SEGURIDAD DE LA

INFORMACION

1
 Introducción
• La modernización de las organizaciones
en el Mundo Actual requiere un enfoque
más agudo en seguridad de información.
• Establecer seguridad es vital porque es la
base de la confianza sobre la cual otras
organizaciones e individuos decidirán si
utilizan los Medios Electrónico para la
entrega del servicio.

2
 Importancia de la seguridad
• Muchas organizaciones tienen políticas de
seguridad, la mayoría de las mismas
incluso entrenan a sus funcionarios y
empleados, pero muy pocas implantan
una “cultura de conciencia en seguridad”
al nivel de una “vecindad en guardia” que
fomenta la identificación y reporte de
problemas de seguridad.

3
Acciones a tomar

4
 Puntos en seguridad de la
Información
• Se deben tomar en cuenta los siguientes
servicios:
– Análisis de vulnerabilidades de los servidores
Web de las Empresas.
– Boletines de Seguridad de la información
– Boletines de Alertas de Antivirus.
– Presentaciones técnicas sobre seguridad.
– Consultorías y apoyo en recomendaciones
técnicas.
5
 Análisis de Vulnerabilidades
Servidores
Empresa
Firewall
Red
Intena

Estaciones de Trabajo

Sistemas operativos
Bases de Datos
Aplicativos
E-Mail Web
Server Server
6
 Encuesta sobre Seguridad de la
Información en las Empresas
• El objetivo de dicha encuesta era obtener
información del nivel de seguridad con la
que cuentan actualmente las Entidades
del Estado.

7
Algunos resultados de la Encuesta
• Dentro de los puntos más relevantes de la
encuesta se ha podido observar que:
– El 63% no posee un responsable en temas de
seguridad de la información,
– El 86% no cuenta con asesoramiento en temas de
seguridad de la información,
– E 59% de instituciones no prepara a sus usuarios
para reportar incidentes de seguridad,
– El 82% no recibe capacitación en temas de
seguridad,
– El 70% no tiene preparados procedimientos de
respuesta a incidentes o anomalías que pudieran
suceder.
8
 Código de Buenas Prácticas
para la Gestión de la Seguridad
de la Información
NTP-ISO/IEC 17799 2004 EDI

9
Emisión de la Norma Técnica Peruana
sobre Seguridad de la Información
• Con fecha 23 de julio del 2004 la Presidencia
del Consejo de Ministros a través de la Oficina
Nacional de Gobierno Electrónico, dispone el
uso obligatorio de la Norma Técnica Peruana
“NTP – ISO/IEC 17799:2004 EDI. Tecnología
de la Información: Código de Buenas Prácticas
para la Gestión de la Seguridad de la
Información” en entidades del Sistema Nacional
de Informática estableciendo un plazo de 18
meses para su implementación.
10
Marco de las recomendaciones
• La ISO 17799 es una compilación de recomendaciones
para las prácticas exitosas de seguridad que toda
organización puede aplicar independientemente de su
tamaño o sector.
• La norma técnica fue redactada para que fuera flexible y
no induce a las organizaciones que la cumplan al pie de
la letra, se deja a estas dar una solución de seguridad
de acuerdo a sus necesidades.
• Las recomendaciones de la norma técnica ISO 17799
son neutrales en cuanto a la tecnología.
• Así, la norma discute la necesidad de contar con
cortafuegos, pero no profundiza sobre los tipos de
cortafuegos y cómo se utilizan.

11
 Las diez áreas de control de ISO
17799:
1. Política de seguridad: Se necesita una política que
refleje las expectativas de la organización en materia
de seguridad, a fin de suministrar administración con
dirección y soporte. La política también se puede
utilizar como base para el estudio y evaluación en
curso.
2. Organización de la seguridad: Sugiere diseñar una
estructura de administración dentro la organización,
que establezca la responsabilidad de los grupos en
ciertas áreas de la seguridad y un proceso para el
manejo de respuesta a incidentes.

12
3. Control y clasificación de los recursos de
información: Necesita un inventario de los recursos de
información de la organización y con base en este
conocimiento, debe asegurar que se brinde un nivel
adecuado de protección.
4. Seguridad del personal: Establece la necesidad de
educar e informar a los empleados actuales y potenciales
sobre lo que se espera de ellos en materia de seguridad y
asuntos de confidencialidad. También determina cómo
incide el papel que desempeñan los empleados en
materia de seguridad en el funcionamiento general de la
compañía. Se debe implementar un plan para reportar los
incidentes.
5. Seguridad física y ambiental: Responde a la necesidad
de proteger las áreas, el equipo y los controles generales.

13
6. Manejo de las comunicaciones y las operaciones:
Los objetivos de esta sección son:
– Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la información.
– Minimizar el riesgo de falla de los sistemas.
– Proteger la integridad del software y la información.
– Conservar la integridad y disponibilidad del procesamiento y
la comunicación de la información.
– Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
– Evitar daños a los recursos de información e interrupciones en
las actividades de la compañía.
– Evitar la pérdida, modificación o uso indebido de la
información que intercambian las organizaciones.
14
7. Control de acceso: Establece la importancia
de monitorear y controlar el acceso a la red y
los recursos de aplicación como protección
contra los abusos internos e intrusos externos.
8. Desarrollo y mantenimiento de los
sistemas: Recuerda que en toda labor de la
tecnología de la información, se debe
implementar y mantener la seguridad
mediante el uso de controles de seguridad en
todas las etapas del proceso.
15
9. Manejo de la continuidad de la empresa: Aconseja estar
preparado para contrarrestar las interrupciones en las
actividades de la empresa y para proteger los procesos
importantes de la empresa en caso de una falla grave o
desastre.
10. Cumplimiento: Imparte instrucciones a las organizaciones
para que verifiquen si el cumplimiento con la norma técnica
ISO 17799 concuerda con otros requisitos jurídicos, como la
Directiva de la Unión Europea que concierne la Privacidad,
la Ley de Responsabilidad y Transferibilidad del Seguro
Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-
Leach-Billey (GLBA por su sigla en inglés). Esta sección
también requiere una revisión a las políticas de seguridad,
al cumplimiento y consideraciones técnicas que se deben
hacer en relación con el proceso de auditoría del sistema a
fin de garantizar que las empresas obtengan el máximo
beneficio.

16
Beneficios de la norma técnica ISO
17799
• Una organización que adopte la Norma Técnica
Peruana ISO 17799 tiene mayores ventajas
frente a los que no la adopten:
– Mayor seguridad en la organización.
– Planeación y manejo de la seguridad más efectivos.
– Alianzas comerciales y e-commerce más seguras.
– Mayor confianza en el cliente.
– Auditorías de seguridad más precisas y confiables.
– Menor Responsabilidad civil

17
Implementando Seguridad de la
Información

Enfoque General

18
• La seguridad en Internet ha sido siempre
considerada como un problema de ingeniería, y
las organizaciones tratan de resolverlo
utilizando tecnología.
• Este enfoque es incorrecto; la tecnología está
fallando y la situación está empeorando.
• Lo que realmente necesitamos son mejores
modelos de procesos, no mejor tecnología.

19
• La seguridad es un proceso de gestión de
riesgo, y la única forma de que la
Empresa tome las medidas adecuadas es
cambiando sus políticas de seguridad.

• Esto se puede conseguir introduciendo

nuevas normativas, o reforzando las ya
existentes.
20
Confidencialidad Disponibilidad
Salvaguardar la información Acceso a los recursos
de clientes y del negocio. por clientes y empleados.

Integridad
Confianza en la información
del negocio y clientes.

21
ALCANCE DE LA SEGURIDAD

 RH Dedicados
 Entrenamiento
Personas  Seguridad—pensamiento y
prioridad
 Educación de empleados

 Planeación de seguridad
 Prevención
Procesos  Detección
 Reacción

 Tecnología de punta
 Estandar, encripción, protección
Tecnología  Funcionalides de producto
 Herramientas de Seguridad y
productos
22
 Enfoque integral de la seguridad

• La seguridad debe tenerse en cuenta en:

– Todas las etapas de un proyecto
• Diseño
• Desarrollo
• Implementación
– Todas las capas
• Red
• Servidores
• Aplicación

“La seguridad es tan buena como el eslabón más débil” 23

ANALISIS
DE
RIESGOS

24
 Análisis de Riesgos
• ¿Que proteger?

– Acceso a Información comprometida o

confidencial
• Planes de negocio, nominas, contratos, listados passwords, información de
clientes.

– Acceso a Información valiosa

• Documentación, desarrollos de I+D, históricos y archivos.

– Acceso a Inversiones e infraestructura

• Configuraciones, logs, backups, bbdd, webs, intranets, Acceso a servidores,
electrónica y hardware costoso.

25
 Análisis de Riesgos
• Peligros contra la confidencialidad.
– Accesos no autorizados a información confidencial
– Accesos públicos a información confidencial, por error,
mala configuración o descuido.
– Suplantación de usuarios.
– Acceso a servicios confidenciales (correo, bbdd,
servidores de acceso, etc).
– Instalación de caballos de troya.
– Acceso físico a material restringido.

26
 Análisis de Riesgos
• Peligros contra la integridad

– Modificación indebida de datos (fallo de permisos)

– Falta de integridad (borrado o modificación) de datos.
– Imposibilidad de identificar fuente de datos.
– Fallo en la integridad de bases de dato (corrupcion).
– Modificación en archivos de sistema (configuraciones,
logs, etc)
– Destrucción o corrupción de backups.
– Virus.
– Acceso físico a material restringido.
27
 Análisis de Riesgos
• Peligros contra la disponibilidad.

– Caida de servicios externos. (DoS)

– Agotamiento de recursos (ancho de banda, disco, socket,
etc). (DoS o mala config.)
– Fallo de infraestructuras generales de red (routing,
switches, etc). (DoS, fallo, mala configuración o sabotaje)
– Destrucción de configuraciones o servicios. (DoS o
Sabotaje)
– Acceso físico a infraestructura básica. Sabotaje.

28
La Seguridad es un Proceso Continuo

ALERTAR PROTEGER

CONTROL
PROACTIVO

ADMINISTRAR RESPONDER

29
 Costo Económico
• Solo importa cuando suceden los
problemas de seguridad.

• Ajustar la ecuación del riesgo hasta que le

interese e importe a la alta dirección.

• A partir de ese entendimiento se podrá

gestionar la seguridad.
30
 Aplicación de la NTP-ISO/IEC 17799

Establecerun
Establecer unmarco
marco
Publicaruna
Publicar unapolítica
política
detrabajo
de trabajo

Identificarriesgos
Identificar riesgos Implementarlalapolítica
Implementar política

Plande
Plan decontinuidad
continuidad
EDUCACIÓN
EDUCACIÓN
denegocio
de negocio

31
 Entregables de la NTP-ISO/IEC 17799

NTP-ISO/IEC Plan
Política de 17799 vs. el Implementación
Análisis de
Seguridad análisis de de los
riesgos
Institucional riesgos controles de
(Brecha) seguridad

Implementación Gradual y Priorizada

32
 VIRUS INFORMATICOS

La Información como arma

contra los virus

33
 ¿ QUÉ ES UN VIRUS ?

Un virus es un archivo ejecutable

capaz de realizar acciones sin el
consentimiento del usuario.

Un virus puede reproducirse, auto

ejecutarse, ocultarse, infectar otros tipos
de archivos, cambiar de forma, residir en
memoria, etc.

34
 CARACTERÍSTICAS
•Residir en Memoria: Se carga en la memoria del PC, e
infecta todos los archivos ejecutables que se usen.
•No residentes: solo pueden infectar cuando el programa
infectado es ejecutado.
•Ocultamiento: Se esconden de los antivirus, redirigiendo
la lectura del disco , modificando la información para que
el antivirus no detecté que el archivo creció.
•Encriptado: Otro método de ocultamiento, por el cual el
virus permanece encriptado hasta que se ejecuta.
•Polimórficos: estos virus tienen la capacidad de mutar
cambiando parte de su programa de un momento a otro.
•Ejecutables por evento: se ejecutan cuando un evento
sucede en el PC.
•Multipartitos: aquellos virus que son capaces de infectar
35
tanto archivos como sectores de booteo.
 TIPOS DE VIRUS
 Gusanos. Son programas que se reproducen y
no requieren de un anfitrión, porque se
"arrastran" por todo el sistema sin necesidad de
un programa que los transporte. Los gusanos se
cargan en la memoria y se ubican en una
determinada dirección, luego se copian a otro
lugar y se borran del que ocupaban y así
sucesivamente. Borran los programas o la
información que encuentran a su paso por la
memoria, causan problemas de operación o
pérdida de datos.
Virus mutantes, polimófircos. Son los que, al
infectar, realizan modificaciones a su código,
para evitar su de detección o eliminación. 36
 Tipos de Virus
• Continuación
 Virus de macro / código fuente. Se adjuntan a los
programas fuente de los usuarios y a las macros
utilizadas por procesadores de palabras, Hojas de
cálculo

 Caballos de Troya. Son aquellos que se

introducen al sistema bajo una apariencia
totalmente diferente a la de su objetivo final. Pero
al cabo de algún tiempo, y de acuerdo con una
indicación programada, "despiertan" y comienzan a
ejecutarse y a mostrar sus verdaderas intenciones.

37
 Auto replicables. Son los virus que se auto
reproducen e infectan los programas ejecutables
que se encuentran en el disco. Se activan en una
fecha u hora programada o cada determinado
tiempo, a partir de su última ejecución, o
simplemente al "sentir" que se les trata de
detectar.
Bombas de tiempo. Son los programas ocultos
en la memoria del sistema, en los discos o en los
archivos de programas ejecutables con tipo COM
o EXE, que esperan una fecha o una hora
determinada para "explotar".

38
Infectores del área de carga inicial. Infectan
los disquetes o el disco duro, se alojan
inmediatamente en el área de carga. Toman
el control cuando se enciende la computadora
y lo conservan todo el tiempo.
 Infectores de programas ejecutables. Estos
son los virus más peligrosos, porque se
diseminan fácilmente hacia cualquier
programa como hojas de cálculo, juegos,
procesadores de palabras.
Infectores del sistema. Se introducen en los
programas del sistema, por ejemplo
COMMAND.COM y otros que se alojan como
residentes en memoria. 39
 Infectores de archivo. Existen virus que
aprovechan vulnerabilidades y funcionalidades
de ciertas aplicaciones para replicarse en los
archivos que éstas utilizan. Un ejemplo de esto
son aquellos virus capaces de reproducirse en
algunas versiones de Adobe Acrobat a través de
archivos PDF.
 Residente. Se denomina un virus residente
cuando es capaz de mantenerse en memoria
desde el inicio del equipo infectado, ya sea
cargándose desde el sector de arranque del
mismo o como un servicio del sistema
operativo, hasta que el mismo se apaga.

40
 DEFINICIÓN DE ANTIVIRUS

Es un programa o conjunto de ellos, capaz de

identificar archivos que alojan un virus informático, con
capacidad para desinfectarlos y eliminarlos. Existen
diversos tipos de antivirus, pero su función siempre es
la misma: detectar virus informáticos.

Prinicipales antivirus:
AntiViral Toolkit Pro (AVP)
F-Secure Anti-Virus

McAfee VirusScan Norman Virus Control

Norton Antivirus Panda Platinum

PC-Cillin Sophos Antivirus

41
MODELAMIENTO DE SISTEMAS

42
 I. Introducción: Modelado de SW

Construcción de una casa para “fido”

Puede hacerlo una sola persona

Requiere:
Modelado mínimo
Proceso simple
Herramientas simples

43
 I. Introducción: Modelado de SW

Construcción de un rascacielos

44
 I. Introducción: Modelado de SW

Claves en Desarrollo de SI

TECNOLOGICA

ORGANIZACION PROCESO

45
 I. Introducción: Modelado de SW

Abstracción - Modelado Visual (MV)

“El modelado captura las

partes esenciales del sistema”

Orden

Item

envío

Proceso de Negocios

Sistema Computacional
46
 II. Breve Tour por UML

Modelos y Diagramas
 Un modelo : Representa la vista de un sistema
del mundo real. Es una abstracción de la realidad
Así, el modelo describe aquellos aspectos del
sistema que son relevantes al propósito del
modelo, y a un apropiado nivel de detalle.

 Diagrama: Representación gráfica de una

colección de elementos de modelado, a menudo
dibujada como un grafo .
OMG UML 1.4 Specification
47
 II. Breve Tour por UML

... Modelos y Diagramas

 Un proceso de desarrollo de software debe ofrecer un
conjunto de modelos que permitan expresar el producto
desde cada una de las perspectivas de interés

 Cada modelo es completo desde su punto de vista del

sistema, sin embargo, existen relaciones de trazabilidad
entre los diferentes modelos
48
 II. Breve Tour por UML

Diagramas de UML 1.5

 Diagrama de Casos de Uso
 Diagrama de Clases
 Diagrama de Objetos
Diagramas de Comportamiento
 Diagrama de Estados
 Diagrama de Actividad
Diagramas de Interacción
 Diagrama de Secuencia
 Diagrama de Colaboración
Diagramas de implementación
 Diagrama de Componentes
 Diagrama de Despliegue
49
 II. Breve Tour por UML

... Diagramas de UML

Los diagramas expresan gráficamente partes de un modelo
State
State
Use Case Diagramas de
Diagrams
Use Case Diagrams State
Use Case Diagramas de
Diagrams Clases State
Use Case Diagrams Diagramas de
Diagrams
Diagramas de
Diagrams Casos de Uso Diagrams
Diagrams Objetos
Secuencia

Scenario State
Scenario State
Diagramas de
Diagrams Diagramas de
Diagrams
Diagrams Diagrams
Colaboración Modelos Componentes

Scenario Component
Scenario Component
Diagramas
Diagrams de
Diagramas de
Diagrams Diagrams
Diagrams Distribución
Estados Diagramas de
Actividad
50
FRASE CELEBRE

51
"Conoce al enemigo y conócete a ti mismo y, en
cien batallas, no correrás jamás el más mínimo
peligro.
Cuando no conozcas al enemigo, pero te
conozcas a ti mismo, las probabilidades de
victoria o de derrota son iguales.
Pero si a un tiempo ignoras todo del enemigo y
de ti mismo, es seguro que estás en peligro en
cada batalla"
Sun Tzu, El Arte de la Guerra

52