Seguridad de Los Sistemas de Informacion

SEGURIDAD DE LOS
SISTEMAS DE INFORMACION
SSI
INFORMATICA
CRISTIAN BAILEY
26/02/2010 INFORMATICA / Cristian Bailey 1
INDICE
SEGURIDAD DE LOS SISTEMAS DE INFORMACION.
SITUACION ACTUAL.
QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL
MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR BUENAS
PRACTICAS.
IMPLEMENTACION DEL NUEVO ESQUEMA DE RED Y
SEGURIDAD

INTRODUCCION
Hoy en día se denomina a la sociedad del siglo XXI como sociedad
de la información pues el volumen de datos que es procesado,

almacenado y transmitido es inmensamente mayor a cualquier época
anterior.
La información esta catalogada como un activo de la empresa y es

por ello que le brinda un trato totalmente diferente.
Los datos se convierten en información, dicha información oportuna

es la diferencia entre una decisión pro activa o reactiva.
26/02/2010
La información es Poder
INFORMATICA / Cristian Bailey 3
OBJETIVOS SSI
1. Introducir los procedimientos adecuados para el acceso a la información de
la empresa.
2. Introducir el concepto de sistemas de información, sus principales
componentes y tipos de información manejados.
3. Definir los conceptos básicos involucrados en la seguridad informática.
4. Definir cuales son las principales amenazas y vulnerabilidades de un

sistema informático.
5. Concepto de políticas de seguridad informática.
6. Estar preparados para una auditoria de seguridad informática.

Reflexión:
Cuando no ocurre nada, nos quejamos de lo mucho que

gastamos en seguridad.
Cuando algo sucede, nos lamentamos de no haber invertido

mas.
Mas vale dedicar recursos a la seguridad que convertirse en

una estadística.

FUNDAMENTOS SSI
9 Confidencialidad.
9 Integridad.
9 Disponibilidad.
9 Autenticidad.
9 Imposibilidad de Rechazo.
9 Consistencia.
9 Aislamiento.
9 Auditoria.

Reflexión:
Un experto es aquel que sabe cada vez mas sobre menos
cosas, hasta que sabe absolutamente todo sobre nada … es
la persona que evita los errores pequeños mientras sigue
su avance inexorable hacia la gran falacia.
Ley de Murphy.

VULNERABILIDADES, AMENAZAS,
CONTRAMEDIDAS
TIPOS DE VULNERABILIDADES
Vulnerabilidad física
Vulnerabilidad comunicaciones
Vulnerabilidad del hardware y del software

Vulnerabilidad de los medios o dispositivos
Vulnerabilidad humana
Vulnerabilidad emanación
Vulnerabilidad natural

SEGURIDAD INFORMATICA
Seguridad es un concepto asociado a la
certeza, falta de riesgo o contingencia.
Conviene aclarar que no siendo posible la
certeza absoluta, el elemento de riesgo esta
siempre presente, independiente de las
medidas que tomemos, por lo que debemos
hablar de niveles de seguridad.
La seguridad absoluta no es posible y en
adelante entenderemos que la seguridad
informática es un conjunto de técnicas
encaminadas a obtener altos niveles de
seguridad en los sistemas informáticos.
RESPONSABLE SEGURIDAD
INFORMATICA
Definir un puesto dedicado al control de la seguridad
informática.
Definir un comité de seguridad informática de tipo
multidisciplinarío.
Definir en blanco y negro las políticas de informática.
Hacerlas publicas y firmadas por los usuarios y
visitas de la organización.
Definir auditoria de seguridad y tipo de estándar a
utilizar.
SEGURIDAD FISICA
La seguridad física es uno de los aspectos más olvidados a la hora del
diseño de un sistema informático. Si bien algunos de los aspectos
tratados a continuación se prevén, otros, como la detección de un
atacante interno a la empresa que intenta a acceder físicamente a
una sala de operaciones de la misma.
Así, la Seguridad Física consiste en la "aplicación de barreras
físicas y procedimientos de control, como
medidas de prevención y contramedidas ante
amenazas a los recursos e información
confidencial"
Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del Centro de Cómputo así como los medios de acceso
remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
PRINCIPALES AMENAZAS
Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
Incendios
Inundaciones
Condiciones Climatológicas
Señales de Radar
Instalaciones Eléctricas
Acciones Hostiles
Robo
Fraude
Sabotaje
CONTRA MEDIDAS
Control de Accesos
Utilización de Guardias Utilización de Detectores de Metales
Utilización de Sistemas Biométricos
Verificación Automática de Firmas
Seguridad con Animales
Protección Electrónica
Cámaras de vigilancia sensibles al movimiento.
Alarma de protección centro cómputo.
Censores de Movimiento.
Accesos Biometricos Cruzados / Manos y Fotografía.

AREAS DE CONTROL FISICO
El edificio
Los suministros de energía del edificio
Los enlaces de comunicaciones del edificio
Los accesos físicos al edificio
El acceso al centro de computación
La estructura del edificio
La seguridad contra incendios y otros desastres
Planes de evacuación del personal
Seguridad física de los backups
Sistemas de redundancia de servidores y almacenamiento de datos
Sistemas distribuidos con localización en diferentes edificios
Alojamiento y backup de datos críticos fuera del edificio
Control de marcado de edificios y Warchalking = policías cuenta pasos

El entorno físico del hardware
Suministro de energía para el hardware
Comunicaciones: Interconexión de redes y sistemas
Acceso físico al hardware
Localización física del hardware
Control de acceso al hardware. Control de acceso del personal
Interacción del hardware con el suministro de energía y agua
Sistemas de control del hardware y su integridad
Seguridad contra incendios y otros desastres a nivel de hardware
Planes de evacuación de hardware y equipos
El entorno de trabajo del personal y su interacción con el hardware
Planificación de espacio para hardware y dispositivos. Montaje en Racks
Control de la temperatura y la humedad del entorno. Monitorización
Maquinas y dispositivos de escritorio

El entorno físico del hardware
Servidores y dispositivos concentradores, enrutadores y pasarelas
Cableado eléctrico
Cableado de telefonía
Cableado de redes
Sistemas distribuidos dentro del edificio
Llaves, cerraduras y armarios
Cámaras de seguridad y su monitorización
Control de ventanas y visibilidad desde el exterior
Control de desechos y basura

La seguridad física del hardware
Acceso físico a las maquinas y dispositivos de red
Racks y armarios
Las cajas de las computadoras
Seguridad del bios. Password de bios
Equipamiento hardware de las maquinas
Acceso al interior de los equipos
Redundancia de maquinas y sistemas de almacenamiento
Sistemas de backup
Sistemas UPS
Redundancia a nivel de hardware
Redundancia a nivel de red y conectividad
Alojamiento físico de las maquinas
Control de calidad de las maquinas y dispositivos de red
Control y seguridad de portátiles

La seguridad física del hardware
Keycatchers y otros sistemas de captación de datos
Concentradores, bocas de red y conectividad
Sistemas de alta disponibilidad
Seguridad física del cableado
Dispositivos Tap para captura de datos
Monitorización de equipos y dispositivos de red
Monitorización del hardware. SMART y sistemas SNMP
Control remoto de hardware
Acceso a datos técnicos de la red y del hardware
Grabación de datos. Grabadoras de CD, disqueteras, etc
Token USB y Sistemas de Almacenamiento USB. Sistemas serie o paralelo
Sistemas de radiofrecuencia. Tecnologia Wireless y Bluetooth
Dispositivos de mano. Palms y PocketPCs
Control del acceso del personal externo contratado al hardware

CONCLUSIONES
Evaluar y controlar permanentemente la seguridad física del edificio es la
base para o comenzar a integrar la seguridad como una función primordial
dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
disminuir siniestros
trabajar mejor manteniendo la sensación de seguridad
descartar falsas hipótesis si se produjeran incidentes
tener los medios para luchar contra accidentes
Las distintas alternativas estudiadas son suficientes para conocer en todo
momento el estado del medio en el que nos desempeñamos; y así tomar
decisiones sobre la base de la información brindada por los medios de
control adecuados.
SEGURIDAD LOGICA
Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física, es
importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no
será sobre los medios físicos sino contra información por él almacenada y procesada.
Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no
vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más
importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de
la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.
Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y

procedimientos que resguarden el acceso a los datos y sólo se
permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido
debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:
Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizados los datos, archivos y programas correctos en y
por el procedimiento correcto.
Que la información transmitida sea recibida sólo por el destinatario al cual ha sido
enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes
puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de
información.

SEGURIDAD LOGICA
Controles de Acceso
Estos controles pueden implementarse en el Sistema
Operativo, sobre los sistemas de aplicación, en bases de

datos, en un paquete específico de seguridad o en cualquier
otro utilitario.
Identificación y Autentificación

SEGURIDAD LOGICA
Roles
El acceso a la información también puede
controlarse a través de la función o rol del

usuario que requiere dicho acceso.
Algunos ejemplos de roles serían los siguientes:
programador, líder de proyecto, gerente de un

área usuaria, administrador del sistema, etc.

SEGURIDAD LOGICA
Transacciones
También pueden implementarse
controles a través de las transacciones,

por ejemplo solicitando una clave al
requerir el procesamiento de una
transacción determinada.

SEGURIDAD LOGICA
Limitaciones a los Servicios
Estos controles se refieren a las restricciones que
dependen de parámetros propios de la utilización de
la aplicación o preestablecidos por el administrador
del sistema.
Un ejemplo podría ser que en la organización se
disponga de licencias para la utilización simultánea
de un determinado producto de software para cinco
personas, en donde exista un control a nivel sistema
que no permita la utilización del producto a un sexto
usuario.
SEGURIDAD LOGICA
Modalidad de Acceso
Ubicación y Horario
El acceso a determinados recursos del
sistema puede estar basado en la ubicación

física o lógica de los datos o personas.
Control de Acceso Interno
Control de Acceso Externo
Administración
SEGURIDAD LOGICA
Niveles de Seguridad Informática
El estándar de niveles de seguridad mas
utilizado internacionalmente es el COBIT e

ITIL.
Los niveles describen diferentes tipos de
seguridad del Sistema Operativo y se

enumeran desde el mínimo grado de
seguridad al máximo.
AUDITORIA DE SISTEMAS
Se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una empresa
para lograr confiabilidad, oportunidad, seguridad y confidencialidad de
la información que se procesa a través de los sistemas de
información.
La auditoría de sistemas es una rama especializada de la auditoría que
promueve y aplica conceptos de auditoría en el área de sistemas de
información.
La auditoría de los sistemas de información se define como cualquier
auditoría que abarca la revisión y evaluación de todos los aspectos (o de
cualquier porción de ellos) de los sistemas automáticos de procesamiento
de la información, incluidos los procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a
la alta gerencia para mejorar o lograr un adecuado control interno en
ambientes de tecnología informática con el fin de lograr mayor eficiencia
operacional y administrativa.

AUDITORIA DE SISTEMAS
Objetivos:
1. Participación en el desarrollo de nuevos sistemas.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
4. Opinión de la utilización de los recursos informáticos.
5. Control de modificación a las aplicaciones existentes.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
8. Auditoría de la base de datos.
9. Auditoría de la red.
10. Desarrollo de software de auditoría.

Marco de Referencia
Se define como el conocimiento de la situación pasada, y presente
de una organización, y que tiene la visión de su futuro. El detalle de
los planes futuros se define en la planeación estratégica. Pero se
toma en cuenta en las entrevistas para determinar a donde se
dirige la organización.

ITIL
ITIL nace como un código de
buenas prácticas dirigidas a
alcanzar esas metas mediante:
Un enfoque sistemático del
servicio TI centrado en los
procesos y procedimientos
El establecimiento de estrategias
para la gestión operativa de la
infraestructura TI
COBIT
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de TI. Vinculando
tecnología informática y prácticas de control, COBIT consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa,
incluyendo las computadoras personales, mini computadoras y ambientes
distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan
ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto
internacional y actualizado de objetivos de control para tecnología de
información que sea de uso cotidiano para gerentes y auditores

PLANEACION ESTRATEGICA
TECNOLOGIA
Los métodos formales de planificación se desarrollaron para ofrecer apoyo a los
gerentes y ejecutivos en el proceso de desarrollo de sistemas de
información que ayuden a alcanzar las metas de la organización mediante
estos métodos se describen directrices a nivel organizacional para los
sistemas de información de la empresa.
Dentro de la Planeación de sistemas el analista debe incluir los siguientes

aspectos:
Identificación de elementos clave de los que dependen las aplicaciones como

su desarrollo.
Descripción de las relaciones entre estos elementos y la documentación de
las necesidades actuales de información o el bosquejo de futuros planes de
la empresa.
Alinearse a la Mision y vision de la empresa, asi como a las normas de la
misma.
Crear una mision y vision de IT vinculada a la de la empresa.
Definir donde estaremos en el futuro según IT y la empresa.
INFRAESTRUCTURA
Son todos aquellos sistemas que sirven de base para el funcionamiento

de la organización.
SERVICIOS DE INFRAESTRUCTURA INFORMATICA
DOMINIO MS CORREO ELECTRONICO BASE DATOS ACCESO INTERNET
TELECOMUNICACIONES RED MAN RED LAN SERVIDORES DESKTOPS

CAPA DE INFRAESTRUCTURA DE DATOS

TELECOMUNICACIONES
Este tipo de tecnología en este nuevo siglo
esta representada por los satélites, los
cuales hacen que toda la información se
transmita en menos de un segundo de un
lugar a otro. También se encuentra la
telefonía que ha tenido un desarrollo muy
importante desde la fibra óptica hasta los
dispositivos WiFi (redes inalámbricas), con
los cuales tenemos un sin fin de ventajas
como son: el aspecto económico, la velocidad
de transmisión.
SISTEMAS DE NEGOCIOS
Sistemas de negocios son todos aquellos sistemas que procesan datos y la convierten en
información útil para la toma de desiciones de una organización. Tales como un:
ERP
CRM
SCM
RRHH
Etc.
BI BCS DWH
BPM EDI PKI KGI--SCF
ERP RRHH CRM SCM MPR

CAPA DE SISTEMAS DE NEGOCIO

CONTRAMEDIDAS
Existen personas que se dedican a
TIPOS DE AMENAZAS buscar las vulnerabilidades de una red

corporativa con el afán de apoderarse
Intercepción de la información para diversos usos.
Se les denomina Hackers.
Modificación
Interrupción
Generación
Amenazas naturales o
físicas Hacker: Un Hacker es una persona que está
Amenazas involuntarias siempre en una continua búsqueda de
información, vive para aprender y todo para
Amenazas intencionadas él es un reto; no existen barreras, y lucha por
la difusión información con diversos fines.
CONTRAMEDIDAS
TIPOS DE CONTRAMEDIDAS
Medidas físicas
Medidas lógicas
Medidas administrativas
Medidas legales

TIPOS DE HACKERS
Black Hacker: El Hacker negro muestra sus
habilidades en informática rompiendo
computadoras, colapsando servidores, entrando

a zonas restringidas, infectando redes o
apoderándose de ellas, entre otras muchas cosas
utilizando sus destrezas en métodos Hacking.
Disfruta del reto intelectual de superar o rodear
las limitaciones de forma creativa.
White Hackers: Es quien busca las
vulnerabilidades de los sistemas informáticos
con el afán de informar a las empresas
fabricantes, para que mejoren las mismas.

TIPOS DE HACKERS
Lammer Hackers: Son aquellas personas que

pretenden ser hackers pero no poseen los conocimientos
necesarios para realizar este tipo de actividades, y se
dedican a descargar programas para realizar actividades
de Hacker, pero lo único que logran es corromper su
sistema o red, ya que los programas que descargan son
producto de un hacker que si persigue apoderarse de
otros sistemas. Para ello utilizan un Troyano.
Luser Hackers: Son usuarios Comunes que navegan en
los sistemas de las empresas buscando en carpetas
compartidas cualquier tipo de información, y que
finalmente muestra las vulnerabilidades de la red
corporativa.

TIPOS DE HACKERS
Phreaking Hackers: Son aquellos que se dedican

a interferir en teléfonos móviles o redes de comunicación
celular, tomando el control de la unidad o clonando la
misma, para su beneficio.
Newbie Hackers: Son jóvenes que inician como

los LUSER pero a diferencia de ellos estudian las
estructuras de los sistemas y no se jactan de lo que hacen,
pero si burlan las pocas medidas de seguridad,
generalmente son personal de mucha confianza en las
organizaciones.

TIPOS DE HACKERS
Craker IT Hackers: Son los denominados piratas

informáticos que si persiguen obtener programas,
información, música, sin las respectivas licencias, y tienen
lucro de la venta ilegal de este tipo de programas.
NINJA Hackers: Son lo más parecido a una

amenaza pura. Sabe lo que busca, donde encontrarlo y cómo
lograrlo. Hace su trabajo por encargo y a cambio de dinero,
no tienen conciencia de comunidad y no forman parte de los
clanes reconocidos por los hackers.

TIPOS DE HACKERS
Broken Hackers: Empleados molestos con la
organización y que buscan información que pueda dañar o
comprometer a la misma.
Phishing Hackers: Son aquellos que buscan información
de usuarios para poder realizar fraudes con la misma, por
ejemplo tarjetas de crédito, cuentas bancarias, identidades,
etc. Generalmente están en cafés Internet, aeropuertos,
correos electrónicos falsos de los bancos, etc.
Blue Hackers: Son expertos en seguridad que se dedican
a monitorear las actividades de las redes mundiales para
establecer el comportamiento de los Black Hackers,
Crackers, Phishing, etc. Son el lado bueno de la Ley.
Generalmente trabajan para el FBI, CIA, DEA, SCI, al igual
que los demás tipos de Hackers tienen un alto coeficiente
intelectual generalmente son egresados del MIT.

TIPOS DE HACKERS
Idealista Hackers: Generalmente son personas que

por temas Religiosos o Ambientalistas atacan a
organizaciones.
La nueva modalidad es combinar
Político Hackers: Por desacuerdos políticos atacan a Ingeniería social con los ataques
una organización. Sorpresa de las redes.
Attack Hackers: Son personas que están molestas con

organizaciones u empresas y que conocen su modo de
operar y buscan como afectar las mismas.
Terrorista Hackers: Con fines de hacer daño a las
organizaciones lanzan ataques por medio de Troyanos o
virus.
Usan Virus, Troyanos,

26/02/2010 INFORMATICA / Cristian Bailey
etc., para ingresar 44a
redes de su interés
AREAS DE POSIBLES ATAQUES
Visitas externas a la empresa. En una
portátil no se conoce que puede contener
y afectar nuestra red.
Cafés Internet.
Aeropuertos.
Empresas externas.
Redes Wireless.
Memorias USB.
CD´s
DVD´s
Disketes
Internet
Correo Electrónico

TIPOS DE VIRUS Y ATAQUES
Virus:
Un virus es un archivo ejecutable capaz de realizar acciones sin el

consentimiento del usuario. Un virus puede reproducirse, auto
ejecutarse, ocultarse, infectar otros tipos de archivos, encriptarse,
cambiar de forma (polimórficos), residir en memoria, etc.
Los archivos que sólo contienen datos, no pueden ser infectados,
dado que no pueden ejecutar ninguna rutina, pero sí pueden ser
dañados.
Gusano:
Los gusanos tienen ciertas similitudes con los virus informáticos, pero
también diferencias fundamentales. Un gusano se parece a un virus en
que su principal función es reproducirse, pero por el contrario de cómo lo
hacen los virus, en lugar de copiarse dentro de otros archivos, un gusano
crea nuevas copias de si mismo para replicarse.
En síntesis, lo que caracteriza a un gusano es que para reproducirse

genera nuevas copias de si mismo dentro del mismo sistema infectado o
en otros sistemas remotos, a través de algún medio de comunicación,
como bien puede ser Internet o una red informática.
Troyanos
Estos troyanos no son virus ni gusanos dado que no tienen capacidad para
replicarse por si mismos, pero en muchos casos, los virus y gusanos liberan
troyanos en los sistemas que infectan para que cumplan funciones especificas,
como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger).
La principal utilización de los troyanos es para obtener acceso remoto a un sistema

infectado a través de una puerta trasera. Este tipo de troyano es conocido como
Backdoor.
Rootkit
Los rootkits se iniciaron bajo los sistemas operativos Unix, basándose en un conjunto de herramientas
específicamente modificadas para ocultar la actividad de quien las utilizará.
Por esto, se define a rootkit como un conjunto de herramientas especiales que permiten esconder procesos activos,
archivos en uso, modificaciones al sistema, etc., de manera que las utilidades de seguridad tradicionales no puedan
detectarlas una vez en el sistema.
Cuando se habla de “técnicas rootkit” en un código malicioso, básicamente nos referimos al hecho de que el
malware en cuestión es capaz de aprovechar funciones propias o de herramientas externas para esconder parte o
todo su funcionamiento.
Adware:
Es todo aquel software que incluye publicidad, como banners, mientras se está
ejecutando. Normalmente se confunde este término con el de Spyware; la
diferencia es que el Adware no recolecta información del equipo donde está

instalado, sino que se limita a mostrar publicidad mientras que el usuario está
utilizando una aplicación.
Spyware:
Software espía. Es todo aquel programa o aplicación que sin el conocimiento del
usuario recolecta información de su equipo o de lo que hace al utilizar Internet.
Normalmente utilizado con fines de publicidad o marketing. Son programas que
invaden la privacidad de los usuarios y también la seguridad de sus computadoras.
Actualmente, este tipo de software es incluido junto a aplicaciones gratuitas de gran

difusión, como las utilizadas herramientas de intercambio de archivos.
Podría considerarse una rama de la familia de los troyanos dado que básicamente su
función es similar a la de estos.

Phishing:
Se utiliza el término "phishing" para referirse a todo tipo de
prácticas utilizadas para obtener información confidencial (como

números de cuentas, de tarjetas de crédito, contraseñas, etc.).
La gran parte de estos ataques son llevados a cabo a través de

un e-mail falso (spam), enviado por el atacante, que notifica al
usuario la necesidad de que confirme cierta información sobre su
cuenta.
Estos mensajes pueden parecer muy reales ya que muchas

veces incluyen logos de la entidad bancaría y una gráfica muy
profesional.
Debido a ciertas vulnerabilidades en los principales

navegadores, los atacantes puede redireccionar al usuario a un
servidor falso sin que este note la diferencia.
WebBugs:
Los WebBugs son una analogía de aquellos, pero aplicados al

correo electrónico. Suelen ser imágenes GIF de 1x1 pixeles, que al
ser generadas con algún lenguaje de programación dinámico,
permiten obtener datos de quien abre el mensaje, como su
dirección IP, nombre de equipo, navegador, y sistema operativo
utilizado, entre otras cosas.
También suelen insertarse en sitios de Internet, sobre todo junto a

publicidades de terceras partes, que le permiten analizar el
comportamiento de un usuario mientras navegue por lugares
donde dichas publicidades se encuentren.
Son una de las principales formas de violar la privacidad de los

usuarios en Internet, y sin una forma sencilla de detectarlos y
deshacerse de ellos.

Malware
Es la abreviatura de Malicious software, y es la denominación
normalmente utilizada para llamar a todo aquel programa o código de

computadora cuya función es dañar un sistema o causar un mal
funcionamiento. Dentro de este grupo de software normalmente se
incluyen los virus informáticos.
P2P
Es un modelo de comunicaciones en el cual cada parte tiene las
mismas capacidades y cualquiera de ellas puede iniciar la
comunicación. Generalmente son una puerta trasera para que
ingresen a las computadoras o redes. Transmitiendo Virus, Spyware,
troyanos etc.

Joke:
Los Jokes, o programas de broma, son aplicaciones inofensivas

que simulan ser virus informáticos. Como su nombre lo indica, su
fin primordial es embromar a quien las recibe y las ejecuta.
Usualmente, este tipo de programas son pequeñas animaciones
que intentan hacer creer al usuario que su disco está siendo
borrado o, en algunos casos, realizan acciones como abrir y cerrar
la unidad de CD-Rom.
Algunos antivirus detectan este tipo de programas, lo cual produce

cierta confusión al usuario inexperto que no sabe si lo detectado es
dañino o no. Para ser catalogado como un Joke, el programa no
debe causar daño alguno ni realizar acciones maliciosas.

Spam:
Es llamado Spam al correo basura, el cual llega a nuestras

casillas de correo sin que nosotros lo hayamos solicitado.
Generalmente estos mensajes contienen anuncios publicitarios

sobre productos, sitios Web, o cualquier otra actividad
comercial que puedan imaginarse. Con estos envíos masivos
el "anunciante" logra llegar a una gran cantidad de usuarios
que de otra manera no se enterarían de su producto o servicio.
Los Spamers, personas dedicadas al envío de correo basura,

van generando base de datos de direcciones de correo
electrónico las cuales son obtenidas de diferentes formas.

PRINCIPIOS FUNDAMENTALES DE LA
SEGURIDAD INFORMÁTICA
Principio de menor privilegio
La seguridad no se obtiene a través de la

oscuridad
Principio del eslabón más débil
Defensa en profundidad
Punto de control centralizado

Principio de menor privilegio:
Este es quizás el principio más fundamental de la seguridad, y no solamente

de la informática. Básicamente, el principio de menor privilegio afirma que
cualquier objeto (usuario, programa, sistema, etc.) debe tener tan solo los
privilegios de uso necesarios para desarrollar su tarea y ninguno más.
La seguridad no se obtiene a través de la oscuridad:

Un sistema no es más seguro porque escondamos sus posibles defectos
o vulnerabilidades, sino porque los conozcamos y corrijamos
estableciendo las medidas de seguridad adecuadas. El hecho de
mantener posibles errores o vulnerabilidades en secreto no evita que
existan, y de hecho evita que se corrija.

Principio del eslabón más débil:
En todo sistema de seguridad, el máximo grado de seguridad es aquel

que tiene su eslabón más débil. Al igual que en la vida real la cadena
siempre se rompe por el eslabón más débil, en un sistema de seguridad el
atacante siempre acaba encontrando y aprovechando los puntos débiles
o vulnerabilidades. EL USUARIO.
Defensa en profundidad:
La seguridad de nuestro sistema no debe depender de un solo
mecanismo por muy fuerte que este sea, sino que es necesario
establecer varias mecanismos sucesivos. De este modo cualquier
atacante tendrá que superar varias barreras para acceder a nuestro
sistema.

Punto de control centralizado:
Se trata de establecer un único punto de acceso a nuestro sistema, de

modo que cualquier atacante que intente acceder al mismo tenga que pasar
por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de
"alinearlos" todos de modo que el usuario tenga que pasar por ellos para
acceder al sistema.
Seguridad en caso de Fallo:

Este principio afirma que en caso de que cualquier mecanismo de
seguridad falle, nuestro sistema debe quedar en un estado seguro. Por
ejemplo, si nuestros mecanismos de control de acceso al sistema fallan,
es mejor que como resultado no dejen pasar a ningún usuario que dejen
pasar a cualquiera aunque no esté autorizado.
PRINCIPIOS FUNDAMENTALES DE
LA SEGURIDAD INFORMÁTICA
Participación Universal:
Para que cualquier sistema de seguridad funcione es necesaria la
participación universal, o al menos no la oposición activa, de los
usuarios del sistema. Prácticamente cualquier mecanismo de seguridad
que establezcamos puede ser vulnerable si existe la participación
voluntaria de algún usuario autorizado para romperlo.
Simplicidad
La simplicidad es un principio de seguridad por dos razones. En primer
lugar, mantener las cosas lo más simples posibles, las hace más fáciles
de comprender. Si no se entiende algo, difícilmente puede saberse si es
seguro. En segundo lugar, la complejidad permite esconder múltiples
fallos. Los programas más largos y complejos son propensos a contener
múltiples fallos y puntos débiles.

ESTRUCTURA OPTIMA INFORMATICA
SERVICIOS IT ADMON
SERVICIOS WEB PARA CLIENTES
DIRECTORIO
PAGINA WEB ACCESO PRIVADO REPORTES JIT SCM

MAESTRO
EMPRESA
CUENTAS DE ACCESO SERVICIOS SEGUIMIENTO
ACCESO REMOTO PUBLICADOS PEDIDOS DATOS CLIENTE
CAPA DE SERVICIOS A CLIENTES
SEGURIDAD PERIMETRAL POLITICAS IT

IS-IT / ITIL + COBIT
BI BCS DWH
RECURSOS
SEGURIDAD BPM EDI PKI KGI--SCF COMPARTIDOS
INTERNA LAN
ERP RRHH CRM SCM MPR

CAPA DE SISTEMAS DE NEGOCIO
BACK UP
INFORMACION INTRANET
SERVICIOS DE INFRAESTRUCTURA INFORMATICA
PERSONAL IS-IT DOMINIO MS CORREO ELECTRONICO BASE DATOS ACCESO INTERNET

HELP DESK
TELECOMUNICACIONES RED MAN RED LAN SERVIDORES DESKTOPS IT
CAPA DE INFRAESTRUCTURA DE DATOS


SITUACION ACTUAL
Esta se resume en pocas palabras. XXXXXXXXXX posee una infraestructura básica de redes y comunicaciones.
En Peligro por las diversas vulnerabilidades.
Además de no poseer herramientas implementadas para el tema de seguridad. Es importante resaltar que no
solo es SOFTWARE el que se necesita para llegar a donde se desea, se necesita participación de la GERENCIA
para aprobar las políticas Estándar de seguridad, y que las mismas se conviertan en una regulación de la
empresa, con la combinación de las 2 se logra llegar a un nivel estándar de seguridad.

MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR
BUENAS PRACTICAS.
Las empresas dependen cada vez más de la informática para la gestión de su
negocio. La contabilidad, personal y nómina, proveedores y clientes son cada
vez más documentados y gestionados con medios informáticos. La conexión a
Internet aumenta las facilidades y necesidades de uso de medios informáticos,
no solo de consultas en general y búsquedas anónimas, sino también su uso
profesional en la gestión de impuestos cotizaciones, gestiones con bancos y
aseguradoras, etc.
La falta de políticas y procedimientos en seguridad es uno de los problemas
más graves que confrontan las empresas hoy día en lo que se refiere a la
protección de sus activos de información frente a peligros externos e
internos.
Las políticas de seguridad son esencialmente orientaciones e instrucciones
que indican cómo manejar los asuntos de seguridad y forman la base de un
plan maestro para la implantación efectiva de medidas de protección tales
como:
9Identificación y control de acceso. 9Detección de intrusos.
9Respaldo de datos. 9Software a utilizar.
9Planes de contingencia. 9Instalación de software.
MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR
BUENAS PRACTICAS.
A menudo las políticas van acompañadas de normas, instrucciones y
procedimientos. Las políticas son obligatorias, mientras que las
recomendaciones o directrices son más bien opcionales.
¿Por qué son importantes las políticas?

A. Por que aseguran la aplicación correcta de las medidas de seguridad
B. Por que guían el proceso de selección e implantación de los
productos de seguridad
C. Por que demuestran el apoyo de la Presidencia y de la Junta
Directiva
D. Para evitar responsabilidades legales
E. Para lograr una mejor seguridad

QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL MANEJO
DE EQUIPOS INFORMATICOS Y ADOPTAR BUENAS
PRACTICAS.
Los buenos hábitos que se deben de adquirir están estrechamente ligados

a las siguientes grandes áreas:
1.- Software Legal.
2.- Seguridad Física.
3.- Seguridad Lógica.
4.- Políticas de Manejo seguro en La información.
5.- Divulgación y compromiso de los usuarios con el manejo seguro de la
información.
6.- Planes de Respaldo de la información.
7.- Seguridad Interna y Perimetral.
8.- Planes de contingencia en casos de no acceso a la información.
9.- Derechos y Obligaciones en el manejo de los recursos.
10.- Marco Legal y Administrativo del uso de recursos Informáticos.

BENEFICIO DE LAS BUENAS
PRACTICAS
Correo electrónica Estandarizado.
Intranet accesible desde los diferentes puntos de la
empresa.
Acceso al Internet regulado y optimizado.
Seguridad perimetral
Políticas sanas de gestión y manejo de la información.
Estandarización de la base tecnología.

BENEFICIOS DE UN NUEVO ESQUEMA
DE RED
Estandarización de plataforma.
Redundancia en Servicios de administración.
Transparencia usuario 3 empresas
Acceso a Internet controlado.
Una sola cuenta de correo para la corporación.
Disponibilidad universal de correo.
Optimización de recursos de la estación de trabajo
Optimización del tiempo de trabajo del empleado al no tener
herramientas de distracción instaladas.
BENEFICIOS DE UN NUEVO ESQUEMA
DE RED
OWA: Outlook Web Access para revisar su correo de forma
remota.
Control de accesos a estaciones de trabajo y redes.
Reducción del costo en el tiempo de soporte.
Seguridad interna y externa.
Fortalecimiento de políticas organizacionales.
Uso adecuados de los recursos de informática.
Optimización del tiempo de respuesta de TI.
Filtrado de contenido
Horarios de Internet para usuarios.
BUENAS PRACTICAS
Software Legal:
El poseer licencias de los programas que se utilizan garantizan que la organización
esta respaldada en el uso adecuado de una herramienta de Software.
La correcta instalación del Software en un equipo de la empresa debe ser

realizada por personal autorizado y capacitado, Ya que cualquier Software puede
contener un Virus o tipo diferente de amenaza, que podría en riesgo el resto de
equipos de la organización.
Tomar en cuenta que el Software descargado de Internet puede estar contaminado

y generar vulnerabilidades dentro de la empresa.
Hay que prever los riesgos que se tiene al instalar un software por mas sencillo
que se crea que es, ya que por ejemplo los descanzadores de pantallas son un
caballo de Troya utilizado por los Hackers para ingresar a los sistemas, Ya que con
los mismo establecen una puerta trasera de ingreso.
BUENAS PRACTICAS
Seguridad Física:
Se refiere a la protección adecuada del Hardware y su entorno, es importante considerar que entre mas
robustas sena las medidas de seguridad física es menos posible que ocurran percances. Hay que tomar
factores como Energía Eléctrica, acceso a las áreas de Server, detectores de Humo, monitoreo de área de
Server como Cámaras para chequear el acceso al mismo, monitoreo de la temperatura.
La seguridad Física es relativamente practica, pero depende de quien la aplica y como se respeta la misma.
•Control de accesos al área de Server.

•Detector de Humo.
•Vigilancia por Video.
•Reglamento de acceso.
•Reglamento de Limpieza.

BUENAS PRACTICAS
Seguridad Lógica:
Es mas compleja ya que inicia desde el LOGIN del usuario al sistema, ya que en ese momento se esta firmando
en una red de usuarios, por lo cual las actividades que realiza son monitoreadas a través de su firma.
El LOGIN y PASSWORD son personales e intransferibles para una persona, es una buena practica cambiarlos
cada 45 días promedio.
La seguridad Lógica va desde el acceso de una estación de trabajo, hasta el monitoreo de accesos a
programas de un servidor, es por ello que se debe tener una estructura de seguridad lógica bien diseñada y
estructurada , para que los permisos sean correctos y oportunos a los diversos recursos de la organización.
9Antivirus El usuario debe evitar anotar sus claves en un lugar

9Firewall accesible para terceros.
9IDS – IPS
9WEB SECURITY
BUENAS PRACTICAS
Políticas de Manejo de la Información:
Las políticas consisten de declaraciones genéricas, mientras las normas hacen

referencia específica a tecnologías, metodologías, procedimientos de
implementación y otros aspectos en detalle. Además las políticas deberían durar
durante muchos años, mientras que las normas y procedimientos duran menos
tiempo. Las normas y procedimientos necesitan ser actualizadas más a menudo
que las políticas porque hoy día cambian muy rápidamente las tecnologías
informáticas, las estructuras organizativas, los procesos de negocios y los
procedimientos.

BUENAS PRACTICAS
Divulgación y compromiso de los usuarios con el manejo seguro de la información.
Los usuarios de servicios de informática deben de haber leído y comprendido las políticas de uso adecuado de la
información, las cuales están contenidas en el documento de Derechos y obligaciones del uso de la información y
recursos informáticos.

BUENAS PRACTICAS
Planes de Respaldo de la información.
Back up diario de la información en:
•Estaciones de trabajo
•Servidores.
•Agentes de monitoreo y respaldo
Seguridad Interna y Perimetral.

•Antivirus
•Firewall.
•IDS
•IPS
•Monitoreo de trafico de red.

ESTRUCTURA ACTUAL DE LAS REDES





GSIGUA

DIAGRAMA NUEVA RED CORPORATIVA





DIAGRAMA NUEVA RED
CORPORATIVA















CASO PRACTICO
Una empresa dedicada a la Agricultura que tiene operaciones
en 15 paises del mundo posee una infra estructura
tecnologia muy basica pero operativa, la directiva de esa
empresa quiere estandarizar su area informatica para que
su activo mas valioso se preservado.
Defina que actividades debe de realizar el nuevo
responsable de realizar la reingenieria de Informatica.
Defina que como realizaria el plan estrategico de tecnologia
de la empresa.
CASO PRACTICO
La empresa no posee estandares de manejo de informacion,
pero esta realizando un pronceso de certificacion ISO 14001
para convertirse en una empresa Verde y tambien esta
certificando sus procesos con Normas de sustentabilidad.
¿ Que estandares utilizara para certificar la empresa en el
manejo de informacion?
¿ Como manejaria la serguridad informatica?
¿ Como lograria que cada uno de los paises integrantes de la
corporacion tengan el mismo estandar?
CASO PRACTICO
¿ Como lograria tener control centralizado de los sistemas?
¿ Defina la parte mas importante de la seguridad informatica?
¿ Identifique cual es el actor que tiene mas papel en el manejo
de Informacion?
¿ Indique que Infra estructura Física necesitaría la
corporacion para trabajar según lo requerido?
¿Indique que infra estructura lógica necesitaría la
corporacion para trabajar según lo requerido?
PREGUNTAS

FIN

Seguridad de Los Sistemas de Informacion

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad de Los Sistemas de Informacion

Uploaded by

Copyright:

Available Formats

SEGURIDAD DE LOS

26/02/2010 INFORMATICA / Cristian Bailey 2

de la información pues el volumen de datos que es procesado,

La información esta catalogada como un activo de la empresa y es

Los datos se convierten en información, dicha información oportuna

4. Definir cuales son las principales amenazas y vulnerabilidades de un

26/02/2010 INFORMATICA / Cristian Bailey 4

Cuando no ocurre nada, nos quejamos de lo mucho que

Cuando algo sucede, nos lamentamos de no haber invertido

Mas vale dedicar recursos a la seguridad que convertirse en

26/02/2010 INFORMATICA / Cristian Bailey 5

26/02/2010 INFORMATICA / Cristian Bailey 6

26/02/2010 INFORMATICA / Cristian Bailey 7

Vulnerabilidad del hardware y del software

26/02/2010 INFORMATICA / Cristian Bailey 8

26/02/2010 INFORMATICA / Cristian Bailey 13

26/02/2010 INFORMATICA / Cristian Bailey 14

26/02/2010 INFORMATICA / Cristian Bailey 15

 Sistemas distribuidos dentro del edificio

 Llaves, cerraduras y armarios

 Cámaras de seguridad y su monitorización

 Control de ventanas y visibilidad desde el exterior

 Control de desechos y basura

26/02/2010 INFORMATICA / Cristian Bailey 16

26/02/2010 INFORMATICA / Cristian Bailey 17

26/02/2010 INFORMATICA / Cristian Bailey 18

 Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y

26/02/2010 INFORMATICA / Cristian Bailey 20

 Restringir el acceso a los programas y archivos.

26/02/2010 INFORMATICA / Cristian Bailey 21

Operativo, sobre los sistemas de aplicación, en bases de

26/02/2010 INFORMATICA / Cristian Bailey 22

controlarse a través de la función o rol del

programador, líder de proyecto, gerente de un

26/02/2010 INFORMATICA / Cristian Bailey 23

controles a través de las transacciones,

26/02/2010 INFORMATICA / Cristian Bailey 24

 El acceso a determinados recursos del

sistema puede estar basado en la ubicación

 Control de Acceso Externo

utilizado internacionalmente es el COBIT e

seguridad del Sistema Operativo y se

26/02/2010 INFORMATICA / Cristian Bailey 28

26/02/2010 INFORMATICA / Cristian Bailey 29

26/02/2010 INFORMATICA / Cristian Bailey 30

26/02/2010 INFORMATICA / Cristian Bailey 32

Dentro de la Planeación de sistemas el analista debe incluir los siguientes

 Identificación de elementos clave de los que dependen las aplicaciones como

 Son todos aquellos sistemas que sirven de base para el funcionamiento

SERVICIOS DE INFRAESTRUCTURA INFORMATICA

DOMINIO MS CORREO ELECTRONICO BASE DATOS ACCESO INTERNET

TELECOMUNICACIONES RED MAN RED LAN SERVIDORES DESKTOPS

26/02/2010 INFORMATICA / Cristian Bailey 34

BPM EDI PKI KGI--SCF

ERP RRHH CRM SCM MPR

26/02/2010 INFORMATICA / Cristian Bailey 36

TIPOS DE AMENAZAS buscar las vulnerabilidades de una red

26/02/2010 INFORMATICA / Cristian Bailey 38

computadoras, colapsando servidores, entrando

26/02/2010 INFORMATICA / Cristian Bailey 39

26/02/2010 INFORMATICA / Cristian Bailey 40

 Newbie Hackers: Son jóvenes que inician como

26/02/2010 INFORMATICA / Cristian Bailey 41

Sistemas distribuidos dentro del edificio

Llaves, cerraduras y armarios

Cámaras de seguridad y su monitorización

Control de ventanas y visibilidad desde el exterior

Control de desechos y basura

Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y

Restringir el acceso a los programas y archivos.

El acceso a determinados recursos del

Control de Acceso Externo

Identificación de elementos clave de los que dependen las aplicaciones como

Son todos aquellos sistemas que sirven de base para el funcionamiento

Newbie Hackers: Son jóvenes que inician como

NINJA Hackers: Son lo más parecido a una

Attack Hackers: Son personas que están molestas con

La seguridad no se obtiene a través de la