CURSO

Introduccin a la
SEGURIDAD INFORMATICA
Caracas - Venezuela
Enero 2.014
Administracin Comercio Tecnologa
Auditora de Sistemas y Seguridad de Datos
Conceptos y Facilidades
Facilitador:

Ing. Williams Chirino
Especialista en Auditoria de Sistemas Financieros y Seguridad de Datos
Ingeniero de Sistemas
TSU Administracin Mencin Informtica
Tlf. 0414 3209088
williamschn@hotmail.com
Desarrollador de Sistemas Administrativos, Contables y de Personal.
Lenguajes y DBMS: Java, Php, MySql y PostgreSql
Infotec computacin, Packard Bell Computacin, Alwich Consulting, Visualsoft, c.a. Inacomp
Consultores, s.a.
Consultor de sistemas
AGENDA
o Presentacin
o Fundamentos de la seguridad
Definiciones estadsticas Necesidades y Requerimientos Evaluacin de Riesgos Seleccin de
Controles Polticas de SI Niveles de Seguridad Seguridad Integral .
o Elementos de seguridad
Poltica corporativa Autenticacin Control de Acceso Criptografa Administracin (COBIT

ITIL

) Auditora (COSO

- COBIT

)
o Cdigos maliciosos y tipos de ataques a sistemas informticos
Troyanos Virus Bugs Brute forcing Buffer Overflow Sniffers y Keylogger Scanners
Spamming DoS Spoofing Data Lekeage Ingeniera Social
o Seguridad Empresarial
Principios comunes de seguridad Plan de Continuidad de Negocios Plan de Contingencia

Administracin Comercio Tecnologa
Auditora de Sistemas y Seguridad de Datos
INTRODUCCION A LA SEGURIDAD INFORMATICA
Conceptos y Facilidades
OBJETIVOS
Reconocer Riesgos y Amenazas en contra de los Intereses de la Empresa
Considerar las tcnicas de ataque que se utilizan en contra de los Sistemas
Identificar Mecanismos y elementos de control para las Polticas de Seguridad
Concienciar la necesidad de Planes de Continuidad y de Contingencia
Iniciarse en las Mejores prcticas de aseguramiento de Calidad y Gerencia de TI
Que es dato?

Del latn datum (lo que se da), un dato es un documento,
una informacin o un testimonio que permite llegar al
conocimiento de algo. Por ejemplo: Hemos descubierto al
asesino gracias a los datos aportados por un testigo.
fuente: Definicin de datos - Qu es, Significado y
Concepto http://definicion.de/datos/#ixzz2rpphcHJX
Datos informticos: Cualquier representacin de hechos, informacin o
conceptos de una forma que permita el tratamiento informtico.
fuente: http://www.davara.com.mx/glosario.php?letra=d&lang=es
Que es informacin?

En sentido general, la informacin es un conjunto organizado de datos
procesados, que constituyen un mensaje que cambia el estado de
conocimiento del sujeto. Es decir la informacin.
En seguridad informtica, la palabra vulnerabilidad hace referencia
a una debilidad en un sistema permitiendo a un atacante violar la
confidencialidad, integridad, disponibilidad, control de acceso de
sistema o de sus datos y aplicaciones
Se puede definir como amenaza a todo elemento o accin
capaz de atentar contra la seguridad de la informacin.

Las amenazas: surgen a partir de la existencia de
vulnerabilidades, es decir que slo puede existir si existe
una vulnerabilidad independientemente de que se comprometa
o no la seguridad de un sistema de informacin.

El riesgo: es la posibilidad de que una amenaza se materialice,
se produzca, dando lugar a un ataque a un activo de
informacin.
Que es un activo de Informacin?

Es todo aquello que las entidades lo considera de alta
validez para la misma ya que puede contener importante
informacin como lo puede ser Bases de Datos con
usuarios, contraseas, nmeros de cuentas, entre otros.

Seria crtico que a una entidad que maneja alta
informacin confidencial, los intrusos pudieran acceder a
ella afectando as la confidencialidad, la disponibilidad y
la integridad de dicha informacin por eso algunas de
tantas entidades adoptan un plan de seguridad para los
activos de informacin y as no tener la desgracia de que
los datos se fuguen, se modifiquen o se pierdan.
Los conceptos confidencialidad, integridad o disponibilidad
son muy comunes en el mbito de la seguridad
Confidencialidad: se trata de la cualidad que debe poseer un
documento o archivo que sea ledo por la persona o sistema
que este autorizado.
La integridad: es la cualidad que posee un documento o
archivo que no ha sido alterado y que adems permite
comprobar que no se ha producido manipulacin.
Disponibilidad: se trata de la capacidad de un servicio, de
unos datos o de un sistema, a ser accesible y utilizable por
los usuarios (o procesos) autorizados cuando estos lo
requieran.
La autenticacin: es la situacin en la cual se puede verificar
que un documento ha sido elaborado por quien dice haberlo
echo.
El no repudio: es un servicio de seguridad estrechamente
relacionado con la autenticacin y que permite probar la
participacin de las partes en una comunicacin.

Relacin de los servicios de seguridad
SEGURIDAD INFORMTICA
Qu es Seguridad Informtica?

La seguridad informtica es la disciplina que se Ocupa de
disear las normas, procedimientos, mtodos y tcnicas,
orientados a proveer condiciones seguras y confiables, para
el procesamiento de datos en sistemas informticos.

LA SEGURIDAD
Proteccin Certeza Veracidad Confianza
Sentido Percepcin - Creencia
Estabilidad Tranquilidad
Ser, Hacer y Desarrollar mis Capacidades
OBJETIVOS
Proteccin
Certeza
Confianza
Tranquilidad
Brindar seguridad
Suplir elementos que incrementen el sentido
y percepcin de PROTECCION
A.O
"Conjunto de conocimientos cientficos y
tcnicas que hacen posible el tratamiento
automtico de la informacin por medio de
ordenadores

diccionario acadmico de la lengua espaola
LA INFORMATICA
La Seguridad Informtica
PROCESO
brindar
Resguardo
Hardware
Software
Procesamiento
Confidencialidad + Integridad + Disponibilidad
Garantizar
Finanzas Infraestructura
Gerencia
Consultora
Mercadeo
Administracin
CLIENTE
Gobierno
Proveedores
VISION
Iniciativas
OBJETIVOS ESTRATEGICOS
Alineadas
MISION
Consolidar
OBJETIVOS DEL NEGOCIO
DATOS Y ALMACENES
COMUNICACIONES
Y
SERVICIOS
POLITICAS
INFRAESTRUCTURA
Activos de Informacin Empresarial
PERSONAL
PROCESOS Y PLANES CUMPLIMIENTO
SEGURIDAD
DE
ACTIVOS DE
INFORMACION
Un Cambio de Paradigma
(Basado en lo que se desea proteger)
Seguridad Computacional
Seguridad de Datos
Seguridad Informtica
Seguridad de Activos de Informacin
Fsica Legal
Lgica
Organizativa
Procesos
Talento
Humano
Personal dedicado a Seguridad
Adiestramiento contnuo
Conciencia de prevencin
Outsourcing
Seguridad en Profundidad
Tecnologa
Tecnologa de punta
Estndares, Encriptamiento, Proteccin
Generar productos para seguridad
Productos y herramients de Seguridad
Planificacin para la Seguridad
Prevencin - Deteccin Reaccin (PDR)
Investigacin y Seguimiento de casos
Control de Gestin
Algunos ejemplos de Activos de Informacin a Proteger en TI
Datos
Nmeros de tarjetas
Planes de mercadeo
Cdigo fuente
Informacin salarial
Datos clasificados
Servicios
Sitios Web
Acceso a Internet
Controladores de dominio
Sistemas ERP

Comunicacin
Cdigos de usuario
Transacciones de pago
Copia de plan estratgico
Envo de correos electrnicos


Diez Leyes Inmutables sobre la Seguridad
1. Si alguien puede persuadirlo a ejecutar un programa de l en su computadora, sta no es
mas su computadora.

2. Si alguien puede alterar el sistema operativo de su computadora, sta no es mas su
computadora.

3. Si alguien puede tener acceso fsico irrestricto a su computadora, sta no es mas su
computadora.

4. Si usted permite que alguien descargue programas a su sitio web, ste no es mas su sitio
web.

5. Cdigos de acceso dbiles triunfan sobre una seguridad fuerte.
6. Una mquina es tan segura solamente como digno de confianza sea el administrador.

7. Los datos encriptados son tan seguros como lo sea la clave de desencriptamiento.

8. Un antivius anticuado es ligeramente mejor a que no haya un antivirus.

9. El anonimato absoluto no es prctico, ni en la vida real ni en la web.

10. La tecnologa no es una panacea.
1. Nadie cree que algo malo le puede ocurrir a ellos hasta que les sucede.
2. La seguridad solamente funciona, si la manera segura ayuda a ser la manera ms fcil.
3. Si no te mantienes con soluciones de seguridad, tu red en poco tiempo no ser tuya.
4. Si no haces lo necesario para instalar soluciones de seguridad en un computador, ste
nunca estar seguro.
5. La vigilancia eterna es el precio de la seguridad.
6. Realmente hay alguien all afuera tratando de adivinar tus cdigos de acceso.
7. La red mas segura es aquella bien administrada.
8. Las dificultades en la defensa de una red son directamente proporcionales a su
complejidad.
9. La seguridad no trata de evitar el riesgo; trata del manejo del riesgo.
10. La tecnologa no es una panacea.
Diez Leyes Inmutables sobre la Administracin de la Seguridad
Ataques a Empresas
Atacantes Informticos
HACKER

CRACKER

PHREAKER

DELINCUENTE INFORMTICO

LAMMERS

Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2012 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
Fuente del Ataque
- Ataques internos 45%
- Ataques externos 55%
Nota: Las Estadsticas mundiales apuntan a los
Internos
Clase de Actividades
Ejecutadas por TI
. Integracin y prueba de los BCP 5,14
. Concienciacin y divulgacin 4,14
. Manejo de Incidentes 74
. Evaluaciones de Seguridad 3,92
. Seguimiento y Monitoreo de actividades 3,35
. Administracin de la Seguridad 3
. Configuraciones Tcnicas 2,71
Estadsticas de Seguridad de Informacin en Venezuela (II)
. Anual 62%
. Semestral 23%
. Eventual 5%
. Nunca 10%
Frecuencia de Revisin
de los aspectos de SI
Estadsticas de Seguridad de Informacin en Venezuela (III)
85% manifiesta que las funciones de SI se encuentra asignadas al rea de TI
71% ratifica la inexistencia de presupuesto independiente y suficiente
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2012 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
Estadsticas de Seguridad de Informacin en Venezuela (V)
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2013 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
2013
Estadsticas de Seguridad de Informacin en Venezuela (VI)
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2013 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
. Anual 62%
. Semestral 23%
. Eventual 5%
. Nunca 10%
2013
2002
Estadsticas de Seguridad de Informacin en Venezuela (VII)
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2013 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
2002 : 71% NO
Estadsticas de Seguridad de Informacin en Venezuela (VIII)
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2013 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
Estadsticas de Seguridad de Informacin en Venezuela (VIII)
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2013 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
Estadsticas de Seguridad de Informacin en Venezuela (IX)
Fuente: Espieira, Sheldon y Asociados
Encuesta aplicada en el cuarto (4) trimestre del ao 2013 en Venezuela,
cuyo objetivo es identificar la manera cmo las compaas consideran la seguridad de activos de informacin
80%
20%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Porcentaje
Internos
Externos
Fuente de Ataques
Estadsticas de Seguridad de Informacin Internacional (X)
22%
11%
10%
21%
2%
31%
3%
0%
5%
10%
15%
20%
25%
30%
35%
Porcentaje
1-Empresa paralela con
propiedad intelectual de la
empresa
2-Daos informticos
3-Acceso no autorizado,
revelacin de secretos y
datos personales
4-Amenazas, injurias y
calumnias
5-Introduccin de obras de
la empresa en redes P2P
6-Intercambio de obras de
terceros en redes P2P
7-Infraccin propiedad
industrial
Fuente: Price Water House & Cooper
Tipo de Ataques
Estadsticas de Seguridad de Informacin Internacional (XI)
Cmo se percibe el riesgo?
Qu tipo de incidente representa la mayor amenaza para su empresa?

2%
2%
6%
8%
22%
30%
30%
0% 5% 10% 15% 20% 25% 30% 35%
no responde
error humano
acceso no autorizado
denegacin de servicios
fraude
cdigo malicioso
robo propiedad intelectual
Estadsticas de Seguridad de Informacin Internacional (XII)
FORRESTER RESEARCH 2012- 50 entidades financieras con activos de ms de US$ 1,000 MM - EEUU
Necesidad de la seguridad de la Informacin
Porqu es necesaria la Seguridad de la Informacin?
Aumento en los Requerimientos de Control Interno
(Basilea, Sarbanes-Oxley, Patriot, Legitimaciones, etc.)
Aumento en identidades
(empleados, clientes, proveedores y socios de negocios)
Aumento en las Amenazas
(Tipos, medios de ataque y herramientas de fcil acceso)
Aumento en las Vulnerabilidades
(Ambientes distribuidos y complejidad de las operaciones)
Qu tan Segura est la Empresa?
Objetivos del Negocio
< Back Finish Cancel
Windows Update Services Windows Update Services
< Back Finish Cancel
Windows Update Services Windows Update Services
Qu tanto dependo?
TI
Poltica

Implantacin
Administracin

Auditora

Riesgo

Ciclo de
Seguridad de
la Informacin
Ciclo continuo de Seguridad de la Informacin
Definicin de Organizacin
Definicin de una Poltica de Seguridad
Definicin de una Arquitectura de Seguridad
Seleccin de Productos
Implantar Soluciones
Implantar Procesos
Emerg. Response Service CERT
Sistemas IDS
Programa de manejo de Virus
Desarrollo del Plan de Contingencia
Ethical Hacking
Evaluar madurez de procesos
Auditora del Plan de Contingencia
Evaluacin de Riesgo
Identificar Activos de Informacin
Valoracin de
Activos de
Informacin
Anlisis de Riesgo
Polticas de SAI
Gestionar SAI
Cmo establecer y cumplir con los Requerimientos de SAI?
Inventario y ponderacin
de importancia para los
dueos del proceso
Probabilidad de Ataque,
Vulnerabilidad
Priorizacin ( MAGERIT

)
"Todo lo que no est permitido,
est prohibido"
( ISO 2700 ISO 27002)
Implementar, Administrar y
Auditar
( ITIL, COBIT, COSO.)