7/23/2019 Principios Generales de La Seguridad Informatica
1/92
K A R I N A R O S A S PA R E D E S J O S E E S Q U I C H A T E J A D A
SEGURIDADINFORMTICA
7/23/2019 Principios Generales de La Seguridad Informatica
2/92
AGENDA
1. Seguridad Informtica2. Conceptos3. Pilares de la seguridad4. Terminologa de seguridad informtica5. Seguridad de redes6. Seguridad en redes inalmbricas7. Metodologas usadas en seguridad informtica8. Certificaciones de seguridad de la informacin:
CISSP, CEEH, CISA, CISM, otras.9. Caso de estudio
7/23/2019 Principios Generales de La Seguridad Informatica
3/92
POR QU ES IMPORTANTE LASEGURIDAD EN LA EMPRESA?
EL VALOR DE LA INFORMACION
La informacin es un activo vital para el xitoy la continuidad en el mercado de cualquier organizacin
Fuente: ISO 27000:2005 .
7/23/2019 Principios Generales de La Seguridad Informatica
4/92
Todos los sistemas son vulnerables loimportante es que se actualicen.Microsoft no es ms vulnerable pero sms apetitoso.
Un ataque a un sistema que usanmuchas personas tiene ms relevancia.
(Kevin Mitnick )
7/23/2019 Principios Generales de La Seguridad Informatica
5/92
TENDENCIAS QUE AFECTAN A LASEGURIDAD DE LAS REDES
La necesidad de seguridad de la red y sucrecimiento se debe a muchos factores:
La conexin a Internet es 24/7 y es en todo elmundo.
Aumento de la delincuencia ciberntica Impacto en los negocios grandes e individuales Legislacin y pasivos
Proliferacin de amenazas Sofisticacin de amenazas
7/23/2019 Principios Generales de La Seguridad Informatica
6/92
IMPACTO EN LOS NEGOCIOS
1. Disminucin de la productividad2. Prdida de ingresos por ventas3. Liberacin no autorizada de datos
confidenciales4. Amenaza de los secretos comerciales5. Reputacin y confianza6. Prdida de comunicaciones7. Amenaza para los sistemas ambientales y de
seguridad8. Prdida de tiempo
7/23/2019 Principios Generales de La Seguridad Informatica
7/92
QUE ES SEGURIDAD INFORMTICA
Es el rea de la informtica que se enfoca en laproteccin de la infraestructura computacional ytodo lo relacionado con sta y especialmente la
informacin contenida o circulante.
7/23/2019 Principios Generales de La Seguridad Informatica
8/92
SEGURIDAD DE LA INFORMACIN
Es el conjunto de medidas preventivas y reactivas delas organizaciones y de los sistemas tecnolgicos quepermiten resguardar y proteger la informacin buscando
mantener la confidencialidad, la disponibilidade integridad de la misma
7/23/2019 Principios Generales de La Seguridad Informatica
9/92
SEGURIDAD INFORMATICA
7/23/2019 Principios Generales de La Seguridad Informatica
10/92
SEGURIDAD DE LA INFORMACIN
7/23/2019 Principios Generales de La Seguridad Informatica
11/92
7/23/2019 Principios Generales de La Seguridad Informatica
12/92
INFORMTICA FORENSE Llamado informtica
forense , computacinforense , anlisis forense digital esla aplicacin de tcnicascientficas y analticasespecializadas a la infraestructuratecnolgica que permitenidentificar, preservar, analizar ypresentar datos que sean vlidosdentro de un proceso legal.
Ayuda a detectar pistas sobreataques informticos, robo deinformacin, conversaciones o
pistas de emails, chats.
7/23/2019 Principios Generales de La Seguridad Informatica
13/92
PILARES DE LA SEGURIDAD (ISO 17799
7/23/2019 Principios Generales de La Seguridad Informatica
14/92
COMPLEMENTAN LOS PILARES
7/23/2019 Principios Generales de La Seguridad Informatica
15/92
VULNERABILIDAD
Es el grado dedebilidad inherente acada red y cadadispositivo.
Problemas que surgencomo resultado deuna malaconfiguracin de hw o
sw, un diseo pobrede la red, carenciastecnolgicas odescuido del usuariofinal.
7/23/2019 Principios Generales de La Seguridad Informatica
16/92
TIPOS DE VULNERABILIDADES
Debilidadestecnolgicas
Debilidades en laconfiguracin .
Debilidades en lapoltica de
seguridad
7/23/2019 Principios Generales de La Seguridad Informatica
17/92
7/23/2019 Principios Generales de La Seguridad Informatica
18/92
7/23/2019 Principios Generales de La Seguridad Informatica
19/92
7/23/2019 Principios Generales de La Seguridad Informatica
20/92
AMENAZAS
Accin o evento quepuede comprometer laseguridad.
Personas interesadas ycalificadas paraaprovechar cada unade las debilidades enmateria de seguridad.
Buscan continuamentenuevas explotaciones ydebilidades.
Una amenaza es unaviolacin potencial dela seguridad.
Las amenazas utilizanuna diversidad deherramientas ,secuencias decomandos y programas ,para lanzar ataquescontra redes ydispositivos de red.
Por lo general, losdispositivos de redatacados son losextremos, como losservidores y los equiposde escritorio.
7/23/2019 Principios Generales de La Seguridad Informatica
21/92
AMENAZAS A LA INFRAESTRUCTURA FSIC
Un agresor puededenegar el uso de losrecursos de la red sidichos recursos puedenser comprometidosfsicamente.
Las cuatro clases deamenazas fsicas son:
Amenazas al hardware
Amenazas ambientales Amenazas elctricas Amenazas al
mantenimiento
7/23/2019 Principios Generales de La Seguridad Informatica
22/92
AMENAZAS AL HARDWARE
Dao fsico a servidores, routers, switches, planta de cableado yestaciones de trabajo.
7/23/2019 Principios Generales de La Seguridad Informatica
23/92
AMENAZAS AMBIENTALES
Calor o fro extremos, condiciones extremas de humedad osequedad.
7/23/2019 Principios Generales de La Seguridad Informatica
24/92
AMENAZAS ELCTRICAS
Picos de voltaje, voltaje suministrado insuficiente (apagones),alimentacin ilimitada (ruido) y prdida total de alimentacin
7/23/2019 Principios Generales de La Seguridad Informatica
25/92
AMENAZAS AL MANTENIMIENTO
Manejo deficiente de los componentes elctricos clave(descarga electrosttica), falta de repuestos fundamentales,cableado insuficiente y rotulado incorrecto
7/23/2019 Principios Generales de La Seguridad Informatica
26/92
TARGET
Un sistema de TI,producto o
componente que esidentificado osometido y querequiere evaluacin
de seguridad
7/23/2019 Principios Generales de La Seguridad Informatica
27/92
EXPLOIT
Es una pieza desoftware , fragmentode datos o secuencia
de comandos y/oacciones , usada con elfin de aprovechar unavulnerabilidad deseguridad de unsistema deinformacin paraconseguir uncomportamiento no
deseado del mismo.
7/23/2019 Principios Generales de La Seguridad Informatica
28/92
ATTACKS
Mtodo por el cualun individuo,mediante unsistemainformtico, intentatomar el control,desestabilizar o
daar otro sistemainformtico (host,red)
Accin que viola laseguridad
7/23/2019 Principios Generales de La Seguridad Informatica
29/92
TIPOS DE ATAQUES
Internos Externos Estructurados No estructurados Activos Pasivos
7/23/2019 Principios Generales de La Seguridad Informatica
30/92
CATEGORAS DE ATAQUES
7/23/2019 Principios Generales de La Seguridad Informatica
31/92
CODIGOHOSTIL
Programas que han sido creados con el objetivo de causar daosevero a los sistemas objetivos.
El software malicioso puede ser insertado en un host para perjudicaro daar un sistema.
Puede replicarse a s mismo, o denegar el acceso a las redes, lossistemas o los servicios.
7/23/2019 Principios Generales de La Seguridad Informatica
32/92
QUIEN ES EL ENEMIGO
7/23/2019 Principios Generales de La Seguridad Informatica
33/92
QUIN ES EL ENEMIGO?The curious
Hace espionaje en laempresa. Intrusos,empleados,
conformes odescontentos,interesado en saberque tipo de sistemas odatos tienes
The malicious Busca hacer dao,
borra, modifica, haceinaccesible losservidores y servicios.
The High-ProfileIntruder Busca ganar
popularidad en elcrculo donde se
mueve
The Competition Interesado en nuestros
sistemas parabeneficio suyo o deterceros.
Contratado por lacompetencia
7/23/2019 Principios Generales de La Seguridad Informatica
34/92
QUIN ES EL ENEMIGO?
The Borrowers Intruso que aprovecha
recursos de la compaapara su beneficio. No
quiere que nos enteremosde lo que hizo (IRC, chat,sites porno, servers DNS)
The Leapfrogger Usa los sistemas de la
compaa como puntointermedio para acceder aotros sistemas
http://images.google.com.pe/imgres?imgurl=http://rog.vcvgc.bc.ca/e3-97/big/e3-97-frogger.jpg&imgrefurl=http://rog.vcvgc.bc.ca/e3-97/big/big-3.html&h=200&w=320&sz=9&tbnid=xHoUhQVd7z4J:&tbnh=70&tbnw=112&start=4&prev=/images%3Fq%3Dfrogger%26hl%3Des%26lr%3D%26ie%3DUTF-8http://images.google.com.pe/imgres?imgurl=http://rog.vcvgc.bc.ca/e3-97/big/e3-97-frogger.jpg&imgrefurl=http://rog.vcvgc.bc.ca/e3-97/big/big-3.html&h=200&w=320&sz=9&tbnid=xHoUhQVd7z4J:&tbnh=70&tbnw=112&start=4&prev=/images%3Fq%3Dfrogger%26hl%3Des%26lr%3D%26ie%3DUTF-87/23/2019 Principios Generales de La Seguridad Informatica
35/92
QUIN ES EL ENEMIGO?.......
Hacker de sombrero negro Personas que utilizan su
conocimiento de lasredes o los sistemasinformticos que noestn autorizados autilizar, generalmentepara beneficiopersonal o econmico
Crackers Tienen intencin
maliciosa. Escriben exploits y h.
para derrumbarsistemas.
Hacker Es un trmino general
que se ha utilizadohistricamente paradescribir a un experto enprogramacin
Hacker de sombrero blanco: Una persona que busca
vulnerabilidades en lossistemas o en las redes y,a continuacin, informaestas vulnerabilidades alos propietarios delsistema para que lasarreglen
7/23/2019 Principios Generales de La Seguridad Informatica
36/92
QUIN ES EL ENEMIGO?.......
Phreaker : una persona quemanipula la red telefnica paraque realice una funcin que noest permitida.
Spammer : persona que envagrandes cantidades de mensajesde correo electrnico nosolicitado.
Estafador: utiliza el correoelectrnico u otro medio paraengaar a otras personas para quebrinden informacin confidencial,como nmeros de tarjetas decrdito o contraseas.
Script KiddiesMuy peligrosos, atacancualquier sistema,buscan tener acceso dela mayor cantidad de
servidores. Les gustafigurar No construyen exploits,compilan sw. No sonaltamente calificados
WannabeNivel de conocimientobajoUsuarios finales (sacanpassword de hotmail)Usan tools de crackers,no compilan sw solo usan
7/23/2019 Principios Generales de La Seguridad Informatica
37/92
QUIN ES EL ENEMIGO?....... Personal desprevenido
Descuidan reglasestndar de seguridadde la red. (eligencontraseas fciles)
Exponen y difunden virus,descargan arch. Internet
99% abuso de privilegiosde acceso a Internet porparte de losempleados.
Vndalos: Subprograma o
aplicacin de soft quecausa destrozos dediversas magnitudes.
Personal descontento Empleados disgustados,
porque fueron reprendidos,suspendidos o despedidos deltrabajo, pueden vengarse
infectando las redes de laempresa con virus ointencionalmente eliminararchivos importantes.
Newbie Personas realmente
interesadas en aprender, yque no buscan que los demsintegrantes de la comunidado foro a la que pertenecensolucionen sus problemas
7/23/2019 Principios Generales de La Seguridad Informatica
38/92
ESTRATEGIA DE
SEGURIDADMULTICAPA
E L O R D E N A D O R N A C I PA R A R E S O LV E RP R O B L E M A S Q U E A NT E S N O E X I S T AN - B I L L G AT E
7/23/2019 Principios Generales de La Seguridad Informatica
39/92
TENGA ACCESO EN CUALQUIERLUGAR
La estrategia de seguridad ms eficiente es establecerun sistema por capas, empezando por los primerosniveles de acceso hasta los datos mismos.
7/23/2019 Principios Generales de La Seguridad Informatica
40/92
DEFENSA DE PERMETRO
S E G U R I D A D M U L T I C A P A
Dividir una presentacin de gran tamao, organizndola ensecciones .
UTM : Unified Threat Management
7/23/2019 Principios Generales de La Seguridad Informatica
41/92
DEFENSA DE RED
S E G U R I D A D M U L T I C A P A
Es la red de datos interna de la organizacin. Compuesta derouter, switches, AP y otros dispositivos .
7/23/2019 Principios Generales de La Seguridad Informatica
42/92
DEFENSA DE HOST
S E G U R I D A D M U L T I C A P A
Asociada a la defensa del Sistema operativo de la estacin oservidor (hardening).
7/23/2019 Principios Generales de La Seguridad Informatica
43/92
DEFENSA DE APLICACIONES
S E G U R I D A D M U L T I C A P A
Divida una presentacin de gran tamao organizndola ensecciones .
7/23/2019 Principios Generales de La Seguridad Informatica
44/92
DEFENSA DE DATOS Y RECURSOS
S E G U R I D A D M U L T I C A P A
Es el ltimo escaln de la cadena de seguridad .
7/23/2019 Principios Generales de La Seguridad Informatica
45/92
PASOS PARA HACER HACKING
7/23/2019 Principios Generales de La Seguridad Informatica
46/92
FASE 1: RECONOCIMIENTO
Previo a cualquier ataque Informacin sobre el objetivo
Reconocimiento pasivo Google hacking Ingeniera social
Monitorizacin de redes de datos. Ejm.Sniffing,etc.
7/23/2019 Principios Generales de La Seguridad Informatica
47/92
FASE 2: ESCANEO
Es una fase de pre-ataque Se escanea la red pero ya con informacin de
la fase previa Deteccin de vulnerabilidades y puntos de
entrada. Incluye el uso de dialers, puertos scanners,
network mapping, sweeping, vulnerabilityscanners, etc.
Reconocimiento activo: probar la red paradetectar: Hosts accesibles - Puertos abiertos Localizacin de routers - detalles de SO y
servicios
7/23/2019 Principios Generales de La Seguridad Informatica
48/92
FASE 3: OBTENER ACCESO
La obtencin de acceso se refiere al ataquepropiamente dicho.
Por ejemplo hacer uso de un exploit o bug. Buffer overflows DoS Sesin hijacking: en Hotmail u otro, la cual utiliza los cookies
de la pagina Web para introducir cdigos dainos,haciendo creer que la pagina que estamos accediendo esautentica.
IP hijacking : que es el secuestro de una conexin TCP/IP Password filtering, etc.
El hacker puede tener acceso a nivel de SO o dered.
7/23/2019 Principios Generales de La Seguridad Informatica
49/92
FASE 4: MANTENER EL ACCESO
Retener los privilegios obtenidos. A veces un hacker blinda el sistema con
otros posibles hacker, protegiendo suspuertas traseras, rootkits y troyanos.
7/23/2019 Principios Generales de La Seguridad Informatica
50/92
FASE 5: BORRADO DE HUELLAS
Intentar no ser descubierto Hay que tener claro que hay tcnicas ms
intrusivas (y por lo tanto delatoras) queotras.
7/23/2019 Principios Generales de La Seguridad Informatica
51/92
CERTIFICACIONES INTERNACIONALE
ENTIDAD CERTIFICACIN EXAMEN PREC
EC-CouncilCEH, Certified Ethical Hacker
v8312-50 versin 8
(ingles)$ 500.00
EC-Council ECSA Certified Security Analyst 712-50 versin 8(ingles) $ 400.00
Mile2C)VA, Certified Vulnerability
Assesor - (ingles) $ 400.00
DSTEAMSeguridad
CODSP, Certified Offensive andDefesive Security Profesional
1.3 (Espaol) $ 260.00
7/23/2019 Principios Generales de La Seguridad Informatica
52/92
Requisitos CEH, Certified Ethical Hacker v8 Conocimientos bsicos en seguridad de redes y
tecnologas de informacin.
Ingles
Existen dos maneras para poder certificarsecomo CEH:
A) Autodidacta, contar con por lo menos 02 aos deexperiencia demostrable en seguridad deinformacin. Demostrable es slo un decir.
B) Si no cuentas con la experiencia requerida, Ec-Council te ofrece un curso oficial de 40 horas y sin tenerningn tipo de experiencia quedas autorizado pararendir el examen. (las ventajas de llevar un curso oficial)
7/23/2019 Principios Generales de La Seguridad Informatica
53/92
CERTIFIED ETHICAL HACKER V8EXAMEN 312-50
El curso contiene1. Introduccin al
Hackeo tico2. Reconocimiento y
Obtencinde Huellas
3. Escaneo de Redes4. Enumeracin5. Hackeo de Sistemas6. Troyanos y PuertasTraseras7. Virus y Gusanos8. Esnifeo9. Ingeniera Social
10. Negacin de Servicio
11. Secuestro de Sesin12. Hackeo de Servidores Web13. Hackeo de AplicacionesWeb14. Inyeccin de SQL15. Hackeo de RedesInalmbricas16. Hackeo de Mviles17. Evasin de IDS, Firewalls yHoneypots18. Desbordamiento deMemoria19. Criptografa
20. Pruebas de Penetracin
CURSO PARA CERTIFIED ETHICAL
7/23/2019 Principios Generales de La Seguridad Informatica
54/92
CURSO PARA CERTIFIED ETHICALHACKER V8
El curso para certificarte contiene: El curso proporciona a los alumnos los
conocimientos slidos y experiencia en Hackeo
tico. El curso prepara al alumno para aprobar elexamen 312-50 del EC-Council Certified EthicalHacker .Inicio del curso 6 de Agosto (bsgrupo)https://bsgrupo.com/ti/Curso-Certified-Ethical-Hacker-CEH-v8-81Total del curso cuesta $ 2710.00 Dlares.
https://bsgrupo.com/ti/Curso-Certified-Ethical-Hacker-CEH-v8-81https://bsgrupo.com/ti/Curso-Certified-Ethical-Hacker-CEH-v8-81https://bsgrupo.com/ti/Curso-Certified-Ethical-Hacker-CEH-v8-817/23/2019 Principios Generales de La Seguridad Informatica
55/92
AUTODIDACTA (SIN LLEVAR CURSO)CEH V8
El costo es el siguiente: Pago por cdigo de autorizacin (reemplaza al curso oficial y es
un tramite para certificar que tienes experiencia de 02 aos): US$100.00
Pago por el concepto del examen: US$ 500.00 Es decir, en total se requiere slo US$ 600.00 y nada ms.
Ventajas:- Un costo mucho menor comparado con llevar el cursooficial.- Es ms fcil aprobar un examen con cierta experiencia
profesional Desventajas:- Debes de pagar US$ 100.00 dlares para obtener elcdigo de autorizacin que certifica que tienesexperiencia y no es necesario que lleves el curso oficial- No se entrega el material oficial
7/23/2019 Principios Generales de La Seguridad Informatica
56/92
CERTIFIED ETHICAL HACKER V8
Las certificaciones de Ec-Council como la deCEH son vlidas por 03 aos.
Despus de ese tiempo tu certificado deja de tener
validez porque expira, sin embargo, si estasejerciendo actividades de seguridad deinformacin debes enviar los certificados de lostrabajos realizados para que tu certificado de CEHtenga validez despus de 03 aos.
7/23/2019 Principios Generales de La Seguridad Informatica
57/92
CERTIFIED ETHICAL HACKER V8
Ventajas :
- Si no tienes experiencia justificable en seguridad de informacin oinformtica, llevando el curso oficial, Ec-Council ya no te exige ningntipo de experiencia.
- Te entregarn el material oficial de certificacin (02 libros del grosor deuna biblia + 06 discos con las tools necesarias para desarrollar los libros).- Es como cuando se postula a la universidad a travs de un centro PREautorizado, tienes una ligera ventaja.
Desventajas:
- El precio es elevado ya que si jalas el examen pierdes el dinero invertido.- tener experiencia en seguridad para poder rendir el examen, no esnecesario tener mucha experiencia pero si conocimientos de redes,sistemas operativos y servidores.
7/23/2019 Principios Generales de La Seguridad Informatica
58/92
Requisito de ECSA Ensea a los profesionales de seguridad de la
informacin para llevar a cabo pruebas depenetracin de la vida real mediante la utilizacin dela metodologa de pruebas de penetracinpublicada por EC-Council.
Va dirigido a Los administradores de red, losadministradores de firewall, analistas de seguridad dela informacin, administradores de sistemas yprofesionales de evaluacin de riesgos
El curso ECSA es un programa totalmente prctico.Los ejercicios cubren escenario del mundo real.Mediante la prctica de las habilidades que seproporcionan a usted en la clase ECSA.
Certified Security Analyst (ECSA)
7/23/2019 Principios Generales de La Seguridad Informatica
59/92
INFORMACIN DEL EXAMEN ECSA
Nmero de preguntas: 150 Puntuacin Mnima: 70% Prueba Duracin: 4 horas Formato de la prueba: Opcin mltiple Testing: Prometric
7/23/2019 Principios Generales de La Seguridad Informatica
60/92
Requisitos C)AV Capacita a los estudiantes para ser competentes en la
realizacin de evaluaciones de vulnerabilidad a travsde:1. Riesgos asociados a tecnologas de la informacin y por
qu una evaluacin de la vulnerabilidad es crucial para las
operaciones continuas de un negocio.2. Preparar a los estudiantes con las herramientas y elconocimiento de cmo realizar una evaluacin de lavulnerabilidad.
3. Instruir a los estudiantes sobre cmo resumir e informar sobresus conclusiones a partir de una evaluacin de lavulnerabilidad.
A su finalizacin, Los estudiantes: Tener conocimiento para detectar vulnerabilidades deseguridad y riesgo.
Tener conocimiento de informar con precisin sobre susresultados de exmenes
Certificado Asesor Vulnerabilidad
7/23/2019 Principios Generales de La Seguridad Informatica
61/92
Informacin de examen Se toma en lnea a travs de Evaluacin y Certificacin de
Sistema de Mile2 (MACS), que es accesible en su cuentamile2.com. El examen se llevar a 2 horas y constar de100 preguntas de opcin mltiple. El costo es de $ 400 USDy debe ser comprado en la tienda en Mile2.com.
Mdulo 1: Por qu Evaluacin de Vulnerabilidad Mdulo 2: Tipos de Vulnerabilidad
Mdulo 3: Evaluacin de la Red Mdulo 4: Evaluacin de Servidores y Aplicaciones Web Mdulo 5: Evaluar remoto y VPN Servicios Mdulo 6: Herramientas de Evaluacin de Vulnerabilidad Mdulo 7: Anlisis de salida
7/23/2019 Principios Generales de La Seguridad Informatica
62/92
Requisitos para CODSP Conocimientos en seguridad de la informacin,
en lo que respecta a seguridad ofensiva,
seguridad defensiva, y aplicacin de buenasprcticas. Si asistes al curso DSTEAM te garantizaque pasas el examen de certificacin, siempre ycuando realices de todas las prcticas delaboratorio y actividades propuestas en el aulavirtual de clases.
Desde versin 1.2 de la opcin virtual del curso,para que pueda ser estudiado por profesionalesque este fuera de la ciudad de Medelln y delpas Colombia. La versiona actual del curso esla versin 1.3.
CODSP
7/23/2019 Principios Generales de La Seguridad Informatica
63/92
Caractersticas del curso, este costo incluye: 180 horas de Clases virtuales Memorias (PDF, Diapositivas) DVD-Links con Mquinas virtuales usadas en las prcticas de
laboratorio Camiseta CODSP Certified Offensive and Defensive Security
Professional (Se enva luego de la certificacin) Voucher Examen de Certificacin Certified Offensive and
Defensive Security Professional Pre-test Certificacin Certified Offensive and Defensive Security
Professional con 120 preguntas Acceso a la plataforma virtual Certificado de Entrenamiento por 180 horas Taller y Certificado del Taller Practico Virtual
llamado Penetration Testing Kung Fu con Metasploit Framework
7/23/2019 Principios Generales de La Seguridad Informatica
64/92
Los mdulos del curso son :
7/23/2019 Principios Generales de La Seguridad Informatica
65/92
7/23/2019 Principios Generales de La Seguridad Informatica
66/92
7/23/2019 Principios Generales de La Seguridad Informatica
67/92
7/23/2019 Principios Generales de La Seguridad Informatica
68/92
7/23/2019 Principios Generales de La Seguridad Informatica
69/92
REDES INALMBRICAS
7/23/2019 Principios Generales de La Seguridad Informatica
70/92
VIDEO
7/23/2019 Principios Generales de La Seguridad Informatica
71/92
VIDEO
7/23/2019 Principios Generales de La Seguridad Informatica
72/92
POR DONDE COMENZAR LA
7/23/2019 Principios Generales de La Seguridad Informatica
73/92
POR DONDE COMENZAR, LASEGURIDAD INFORMTICA?
7/23/2019 Principios Generales de La Seguridad Informatica
74/92
7/23/2019 Principios Generales de La Seguridad Informatica
75/92
7/23/2019 Principios Generales de La Seguridad Informatica
76/92
7/23/2019 Principios Generales de La Seguridad Informatica
77/92
7/23/2019 Principios Generales de La Seguridad Informatica
78/92
7/23/2019 Principios Generales de La Seguridad Informatica
79/92
7/23/2019 Principios Generales de La Seguridad Informatica
80/92
7/23/2019 Principios Generales de La Seguridad Informatica
81/92
7/23/2019 Principios Generales de La Seguridad Informatica
82/92
7/23/2019 Principios Generales de La Seguridad Informatica
83/92
7/23/2019 Principios Generales de La Seguridad Informatica
84/92
7/23/2019 Principios Generales de La Seguridad Informatica
85/92
ISO 17799 -- ISO 27001
Bosqueja las amenazas de red y controles que se puedenimplementar para disminuir la probabilidad de un ataque.
Vulnerabilidad . Algo sobre lo cual el administrador esresponsable.
Amenaza . Algo sobre lo que se tiene poco control. Requiere que la organizacin controle 10 reas especficas:
1. Polticas de seguridad.2. Organizacin de seguridad.3. Control y clasificacin de bienes.4. Seguridad del personal.5. Seguridad ambiental y fsica.6. Administracin de redes y computadoras7. Sistemas de control de acceso.8. Control de desarrollo de sistemas.9. Planificacin de continuidad de negocios.
10.Auditora y conformidad.
7/23/2019 Principios Generales de La Seguridad Informatica
86/92
RECORDAR
CASO SISTEMA ACADMICO
7/23/2019 Principios Generales de La Seguridad Informatica
87/92
CASO SISTEMA ACADMICOUNIVERSIDAD
7/23/2019 Principios Generales de La Seguridad Informatica
88/92
La Universidad Catlica de Santa Mara deArequipa, cuenta con un sistema acadmico quetiene una plataforma Web que permite que acualquier alumno pueda visualizar sus cursosmatriculados en cualquier parte del mundo.
7/23/2019 Principios Generales de La Seguridad Informatica
89/92
Para el anlisis de evaluacin de riesgo yvulnerabilidad tomar en cuenta lo siguiente:
Son 500 profesores Son 1000 alumnos Son 50 PC para los profesores Se cuenta con un Data Center con medidas de
seguridad bsicas (firewall) El servidor y Firewall se encuentran en el Data
center Solo se cuenta con un administrador de Redes El data center cuenta con una toma de energa
independiente. Solo se est considerando para l anlisis el Sistema
Acadmico, los dems sistemas no se consideran.
INDIQUE LOS RIEGOS Y
7/23/2019 Principios Generales de La Seguridad Informatica
90/92
VULNERABILIDADES QUE HAY EN LAUCSM
SGOS
7/23/2019 Principios Generales de La Seguridad Informatica
91/92
RIESGOS
Averia Hardware Acceso fsico al Datacenter Catastrofes Naturales (inundaciones, terremoto)
No disponibilidad de energa Incidentes ocasionado por personas (robo,
incendio) No disponibilidad del servicio de TI
Acceso lgico interno a los sistemas Riesgo de infeccin a la intranet Alteracin de la BD No disponibilidad del sistema
VULNERABILIDADES
7/23/2019 Principios Generales de La Seguridad Informatica
92/92
VULNERABILIDADES
Inyeccin de SQL Instalacin por defecto de sistemas y aplicaciones Cuentas sin contraseas o contraseas dbiles
Respaldos incompletos o inexistentes Gran numero de puertos abiertos
Recommended