La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Mauricio López.  Se define como un evento que atente contra la Confidencialidad, Integridad y disponibilidad de la información y los recursos tecnológicos.

Publicada porMiguel Ángel Núñez Martín Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Mauricio López.  Se define como un evento que atente contra la Confidencialidad, Integridad y disponibilidad de la información y los recursos tecnológicos."— Transcripción de la presentación:

1 Mauricio López

2  Se define como un evento que atente contra la Confidencialidad, Integridad y disponibilidad de la información y los recursos tecnológicos. Tipos de incidentes de Seguridad Informática que se pueden presentar  Los incidentes de Seguridad Informática se han clasificado en 5 categorías a saber:

3 Esta categoría comprende todo tipo de ingreso y operación no autorizado a los sistemas. Son parte de esta categoría:  Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnológicos.  Robo de información  Borrado de información  Alteración de la información  Intentos recurrentes y no recurrentes de acceso no autorizado  Abuso y/o Mal uso de los servicios informáticos internos o externos que requieren autenticación

4 Esta categoría comprende la introducción de códigos maliciosos en la infraestructura tecnológica de la Entidad. Son parte de esta categoría:  Virus informáticos  Troyanos  Gusanos informáticos

5 Esta categoría incluye los eventos que ocasionan pérdida de un servicio en particular. Los síntomas para detectar un incidente de esta categoría son:  Tiempos de respuesta muy bajos sin razones aparentes.  Servicio(s) interno(s) inaccesibles sin razones aparentes  Servicio(s) Externo(s) inaccesibles sin razones aparentes

6 Agrupa los eventos que buscan obtener información de la infraestructura tecnológica de la Entidad. Comprende:  Sniffers (software utilizado para capturar información o paquetes que viaja por la red)  Detección de Vulnerabilidades

7 Son los eventos que atentan contra los recursos tecnológicos por el mal uso. Comprende:  Mal uso y/o Abuso de servicios informáticos internos o externos  Violación de las normas de acceso a Internet  Mal uso y/o Abuso del correo electrónico de la Entidad  Violación de las Políticas, Normas y Procedimientos de Seguridad Informática reglamentadas mediante resolución No. 4912 de Diciembre 26 de 2000

8  Por lo general, los servidores almacenan archivos de registro de sus actividades, y en particular, de cualquier error encontrado.  Por lo tanto, después de un intento de evasión de políticas de seguridad a la red o al equipo, es muy fácil detectar que usuario lo esta haciendo si es interno, si es externo y la acción es una intrusión al equipo, es muy difícil que el hacker, en el primer intento, pueda poner en peligro el sistema con éxito. El hacker trabaja con el método de ensayo y error, al probar varias solicitudes. Debido a esto, se puede utilizar la supervisión de registros para detectar actividades sospechosas. Reviste particular importancia la supervisión de los registros del software de seguridad. No importa si están bien configurados, aun así pueden ser un blanco de ataque.

9  crear eventos y sus parámetros.  Activar y desactivar el almacenamiento de datos generado por eventos individuales.  Una vez que los datos de evento estén almacenados en la base de datos, puede solicitar que se genere un informe en una aplicación de portal o no de portal.

10  Un evento normalmente define una acción de un usuario. Cada evento está compuesto por varios parámetros de evento, los cuales definen varios tipos de datos generados por el evento. De forma predeterminada, cada evento incluye los parámetros de evento.

11  La computación forense una perspectiva de tres roles: el intruso, el administrador y el investigador.  Para realizar investigaciones sobre delitos informáticos "se utilizan las técnicas de cómputo forense, con el objetivo de preservar y analizar adecuadamente la evidencia digital que está también ligado a los aspectos legales que deben considerarse para presentar adecuadamente los resultados de la investigación de la evidencia digital".

12 Tras las huellas de la información  Al igual que en la serie de televisión SCI - Investigadores en la Escena del Crimen - los peritos de computación forense trabajan con las técnicas más modernas para recuperar información que permita tener evidencias sobre quién, cómo, cuándo y dónde se cometió un ilícito. La investigación forense en computación es la aplicación de métodos y técnicas para obtener, analizar y preservar, evidencia digital susceptible de ser eliminada o sufrir alteraciones. Esto permite reunir pruebas para adelantar una acción penal.

13 La computación forense es tan importante en el mundo informático hoy en día como lo es cualquier persona, aún más por la cantidad de incidentes que se pueden estar presentando dados: el posible anonimato que brinda Internet, la configuración insegura de determinados sistemas de información o las fallas inherentes a su funcionamiento” afirma Oscar Eduardo Ruíz, consultor en seguridad de Internet Solutions.

14  Desafortunadamente, muchos de los delitos informáticos no son denunciados por las empresas por miedo a ver afectada su reputación, poca confianza en las entidades de control o sencillamente por el desconocimiento de la existencia de unidades de control con grupos especializados.

15  Es importante para una empresa poder identificar las amenazas a las que está expuesta y adoptar las medidas pertinentes. La computación forense no sólo permite reconstruir el proceso de un ilícito, también permite hacer auditorías de sistemas detallados y una limpieza segura de los equipos.

16  En cuanto a los procesos ilícitos, no hay crimen perfecto. Una persona pudo haber navegado, entrado por ejemplo a un sitio indebido, borrado el caché, haber hecho lo que en el nivel de conocimiento técnico puede ser haber borrado la evidencia, pero generalmente las personas no tienen conocimiento que ese no es un borrado físico sino es un borrado lógico. Dependiendo del valor de la información que se quiera recuperar y del tipo de caso se puede llegar a recuperaciones de tipo lógico e incluso de tipo físico

17  Ese tipo de información queda indexada en alguna parte y permite determinar si el sistema alguna vez tuvo un archivo aunque ahora no lo tenga; pero estuvo ahí, el sistema guarda como un registro de su vida, es inherente al funcionamiento, igual sucede en un PC normal aunque ningún usuario lo pueda ver.  En la actualidad existen varios programas de software, uno de ellos es EnCase, que son usados por las autoridades policiales para buscar evidencias digitales, recuperar datos borrados y archivos ocultos.

18  Existen herramientas de computación forense que permiten hacer correlación de eventos. Estos son usados por organismos de seguridad en el mundo para hacer triangulación e inteligencia y determinar con quien estuvo en contacto una persona.  Igualmente, hay entidades de control y recaudo de impuestos que tienen entidades de organismos de fiscalización que emplean la técnica forense en investigaciones especiales para casos de doble contabilidad; de esta forma verifican si la contabilidad que esta en un PC es única o si es que habían dos contabilidades y borraron una o buscar en otra PC que no sea de contabilidad si hubo un archivo contable.

19  Es un procedimiento del Modelo de Seguridad Informática que tiene como objetivo Administrar y Controlar los cambios realizados a los Sistemas de Información y/o Aplicativos, manteniendo los niveles de autorización y documentación pertinentes.

20  Todos los Líderes Funcionales, Administradores de Seguridad de los Sistemas de Información y/o Aplicativos.  Los Jefes de Oficina, Directores de Área y Jefes de Grupo responsables de la Información almacenada por los Sistemas de Información.  Director de Informática.  Jefe Grupo Sistemas de Información y Jefe Grupo Seguridad Informática.  Líderes Técnicos de los Sistemas de Información y/o Aplicativos y Administrador de la Base de Datos

21  El valor de la información en nuestra sociedad, y sobre todo en las empresas, es cada vez más importante para el desarrollo de negocio de cualquier organización. Derivado de este aspecto, la importancia de la Informática forense, sus usos y objetivos adquiere cada vez mayor trascendencia.

22  La Informática forense permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de información confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías de la información. Mediante sus procedimientos se identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

23  - ¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información.  - ¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas.

24  - ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

25  - ¿Qué metodologías utiliza la Informática forense? Las distintas metodologías forenses incluyen la recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen. Cada fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.

26  - ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

27  En conclusión, estamos hablando de la utilización de la informática forense con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

28  Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.

29  Para realizar un adecuado análisis de Informática forense se requiere un equipo multidisciplinar que incluya profesionales expertos en derecho de las TI y expertos técnicos en metodología forense. Esto es así porque se trata de garantizar el cumplimiento tanto de los requerimientos jurídicos como los requerimientos técnicos derivados de la metodología forense.

30  Sleuth Kit -Forensics Kit, Py-Flag - Forensics Browser, Autopsy - Forensics Browser for Sleuth Kit, dcfldd - DD Imaging Tool command line tool and also works with AIR, foremost - Data Carver command line tool, Air - Forensics Imaging GUI, md5deep - MD5 Hashing Program, netcat - Command Line, cryptcat - Command Line, NTFS-Tools, qtparted - GUI Partitioning Tool, regviewer - Windows Registry, Viewer, X-Ways WinTrace, X-Ways WinHex, X-Ways Forensics, R-Studio Emergency (Bootable Recovery media Maker), R-Studio Network Edtion, R-Studio RS Agent, Net resident, Faces 3 Full, Encase 4.20, Snort, Helix, entre otras.

31  Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.  El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

32  El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.  Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

33  Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.  Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

34 Existen tres tipos de sistemas de detección de intrusos:  HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

35  NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.  DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN).

36  En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante.

37  Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.  En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.

Descargar ppt "Mauricio López.  Se define como un evento que atente contra la Confidencialidad, Integridad y disponibilidad de la información y los recursos tecnológicos."

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
Virus informático Daniel Cochez III Año E.

Virus informático Daniel Cochez III Año E.
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta

Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto

Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Juan Luis García Rambla MVP Windows Security

Juan Luis García Rambla MVP Windows Security
Enrique Cardenas Parga

Enrique Cardenas Parga
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Tema 1 – Adopción de pautas de seguridad informática

Tema 1 – Adopción de pautas de seguridad informática
INFORME DEL AUDITOR Lcda. Yovana Márquez.

INFORME DEL AUDITOR Lcda. Yovana Márquez.
PPT ¨INFORME DE AUDITORIA FORENSE¨ Estudiante

PPT ¨INFORME DE AUDITORIA FORENSE¨ Estudiante
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.

1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
Elementos vulnerables en el sistema informático: hardware, software y datos. Gabriel Montañés León.

Elementos vulnerables en el sistema informático: hardware, software y datos. Gabriel Montañés León.
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.

SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.

Presentaciones similares

Anuncios Google