01201501 UPC - Antihacking y seguridad de redes (1)
Descripción
Confidencialidad
Integridad
Disponibilidad
Tecnología
Los productos carecen de capacidades de seguridad.
Procesos
Diseño orientado a la seguridad.
Personas
Falta de conocimiento.
Los productos se des actualizan rápidamente.
Políticas y procedimientos de seguridad.
Definición de roles y responsabilidades.
Control, auditoria, análisis y seguimiento.
Planes de recuperación en caso de desastres.
Planes de continuidad de negocio.
Actualización constante.
Falta de compromiso.
Error humano.
Mala intención.
Tecnología
Procesos
Personas
Confidencialidad
Integridad
Disponibilidad
Pérdida de ingresos
Reputación dañada
Pérdida de datos o riesgos de los mismos
Interrupción de los procesos empresariales
Consecuencias legales
Pérdida de inversión
Filtrar
Eliminar
Modificar
Usurpar
Vender
Concepto de seguridad y definiciones básicas
Valor de la información
Análisis de riesgo
Activo
Todo bien tangible o intangible que la organización posee que puede producir un beneficio
Activo de información
Aquellos activos de una organización que procesan, contienen, almacenan o transmiten información
Probabilidad de ocurrencia
Frecuencia con la cual una amenaza puede ocurrir.
Exposición
Instancia en la cual la información o un activo de información es susceptible a dañarse o perderse por el accionar de un agente de amenaza.
Impacto
Consecuencias que produce un incidente de seguridad sobre la organización.
Amenaza
Evento cuya ocurrencia podría impactar en forma negativa en la organización. Las amenazas se aprovechan (toman ventaja de) de las vulnerabilidades.
Agente o fuente de amenaza
"Entidad" que toma ventaja de una vulnerabilidad
Situación actual de la seguridad
Riesgo cuantitativo - Enfoque
Tipos de activos
Información
Son todos aquellos documentos, normas, procedimientos, políticas, contraseñas,
etc. que tiene una organización
Software
Son todos los programas utilizados para brindar servicios de TI
Hardware
Son todos los equipos utilizados para brindar servicios de TI
Tipos de activos
Servicios
Son todos los servicios que ofrecen las tecnologías de la información dentro
de la organización.
Colaborador
Son todas las personas involucradas en los procesos de gestión, control y
soporte de los servicios de TI.
Análisis del riesgo
Es el proceso de identificar, analizar, evaluar, tratar y monitorear el riesgo hasta
llevarlo a un nivel aceptable, aplicando mecanismos de control para lograr una
efectiva administración del Riesgo.
Valor de la información - Conceptos
Valor de los activos
La organización debe identificar el valor de sus activos de información, este
es el primer paso para una estrategia efectiva de seguridad
Los activos de información no necesariamente incluyen todas aquellas cosas
que normalmente tienen valor dentro de la organización. Ejemplo: caja fuerte.
Cada organización debe determinar cuales son los activos de información que
afectan la entrega de sus productos o servicios por causa de su ausencia o
degradación.
Naturaleza del valor
Valor Real
Valor de la información.
La información puede no variar, pero su valor sí, sobre todo en el tiempo.
Valor Percibido
Si se contase con acceso a la información sería valioso, pero es un valor
intangible.
La mejor persona para determinar el valor del activo es quien usa la información, no quien la crea, transfiere, guarda o procesa
Valor de la información
La información es un activo vital para el éxito y la continuidad en el mercado
de cualquier organización.
El aseguramiento de dicha información y de los sistemas que la procesan es, por
tanto, un objetivo de primer nivel para la organización.
ISO 27000:2005
Causas de las vulnerabilidades
Relación entre componentes de seguridad
Agente no
autorizado
Amenaza
Vulnerabilidad
Riesgo
Activo
Exposición
Seguridad
Da lugar a la
Explota la
Aumentando el
Puede dañar el
Y causar una
Puede ser protegido o
reducido con
Actúa
Directamente
sobre el
¿Cuán importante y valiosa es la información de la compañía?
¿Cuál es la pérdida en activo si los datos de la compañía son comprometidos?
¿Cuánto vale la pérdida de propiedad intelectual para mi compañía?
¿Cuál es la pérdida en ingresos o participación del mercado?
¿En cuánto se valora la pérdida de la privacidad?
¿Cuánto vale el daño a la reputación de mi compañía?
Valor de la información - Conceptos
Valor de la información - Conceptos
Valor de la información - Conceptos
Activo de información
Amenaza
Vulnerabilidad
Exposición
Incidente de seguridad
Probabilidad de ocurrencia
Impacto
Controles
Riesgo
Comparación de métodos de análisis de riesgos
Análisis de riesgo cuantitativo
Factor de exposición (EF)
Define el nivel del riesgo de la organización. Esta es una función de las
amenazas y vulnerabilidades
Single Loss Expectancy (SLE)
Es la pérdida monetaria esperada cada vez que el riesgo se produce.
Análisis de riesgo cuantitativo
Anual Loss Expectancy (ALE)
El valor de pérdida potencial en que se encuentre la organización se obtiene de:
Análisis de riesgo cuantitativo - Ejemplo
Riesgo cuantitativo - Enfoque
Matrices de riesgo
Matrices de riesgo
Una matriz de riesgo constituye una herramienta de control y de gestión utilizada
para identificar el tipo y nivel de riesgos inherente a las actividades (procesos y
productos) más importantes de una empresa.
Método de análisis de riesgo
Cuantitativo
Basado en dos parámetros fundamentales: la probabilidad de que un
suceso ocurra y una estimación del costo o pérdidas en caso de que así sea.
Este método es el menos utilizado ya que en muchos casos implica cálculos
complejos o datos difíciles de estimar.
Gestión del riesgo
Gestionar la seguridad de la información significa:
Planificar las acciones necesarias para mantener un nivel adecuado de
seguridad de la información.
Coordinar y organizar los recursos disponibles para cumplir con la
planificación desarrollada.
Medir los resultados obtenidos respecto de los objetivos.
Controlar que se cumpla con los objetivos establecidos.
Mejorar permanentemente el proceso.
Gestión del riesgo
Se gestiona la seguridad para:
Preservar los principios fundamentales de la información: confidencialidad,
integridad y disponibilidad.
Conocer a qué estamos expuestos, es decir, las amenazas que pueden
atentar contra dichos principios
Procurar evitar daños que afecten los principios de la información.
Minimizar dichos daños en caso de que ocurriesen
Proceso de gestión del riesgo
Evaluación de riesgos
Tratamiento del riesgo
Identificación de riesgos
Análisis de riesgos
Selección e implantación
Seguimiento y medición
Método de análisis de riesgo
Cualitativo
La técnica incluye la intuición, el juicio y la experiencia de quienes lo aplican.
Permite estimar las pérdidas potenciales relacionando 4 elementos principales
Las amenazas, las vulnerabilidades (que potencian el efecto de las amenazas),
el impacto asociado a una amenaza (que indica los daños sobre un activo), y
los controles o salvaguardas para minimizar las vulnerabilidades o el impacto.
Importante
Los sistemas de protección no deben costar más que el sistema a proteger,
donde sobre pase ese valor, el diseño está mal.
La seguridad involucra a cada miembro de la organización, desde los encargados
de limpieza hasta los gerentes y personal directivo.
Causas de las vulnerabilidades
Conceptos de seguridad
Vulnerabilidad
Una vulnerabilidad es una debilidad en la seguridad de la información que
podría ser explotada por una amenaza; esto es, una debilidad en la seguridad
de la red, sistemas, procesos y procedimientos.
Acciones tomadas luego de un incidente
2010 CSI Computer Crime and Security Survey
Porcentaje del presupuesto de TI destinado a seguridad
2010 CSI Computer Crime and Security Survey
Tipo de tecnología utilizada para seguridad
2010 CSI Computer Crime and Security Survey
Satisfacción con
la tecnología de
seguridad
2010 CSI Computer Crime and Security Survey
Tipos de ataques
experimentados
2010 CSI Computer Crime and Security Survey
Tipos de ataques
experimentados
2010 CSI Computer Crime and Security Survey
Anti Hacking y Seguridad de Redes
Marzo 2015
@UPCedu
UPCedu
Unidad 01
Conceptos Fundamentales de Seguridad
Anti Hacking y Seguridad de Redes
Marzo 2015
@UPCedu
UPCedu
Unidad 01
Conceptos Fundamentales de Seguridad
Logro
Al finalizar la unidad, el alumno podrá comprender conceptos relacionados
con gestión de riesgos, seguridad física y políticas de seguridad.
Agenda
Situación actual de la seguridad
Concepto de seguridad y definiciones básicas
Valor de la información
Análisis de riesgo
Conceptos de seguridad
Amenaza
Una amenaza, para seguridad de la información, es cualquier actividad,
agente u entidad que represente un posible peligro para la información.
Las amenazas pueden tomar diferentes formas, pero una amenaza
constituye un peligro para los principios fundamentales de la seguridad.
Peligros de la información
Un Agente externo o interno no autorizado podría:
Información
¿Dónde interviene la seguridad?
Procesos
Organización
Tecnología
Infraestructura
Seguridad de la información
Pasos para implementar la seguridad
Compromiso y participación de la Alta Dirección
Organizar una estructura de Seguridad Integral.
Definir los alcance y los objetivos de la Seguridad.
Identificar y clasificar los activos críticos y sensibles de la organización.
Implementar un sistema efectivo de Gestión del Riesgo
Desarrollar y difundir las Políticas de Seguridad de la Organización.
Concienciación y Capacitación en temas de Seguridad
Principios fundamentales de la seguridad
Condición que asegura que la información debe ser accesada únicamente por quienes tienen derecho o la autoridad de hacerlo.
Condición que garantiza que la información debe ser consistente, fiable y no propensa a alteraciones no deseadas.
Condición que asegura que la información debe ser accesada cuando lo necesite el personal autorizado.
Conceptos de seguridad
Riesgo
Es riesgo es la exposición a una posible pérdida o daño.
En la seguridad de la información, el riesgo es que la información de su
compañía sea presa de fuerzas externas y origine pérdidas en términos de
tiempo, dinero y reputación.
Seguridad de la información
Es un proceso sistemático y continuo orientado a la protección de los activos
críticos y sensibles de la organización mediante un adecuado análisis y control
de los riesgos a los que están expuestos.
Este proceso está conformado por un conjunto de recursos (procesos, tecnología,
metodologías y personas) con la finalidad que la organización alcance su visión y
materialice sus objetivos estratégicos de negocio.
Seguridad de la información
La seguridad se define como una estrategia a seguir para proteger un bien.
Esta estrategia debe basarse en elementos que puedan guiar nuestro diseño y
adaptarlo a las necesidades de la organización.
Así mismo se debe conocer cuáles son las principales amenazas a la que nos
enfrentamos.
Impacto de las infracciones de seguridad
Hacker
Es una persona que modifica el software o hardware de su sistema computacional
o una red para construir, reconstruir, modificar y crear software o hardware, para
mejorar su sistema haciéndolo más rápido y eficiente o logrando ejecutar funciones
que quizás nunca se habían pensado realizar con el sistema original.
La información
La información es un activo, que tal como otros importantes activos del negocio,
tiene valor para la compañía y consecuentemente requiere ser protegida
adecuadamente
ISO/IEC 17799:2005
Cracker
Es la persona que mediante ingeniería inversa viola la seguridad de un sistema
informático de forma similar a como lo haría un hacker, sólo que a diferencia de
este último, el cracker realiza la intrusión con fines de beneficio personal o para
hacer daño. También se dice que es la persona que realiza seriales, keygens y
cracks, los cuales sirven para modificar el comportamiento o ampliar la
funcionalidad de un software o hardware original, sin que en absoluto pretenda
ser dañino para el usuario del mismo..
Objetivos de los ataques
Password cracking
Vandalismo
Ganancias financieras
Extorsión
Espionaje corporativo
Chantaje
Destrucción de equipamiento
Ideologías
Venganza
Destrucción de capacidades
Sabotaje
Ataques a la seguridad de la red
Captura de PC desde el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas "bomba"
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Propiedad de la Información
Mails "anónimos" con información crítica o con agresiones
Click to edit Master title style
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
3/24/2015
Nº
58
Click to edit Master title style
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
3/24/2015
Nº
Click to edit Master title style
Click to edit Master subtitle style
3/24/2015
Nº
Click to edit Master title style
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
3/24/2015
Nº
Click to edit Master title style
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
Click to edit Master text styles
3/24/2015
Nº
Click to edit Master title style
Click to edit Master text styles
3/24/2015
Nº
Click to edit Master title style
Click to edit Master text styles
3/24/2015
Nº
3/24/2015
Nº
Click to edit Master title style
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
3/24/2015
Nº
Click to edit Master title style
Click to edit Master text styles
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
Click to edit Master text styles
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
3/24/2015
Nº
Click to edit Master title style
3/24/2015
Nº
1
Click to edit Master title style
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
Click to edit Master text styles
Second level
Third level
Fourth level
Fifth level
3/24/2015
Nº
Filtrar
Modificar
Eliminar
Usurpar
Vender
Pérdida de ingresos
Reputación dañada
Pérdida de datos o riesgos de los mismos
Interrupción de los procesos empresariales
Consecuencias legales
Pérdida de inversión
Confidencialidad
Integridad
Disponibilidad
Situación actual de la seguridad
Concepto de seguridad y definiciones básicas
Confidencialidad
Integridad
Disponibilidad
Frecuencia con la cual una amenaza puede ocurrir.
Probabilidad de ocurrencia
Instancia en la cual la información o un activo de información es susceptible a dañarse o perderse por el accionar de un agente de amenaza.
Exposición
Consecuencias que produce un incidente de seguridad sobre la organización.
Impacto
Todo bien tangible o intangible que la organización posee que puede producir un beneficio
Activo
Aquellos activos de una organización que procesan, contienen, almacenan o transmiten información
Activo de información
Evento cuya ocurrencia podría impactar en forma negativa en la organización. Las amenazas se aprovechan (toman ventaja de) de las vulnerabilidades.
Amenaza
"Entidad" que toma ventaja de una vulnerabilidad
Agente o fuente de amenaza
Tecnología
Los productos carecen de capacidades de seguridad.
Los productos se des actualizan rápidamente.
Procesos
Diseño orientado a la seguridad.
Políticas y procedimientos de seguridad.
Definición de roles y responsabilidades.
Control, auditoria, análisis y seguimiento.
Planes de recuperación en caso de desastres.
Planes de continuidad de negocio.
Actualización constante.
Personas
Falta de conocimiento.
Falta de compromiso.
Error humano.
Mala intención.
Valor de la información
24/03/2015
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Nº
Tecnología
Procesos
Personas
Análisis de riesgo
Lihat lebih banyak...
Comentarios