Inseguridad Informtica

Ing. Enrique Javier Santiago. PhD

Msc Seguridad Informtica
Especialista en Redes de Computadoras
Especialista en Telecomunicaciones
Instructor CCNA Cisco
Certified Ethical Hacker - ECCOUNCIL
Computer Hacking Forensics Investigator

Contextualizacion

Tecnologa Herramienta clave para la empresa

Nuevos Servicios - Tecnologa

Tecno dependencia

Como la empresa ve los servicios

Service
(server-side)
Application
(client-side)
Intranet
Extranet
Internet

Conjunto de herramientas que representan

oportunidades de negocios

Cual es el Problema?

Como los usuarios maliciosos a los servicios

corporativos
Sniffing
Intercepcion de trafico Servicio
(server-side)
Aplicacin
(client-side)
Cambio de victima,
Otros servicios u
Otros Clientes.

Ataque sobre
Un Host local
Y la red.

Ataques sobre
Clientes

Ataques sobre
Servidores

Aumento de las Amenazas

Pero las amenazas siguen aumentando al igual que la
eficiencia de los ataques.

Crecimiento en la Documentacin de Tcnicas

de Hacking

Incremento del Malware

Realidad Corporativa
Seleccin inadecuada de los controles para sus
necesidades.
Automedicacin en la implementacin de controles.
Los vendedores de tecnologa de seguridad de la
informacin venden las cajas como el remedio
magico!

Realidad Corporativa
Por ejemplo: El Firewall No es el mejor control, su
fiabilidad depende de su modo de inspeccin y de su
arquitectura de hardware.
Incluso de la ubicacin del mismo depende su
efectividad.
En efecto los controles que funcionan bien en una
empresa No siempre lo hacen sobre otra plataforma.

Controles Mal Diseados

Realidad Corporativa
Tal como evolucionan los controles evolucionan
metodologas y las tcnicas de ataque.

las

Cada vez se crean y se mejoran herramientas que facilitan la

ejecucin de ataques informticos.
La poblacin de agentes
perpetradores de incidentes
incrementa da a da.

Efectos Negativos para la empresa.

Efectos Negativos para la empresa.

17

Impacto en el Negocio
Impacto Financiero (perdidas monetarias):
Perdidas en Ventas.
Penalidades Contractuales.
Degradacin de los Productos.

Impactos Operacionales:

Perdida de Competitividad.
Confidencialidad de la Inversin.
Pobre Servicio al Cliente.
Reputacin del Negocio.

Qu puede ser vulnerable?

Archivos

Public
Server

Base Datos

Private
Servers

Firewall

Router

Network

E-mail

Public
Server

PC Workstations

Infraestructura de Red
19

19

Acciones Corporativa
En muchas empresas se habla de seguridad de la informacin.
La Norma ISO 27001 se esta difundiendo en el mbito
corporativo.
La seguridad Informtica hace parte del lxico de muchos
administradores de sistemas.
Publicacin de nuevas polticas: SOX, COBIT, ITIL, etc.
Las universidades y dems instituciones educativas estn
incluyendo a la seguridad de la informacin como parte de su
plan de estudios.

Acciones Corporativa
Las empresas se estn concientizando de la importancia
de la seguridad de la informacin en sus negocios.
Algunas compaas obligadas por el modelo reactivo:
Costo total de la seguridad= costo incidente +costo contramedidas.

Pero algunas bien asesoradas asumen el modelo

proactivo:
Costo de seguridad de la Informacin=costo de contramedidas.

Controles ms usados

Source: CSI/FBI Survey 2010

Qu Hago antes de pensar en controles?

(1) No perder la calma.
(2) Valuar el valor de la informacin y los
recursos internos.
(3) Verificar el estado actual de la
seguridad de la informacin.
(4)Tomar medidas correctivas, en caso de
necesidad
Insourcing o
outsourcing?

(5) Volver a (3)

Norma ISO/IEC 17799:2005 (ISO 27002)

reas o Dominios de Control
5-POLITICA DE SEGURIDAD
6-ORGANIZACIN DE SEGURIDAD DE LA INFORMACIN
7- GESTION DE ACTIVOS
8- SEGURIDAD
EN RECURSOS
HUMANOS

10-GESTIN DE
9-SEGURIDAD FSICA Y
COMUNICACIONES Y
DEL ENTORNO
OPERACIONES

11-CONTROL DE ACCESOS
13-GESTION DE INCIDENTES DE SEGURIDAD DE INFORMACION
14-GESTION DE CONTINUIDAD DEL NEGOCIO
15-CONFORMIDAD

12- ADQUISICIN,
DESARROLLO Y
MANTENIMIENTO DE
SISTEMAS DE
INFORMACIN

Seguridad organizativa
Seguridad lgica
Seguridad fsica
Seguridad legal

Anlisis del Riesgo

1. Identificacin
de Recursos

2.

5.

Identificacion
Amenazas

Revisin del
Plan

3.
4. Controles
Seguridad

Calculo
Exposicin

Anlisis de Impacto en el Negocio.

Objetivo (Business Impact Analisys):
Calcular las Consecuencias de la interrupcin de los
procesos claves de la empresa.
Estimar los tiempos de recuperacin de los procesos claves
de la empresa.
Identificar requerimientos de recursos indispensables para
la operacin de los procesos claves.

Evaluacion
Vulnerabilidades
Scanners de
Vulnerabilidades
Definicin de alcance
Obtencion de
Informacin

Deteccin de
vulnerabilidades

Penetration
Testing
Que probar?
Donde probar?
Perfil del atacante.

Definicin de
alcance/objetivo

Obtener tanta
informacion
como sea posible
del destino.

Obtencion de
Informacin
Deteccin de
Vulnerabilidades
Anlisis y planeamiento
de la informacion

Ataque, tomando ventaja de las

vulnerabilidades detectadas.
Comprometer un host obteniendo
privilegios de system/user.

Ataque /
Escalar privilegios
Fueron los
objetivos
alcanzados
?

LISTO?

SI

Reportes

Entender la relacion entre los

componentes.
Planeamiento del ataque.
Identificacion del destino.

Reposicion

NO

Cambios en los demas ataques - Tomar ventaja

de los privilegios en sistemas obtenidos

Limpieza
Dejar todo como estaba antes del ataque

Analisis de Resultados
y Reportes

 Preguntas ?