La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Information Security Ethical Hacking & Computer Forensics

Publicada porMartita Renteria Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Information Security Ethical Hacking & Computer Forensics"— Transcripción de la presentación:

1 Information Security Ethical Hacking & Computer Forensics
ZL-SSC – Certifications: Consultor en Seguridad e Inteligencia Corporativa ZL – SECURITY SENIOR CONSULTANT Tel.: Fax.: Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina

2 Delitos Informáticos

3 Delitos Informáticos Concepto
El delito informático puede comprender tanto aquellas conductas que valiéndose de medios informáticos lesionan intereses protegidos como la intimidad, el patrimonio económico, la fe pública, la seguridad, etc., como aquellas que recaen sobre herramientas informáticas propiamente dichas tales como programas, computadoras, etc.

4 Principales Amenazas Existen cuatro tipos básicos.
Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. Delitos de fraude informático. Delitos por su contenido. Delitos relacionados con la infracción de la propiedad intelectual.

5 ¿Quienes pueden atacar?
80% Novatos 12% Intermedio 5% Avanzados 3% Profesionales

6 A quienes afectan los delitos informáticos
Las empresas utilizan sistemas de información llegando a ser inevitablemente dependientes de ellos, ya que la mayor parte de sus datos están almacenados en los equipos informáticos. Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. Un tercio de los usuarios utiliza contraseñas como el nombre de su mascota, su hijo o un plato favorito. Cualquiera de ellas es fácil de adivinar en cuestión de minutos y cada vez más virus se valen de esta debilidad de los usuarios. (el virus "Deloder", que logró ingresar en más de sistemas en el mundo a partir de una serie de listas con contraseñas). Las amenazas pueden surgir tanto desde el exterior como desde el interior de la compañía: virus, hackers, los propios empleados, etc.

7 Como afectan los delitos informáticos

8 Vulnerabilidades mas comunes
Ejemplos Hack Passwords Uso de passwords default o en blanco Passwords predecibles Configuración Incorrecta Usuarios con privilegios excesivos Aplicaciones corriendo sin autorización Ingeniería Social Administradores que resetean passwords sin verificar la identidad del llamado Seguridad Débil Servicios no usados y puertos inseguros Firewalls y Routers usados incorrectamente Transferencia de datos sin encriptar Paquetes de autenticación en texto plano Datos importantes sin encriptar vía Internet Software sin parche de seguridad Service Packs no mantenidos Antivirus sin actualizar

9 Ataque paso a paso 1-Búsqueda de Ingreso Correr un scanner de puertos
2-Penetración Explorar un sistema sin parches de seguridad 3-Elevación de Privilegios Lograr cuenta de Administrador INTRUSO 4-Ataque en si mismo Robo de datos, destrucción del sitio web, etc. Estado del ataque Ejemplo de Acciones 5-Enmascaramiento Borrado de rastros del ingreso y ataque

10 Técnicas de Ataque Footprinting Scanning Enumeration
El uso de herramientas y de la información para crear un perfil completo de la postura de la seguridad de una organización. Footprinting El atacante usa herramientas y la información obtenida para determinar qué sistemas estas vivos y accesibles desde Internet así como qué puertos están escuchando en el sistema. Scanning Uso de herramientas para obtener la información detallada (servicios ejecutándose, cuentas de usuario, miembros de un dominio, políticas de cuentas, etc.) sobre un sistema remoto, con el intento de atacar la seguridad de cuentas y servicios en el objetivo Enumeration

11 Técnicas de Ataque Port Redirection Gaining Access
Después que el atacante tiene identificado y accede al trafico del firewall que puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un software Port Redirector en el equipo dentro del firewall. El Port Redirector tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro equipo detrás del firewall en otro puerto (3389). Port Redirection Hay varias herramientas disponibles que pueden permitir a un hacker tomar control de un sistema. Por ejemplo, Samdump y Brutus son crackers de passwords. Samdump se utiliza extraer los passwords de los archivos. Brutus es un cracker de password remoto. Si un hacker consigue el acceso a una copia de una base de datos, el hacker podría utilizar l0phtcrack y extraer los usuarios y passwords exactos. Gaining Access

12 Técnicas de Ataque Privilege Escalation Remote Administration Tools
Un hacker puede causar la mayoría del daño consiguiendo privilegios administrativos en una red. Hay varias utilidades que un hacker puede utilizar para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores. Esta utilidad funciona con todas las cuentas excepto con la cuenta de Guest. Privilege Escalation Remote Administration Tools Eso permite que un usuario remoto realice cualquier acción remotamente vía un puerto a su elección sin un usuario local del sistema que lo habilite. Ejemplo: Sub7 es el más popular / NT Rootkit es el más avanzado

13 Footprinting – El servicio WHOIS
El servicio “WHOIS” es uno de los tantos servicios de información disponible en Internet. Con él se puede obtener información sobre direcciones IP y nombres de dominio, por lo que es muy utilizado por los atacantes para obtener información a la hora de planificar un ataque. Existen numerosos servidores whois ya que los registros de dominios están descentralizados, pero usualmente existe al menos uno por cada código de país. (.ar, .ru, .es, etc.)

14 Footprinting – El servicio WHOIS
En el caso de los .com, .org, .edu (gTLDs- Generic Top Level Domains), la información está disponible en los servidores de las distintas entidades registrante. El registro de las IP es mantenido por el servidor ARIN (American Registry of Internet Numbers) para las asignadas a EEUU y Canadá; el Servidor LACNIC (Latin America and Caribean Network Information Center) para las de América Latina y el Caribe y el servidor RIPE NCC (Reséaux IP Européens Network Cordination Centre) para las europeas.

15 Footprinting – El servicio WHOIS
ACCEDIENDO AL SERVICIO: Para acceder al servicio whois solo hace falta la herramienta “telnet” y su única función será la de establecer una conexión TCP mediante el puerto 43 con el servidor del que se va a requerir la información. Usando el comando $ telnet servidorwhois 43 se creará la conexión entre nuestro sistema y el servidor whois

16 Footprinting – El servicio WHOIS Petición realizada sobre google.com

17 Footprinting – El servicio WHOIS
Petición realizada sobre google.com enviada a whois.alldomains.com

18 Footprinting – El servicio WHOIS
Petición realizada sobre una IP enviada a whois.lacnic.net

19 Footprinting – El servicio WHOIS
Otras forma de acceder al servicio whois es mediante la interfaz que brindan sitios en Internet.

20 Footprinting – El servicio WHOIS

21 Fraudes manipulación del input manipulación del output
Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Omitir ingresar datos verdaderos Ingresar datos falsos manipulación del input interferir en el procesamiento de la información alterar el programa modificar los programas originales adicionar programas especiales manipulación del output

22 Fraude Corporativo Se calcula que las empresas pierden entre el 5% y 6% de sus ingresos brutos a causa de los fraudes corporativos. Los mayores perjuicios son consecuencia de los delitos cometidos a nivel gerencial. Menos del 10% de los casos son denunciados a la justicia. Las compañías optan por deshacerse del empleado infiel buscando una solución puertas adentro, lo que implica, muchas veces, el pago de una jugosa indemnización. La defraudación es el delito mas extendido dentro de las empresas.

23 Fraude Corporativo En la Argentina las pérdidas ascendieron a U$S 2,7 millones en los últimos dos años. En Latinoamérica 9 de cada 10 empresas padecen malversación de fondos. Siguiendo un orden jerárquico los delitos se agravan a medida que se asciende en la estructura de una corporación. Actualmente se recupera menos del 20% de la pérdida, mientras que el 40% de las empresas no recupera nada.

24 Fraude Corporativo Los fraudes cometidos por ejecutivos causan pérdidas 6 veces mayores que los cometidos por supervisores y 14 veces mas altas que las cometidas por otros empleados. El 60% de los casos de fraude proviene de empleados, el 20% de los clientes y el 16% de vendedores o representantes. Mas del 50% de los fraudes se descubren por denuncias anónimas. Para prevenirse deben utilizarse procedimientos de análisis y verificación no tradicionales ni rutinarios, para evitar que el defraudador, ya prevenido, de los controles pueda borrar las huellas detectables.

25 Top Five de las Ciberestafas
El engaño consiste en enamorar por a un hombre, en la mayoría de los casos mayor y con la excusa de querer conocerlo le hacen que pague los gastos ocasionados por el viaje, regalos, traductores, etc. y por supuesto la supuesta “novia por correo” nunca aparece. Fraude en sitios de Solos y Solas Se le ofrece a una empresa realizar exportaciones de gran volumen a Nigeria, para poder lograrlo debe abonar previamente tasas aduaneras, impuestos, etc. Las ofertas se realizan desde gratuitos de Europa. Inversiones en Nigeria

26 Top Five de las Ciberestafas
Algunos mercados virtuales ofrecen una amplia selección de productos a precios muy bajos. Una vez que el consumidor ha enviado el dinero puede ocurrir que reciban algo con menor valor de lo que creía, o peor todavía, que no reciba nada. Las subastas Páginas para adultos En algunos sitios para adultos, se pide el número de la tarjeta de crédito con la excusa de comprobar que el usuario es mayor de 18 años. El verdadero objetivo es obtener los números de tarjeta para realizar otras operaciones.

27 Top Five de las Ciberestafas
Se le ofrece un sistema infalible para obtener el password de una cuenta de hotmail enviando un mail a una cuenta colocando en el subject la dirección de correo a hackear y el nombre de usuario y password propio. Manual para Hackear Hotmail Algunas otras Ciberestafas Ventas piramidales - Viajes y vacaciones Gay - Trabaje desde su casa - Productos y servicios milagrosos - Venta de pasajes de avión – Bancos Falsos en Internet - Venta y Alquiler de propiedad.

28 Otros Delitos Informáticos
Delitos informáticos contra la privacidad Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos Esto es que alguien, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Ej: Base de Datos A.N.Se.S. – Veraz – Padrones

29 Otros Delitos Informáticos
Intercepción de En este caso es equiparable a la violación de correspondencia, y la intercepción de telecomunicaciones, por lo que la lectura de un mensaje electrónico ajeno reviste la misma gravedad. Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. Crimen Organizado Transnacional: para la coordinación de Tráfico de drogas Tráfico de armas Tráfico de personas Lavado de dinero Tráfico de tecnología y material nuclear, químico y bacteriológico

30 Otros Delitos Informáticos
Espionaje: Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico secreto, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.

31 Seguridad de la Información
NORMA IRAM-ISO IEC 17799

32 Seguridad de la Información
La información es un recurso de valor estratégico para las empresas y como tal debe ser debidamente protegida. Las políticas de seguridad de la información protegen de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos. Es importante que los principios de la política de seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las máximas autoridades de la compañía para la difusión y consolidación de las políticas de seguridad.

33 Beneficios de implementar políticas de seguridad de la información
Consolidación de la seguridad como tema estratégico. Planeamiento y manejo de la seguridad más efectivos. Mayor seguridad en el ambiente informático y mejor reacción ante incidentes. Minimización de los riesgos inherentes a la seguridad de la información. Cuantificación de los posibles daños por ataques a la seguridad de la información.

34 Beneficios de implementar políticas de seguridad de la información
Orden en el trabajo bajo un marco normativo que evita la duplicación de tareas y facilita el intercambio de información. Concientización global sobre la importancia de la seguridad de la información. Mejora de la imagen. Aumento de la confianza de terceros. Mayor control de la información proporcionada a terceros. Auditorías de seguridad más precisas y confiables.

35 ¿Por qué basarse en la norma
ISO/IRAM 17799? Aumento de los niveles de seguridad en las organizaciones Planificación de actividades Mejora continua Posicionamiento estratégico Cumplimiento de normativas y reglamentaciones Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones ¿ Por qué basarse en la norma ISO/IRAM ? La norma ISO 17799, se basa en el estándar BS 7799:1, es un estándar internacional que proporciona un marco de referencia para la gestión de la seguridad de la información en una organización/entidad/etc.. A continuación se mencionan algunos de los beneficios que pueden obtenerse al basar la Política de Seguridad de la Información en la norma ISO 17799: Aumento de los niveles de seguridad en las Organizaciones La implementación de la norma le permite a las Organizaciones una gestión efectiva de sus recursos de información críticos y los mecanismos de protección adecuados. Esto redundará en una reducción efectiva de los niveles de riesgo y vulnerabilidades, que en definitiva se traduce en ahorro de dinero, tiempo y en una mayor confianza y fortalecimiento de la imagen institucional. Planificación de actividades A través de las áreas propuestas en la norma, de los controles y subcontroles las organizaciones pueden trazar una efectiva planificación de las actividades a desarrollar con el objetivo de hacer más seguros sus sistemas. Esto es importante pues asegura no sólo que se abarquen todas las áreas relevantes si no también el cumplimiento de los objetivos. Mejora continua La norma describe no solamente los aspectos necesarios a tener en cuenta en el proceso de alcance de los objetivos de seguridad esperados sino también los criterios de revisión y mejora continua a ser utilizados para mantener los niveles de seguridad deseados. Posicionamiento estratégico Implementar la norma les permitirá a las organizaciones enfrentar nuevos desafíos y ampliar sus actividades y competencias de manera segura. Esto puede representar un cambio de relevancia en las perspectivas de crecimiento, en la eficiencia operativa y en la calidad de servicio brindado. Un ejemplo de ello podría ser la incursión en la operatoria electrónica a través de Internet. Cumplimiento de normativas y reglamentaciones En muchos sectores existen normativas y reglamentaciones respecto al tratamiento de la información, tales como las disposiciones referentes a la protección de los datos de personas. El estándar permite alinear los esfuerzos y recursos de la organización conforme lo dispuesto por la normativas que la alcance. Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones Permite crear un marco homogéneo para comparar con otras organizaciones el posicionamiento frente a la seguridad de la información. El Instituto Argentino de Normalización (IRAM), ha homologado en nuestro país la norma ISO 17799, como Norma ISO/IRAM 17799

36 Dos preguntas básicas relacionadas
a políticas de Seguridad de la Información ¿Cuánto tiempo insume el desarrollo de una Política de Seguridad? ¿Es necesario incorporar personal especializado en seguridad de la información para cumplir con las definiciones en la materia?

37 Prejuicios a la hora de implementar
políticas de seguridad de la información La seguridad informática no afecta mi actividad. La seguridad es una incumbencia del área informática La información que manejamos no es objeto de ataques Mi red es segura porque se encuentra protegida de ataques externos Tenemos seguridad pues en la última auditoría no tuvimos observaciones críticas.

38 Prejuicios a la hora de implementar
políticas de seguridad de la información Tenemos un control absoluto de los incidentes de seguridad que ocurren en nuestra red. El tiempo invertido en documentación debe ser descontado de las tareas habituales del personal destinado a la elaboración de la política. Los recursos valiosos deberán ser apartados de la “línea de fuego” Posibles conflictos políticos, comerciales o de relaciones humanas.. No disponemos de personal especializado.

39 Seguridad de la Información
OBJETIVO Proteger los recursos de información y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Asegurar la implementación de las medidas de seguridad, identificando los recursos, sin que ello implique necesariamente la asignación de recursos adicionales. Mantener la Política de Seguridad actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

40 Seguridad de la Información
RESPONSABILIDAD Todos el personal, tanto se trate de Directores, Gerentes o personal técnico, etc. sea cual fuere su nivel jerárquico son responsables de la implementación de las Política de Seguridad de la Información dentro de sus áreas de responsabilidad, así como del cumplimiento por parte de su equipo de trabajo. La Política de Seguridad de la Información debe ser de aplicación obligatoria para todo el personal, cualquiera sea el área a la cual se encuentre afectado y el nivel de las tareas que desempeñe.

41 Seguridad de la Información
ASPECTOS GENERALES • Organización de la Seguridad Orientado a administrar la seguridad de la información y establecer un marco de control • Clasificación y Control de Activos Destinado a mantener una adecuada protección de los activos de Información. • Seguridad del Personal Orientado a reducir los riesgos de error humano, comisión de ilícitos o uso inadecuado. • Seguridad Física y Ambiental Destinado a impedir accesos no autorizados, daños e interferencia a las sedes y/o la información.

42 Seguridad de la Información
ASPECTOS GENERALES • Gestión de las Comunicaciones y las Operaciones Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación. • Control de Acceso Orientado a controlar el acceso a la información. • Administración de la Continuidad de las Actividades está dirigido a contrarrestar las interrupciones de las actividades y proteger los procesos críticos. • Cumplimiento Destinado a impedir infracciones y violaciones de las políticas y legislación vigente.

43 Organización de las políticas de seguridad de la información
Revisar y proponer la política y las funciones generales en materia de seguridad de la información. Monitorear cambios significativos en los riesgos frente a las amenazas más importantes. Supervisar la investigación y monitoreo de los incidentes relativos a la seguridad. Acordar y aprobar iniciativas, metodologías y procesos específicos relativos a la seguridad de la información de acuerdo a las competencias asignadas a cada área.

44 Organización de las políticas de seguridad de la información
Garantizar que la seguridad sea parte del proceso de planificación de la información. Evaluar y coordinar la implementación de controles específicos para nuevos sistemas o servicios. Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de la información frente a interrupciones imprevistas.

45 Comité de Seguridad de la Información
Responsabilidad Seguridad del Personal Seguridad Física y Ambiental. Seguridad en las Comunicaciones y las Operaciones Control de Accesos Seguridad en el Desarrollo y Mantenimiento de Sistemas Planificación de la Continuidad Operativa Comité de Seguridad de la Información Departamento Legal Cumplimiento Sanciones

46 Clasificación y Control de Activos
Se debe tener un acabado conocimiento sobre los activos que poseemos como parte importante de la administración de riesgos. Algunos ejemplos de activos son: Activos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, información archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. Activos físicos: equipamiento informático (CPU, monitores, notebooks, módems), equipos de comunicaciones (routers, máquinas de fax, contestadores automáticos), medios magnéticos (cintas, discos), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).

47 Clasificación y Control de Activos
Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información. Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo, por ejemplo, cuando la información se ha hecho pública. La información puede pasar a ser obsoleta y por lo tanto, será necesario eliminarla, para ello se debe asegurar la confidencialidad de la misma hasta el momento de su eliminación Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una Política predeterminada.

48 Clasificación y Control de Activos
Objetivo: Garantizar que los activos de información reciban un apropiado nivel de protección. Clasificar la información para señalar su sensibilidad y criticidad. Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación. Responsabilidad Los propietarios de la información son los encargados de clasificarla de acuerdo con su grado de sensibilidad y criticidad, de documentar y mantener actualizada la clasificación efectuada, y de definir las funciones que deberán tener permisos de acceso a la información.

49 Clasificación y Control de Activos
El nuevo valor de la información requiere indiscutiblemente un alto nivel de seguridad a fin de lograr mantener: LA CONFIDENCIALIDAD LA INTEGRIDAD LA DISPONIBILIDAD

50 Clasificación y Control de Activos
CONFIDENCIALIDAD 1 PUBLICO- Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado o no. 2 USO INTERNO - Información que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para la entidad o terceros. 3 CONFIDENCIAL - Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas para la entidad o terceros. 4 SECRETA - Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves para la entidad o terceros.

51 Clasificación y Control de Activos
INTEGRIDAD 1- Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria. 2- Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas leves. 3- Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas. 4- Información cuya modificación no autorizada no podría repararse, ocasionando pérdidas graves.

52 Clasificación y Control de Activos
DISPONIBILIDAD 1- Información cuya inaccesibilidad no afecta la operatoria. 2- Información cuya inaccesibilidad permanente durante una semana podría ocasionar pérdidas significativas. 3- Información cuya inaccesibilidad permanente durante un día podría ocasionar pérdidas significativas. 4- Información cuya inaccesibilidad permanente durante una hora podría ocasionar pérdidas significativas.

53 Seguridad del Personal
Es fundamental educar e informar al personal desde su ingreso y en forma continua, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad. Objetivo Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la información. Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad en el transcurso de sus tareas normales. Establecer Compromisos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información. Establecer las herramientas y mecanismos necesarios para promover la comunicación de debilidades existentes, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

54 Seguridad Física y Ambiental
Brinda el marco para minimizar los riesgos de daños e interferencias a la información y a las operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad. Objetivo Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información. Proteger el equipamiento de procesamiento de información crítica ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático. Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

55 Objetivo Seguridad en las Comunicaciones y Operaciones
La proliferación de software malicioso, como virus, troyanos, etc., hace necesario que se adopten medidas de prevención, a efectos de evitar la acción de tales amenazas. Los sistemas de información están comunicados entre si, tanto dentro de la compañía, como con terceros fuera de ella. Por lo tanto es necesario establecer criterios de seguridad en las comunicaciones que se establezcan, permitiendo el intercambio de información, de manera regulada para garantizar las condiciones de confidencialidad, integridad y disponibilidad de la información que se emite o recibe por los distintos canales. Objetivo Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones. Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

56 Control de Accesos Objetivo
Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos para controlar la asignación de acceso a los sistemas, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados. Objetivo Impedir el acceso no autorizado a los sistemas y servicios de información, implementando medidas de seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. Controlar la seguridad en la conexión entre las redes públicas o privadas, garantizándola también cuando se utiliza computación móvil e instalaciones de trabajo remoto. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

57 Desarrollo y Mantenimiento de Sistemas
Dado que los analistas y programadores tienen el conocimiento total de la lógica de los procesos en los sistemas, se deben implementar controles que eviten maniobras dolosas por parte de estas personas u otras que puedan operar sobre los sistemas, bases de datos y plataformas de software de base y en el caso de que se lleven a cabo, identificar rápidamente al responsable. Objetivo (por ejemplo, operadores que puedan manipular los datos y/o atacantes que puedan comprometer / alterar la integridad de las bases de datos) Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información. Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan. Definir los métodos de protección de la información crítica o sensible.

58 Planificación de la Continuidad Operativa
El desarrollo e implementación de planes de contingencia es una herramienta básica para garantizar que las actividades puedan restablecerse dentro de los plazos requeridos, Objetivo Maximizar la efectividad de las operaciones de contingencia del Organismo con el establecimiento de planes que incluyan al menos las siguientes etapas: Notificación / Activación: Consistente en la detección y determinación del daño y la activación del plan. Reanudación: Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original. Recuperación: Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

59 Cumplimiento El diseño, operación, uso y administración de los sistemas de información están regulados por disposiciones legales y contractuales y los requisitos normativos y contractuales de cada sistema de información deben estar debidamente definidos y documentados. Garantizar que los sistemas cumplan con la política, normas y procedimientos de seguridad. Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de la política, normas y procedimientos de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

60 Cumplimiento Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo. Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoria en el transcurso de las auditorias de sistemas. Determinar los plazos para el mantenimiento de información y para la recolección de evidencia.

61 La respuesta es una sola
Para finalizar... ¿Quién es responsable de la seguridad? ¿El usuario? ¿Las empresas? ¿El Mercosur? ¿La Unión Europea? ¿Los profesionales? ¿El Estado? ¿Estados Unidos? ¿El mundo? La respuesta es una sola Es responsabilidad de TODOS

62 Muchas gracias por su atención
Zacarías Leone | Director | ZL-SSC C.E.H. and C.H.F.I. ZL – SECURITY SENIOR CONSULTANT Tel.: Fax.: Edificio Laminar Plaza Ing° Butty 240, 4° Piso C1001AFB Capital Federal - Argentina

Descargar ppt "Information Security Ethical Hacking & Computer Forensics"

Presentaciones similares

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla

Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Enrique Cardenas Parga

Enrique Cardenas Parga
LAS NORMAS TÉCNICAS DE AUDITORÍA

LAS NORMAS TÉCNICAS DE AUDITORÍA
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Presentaciones similares

Anuncios Google