Professional Documents
Culture Documents
Consejo Nacional
CONFERENCIAS ESPECIALIZADAS
LA SEGURIDAD DE LA INFORMACION Y
SU IMPACTO EN LAS ORGANIZACIONES
Objetivos de la Charla
Concientizar en el tema de Seguridad
Informtica al auditorio.
Introduccin a la Seguridad
Informtica y al Hackeo Etico.
Agenda de la Sesin
Acontecimientos Importantes
Principales Riesgos
Estadsticas Internacionales
Seguridad desde siempre
Tomando conciencia de la seguridad
La Seguridad de la Informacin es..
Ciclo de la Seguridad de la Informacin
Amenazas al sistema
Escenarios de las amenazas del sistema
Amenazas ms caractersticas
Debilidades del sistema informtico (1)
Objetivos de la Seguridad Informacin
Principios Fundamentales de la Seguridad Informtica
El concepto de datos Seguros
Hacking Etico
El Mapa de la Seguridad
Componentes de una Red
Medios de Intrusin
Pruebas de Intrusin
Metodologa de una Prueba de Intrusin
Intruso
Herramientas de Hacking tico
Estndares de Seguridad Informtica
Leyes de seguridad informtica en Per
Lecturas Recomendadas
Videos Recomendados
Certificaciones en Seguridad Informtica
Acontecimientos Importantes
Tras los acontecimientos del
11/09/2001 en Nueva York, los del
11/03/2004 en Madrid y los del
07/07/2005 en Londres, que echaron
por tierra todos los planes de
contingencia, incluso los ms
paranoicos, comenzamos a tener muy
en cuenta las debilidades de los
sistemas y valorar en su justa medida
el precio de la seguridad.
Principales Riesgos
Spamming
Violacin de e-mails
Violacin de contraseas
Virus
Destruccin de equipamiento
empleados deshonestos
Ingeniera social
Fraudes informticos
Programas bomba
Falsificacin de informacin
para terceros
Indisponibilidad de informacin clave
Software ilegal
Intercepcin de comunicaciones
Principales Riesgos
Instalacin default
Escalamiento de privilegios
Password cracking
Puertos vulnerables abiertos
Man in the middle
Exploits
Desactualizacin
Replay attack
Seguridad Informtica y Hacking Etico
Backups inexistentes
Port scanning
Keylogging
Estadsticas Internacionales
Amenazas al sistema
Las amenazas afectan
principalmente al
hardware, al software y
a los datos. stas se
deben a fenmenos de:
Interrupcin
Interceptacin
Modificacin
Generacin
Flujo Normal
Interrupcin
Interceptacin
Modificacin
Generacin
Interceptacin
(acceso)
Datos
Hardware
Interrupcin (denegar servicio)
Interceptacin (robo)
Modificacin
(cambio)
Generacin
(alteracin)
Ejemplos de amenazas
Software
Modificacin (falsificacin)
Interrupcin (borrado)
Interceptacin (copia)
Amenazas ms caractersticas
Hardware:
Software:
Datos:
Integridad
Los componentes del sistema slo pueden ser creados y
modificados por los usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los
componentes del sistema cuando as lo deseen.
Seguridad Informtica y Hacking Etico
DATOS
Confidencialidad
DATOS
Integridad
DATOS
Datos Seguros
DATOS
Disponibilidad
Esto se entiende en el
siguiente sentido: los
datos slo pueden ser
conocidos por aquellos
usuarios que tienen
privilegios sobre ellos,
slo usuarios
autorizados los podrn
crear o bien modificar,
y tales datos debern
estar siempre
disponibles.
Hacking Etico
El objetivo consiste en realizar un intento de intrusin
controlado a los sistemas de informacion de la
compaa, con el objetivo de identificar las
vulnerabilidades a las que estn expuestas las redes
y definir los planes de accin para mitigar los
riesgos.
Se busca emular a todos los tipos de intrusos y
obtener evidencias concretas del resultado obtenido.
Hacking Etico
Las pruebas fehacientes de que se ha realizado la
intrusin con xito pueden depender del tipo de ataque
realizado, definindose en si se permite o NO la
realizacin
final
del
ataque,
identificando
vulnerabilidades que permitan entre otras cosas:
Captura del Trofeo: obtencin de algn tipo de
archivo de los servidores o redes
Sembrado de pruebas en los servidores
Otros: captura de paquetes, limitacin del
servicio del recurso, etc.
El Mapa de la Seguridad
Las 6 Secciones del mapa son
1- Seguridad Fsica
2- Seguridad en
comunicaciones
3- Seguridad en Internet
4- Seguridad Wileress
5- Capacitacion en Seguridad
6- Seguridad de la
Informacin
Visin amplia de la presencia
de la seguridad.
Firewall
Hubs
Router
Switch
Ids
Proxy
Honey Pots
Servidores de Archivos
Servidores de Usuarios
Servidores de Correo
Impresoras
Puestos de usuarios
Sistemas Operativos
Bases de Datos
Servicios de conexin
Biometra
Tokens
Smart Cards
Telefona
Wireless
VPN
Encriptacin
Terminal Server
Acceso Remoto
Lectoras
Palms
Notebooks
Medios de Intrusin
Los accesos se intentan por va:
Red Fsica
Web
Telefnica
Transmisiones y Emanaciones
Fsicamente
Pruebas de Intrusin
Se compone de un elevado nmero de pruebas, entre las que se
pueden nombrar:
Ingeniera Social.
Ataques de Reconocimiento.
Deteccin de conexiones externas.
Obtencin de rangos de direcciones en
Internet.
Deteccin de protocolos.
Scanning de puertos TCP, UDP e ICMP.
Anlisis Dispositivos de comunicaciones
Anlisis de seguridad de conexiones remotas.
Scanning de vulnerabilidades.
Prueba de ataques de denegacin de servicio.
Ejecucin de codigo Exploit aplicable.
Reconocimiento Superficial
Reconocimeinto en Profundidad y Enumeracin
Definicin de las Herramientas a Utilizar
Ataque Puro
Redefinicin de pruebas y herramientas a utilizar en
base a resultados obtenidos
Borrado de rastro y evidencias
Consolidacin
Documentacin formal y desarrollo de Informes
Finales (Tecnico y Ejecutivo)
Intruso
INTRUSO
Alguien que quiere acceder a los sistemas
con o sin autorizacin pero con fines que
pueden perjudicar a la organizacin.
Intruso
HACKER
CRACKER
PHREAKER
EMPLEADOS
OTROS
http://www.standardsdirect.org/iso17799.htm
Seguridad Informtica y Hacking Etico
Introduccin
Gestin de comunicaciones y
operaciones
Control de accesos
Desarrollo y mantenimiento de
sistemas
Gestion de Incidentes de
Seguridad Informatica
Gestin de continuidad del
negocio
Conformidad
Lecturas Recomendadas
El arte de la Guerra, Sun Tzu
Lecturas Recomendadas
contina
Comunicaciones Mviles
Videos Recomendados
Hackers La Triloga
Hackers 1 : Piratas Informticos
Hackers. 1995, USA. 107
Director: Iain Softley
Hackers 2: Asalto Final
Takedown. 2000, USA. 96
Director: Joe Chappelle
Hackers 3: Conspiracin en la red
AntiTrust. 2001. USA.108
Direccin: Peter Howitt
Seguridad Informtica y Hacking Etico
Videos Recomendados
Juego de Espas
Spy Game. EE.UU.,2001, 125'
Direccin: Tony Scott
Videos Recomendados
El Cdigo da Vinci
The Da Vinci Code. Estados Unidos,
2006, 146 minutos
Direccin: Ron Howard
Cdigos de Guerra
Windtalkers. EE.UU., 2002, 132' .
Direccin: John Woo
Infiltrados
The Departed. USA, 2006.
Director: Martin Scorsese
Seguridad Informtica y Hacking Etico
ITIL :
CMMI : Capability Maturity Model Integration (Carnegie Mellon, Software Engineering Institute)
Resumen
Historia de la Seguridad de la Informacin
Elementos de la Seguridad de la Informacin
Principios de la Seguridad de la Informacin
Hacking tico
Estndares de la Seguridad de la Information
Leyes Peruanas en materia de Seguridad de la
Informacin
Certificaciones en Seguridad Informtica
Seguridad Informtica y Hacking Etico
Recursos Web
Recursos Web
contina
Recursos Web
contina
Preguntas ?