La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Riesgos y amenazas. Nuevas prácticas y tecnologías de S.I.

Publicada porBerenguer Caba Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Riesgos y amenazas. Nuevas prácticas y tecnologías de S.I."— Transcripción de la presentación:

1 Riesgos y amenazas. Nuevas prácticas y tecnologías de S.I.
“CYBERCRIME · Riesgos, costos y contramedidas” Riesgos y amenazas. Nuevas prácticas y tecnologías de S.I.

2 Ariel Futoransky ariel.futoransky@corest.com José Mourelle
Información de contacto Ariel Futoransky José Mourelle Orador invitado: José A. Ponce Loza

3 www.corest.com/events/cybercrime Ciclo de Desayunos de Trabajo:
Cybercrime en el Web Site de Core ST Ciclo de Desayunos de Trabajo: CYBERCRIME · Riesgos, costos y contramedidas

4 Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.
Conocer las tendencias en Tecnologías y practicas de Seguridad Informática Comprender la dinámica que relaciona amenaza, riesgo y defensa; y su peso en la configuración del escenario Objetivos Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.

5 Estructura de la charla
Situación Actualidad y Crimen Informático El Escenario Practicas, Tecnologías y Escenario. (Caso de Estudio) Conclusiones Estructura de la charla Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.

6 Voces del escenario actual
Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I. Situación Voces del escenario actual Situación

7 “...Si SANS es comprometido, y al DRI le roban información de miembros, como puede esperar una organización ordinaria escapar a estas situaciones?...” “En uno de los incidentes de seguridad públicos mas importantes de brasil, atacantes obtuvieron números de tarjetas de crédito y otras informaciones confidenciales de usuarios del portal UOL...”

8 Actualidad y Crimen Informático
Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I. Actualidad y Crimen Informático Actual

9 2001 CSI/FBI Computer Crime and Security Survey
Fuentes 2001 CSI/FBI Computer Crime and Security Survey Information Security Magazine 2001 Industry Survey GAO/AIMD (DISA) Honeynet project Bugtraq

10 CSI/FBI 2001

11 INFOSEC Puntaje entre 0 y 5

12 DISA Detectados 988 (4%) Ataques 38.000 Reportados 267 (0,7%) Exitosos 24,700 (65%) NO DETECTADOS 23.712 (96%)

13 El Juego Defensor Atacante Escenario Tiempo Conocimiento

14 amenaza x vulnerabilidades x impacto
Un Modelo de Riesgo Abundancia, Recursos Probabilidad o Frecuencia Pérdida, Atractivo amenaza x vulnerabilidades x impacto contramedidas Prácticas y tecnologías

15 Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.
El Escenario Escena

16 The Top Ten Security Mistakes
Registro en post-it o similares Desvío sobre medidas de prevención Dejar la máquina activa Abrir mails adjuntos Password obvias Divulgación de password Descuido de las Laptops Inadecuado diseño de las políticas de seguridad No incluir al staff en el entorno de riesgo Retrasos en la corrección de vulnerabilidades Julio 2001, COMPUTERWORLD - Security News & Analysis

17 CERT/CC: Reportes de incidentes
28188 * *Proyección 2001: 7047 en el primer trimestre 2001 21756 9859 **Proyección 2001: 633 en el primer trimestre 2001 2532 ** 1090 417 Abril 2001, CERT/CC - Computer Emergency Response Team Coordination Center. Los riesgos que consideran son: virus, agujeros de seguridad e intrusiones.

18 eCommerce: Riesgos presentes
(no-repudio) Confidencialidad Autenticación Comercio A Comercio B Comercio C Comercio... SHOPPINGS COMERCIO Procesador de la Tarjeta de Crédito Usuario Comercio X Comercio Y Integridad Comercio Z Comercio... Disponibilidad CSP Solicitud de Compra Solicitud de Autorización de la Compra

19 Best Practices I Seguridad Física Control de acceso
Registro y monitoreo Seguridad Lógica Identificación Autenticación Tipo Parámetros de configuración Servicios TCP/IP Autorización Registro de Auditoría

20 Best Practices II Software de base Nivel de actualización
Alcance en las aplicaciones Integridad Virus, troyanos, backdoors, etc. Ataques DoS Backups/Restore Lugar de almacenamiento Eliminación de soportes Encripción: RSA 1024, 3DES 112, RC2/4 128 IDEA 128, Rijndael 128

21 Best Practices III Seguridad en la Red Firewall
Configuración y administración ZM y DMZ: registro y monitoreo Seguridad en la aplicación Almacenamiento de datos Cambio de versiones Transmisión de datos Autenticación del Site del Comercio CSP/ASP: Autenticación entre las partes Confidencialidad, integridad y No repudio

22 Infosec 2001

23 Infosec 2001

24 Practicas y Tecnologías
Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I. Análisis de Practicas y Tecnologías Prácticas

25 CSI/FBI 2001

26 Infosec 2001

27 La dinámica Escenario Tecnologías Prácticas

28 Una Análisis en etapas 1 2 3 4 Mainframe Auge de la PC Internet

29 {Dominio del Mainframe}
Etapa 1 1 2 3 4 {Dominio del Mainframe} Tecnología Práctica Backup Disaster Recovery & Contingency Planning La amenaza es natural.

30 El ataque es externo pero no dirigido.
Etapa 2 1 2 3 4 {PC} Tecnología Práctica Antivirus Políticas de “seguridad interna” El ataque es externo pero no dirigido.

31 {Explosión de Internet}
Etapa 3 1 2 3 4 {Explosión de Internet} Tecnología Práctica Firewall “Security Assessment” Se multiplica la amenaza. Es importante identificar prioridades y defenderse.

32 {Proliferación de Ataques}
Etapa 4 1 2 3 4 {Proliferación de Ataques} Tecnología Práctica IDS Security Scanner “Penetration Test” “Security Managed Services” Es importante considerar el propósito y herramientas del atacante.

33 Emergency Response Team
Otras Otras Tecnologías Autenticación, VPN Enterprise Security Management PKI, Personal Firewal, Automated Pentesting, Honeypot Otras Prácticas Emergency Response Team Log Auditing. Consideraciones Legales

34 Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.
Caso de Estudio Caso

35 Caso de Estudio Características Escenario Jugadores

36 Identificar y analizar Posibles atacantes Ventajas y desventajas
Objetivos Identificar y analizar Posibles atacantes Ventajas y desventajas ¿Qué está en juego? Posición estrategica

37 Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.
Conclusiones Conclus

38 Conclusiones Riesgos Prácticas Tecnologías Estrategia

39 Riesgos y Amenazas. Nuevas Prácticas y Tecnologías de S.I.
Referencias Referen

40 Core Security Technologies <www.corest.com> AMBA
Referencias Core Security Technologies < AMBA < CSI/FBI Survey Computer Security Institute <

41 Information Security Magazine <www.infosecuritymag.com>
Referencias Bugtraq Security List Security Focus < Infosec survey Information Security Magazine <

42 Emergency Response Team <www.cert.org> <www.arcert.gov.ar>
Referencias CERT Emergency Response Team < < Honeynet Project <

43 SANS’s Incidents <www.incidents.org> Estadísticas DISA
Referencias SANS’s Incidents < Estadísticas DISA Informe GAO/AIMD-96-84 < < Dshield project Distributed IDS <

44 USA Argentina Brasil T h e B u s i n e s s E n a b l e r
Paragon Towers 233 Needham Street | Suite 300 Newton, MA Tel: (617) Fax: (617) USA Florida 141 | 2º cuerpo | 7º piso (C1005AAC) Buenos Aires Tel/Fax: (54 11) 4878-CORE (2673) Argentina Rua do Rócio 288 | 7º andar | Conj. 73 e 74 Vila Olímpia São Paulo/SP CEP Tel: (55 11) / 35 Brasil T h e B u s i n e s s E n a b l e r

Descargar ppt "Riesgos y amenazas. Nuevas prácticas y tecnologías de S.I."

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
ÍNDICE Mission Statement Breve historia Posicionamiento

ÍNDICE Mission Statement Breve historia Posicionamiento
GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
ITIL.

ITIL.
Gestar ITIL Excelencia en servicios de IT

Gestar ITIL Excelencia en servicios de IT
Control Interno Informático. Concepto

Control Interno Informático. Concepto
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
1 IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y FORMACION SOBRE GOBIERNO Y SOCIEDAD.

1 IIEFGS INSTITUTO INTERNACIONAL DE ESTUDIO Y FORMACION SOBRE GOBIERNO Y SOCIEDAD.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
La Convergencia entre la Seguridad Lógica y la Seguridad Física

La Convergencia entre la Seguridad Lógica y la Seguridad Física
Seguridad de los sistemas informáticos

Seguridad de los sistemas informáticos
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
LA SEGURIDAD EN LAS TIC ©VEROKILA2009.

LA SEGURIDAD EN LAS TIC ©VEROKILA2009.

Presentaciones similares

Anuncios Google