AR0763 - Módulo V

*
Profesor
Ing. Juan N. Mariñas R.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
1. Análisis de Riesgos en el uso de las

Redes
1. Definición de Riesgo
2. Amenazas
3. Tipos de Ataques
1. Troyanos
2. Anonimato
3. Spyware y web-bug
4. Espías en Programas
5. Net BIOS, otros
LAS REDES
1. Análisis de Riesgos en el uso de las

Redes
4. Técnicas que Mitigan las Amenazas
1. Divulgación y Concienciar
2. Control de Calidad: Auditoría, Pruebas,
Vigilancia
3. Normas
4. Organización de la Seguridad y Pruebas
5. Escaneo estado de puertos
6. Test
7. Privacidad
8. Otros
LAS REDES
2. Evaluación de Control en Redes

1. Modelo OSI (Open Systems
Interconection)
2. Topologías de Redes
3. Control en la Creación de la Red
1. Estación de Redes
2. Servidores
3. Hardware de Comunicaciones
4. Control en la Configuración de la Red
1. Físicos
2. Lógicos
LAS REDES
2. Evaluación de Control en Redes

5. Control en el Funcionamiento de la Red
6. Control de Personal
1. Usuario del Sistema
2. Perfiles de Usuarios
3. Capacitación
LAS REDES
Análisis de Riesgos en el uso de las Redes

• Definición de Riesgo
• Amenaza que un evento, acción o

situación puede afectar a la empresa en el
logro de sus objetivos y metas
• Es la probabilidad de que una amenaza se
convierta en un desastre
– La vulnerabilidad o las amenazas, por
separado, no representan un peligro.
– Juntas se convierten en un riesgo, o sea, en
la probabilidad de que ocurra un desastre
LAS REDES

• Amenaza
• Cosa o persona que constituye una posible

causa de riesgo o perjuicio para alguien o algo
• Fenómeno o proceso natural o causado por el
ser humano que puede poner en peligro a un
grupo de personas, sus cosas y su ambiente,
cuando no son precavidos
• Eventos que pueden desencadenar un
incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en
sus activos
LAS REDES

• Riesgos que pueden afectar a las
organizaciones
– Estratégicos
• No definir correctamente los objetivos
– Financieros
• Pérdida de recursos financieros
– Operacionales
• Vía incorrecta o inoportuna
– Tecnología de Información
• Desconfianza, inexactitud, incumplimiento
LAS REDES

• Riesgos que pueden afectar a las
organizaciones
• Riesgo Operacional
• El riesgo operacional se entiende aquel que:
– genera o puede generar la pérdida potencial
– por fallas o deficiencias en los sistemas de información
– en el sistema de control interno o
– por errores en el procesamiento de las operaciones
LAS REDES

*
*Riesgo de personal
*Riesgo de procesos
*Riesgo de sistemas
*Riesgos legales
*Riesgos por factores
externos
LAS REDES
*
Incluye las pérdidas
asociadas a
violaciones
internacionales de la
Ley, de las normas o
de las políticas
internas de la
institución por parte
de sus funcionarios.
LAS REDES
*
Agrupa las pérdidas
que fueran causadas
por deficiencias o
ausencia de
procedimientos,
recursos dispuestos o
políticas internas en
la ejecución de las
actividades propias
de la institución.
LAS REDES
*
Pérdidas causadas
por fallas en los
sistemas, en las
telecomunicaciones
y en los elementos
informáticos que en
general utiliza la
institución.
LAS REDES
*
Es la pérdida derivada
de las violaciones o
incumplimiento de
leyes, regulaciones,
contratos, u obligaciones
que, de manera no
intencionada, puedan
cometerse en perjuicio
del vínculo que la
institución tenga con
terceros.
LAS REDES
*
Pérdidas causadas
por
interrupciones del
negocio, producto
de fuerzas
naturales o por
acción de
terceras
personas.
LAS REDES

• Evaluación de Riesgos
– ¿Por qué hacer una evaluación de

riesgos?
• Identificar eventos y amenazas que
pueden desencadenar en desastres
• Mitigar la ocurrencia de un evento
riesgoso
• Planificar contra los riesgos que puedan
ocurrir
LAS REDES

– ¿Qué hacemos y qué analizamos en una

evaluación de riesgos?
• Identificamos elementos críticos
• Identificamos amenazas
• Identificamos vulnerabilidades
• Identificamos y analizamos qué tan efectivos son
nuestros controles de riesgos
• Valor que aportan nuevos controles
• Nuevos controles mitigantes
LAS REDES

– ¿Qué metodología aplicamos en una

evaluación de riesgos?
• Obtención de información
• Identificar amenazas
• Identificar vulnerabilidades
• Identificar eventos riesgosos
• Probabilidad de eventos riesgosos
• Impacto de un evento riesgoso
• Mapa de riesgos
LAS REDES

Matriz de Zonas de Riesgo Priorización de Riesgo
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
LAS REDES

Proceso:
Zona de Probabilidad Respuesta de
Riesgo de Impacto Riesgo Tratamiento
Ocurrencia al Riesgo
Matriz de Respuesta a Riesgos
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
LAS REDES

• Tipos de Ataques
• Los cinco vectores de las amenazas hoy día:

– Sistemas
– Correos electrónicos
– Sitios web
– Datos
– Redes
LAS REDES

• Técnicas que Mitigan las Amenazas
• Divulgación y Concienciar
• Tomar en cuenta que el ser humano es
un elemento de alto riesgo para el
manejo y control de la seguridad
• Debe estar informado, a todos los niveles
dentro de la organización, de la
importancia de la seguridad en el uso de
las redes de comunicación de datos, sus
recursos y activos
LAS REDES

• Divulgación y Concienciar
• Se deben desarrollar planes y programas de
divulgación de la seguridad para crear la
adecuada conciencia en el personal como
control preventivo
• Esto se puede llevar a cabo mediante charlas
sobre las políticas establecidas, afiches,
murales, correo electrónico, intranet, etc. y
combinarlo con actividades participativas que
promuevan diseminar y conocer la información
LAS REDES

• Control de Calidad: Auditoría, Pruebas,

Vigilancia
• Se debe aplicar un exhaustivo proceso de
control de calidad en los procesos
relacionados al establecimiento y
mantenimiento de la seguridad
• Es importante la aplicación de programas de
auditoría especializados y específicos a
áreas y procesos que representan mayor
riesgo a la seguridad y la información
LAS REDES

• Normas
• La aplicación y establecimiento de normas
de trabajo contribuyen a definir parámetros
de acción basado en mejores prácticas
para reforzar la mitigación de amenazas y
riesgos
• CoBIT, ITAFTM
• ISO 27001, ISO 17799
• ITIL, Otras normas de control y seguridad
LAS REDES

• Organización de la Seguridad y Pruebas

• Debe ser un proceso que lleve una
adecuada administración o gestión para
que sea efectiva
• La seguridad es asunto de todos, pero se
debe definir a los responsables de la
organización que van a velar por hacer que
se cumpla y desarrollen programas de
seguridad y pruebas
LAS REDES

• Organización de la Seguridad y Pruebas

• Se debe contar con los adecuados
procedimientos que garanticen de manera
formal el proceso de administración y
pruebas de seguridad
• Se deben determinar los elementos críticos
que merecen la prioridad de atención en la
seguridad
LAS REDES

• Escaneo del Estado de Puertos

• Consiste en un barrido o revisión de los puertos
de comunicación para detectar aquellos que
puedan ser vulnerables
• Este es uno de los mas efectivos, de hecho
muchos firewalls prohíben puertos por defecto 21
para FTP, pero es posible entrar igual mediante un
redireccionamiento de puertos.
• Hay compañías que prohíben, todo, excepto los
servicios que únicamente se ocupan en la
empresa.
LAS REDES

• Escaneo del Estado de Puertos

• Esto puede ser una buena práctica, dejen
abierto un puerto que no se esté ocupando o
mejor aún establezcan ese puerto para que
se abra en cierta fecha, a cierta hora y desde
cierta dirección IP con autenticación de
certificados
• ya que si es por IP o por MAC también es
posible usurparla (IP o MAC Spoofing).
LAS REDES

• Pruebas (Test)
• La ejecución de distintos tipos de pruebas
pueden garantizar una mejor detección de
vulnerabilidades para ser controladas
• Se pueden realizar pruebas de penetración
a través de servicios de Ethical Hacker,
pruebas internas según resultados de
sistemas IDS/IPS, pruebas de control de
acceso, revisar configuraciones, etc.
LAS REDES

• Privacidad
• La privacidad de la información se debe
manejar de forma controlada para evitar
que la misma sea accesible sólo a quien se
le tiene permitido el privilegio
• Hay que tomar consideraciones
relacionadas a evitar dejar rastros que
puedan atentar contra la privacidad de los
datos de usuarios en los sistemas.
LAS REDES

• Privacidad
• La privacidad puede ser protegida a través
de controlar los accesos a redes, sistemas
o dispositivos estableciendo perfiles de
acceso adecuados.
• Se debe controlar el mantener información
que permita acceder a datos sensitivos de
los usuarios o que puedan ser seguidos
(“trace”) como cookies, formularios, etc.
LAS REDES
Evaluación de Control en Redes
• En la evaluación de controles en las redes, en

base a la auditoría que se realice, se van a
precisar:
• Enfocar objetivos de la organización
• Pérdidas y deficiencias
• Mejores métodos y procedimientos de trabajo
• Mejores formas de control
• Operaciones más eficientes
• Mejor uso de los recursos
• Aumento de la calidad
LAS REDES
• Modelo OSI (Open Systems Interconnection)

• Adoptado por la ISO en 1984
• Modelo de Referencia Para Interconexión de
Sistemas Abiertos- Modelo OSI
• Facilitar la interoperabilidad entre los dispositivos
de redes independientemente del fabricante
• Define estándares de protocolos para la
comunicación y la interoperabilidad
• Se base en un esquema de capas
• Divide complejos esquemas de redes en
componentes simples y funcionales
LAS REDES

• Consiste de 7 distintas capas
• Describe cómo los datos son comunicados
entre sistemas y aplicaciones
LAS REDES

• Revisión en Clase – Investigue la función de cada capa en
el Modelo OSI, presente ejemplos de sus componentes y 3
riesgos que puede confrontar.
Extensión: 1 Cara de Página.
LAS REDES
TAREA
• FECHA DE ENTREGA
• Jueves 13 de junio de 2019 - Impresa
• Trabajo en Grupo de Dos Estudiantes
• De acuerdo a la sección Evaluación de Control
en Redes:
• Para el Modelo OSI, defina 2 situaciones de
riesgo que pueden presentarse en cada una
de las capas y un control para cada uno de
los riesgos.
• Preséntelo en forma de matriz
• No se exceda de una cara, excederse
representan 5 puntos menos
LAS REDES
• Topología de Redes
• Capa Física – Capa 1
• Topología de Red
• Existen 3 topologías básicas
• Bus (Bus)
• Estrella (Star)
• Anillo (Ring)
• Otras topologías
• Híbridas y a partir de las formas básicas
LAS REDES
• Topología de Red - Bus (Bus)
• Todos los dispositivos se conectan a un solo cable
(backbone)
• Ideal para redes pequeñas por costo y facilidad de
instalación
• Principales inconvenientes
• Si se rompe el cable en algún punto, la red queda
inoperable por completo
• Instalación en un edificio con varias plantas
• Se instala una red por planta y se unen todas a través
de un bus troncal
LAS REDES
• Topología de Red - Estrella (Star)
• Cada nodo de la red se conecta a un
hub central o concentrador
• Es un cuello de botella o simple punto
de falla para la comunicación
• Es más costosa que la de bus
• Ideal para ambientes grandes y es la
más común hoy día
• Fácil de instalar, mantener y detectar
fallas sin afectar al resto
LAS REDES
– Capa Física – Capa 1
– Topología de Red - Anillo (Ring)
– Es un ciclo cerrado conectado
dispositivos uno al final de otro en un
anillo continuo
– Los dispositivos individuales se
conectan a una MSAU o MAU
– Multi Station Access Unit
– Físicamente da la apariencia de una
topología de estrella
LAS REDES
• Control en la Creación de la Red

• Las redes se desarrollan a partir de la
necesidad de compartir diferentes recursos de
información en diferentes dispositivos
informáticos.
• Es importante considerar los distintos puntos
de control a través de los elementos que
componen la red de comunicación de datos.
• Desde la etapa de diseño de la red para
cumplir con las especificaciones del negocio,
implementación, operación y mantenimiento.
LAS REDES

• Estaciones de Redes (Terminales)
• Algunos controles que se deben considerar:
• Aseguramiento y protección de cableado
• Aseguramiento de cajones («case») y
laptops
• Control de acceso (físico y lógico) de
usuario a la red asignando claves
• Protección de la información (cifrado de
discos)
• Desconexión de sesiones
LAS REDES

• Estaciones de Redes (Terminales)
• Monitoreo de acciones no permitidas
• Registro de accesos en el servidor
• Control de acceso a las aplicaciones
permitidas
• Establecimiento de políticas de usuario
• Existencia de planes de prueba
• Capacitación al usuario y conocimiento de
los riesgos asociados
LAS REDES

• Servidores
• Aseguramiento y protección de cableado
• Aseguramiento de cajones («case»)
• Control de acceso físico al cuarto de
servidores
• Control de acceso lógico y de usuario al
servidor asignando claves
• Protección de la información (cifrado de
discos)
LAS REDES

• Servidores
• Desconexión de sesiones
• Control de acceso remoto
• Control de retiro de partes del servidor
• Control de llaves de acceso al cuarto de
servidores
• Controles ambientales (A/A, humedad,
estática, variaciones de voltaje, extintores
de incendio, limpieza general, etc.)
LAS REDES

• Hardware de Comunicaciones
• Aseguramiento y protección de cableado y
paneles de comunicación
• Control de acceso físico al cuarto de
comunicaciones
• Control de acceso lógico y de usuario a los
equipos de comunicaciones
• Control de acceso remoto a los equipos de
comunicación
LAS REDES

• Hardware de Comunicaciones
• Controles ambientales (A/A, humedad,
estática, variaciones de voltaje, extintores
de incendio, limpieza general, etc.)
• Existencia de procedimientos de control de
cambios y documentación
• Uso de cifrado para comunicaciones
• Políticas de administración relacionadas a la
seguridad de la red
LAS REDES
• Control en la Configuración de la Red

• En el proceso de configuración de la red se
involucran distintos componentes a los cuales
se le deben aplicar distintos tipos de controles
• Estos involucran controles lógicos y físicos
relacionados a procesos de cambios
• Se debe considerar el proceso de
documentación de las modificaciones
realizadas para tomar acciones correctivas o
de «roll back» o vuelta atrás
LAS REDES

• Controles Físicos
• Existencia de procedimientos de instalación
y configuración
inventario y entrada/salida de equipos
• Control de acceso físico a personal
autorizado
• Controles ambientales adecuados
LAS REDES

• Controles Lógicos
cambios y documentación
• Control de acceso lógico a usuarios
• Seguimiento a actualización de sistemas
operativos
• Identificación de los recursos a acceder
• Políticas de administración relacionadas a
los procesos de configuración
LAS REDES
• Control en el Funcionamiento de la Red

• Existencia de planes de prueba apropiados
(implementación, conversión, aceptación)
• Generación de informes de seguridad
• Revisión de los informes de seguridad
• Existencia de procedimientos de monitoreo y
detección o prevención de intrusos
• Mecanismos adecuados de reinicio y
recuperación
• Cumplimiento de regulaciones relacionadas a la
transmisión de datos
LAS REDES
• Control de Personal
• Usuarios del Sistema
• Autenticación de usuarios
• Personal técnico capacitado
• Entrenamiento en seguridad y manejo de
equipos de comunicación
• Políticas de personal sobre definición de
responsabilidades
• Existencia de una estructura organización y
segregación de funciones
LAS REDES
• Perfiles de Usuarios
• Política de seguridad para acceso a la
información
• Adecuada segregación de funciones
relacionada a la estructura de la red
(segmentación)
• Control de acceso a aplicaciones según función
y responsabilidades
• Control de acceso lógico y monitoreo de
actividades de mantenimiento de usuario
LAS REDES
• Capacitación
• Existencia de un programa de capacitación
formal para el personal en relación a la
seguridad de la información en la red
• Capacitación formal al personal técnico que
administra la red y sus componentes
• Desarrollo de capacitación interna cruzada
controlando el manejo de conocimiento
• Seguimiento al aprovechamiento de la
capacitación brindada al personal

AR0763 - Módulo V

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

AR0763 - Módulo V

Hochgeladen von

Copyright:

Verfügbare Formate

*

1. Análisis de Riesgos en el uso de las

1. Análisis de Riesgos en el uso de las

2. Evaluación de Control en Redes

2. Evaluación de Control en Redes

Análisis de Riesgos en el uso de las Redes

• Amenaza que un evento, acción o

Análisis de Riesgos en el uso de las Redes

• Cosa o persona que constituye una posible

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

– ¿Por qué hacer una evaluación de

Análisis de Riesgos en el uso de las Redes

– ¿Qué hacemos y qué analizamos en una

Análisis de Riesgos en el uso de las Redes

– ¿Qué metodología aplicamos en una

Análisis de Riesgos en el uso de las Redes

Matriz de Zonas de Riesgo Priorización de Riesgo

Análisis de Riesgos en el uso de las Redes

Matriz de Respuesta a Riesgos

Análisis de Riesgos en el uso de las Redes

• Los cinco vectores de las amenazas hoy día:

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

• Control de Calidad: Auditoría, Pruebas,

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

• Organización de la Seguridad y Pruebas

Análisis de Riesgos en el uso de las Redes

• Organización de la Seguridad y Pruebas

Análisis de Riesgos en el uso de las Redes

• Escaneo del Estado de Puertos

Análisis de Riesgos en el uso de las Redes

• Escaneo del Estado de Puertos

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

Análisis de Riesgos en el uso de las Redes

• En la evaluación de controles en las redes, en

• Modelo OSI (Open Systems Interconnection)

• Modelo OSI (Open Systems Interconnection)

• Modelo OSI (Open Systems Interconnection)

• Control en la Creación de la Red

• Control en la Creación de la Red

• Control en la Creación de la Red

• Control en la Creación de la Red

• Control en la Creación de la Red

• Control en la Creación de la Red

• Control en la Creación de la Red

• Control en la Configuración de la Red

• Control en la Configuración de la Red

• Control en la Configuración de la Red

• Control en el Funcionamiento de la Red

Das könnte Ihnen auch gefallen