, personas responsables del manejo de datos y finanzas
corporativas.
SQL Injection
¿Qué podría pasar de malo? – Amenazas actuales
SQL Injection
¿Qué podría pasar de malo? – Amenazas actuales
DoS - Ddos
¿Qué podría pasar de malo? – Amenazas actuales
Denial of Service – Denial of Service Distributed.
DoS - Ddos
En el primer caso, es la invocación de miles de peticiones
de servicio a un servidor en milisegundos. Pero viene
desde una IP especifica.
Este malware opera en segundo plano sin que el propietario del PC note nada, ya que mantiene un perfil
bajo.
Los botmasters manipulan el ordenador para sus propios fines. Dado que los ordenadores se controlan
de forma remota y, por tanto, actúan "involuntariamente", partes de la red de bots también se conocen
como "ordenadores zombis".
https://youtu.be/R0mpnaR_B8g
Amenazas actuales
No Tecnológicas / No Tecnológicas
Casuales / Provocadas
Desgobierno
https://youtu.be/R0mpnaR_B8g
¿Qué hacer?
¿Qué hacer?
Dado que los recursos son siempre escasos y las necesidades ilimitadas, debemos focalizar cuál es el
foco de la ciberseguridad.
www.isaca.org
Marco Teórico
COBIT
Marco Teórico
ITIL
Information Technology Infraestructure Library (ITIL), es una metodología que se basa en la calidad de
servicio y el desarrollo eficaz y eficiente de los procesos que cubren las actividades más importantes de las
organizaciones en sus Sistemas de Información y Tecnologías de Información. Esta metodología fue
desarrollada a petición del Gobierno del Reino Unido a finales de los 80 y recoge las mejores prácticas en
la gestión de los Sistemas de Información. Desde entonces se ha ido extendiendo su uso en toda la
empresa privada, tanto multinacional como PYME, llegando a ser considerado un estándar de facto para la
gestión de esta área de la empresa
Marco Teórico
ITIL
Marco Teórico de la Ciberseguridad
NIST
El Instituto Nacional de Normas y Tecnología (NIST), una agencia perteneciente al Departamento de
Comercio de los Estados Unidos, desarrolló este marco voluntario de manera coherente con su misión de
promover la innovación y la competitividad en el país. El Cybersecurity Framework de NIST utiliza un
lenguaje común para guiar a las compañías de todos los tamaños a gestionar y reducir los riesgos de
ciberseguridad y proteger su información
Marco Teórico de la Ciberseguridad
NIST
Marco Teórico de la Ciberseguridad
NIST
Marco Teórico de la Ciberseguridad
FFIEC – Cybersecurity Assessment Tool
El Consejo Federal de Examinación de las Instituciones Financieras (FFIEC por sus siglas en inglés) es un órgano
interinstitucional del gobierno de los Estados Unidos que incluye cinco agencias reguladoras de la banca. En Junio de
2015, el FFIEC publicó una herramienta llamada “Cybersecurity Assessment Tool” (CAT por sus siglas en ingles) que
permite a instituciones financieras planificar y adoptar un enfoque rentable, no intrusivo, escalable, y sostenible a
largo plazo, para mitigar los riesgos cibernéticos. La herramienta CAT se basa en reconocidos marcos de tecnología y
de seguridad cibernética, tales como los manuales de tecnología del FFIEC y el Instituto Nacional de Estándares y
Tecnología (NIST por sus siglas en ingles), sin embargo, el CAT es mucho más amplio y está dirigido especialmente a
instituciones financieras. La evaluación consta de dos partes:
1951
Marco Teórico
Normas ISO
https://youtu.be/Tit3mCFBo2M
ISO 27001
¿Sistema de Gestión de Seguridad de la Información?
Sistema de Gestión de Seguridad de la Información (SGSI)
Es un error común que el SGSI sea considerado una cuestión meramente tecnológica o
técnica de los niveles operativos de la empresa
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
1. Apoyo Alta Dirección
El alcance del SGSI aclara cuáles son sus límites en función del contexto, la importancia y la
ubicación de los activos críticos de información de la organización (por ejemplo: unidades,
ubicaciones o departamentos) y los riesgos propios o externos asociados (por ejemplo:
leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por
organismos centrales).
También se deben definir los procesos a incluir en el alcance y sus relaciones, esto debe
hacerse teniendo en cuenta no solo los procesos de seguridad de la información sino todos
los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la
seguridad de la información.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
3. Inventario de Activos
Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos
los activos de información importantes de la organización.
Para realizar este inventario se recomienda hacer una clasificación. Una clasificación recomendada por
expertos es la siguiente.
Este proceso debe ser estructurado y repetible, es decir, un procedimiento documentado de evaluación de
riesgos que explique cómo se identifican, analizan (por ejemplo en base a posibles consecuencias y
probabilidades de ocurrencia), evalúan (por ejemplo aplicando criterios específicos para la aceptación del
riesgo) y priorizan los riesgos relacionados con los activos de información más relevantes del alcance (por
ejemplo en atención a niveles de riesgo definidos).
Las revisiones y las actualizaciones periódicas, o por cambios sustanciales que afronta la organización, son
requeridas para evidenciar los cambios en los riesgos antes de que se produzcan y así mantener un enfoque
preventivo y de anticipación en acciones mitigadoras o de control.
El análisis de riesgo informático es un proceso relevante y es crucial su implementación para poder tener una
perspectiva preventiva y no reactiva.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
5. Evaluación Y Declaración de Aplicabilidad
Una vez evaluados los riesgos, se debe hacer una verificación para determinar cuáles de los controles
recomendados en ISO/IEC 27001 están siendo aplicados o deben aplicarse en la organización.
Para esto se puede hacer una referencia cruzada directa con la guía de implementación ISO/IEC 27002 y con
cualquier otra fuente alternativa o suplementaria de información.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
6. Tratamiento de los Riesgos
En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de la
probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información.
Esta definición debe alinearse con la disponibilidad, confidencialidad e integridad del mismo y con la política
definida por la dirección. En este punto, se seleccionan las acciones adecuadas para cada riesgo, las cuales
irán orientados a:
• Asumir el riesgo: se trata de no hacer nada. Simplemente, sabemos que no tenemos cómo evitarlo y
debemos convivir con él. Las organizaciones deciden aceptar un riesgo cuando la probabilidad de que ocurra
es muy baja.
• Reducir el riesgo: Se usa cuando eliminar completamente el riesgo resulta mucho más costoso que asumir
las consecuencias negativas de que este llegara a materializarse.
• Eliminar el riesgo: Se implementan las acciones para hacer que las condiciones o los factores que pueden
generar el riesgo desaparezcan y con ellos el riesgo. Esta es una opción para aquellos casos de alta
probabilidad de ocurrencia, con un muy alto impacto negativo.
• Transferir el riesgo: Significa que pasamos el problema a alguien más. La forma más usual de transferir un
riesgo es contratar una póliza de seguros que indemnice a la organización en caso de que se presente el
problema
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
6. Tratamiento de los Riesgos
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
7. Implementación
Este programa debe determinar qué se realizará, con qué recursos, quién es el responsable, cuándo se
debe completar y cómo se evaluarán los resultados. También debe determinar la manera de identificar e
implementar posibles mejoras de acuerdo con los resultados.
8. Administración
Durante esta etapa, se hace seguimiento al cumplimiento de los objetivos de seguridad de la información
establecidos. Este seguimiento se realiza mediante el seguimiento a las métricas relevantes y al cumplimiento
de las pautas de seguridad de la información. Las métricas relevantes para tener en cuenta son:
Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones
de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo
Sistema de Gestión de Seguridad de la Información (SGSI)
Sectores mas interesados en la implementación
9. Auditorias Internas
Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones
de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo
¡Gracias!
www.isubercaseaux.cl