Title: Information Security Ethical Hacking & Computer Forensics
1Information SecurityEthical Hacking Computer
Forensics
ZL-SSC Certifications
Consultor en Seguridad e Inteligencia Corporativa
ZL SECURITY SENIOR CONSULTANTTel. 54 11 4590
2320Fax. 54 11 4590 2201Edificio Laminar
PlazaIng Butty 240, 4 PisoC1001AFB Capital
Federal - Argentinawww.zacariasleone.com.ar
2Delitos Informáticos
3Delitos Informáticos
Concepto
El delito informático puede comprender tanto
aquellas conductas que valiéndose de medios
informáticos lesionan intereses protegidos como
la intimidad, el patrimonio económico, la fe
pública, la seguridad, etc., como aquellas que
recaen sobre herramientas informáticas
propiamente dichas tales como programas,
computadoras, etc.
4Principales Amenazas
- Existen cuatro tipos básicos.
- Delitos contra la confidencialidad, la integridad
y la disponibilidad de los datos y sistemas
informáticos. - Delitos de fraude informático.
- Delitos por su contenido.
- Delitos relacionados con la infracción de la
propiedad intelectual.
5Quienes pueden atacar?
80 Novatos 12 Intermedio 5 Avanzados 3
Profesionales
6A quienes afectan los delitos informáticos
- Las empresas utilizan sistemas de información
llegando a ser inevitablemente dependientes de
ellos, ya que la mayor parte de sus datos están
almacenados en los equipos informáticos.
Cualquier problema en los sistemas de información
repercute instantáneamente en la totalidad de la
empresa y afecta al funcionamiento normal. - Un tercio de los usuarios utiliza contraseñas
como el nombre de su mascota, su hijo o un plato
favorito. Cualquiera de ellas es fácil de
adivinar en cuestión de minutos y cada vez más
virus se valen de esta debilidad de los usuarios.
(el virus "Deloder", que logró ingresar en más de
10.000 sistemas en el mundo a partir de una serie
de listas con contraseñas). - Las amenazas pueden surgir tanto desde el
exterior como desde el interior de la compañía
virus, hackers, los propios empleados, etc.
7Como afectan los delitos informáticos
8Vulnerabilidades mas comunes
9Ataque paso a paso
Estado del ataque
Ejemplo de Acciones
10Técnicas de Ataque
El uso de herramientas y de la información para
crear un perfil completo de la postura de la
seguridad de una organización.
Footprinting
El atacante usa herramientas y la información
obtenida para determinar qué sistemas estas vivos
y accesibles desde Internet así como qué puertos
están escuchando en el sistema.
Scanning
Uso de herramientas para obtener la información
detallada (servicios ejecutándose, cuentas de
usuario, miembros de un dominio, políticas de
cuentas, etc.) sobre un sistema remoto, con el
intento de atacar la seguridad de cuentas y
servicios en el objetivo
Enumeration
11Técnicas de Ataque
Después que el atacante tiene identificado y
accede al trafico del firewall que puede permitir
tráfico de entrada de un puerto origen 53,
procurar instalar un software Port Redirector en
el equipo dentro del firewall. El Port
Redirector tomará el tráfico entrante destinado
para un puerto (53) y lo enviará a otro equipo
detrás del firewall en otro puerto (3389).
Port Redirection
Hay varias herramientas disponibles que pueden
permitir a un hacker tomar control de un sistema.
Por ejemplo, Samdump y Brutus son crackers de
passwords. Samdump se utiliza extraer los
passwords de los archivos. Brutus es un cracker
de password remoto. Si un hacker consigue el
acceso a una copia de una base de datos, el
hacker podría utilizar l0phtcrack y extraer los
usuarios y passwords exactos.
Gaining Access
12Técnicas de Ataque
Un hacker puede causar la mayoría del daño
consiguiendo privilegios administrativos en una
red. Hay varias utilidades que un hacker puede
utilizar para ganar privilegio administrativo.
Por ejemplo, la utilidad Getadmin.exe es usada
para otorgar a usuarios comunes privilegios
administrativos agregando a estos usuarios al
grupo de administradores. Esta utilidad funciona
con todas las cuentas excepto con la cuenta de
Guest.
Privilege Escalation
Remote Administration Tools
Eso permite que un usuario remoto realice
cualquier acción remotamente vía un puerto a su
elección sin un usuario local del sistema que lo
habilite. Ejemplo Sub7 es el más popular / NT
Rootkit es el más avanzado
13Footprinting El servicio WHOIS
El servicio WHOIS es uno de los tantos
servicios de información disponible en Internet.
Con él se puede obtener información sobre
direcciones IP y nombres de dominio, por lo que
es muy utilizado por los atacantes para obtener
información a la hora de planificar un
ataque. Existen numerosos servidores whois ya que
los registros de dominios están descentralizados,
pero usualmente existe al menos uno por cada
código de país. (.ar, .ru, .es, etc.)
14Footprinting El servicio WHOIS
En el caso de los .com, .org, .edu (gTLDs-
Generic Top Level Domains), la información está
disponible en los servidores de las distintas
entidades registrante. El registro de las IP es
mantenido por el servidor ARIN (American Registry
of Internet Numbers) para las asignadas a EEUU y
Canadá el Servidor LACNIC (Latin America and
Caribean Network Information Center) para las de
América Latina y el Caribe y el servidor RIPE NCC
(Reséaux IP Européens Network Cordination Centre)
para las europeas.
15Footprinting El servicio WHOIS
ACCEDIENDO AL SERVICIO Para acceder al servicio
whois solo hace falta la herramienta telnet y
su única función será la de establecer una
conexión TCP mediante el puerto 43 con el
servidor del que se va a requerir la información.
Usando el comando telnet servidorwhois 43 se
creará la conexión entre nuestro sistema y el
servidor whois
16Footprinting El servicio WHOIS
Petición realizada sobre google.com
17Footprinting El servicio WHOIS
Petición realizada sobre google.com enviada a
whois.alldomains.com
18Footprinting El servicio WHOIS
Petición realizada sobre una IP enviada a
whois.lacnic.net
19Footprinting El servicio WHOIS
Otras forma de acceder al servicio whois es
mediante la interfaz que brindan sitios en
Internet.
20Footprinting El servicio WHOIS
21Fraudes
Estas conductas consisten en la manipulación
ilícita, a través de la creación de datos falsos
o la alteración de datos o procesos contenidos en
sistemas informáticos, realizada con el objeto de
obtener ganancias indebidas.
Omitir ingresar datos verdaderos Ingresar
datos falsos
manipulación del input
interferir en el procesamiento de la
información alterar el programa modificar los
programas originales adicionar programas
especiales
manipulación del output
22Fraude Corporativo
- Se calcula que las empresas pierden entre el 5 y
6 de sus ingresos brutos a causa de los fraudes
corporativos. - Los mayores perjuicios son consecuencia de los
delitos cometidos a nivel gerencial. - Menos del 10 de los casos son denunciados a la
justicia. - Las compañías optan por deshacerse del empleado
infiel buscando una solución puertas adentro, lo
que implica, muchas veces, el pago de una jugosa
indemnización. - La defraudación es el delito mas extendido dentro
de las empresas.
23Fraude Corporativo
- En la Argentina las pérdidas ascendieron a US
2,7 millones en los últimos dos años. - En Latinoamérica 9 de cada 10 empresas padecen
malversación de fondos. - Siguiendo un orden jerárquico los delitos se
agravan a medida que se asciende en la estructura
de una corporación. - Actualmente se recupera menos del 20 de la
pérdida, mientras que el 40 de las empresas no
recupera nada.
24Fraude Corporativo
- Los fraudes cometidos por ejecutivos causan
pérdidas 6 veces mayores que los cometidos por
supervisores y 14 veces mas altas que las
cometidas por otros empleados. - El 60 de los casos de fraude proviene de
empleados, el 20 de los clientes y el 16 de
vendedores o representantes. - Mas del 50 de los fraudes se descubren por
denuncias anónimas. - Para prevenirse deben utilizarse procedimientos
de análisis y verificación no tradicionales ni
rutinarios, para evitar que el defraudador, ya
prevenido, de los controles pueda borrar las
huellas detectables.
25Top Five de las Ciberestafas
El engaño consiste en enamorar por e-mail a un
hombre, en la mayoría de los casos mayor y con la
excusa de querer conocerlo le hacen que pague los
gastos ocasionados por el viaje, regalos,
traductores, etc. y por supuesto la supuesta
novia por correo nunca aparece.
Fraude en sitios de Solos y Solas
Se le ofrece a una empresa realizar exportaciones
de gran volumen a Nigeria, para poder lograrlo
debe abonar previamente tasas aduaneras,
impuestos, etc. Las ofertas se realizan desde
E-Mail gratuitos de Europa.
Inversiones en Nigeria
26Top Five de las Ciberestafas
Algunos mercados virtuales ofrecen una amplia
selección de productos a precios muy bajos. Una
vez que el consumidor ha enviado el dinero puede
ocurrir que reciban algo con menor valor de lo
que creía, o peor todavía, que no reciba nada.
Las subastas
En algunos sitios para adultos, se pide el número
de la tarjeta de crédito con la excusa de
comprobar que el usuario es mayor de 18 años. El
verdadero objetivo es obtener los números de
tarjeta para realizar otras operaciones.
Páginas para adultos
27Top Five de las Ciberestafas
Se le ofrece un sistema infalible para obtener el
password de una cuenta de hotmail enviando un
mail a una cuenta forgot_pass_at_hotmail.com,
colocando en el subject la dirección de correo a
hackear y el nombre de usuario y password propio.
Manual para Hackear Hotmail
Algunas otras Ciberestafas
Ventas piramidales - Viajes y vacaciones Gay -
Trabaje desde su casa - Productos y servicios
milagrosos - Venta de pasajes de avión Bancos
Falsos en Internet - Venta y Alquiler de
propiedad.
28Otros Delitos Informáticos
Delitos informáticos contra la privacidad Grupo
de conductas que de alguna manera pueden afectar
la esfera de privacidad del ciudadano mediante la
acumulación, archivo y divulgación indebida de
datos contenidos en sistemas informáticos Esto es
que alguien, sin estar autorizado, se apodere,
utilice o modifique, en perjuicio de tercero,
datos reservados de carácter personal o familiar
de otro que se hallen registrados en ficheros o
soportes informáticos, electrónicos o
telemáticos, o cualquier otro tipo de archivo o
registro público o privado. Ej Base de Datos
A.N.Se.S. Veraz Padrones
29Otros Delitos Informáticos
Intercepción de e-mail En este caso es
equiparable a la violación de correspondencia, y
la intercepción de telecomunicaciones, por lo
que la lectura de un mensaje electrónico ajeno
reviste la misma gravedad. Terrorismo Mensajes
anónimos aprovechados por grupos terroristas para
remitirse consignas y planes de actuación a nivel
internacional. Crimen Organizado Transnacional
para la coordinación de
- Tráfico de drogas
- Tráfico de armas
- Tráfico de personas
- Lavado de dinero
- Tráfico de tecnología y material nuclear,
químico y bacteriológico
30Otros Delitos Informáticos
Espionaje Se ha dado casos de acceso no
autorizado a sistemas informáticos
gubernamentales e interceptación de correo
electrónico secreto, entre otros actos que
podrían ser calificados de espionaje si el
destinatario final de esa información fuese un
gobierno u organización extranjera. Espionaje
industrial También se han dado casos de accesos
no autorizados a sistemas informáticos de grandes
compañías, usurpando diseños industriales,
fórmulas, sistemas de fabricación y know how
estratégico que posteriormente ha sido
aprovechado en empresas competidoras o ha sido
objeto de una divulgación no autorizada.
31Seguridad de la Información
32Seguridad de la Información
La información es un recurso de valor estratégico
para las empresas y como tal debe ser debidamente
protegida. Las políticas de seguridad de la
información protegen de una amplia gama de
amenazas, a fin de garantizar la continuidad de
los sistemas de información, minimizar los
riesgos de daño y asegurar el eficiente
cumplimiento de los objetivos. Es importante que
los principios de la política de seguridad sean
parte de la cultura organizacional. Para esto, se
debe asegurar un compromiso manifiesto de las
máximas autoridades de la compañía para la
difusión y consolidación de las políticas de
seguridad.
33Beneficios de implementar políticas de seguridad
de la información
- Consolidación de la seguridad como tema
estratégico. - Planeamiento y manejo de la seguridad más
efectivos. - Mayor seguridad en el ambiente informático y
mejor reacción ante incidentes. - Minimización de los riesgos inherentes a la
seguridad de la información. - Cuantificación de los posibles daños por ataques
a la seguridad de la información.
34Beneficios de implementar políticas de seguridad
de la información
- Orden en el trabajo bajo un marco normativo que
evita la duplicación de tareas y facilita el
intercambio de información. - Concientización global sobre la importancia de la
seguridad de la información. - Mejora de la imagen.
- Aumento de la confianza de terceros.
- Mayor control de la información proporcionada a
terceros. - Auditorías de seguridad más precisas y
confiables.
35Por qué basarse en la norma ISO/IRAM 17799?
- Aumento de los niveles de seguridad en las
organizaciones - Planificación de actividades
- Mejora continua
- Posicionamiento estratégico
- Cumplimiento de normativas y reglamentaciones
- Posicionamiento en un esquema comparativo en
materia de seguridad con otras organizaciones
El Instituto Argentino de Normalización (IRAM),
ha homologado en nuestro país la norma ISO 17799,
como Norma ISO/IRAM 17799
36 Dos preguntas básicas relacionadas a políticas
de Seguridad de la Información
- Cuánto tiempo insume el desarrollo de una
Política de Seguridad? - Es necesario incorporar personal especializado
en seguridad de la información para cumplir con
las definiciones en la materia?
37 Prejuicios a la hora de implementar políticas
de seguridad de la información
- La seguridad informática no afecta mi actividad.
- La seguridad es una incumbencia del área
informática - La información que manejamos no es objeto de
ataques - Mi red es segura porque se encuentra protegida de
ataques externos - Tenemos seguridad pues en la última auditoría no
tuvimos observaciones críticas.
38 Prejuicios a la hora de implementar políticas
de seguridad de la información
- Tenemos un control absoluto de los incidentes de
seguridad que ocurren en nuestra red. - El tiempo invertido en documentación debe ser
descontado de las tareas habituales del personal
destinado a la elaboración de la política. - Los recursos valiosos deberán ser apartados de la
línea de fuego - Posibles conflictos políticos, comerciales o de
relaciones humanas.. - No disponemos de personal especializado.
39Seguridad de la Información
OBJETIVO Proteger los recursos de información y
la tecnología utilizada para su procesamiento,
frente a amenazas, internas o externas,
deliberadas o accidentales, con el fin de
asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y
confiabilidad de la información. Asegurar la
implementación de las medidas de seguridad,
identificando los recursos, sin que ello implique
necesariamente la asignación de recursos
adicionales. Mantener la Política de Seguridad
actualizada, a efectos de asegurar su vigencia y
nivel de eficacia.
40Seguridad de la Información
RESPONSABILIDAD Todos el personal, tanto se trate
de Directores, Gerentes o personal técnico, etc.
sea cual fuere su nivel jerárquico son
responsables de la implementación de las Política
de Seguridad de la Información dentro de sus
áreas de responsabilidad, así como del
cumplimiento por parte de su equipo de
trabajo. La Política de Seguridad de la
Información debe ser de aplicación obligatoria
para todo el personal, cualquiera sea el área a
la cual se encuentre afectado y el nivel de las
tareas que desempeñe.
41Seguridad de la Información
ASPECTOS GENERALES Organización de la Seguridad
Orientado a administrar la seguridad de la
información y establecer un marco de control
Clasificación y Control de Activos Destinado a
mantener una adecuada protección de los activos
de Información. Seguridad del Personal
Orientado a reducir los riesgos de error humano,
comisión de ilícitos o uso inadecuado.
Seguridad Física y Ambiental Destinado a impedir
accesos no autorizados, daños e interferencia a
las sedes y/o la información.
42Seguridad de la Información
ASPECTOS GENERALES Gestión de las
Comunicaciones y las Operaciones Dirigido a
garantizar el funcionamiento correcto y seguro de
las instalaciones de procesamiento de la
información y medios de comunicación. Control
de Acceso Orientado a controlar el acceso a la
información. Administración de la Continuidad
de las Actividades está dirigido a contrarrestar
las interrupciones de las actividades y proteger
los procesos críticos. Cumplimiento Destinado a
impedir infracciones y violaciones de las
políticas y legislación vigente.
43Organización de las políticas de seguridad de la
información
- Revisar y proponer la política y las funciones
generales en materia de seguridad de la
información. - Monitorear cambios significativos en los riesgos
frente a las amenazas más importantes. - Supervisar la investigación y monitoreo de los
incidentes relativos a la seguridad. - Acordar y aprobar iniciativas, metodologías y
procesos específicos relativos a la seguridad de
la información de acuerdo a las competencias
asignadas a cada área.
44Organización de las políticas de seguridad de la
información
- Garantizar que la seguridad sea parte del proceso
de planificación de la información. - Evaluar y coordinar la implementación de
controles específicos para nuevos sistemas o
servicios. - Coordinar el proceso de administración de la
continuidad de la operatoria de los sistemas de
tratamiento de la información frente a
interrupciones imprevistas.
45Responsabilidad
Seguridad del Personal Seguridad Física y
Ambiental. Seguridad en las Comunicaciones y las
Operaciones Control de Accesos Seguridad en el
Desarrollo y Mantenimiento de Sistemas Planificaci
ón de la Continuidad Operativa
Comité de Seguridad de la Información
Departamento Legal
Cumplimiento
Sanciones
46Clasificación y Control de Activos
Se debe tener un acabado conocimiento sobre los
activos que poseemos como parte importante de la
administración de riesgos. Algunos ejemplos de
activos son
- Activos de información bases de datos y
archivos, documentación de sistemas, manuales de
usuario, material de capacitación, procedimientos
operativos o de soporte, planes de continuidad,
información archivada, etc. - Recursos de software software de aplicaciones,
sistemas operativos, herramientas de desarrollo,
utilitarios, etc. - Activos físicos equipamiento informático (CPU,
monitores, notebooks, módems), equipos de
comunicaciones (routers, máquinas de fax,
contestadores automáticos), medios magnéticos
(cintas, discos), otros equipos técnicos
(relacionados con el suministro eléctrico,
unidades de aire acondicionado), mobiliario,
lugares de emplazamiento, etc. - Servicios servicios informáticos y de
comunicaciones, utilitarios generales
(calefacción, iluminación, energía eléctrica,
etc.).
47Clasificación y Control de Activos
- Los activos de información deben ser clasificados
de acuerdo a la sensibilidad y criticidad de la
información que contienen o bien de acuerdo a la
funcionalidad que cumplen y rotulados en función
a ello, con el objeto de señalar cómo ha de ser
tratada y protegida dicha información. - Frecuentemente, la información deja de ser
sensible o crítica después de un cierto período
de tiempo, por ejemplo, cuando la información se
ha hecho pública. - La información puede pasar a ser obsoleta y por
lo tanto, será necesario eliminarla, para ello se
debe asegurar la confidencialidad de la misma
hasta el momento de su eliminación - Las pautas de clasificación deben prever y
contemplar el hecho de que la clasificación de un
ítem de información determinado no necesariamente
debe mantenerse invariable por siempre, y que
ésta puede cambiar de acuerdo con una Política
predeterminada.
48Clasificación y Control de Activos
Objetivo
- Garantizar que los activos de información reciban
un apropiado nivel de protección. - Clasificar la información para señalar su
sensibilidad y criticidad. - Definir niveles de protección y medidas de
tratamiento especial acordes a su clasificación.
Responsabilidad
Los propietarios de la información son los
encargados de clasificarla de acuerdo con su
grado de sensibilidad y criticidad, de documentar
y mantener actualizada la clasificación
efectuada, y de definir las funciones que deberán
tener permisos de acceso a la información.
49Clasificación y Control de Activos
- El nuevo valor de la información requiere
indiscutiblemente un alto nivel de seguridad a
fin de lograr mantener - LA CONFIDENCIALIDAD
- LA INTEGRIDAD
- LA DISPONIBILIDAD
50Clasificación y Control de Activos
CONFIDENCIALIDAD
1 PUBLICO- Información que puede ser conocida y
utilizada sin autorización por cualquier persona,
sea empleado o no. 2 USO INTERNO - Información
que puede ser conocida y utilizada por todos los
empleados y algunas entidades externas
debidamente autorizadas, y cuya divulgación o uso
no autorizados podría ocasionar riesgos o
pérdidas leves para la entidad o terceros. 3
CONFIDENCIAL - Información que sólo puede ser
conocida y utilizada por un grupo de empleados,
que la necesiten para realizar su trabajo, y cuya
divulgación o uso no autorizados podría ocasionar
pérdidas significativas para la entidad o
terceros. 4 SECRETA - Información que sólo puede
ser conocida y utilizada por un grupo muy
reducido de empleados, generalmente del
directorio, y cuya divulgación o uso no
autorizados podría ocasionar pérdidas graves para
la entidad o terceros.
51Clasificación y Control de Activos
INTEGRIDAD
1- Información cuya modificación no autorizada
puede repararse fácilmente, o no afecta la
operatoria. 2- Información cuya modificación no
autorizada puede repararse aunque podría
ocasionar pérdidas leves. 3- Información cuya
modificación no autorizada es de difícil
reparación y podría ocasionar pérdidas
significativas. 4- Información cuya modificación
no autorizada no podría repararse, ocasionando
pérdidas graves.
52Clasificación y Control de Activos
DISPONIBILIDAD
1- Información cuya inaccesibilidad no afecta la
operatoria. 2- Información cuya inaccesibilidad
permanente durante una semana podría ocasionar
pérdidas significativas. 3- Información cuya
inaccesibilidad permanente durante un día podría
ocasionar pérdidas significativas. 4-
Información cuya inaccesibilidad permanente
durante una hora podría ocasionar pérdidas
significativas.
53Seguridad del Personal
Es fundamental educar e informar al personal
desde su ingreso y en forma continua, acerca de
las medidas de seguridad que afectan al
desarrollo de sus funciones y de las expectativas
depositadas en ellos en materia de seguridad y
asuntos de confidencialidad.
Objetivo
- Reducir los riesgos de error humano, comisión de
ilícitos, uso inadecuado de instalaciones y
recursos, y manejo no autorizado de la
información. - Garantizar que los usuarios estén al corriente de
las amenazas e incumbencias en materia de
seguridad de la información, y se encuentren
capacitados para respaldar la Política de
Seguridad en el transcurso de sus tareas
normales. - Establecer Compromisos de Confidencialidad con
todo el personal y usuarios externos de las
instalaciones de procesamiento de información. - Establecer las herramientas y mecanismos
necesarios para promover la comunicación de
debilidades existentes, así como de los
incidentes ocurridos, con el objeto de minimizar
sus efectos y prevenir su reincidencia.
54Seguridad Física y Ambiental
Brinda el marco para minimizar los riesgos de
daños e interferencias a la información y a las
operaciones del Organismo. Asimismo, pretende
evitar al máximo el riesgo de accesos físicos no
autorizados, mediante el establecimiento de
perímetros de seguridad.
Objetivo
- Prevenir e impedir accesos no autorizados, daños
e interferencia a las sedes, instalaciones e
información. - Proteger el equipamiento de procesamiento de
información crítica ubicándolo en áreas
protegidas y resguardadas por un perímetro de
seguridad definido, con medidas de seguridad y
controles de acceso apropiados. - Controlar los factores ambientales que podrían
perjudicar el correcto funcionamiento del
equipamiento informático. - Implementar medidas para proteger la información
manejada por el personal en las oficinas, en el
marco normal de sus labores habituales.
55Seguridad en las Comunicaciones y Operaciones
La proliferación de software malicioso, como
virus, troyanos, etc., hace necesario que se
adopten medidas de prevención, a efectos de
evitar la acción de tales amenazas. Los sistemas
de información están comunicados entre si, tanto
dentro de la compañía, como con terceros fuera de
ella. Por lo tanto es necesario establecer
criterios de seguridad en las comunicaciones que
se establezcan, permitiendo el intercambio de
información, de manera regulada para garantizar
las condiciones de confidencialidad, integridad y
disponibilidad de la información que se emite o
recibe por los distintos canales.
Objetivo
- Garantizar el funcionamiento correcto y seguro de
las instalaciones de procesamiento de la
información y comunicaciones. - Establecer responsabilidades y procedimientos
para su gestión y operación, incluyendo
instrucciones operativas, procedimientos para la
respuesta a incidentes y separación de funciones.
56Control de Accesos
Para impedir el acceso no autorizado a los
sistemas de información se deben implementar
procedimientos para controlar la asignación de
acceso a los sistemas, bases de datos y servicios
de información, y estos deben estar claramente
documentados, comunicados y controlados.
Objetivo
- Impedir el acceso no autorizado a los sistemas y
servicios de información, implementando medidas
de seguridad en los accesos de usuarios por medio
de técnicas de autenticación y autorización. - Controlar la seguridad en la conexión entre las
redes públicas o privadas, garantizándola también
cuando se utiliza computación móvil e
instalaciones de trabajo remoto. - Registrar y revisar eventos y actividades
críticas llevadas a cabo por los usuarios en los
sistemas. - Concientizar a los usuarios respecto de su
responsabilidad frente a la utilización de
contraseñas y equipos.
57Desarrollo y Mantenimiento de Sistemas
Dado que los analistas y programadores tienen el
conocimiento total de la lógica de los procesos
en los sistemas, se deben implementar controles
que eviten maniobras dolosas por parte de estas
personas u otras que puedan operar sobre los
sistemas, bases de datos y plataformas de
software de base y en el caso de que se lleven a
cabo, identificar rápidamente al responsable.
Objetivo
- Asegurar la inclusión de controles de seguridad y
validación de datos en el desarrollo de los
sistemas de información. - Definir y documentar las normas y procedimientos
que se aplicarán durante el ciclo de vida de los
aplicativos y en la infraestructura de base en la
cual se apoyan. - Definir los métodos de protección de la
información crítica o sensible.
58Planificación de la Continuidad Operativa
El desarrollo e implementación de planes de
contingencia es una herramienta básica para
garantizar que las actividades puedan
restablecerse dentro de los plazos requeridos,
Objetivo
Maximizar la efectividad de las operaciones de
contingencia del Organismo con el establecimiento
de planes que incluyan al menos las siguientes
etapas
- Notificación / Activación Consistente en la
detección y determinación del daño y la
activación del plan. - Reanudación Consistente en la restauración
temporal de las operaciones y recuperación del
daño producido al sistema original. - Recuperación Consistente en la restauración de
las capacidades de proceso del sistema a las
condiciones de operación normales.
59Cumplimiento
El diseño, operación, uso y administración de los
sistemas de información están regulados por
disposiciones legales y contractuales y los
requisitos normativos y contractuales de cada
sistema de información deben estar debidamente
definidos y documentados.
- Garantizar que los sistemas cumplan con la
política, normas y procedimientos de seguridad. - Revisar la seguridad de los sistemas de
información periódicamente a efectos de
garantizar la adecuada aplicación de la política,
normas y procedimientos de seguridad, sobre las
plataformas tecnológicas y los sistemas de
información.
60Cumplimiento
- Optimizar la eficacia del proceso de auditoria de
sistemas y minimizar los problemas que pudiera
ocasionar el mismo, o los obstáculos que pudieran
afectarlo. - Garantizar la existencia de controles que
protejan los sistemas en producción y las
herramientas de auditoria en el transcurso de las
auditorias de sistemas. - Determinar los plazos para el mantenimiento de
información y para la recolección de evidencia.
61Para finalizar...
Quién es responsable de la seguridad?
La respuesta es una sola
Es responsabilidad de TODOS
62Muchas gracias por su atención
Zacarías Leone Director ZL-SSC C.E.H. and
C.H.F.I.
ZL SECURITY SENIOR CONSULTANTTel. 54 11 4590
2320Fax. 54 11 4590 2201Edificio Laminar
PlazaIng Butty 240, 4 PisoC1001AFB Capital
Federal - Argentinawww.zacariasleone.com.ar