Post on 12-Jun-2015
description
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Seguridad de la Seguridad de la InformaciónInformación
Expositor: Reynaldo Castaño Umaña
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
¿Porqué hablar de la Seguridad de la ¿Porqué hablar de la Seguridad de la Información?Información?
Porque los negocios se sustenta a partir de la información que manejan.....
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Siendo que la Siendo que la informacióninformación debe debe considerarse como un recurso con considerarse como un recurso con el que cuentan las Organizaciones el que cuentan las Organizaciones y por lo tanto tiene valor para y por lo tanto tiene valor para éstas, al igual que el resto de los éstas, al igual que el resto de los activosactivos, debe estar debidamente , debe estar debidamente protegida.protegida.
¿Qué se debe ¿Qué se debe asegurar ?asegurar ?
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Pilares de la seguridad de la InformaciónPilares de la seguridad de la Información
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Pilares de la seguridad de la InformaciónPilares de la seguridad de la Información
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Confidencialidad.- Condición que garantiza que la información es accedida solo por las personas autorizadas según la naturaleza de su cargo o función dentro de la organización. La Confidencialidad está relacionada con la Privacidad de la Información.Integridad.- Condición que garantiza que la información es consistente o coherente. Está relacionada con la Veracidad de la Información.Disponibilidad.- Condición que garantiza que la información puede ser accedida en el momento en que es requerida. Está relacionada con la Continuidad del Negocio y las Operaciones.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
La perdida de datos, provoca…La perdida de datos, provoca…
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Mitos de Seguridad
1. El sistema puede llegar al 100% de seguridad.
2. Mi red no es lo suficientemente atractiva para ser tomada en cuenta.
3. Nadie pensará que mi clave de acceso es sencilla
4. Linux es más seguro que Windows.5. Si mi servidor de correos tiene AV, mi
estación no lo necesita.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
¿De que estamos ¿De que estamos hablando ?hablando ?
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico.
¿En que consisten los ataques ¿En que consisten los ataques informáticos?informáticos?
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Motivos de Ataques:Motivos de Ataques:
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
• Para obtener acceso al sistema; • Para robar información, como secretos industriales o propiedad intelectual; • Para recopilar información personal acerca de un usuario; • Para obtener información de cuentas bancarias; • Para obtener información acerca de una organización (la compañía del usuario, etc.); • Para afectar el funcionamiento normal de un servicio; • Para utilizar el sistema de un usuario como un "rebote" para un ataque;
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Tipos de Ataques Informáticos
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
¿Quienes pueden atacar?
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Tipos de Atacantes
Script kiddies: No saben nada acerca de redes y/o protocolos pero saben manejar herramientas de ataque creadas por otros. Por lo general no siguen una estrategia muy silenciosa de ataques.
Hackers medium: Personas que saben acerca de redes, protocolos, S.O. y aplicaciones pero que no crean sus propias herramientas, sino que utilizan las desarrolladas por otros.
Hackers: Personas que además de conocer de redes, protocolos, S.O. y aplicaciones, desarrollan sus propias herramientas.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Tipos de Amenazas/Ataques
Ingeniería Social:• Consiste en utilizar artilugios, tretas y otras técnicas
para el engaño de las personas logrando que revelen información de interés para el atacante, como ser contraseñas de acceso. Se diferencia del resto de las amenazas básicamente porque no se aprovecha de debilidades y vulnerabilidades propias de un componente informático para la obtención de información.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Tipos de Amenazas/AtaquesPhishingConsiste en el envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales de entidades/empresas legítimas con el fin de obtener datos personales y bancarios de los usuarios. Escaneo de PuertosConsiste en detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines del atacante.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Código Malicioso / Virus:
• Se define como todo programa o fragmento del mismo
que genera algún tipo de problema en el sistema en el
cual se ejecuta, interfiriendo de esta forma con el
normal funcionamiento del mismo. Existen diferentes
tipos de código malicioso; a continuación mencionamos
algunos de ellos:
Tipos de Amenazas/Ataques
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
• Exploits:• Se trata de programas o técnicas que explotan una vulnerabilidad
de un sistema para el logro de los objetivos del atacante, como ser, intrusión, robo de información, denegación de servicio, etc.
• Ataques de Contraseña• Consiste en la prueba metódica de contraseñas para lograr el
acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado:
Tipos de Amenazas/Ataques
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Man-in-the-middle:• El atacante se interpone entre el origen y el destino en una
comunicación pudiendo conocer y/o modificar el contenido de los paquetes de información, sin esto ser advertido por las víctimas.
Tipos de Amenazas/Ataques
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Denegación de Servicio:• Su objetivo es degradar considerablemente o detener el
funcionamiento de un servicio ofrecido por un sistema o dispositivo de red.
• Envío de paquetes de información mal conformados de manera de que la aplicación que debe interpretarlo no puede hacerlo y colapsa.
• Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP origen igual a IP destino, etc.) que no permiten que circulen los paquetes de información de usuarios.
• Bloqueo de cuentas por excesivos intentos de login fallidos. • Impedimento de logueo del administrador.
Tipos de Amenazas/Ataques
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Principales vulnerabilidades
Cross-Site-Scripting (XSS) – Cuando un atacante usa una WebApp para enviar código malicioso en Java Script.
SQL injection – Usa secuencias de comandos usando lenguaje SQL (Structured Query Language).
Command injection – Permite a un atacante pasar código malicioso generalmente escrito en Perl y Python a diferentes sistemas a través de una aplicación web.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Directory Traversal – La habilidad de navegar archivos y directorios con acceso no autorizado.
Web Service Attacks – Inyectar código malicioso en servicios web para ver y modificar data.
Principales vulnerabilidades
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Realizar pruebas de Detección de Vulnerabilidades
Realizar Pruebas de penetraciónDefinir plan de acción para asegurar
contingencia de servicios y continuidad del negocio.
Aplicar Normas y estándaresRediseño de la Arquitectura de Seguridad de la
organización
…y entonces como podemos protegernos?
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
…y entonces como podemos protegernos?
Defensa de Perímetro
Defensa de Red
Defensa de Host
Defensa de Aplicacion
Defensa de Datos y Recursos
Seguridad Física/políticas
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
¿Qué es la ISO 27001?La ISO 27001 es un Estándar Internacional de Sistemas
de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.
El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Sistema de Gestión ISO 27001SGSI: 1-PolíticaSGSI: 1-PolíticaSGSI: 2-OrganizaciónSGSI: 2-OrganizaciónSGSI: 3-Gestión de activosSGSI: 3-Gestión de activosSGSI: 4-PersonalSGSI: 4-PersonalSGSI: 5-Seguridad FísicaSGSI: 5-Seguridad FísicaSGSI: 6-Comunicaciones y operacionesSGSI: 6-Comunicaciones y operacionesSGSI: 7-Control de accesoSGSI: 7-Control de accesoSGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.SGSI: 9-Gestión de incidentesSGSI: 9-Gestión de incidentesSGSI: 10-Gestión continuidad del negocioSGSI: 10-Gestión continuidad del negocioSGSI: 11-Legislación VigenteSGSI: 11-Legislación Vigente
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Consejos para evitar fuga de informaciónConocer el valor de la propia informaciónConcientizar y disuadirUtilizar defensa en profundidadIncluir herramientas tecnológicasSeguir los estándaresMantener políticas y procedimientos clarosProcedimientos seguros de contratación y
desvinculaciónSeguir procesos de eliminación segura de datos
Feria de Ciencia y Tecnología * UNI- FCyS* 2011Feria de Ciencia y Tecnología * UNI- FCyS* 2011
Preguntas?