SlideShare ist ein Scribd-Unternehmen logo

Seguridad Global

Internet Security Auditors
Internet Security Auditors

Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21. Se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.

Technologie
1 von 29
Downloaden Sie, um offline zu lesen
SEGURIDAD GLOBAL P o r t a d a Vicente Aguilera / vaguilera@isecauditors.com Daniel Fernández / dfernandez@isecauditors.com 27 de Noviembre de 2002 © 2002 Internet Security Auditors S.L.
2 © 2002 Internet Security Auditors S.L. Contenidos • Seguridad Global. • Origen y Tipos de Ataques. • Incidentes y Vulnerabilidades. • Capas de la Seguridad Corporativa: • Seguridad en la Arquitectura de la Red. • Sistemas de Protección. • Seguridad en las Aplicaciones de Servidor. • Seguridad en Sistemas Operativos. • Política de Seguridad. • Soluciones. • Conclusiones.
3 © 2002 Internet Security Auditors S.L. Seguridad Global DMZ a RS CS TR RD TD CD TALK / DATA TALK Modems PDA's/Palms Firewall Correo Teletrabajadores Trabajador Hacker Web DNS Servidores Internos Internet RS CS TR RD TD CD TALK / DATA TALK Hub Sniffing POWERFAUL T DATA ALARM Remote Access Server (RAS) Intranet P OWERFAULT DATA ALA RM Wireless Access PointsHacker Antena Wireles Hacker Internet VPN Intranet
4 © 2002 Internet Security Auditors S.L. Origen de los Ataques 1999 27% 73% 2002 1 34% 66% Internos Externos ORIGEN (Hacking interno vs Hacking Externo) Externos Ataques aleatorios (61% 2, 80-90% 3). Competencia. Ex – empleados. Internos Empleados descontentos. Empleados curiosos. Personal externo. 1 The Register (28-10-2002) 2 Riptech, Inc. Wall Street Journal (28-1-2002) 3 National Swedish Council for Crime Prevention (2002)
5 © 2002 Internet Security Auditors S.L. Tipos de Ataques • Ingeniería Social • Password cracking • Wardialing: - Modem - RAS - PBX • Wireless Attacks • Ataques Físicos • Intrusiones: - Vulnerabilidades -> Aumento de Gusanos - Configuraciones defectuosas - Arquitecturas defectuosas • Ataques internos: - Privilegios incorrectos - Cuotas no adecuadas (ancho banda, espacio en disco,etc.) - Sniffing • Correo / Navegación web: - Virus - Troyanos • DoS/DDoS/DRDoS
6 © 2002 Internet Security Auditors S.L. Incidentes y Vulnerabilidades Problemas de seguridad Los incidentes y vulnerabilidades crecen exponencialmente Incidentes de Seguridad 0 10000 20000 30000 40000 50000 60000 70000 80000 1997 1998 1999 2000 2001 Q1-Q3, 2002 Vulnerabilidades publicadas 0 500 1000 1500 2000 2500 3000 3500 1997 1998 1999 2000 2001 Q1-Q3, 2002 Es fácil ser Hacker • Los ordenadores están interconectados, no hay equipos aislados. • El delito electrónico deja pocas huellas. • La información para ser Hacker es pública y accesible a todo el mundo. • Está de moda ser Hacker.
7 © 2002 Internet Security Auditors S.L. Consecuencias • Caída de los sistemas • Robo de información confidencial • Pérdida, alteración o filtración de datos críticos • Pérdida de productividad • Pérdida de prestigio • Pérdida de confianza de los clientes • Cyberextorsión • Fraude
8 © 2002 Internet Security Auditors S.L. ¿Qué aspectos cubre la seguridad? Antes de abordar el uso de medidas de seguridad debemos respondernos estas preguntas: • ¿Qué se quiere proteger? – Hardware / Software / Datos • ¿De qué nos queremos proteger? – Personas / Amenazas lógicas / Catástrofes • ¿Cómo nos podemos proteger? – Mecanismos de Seguridad: • Prevención • Detección • Recuperación. •¿Qué riesgo podemos asumir? – Hay que asumir un cierto riesgo. – Tiene que estar cuantificado. • ¿Qué valor tiene lo que queremos proteger? – La inversión en seguridad ha de ir acorde a aquello que queremos proteger. • ¿Cómo vamos a gestionar la protección? – Personal capacitado. – Formación constante. – Conocimiento de últimos ataques y contramedidas. • ¿Qué control haremos sobre los sistemas? – La seguridad se degrada. – Los sistemas necesitan revisiones.
9 © 2002 Internet Security Auditors S.L. Capas de la Seguridad Corporativa Arquitectura de Red Aplicaciones de Servidor Sistemas Operativos Sistemas de Protección Usuarios Politica de Seguridad
10 © 2002 Internet Security Auditors S.L. Arquitectura de Red • Antes de implantar una red hay que diseñarla. • Durante el diseño se ha de tener en cuenta la seguridad. • La red tiene que cubrir estos aspectos: – Escalabilidad: • Capacidad de crecer con la propia empresa. • Adopción de nuevas necesidades de forma simple. – Fiabilidad: • Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas. • Disposición de mecanismos de recuperación antes problemas graves. – Ubicación óptima de los servidores. • Protección física de servidores. • Situación en diferentes condiciones de los servidores. – Accesos controlados a la red. • Controlar TODOS los accesos a la red corporativa: Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc.
11 © 2002 Internet Security Auditors S.L. Sistemas de Protección Sistemas de defensa frente a ataques: • FireWalls – Personales – Firewalls Software – Firewalls Hardware • Intrusion Detection System (IDS) – HIDS (detección de intrusos a nivel de host) – NIDS (detección de intrusos a nivel de red) • Antivirus – Servidores – Clientes • Monitorización de redes – Sniffers – Monitores de red
12 © 2002 Internet Security Auditors S.L. Seguridad en las Aplicaciones de Servidor (I) Aspectos a tener en cuenta: • Configuración de las Aplicaciones • Actualizaciones • Protocolos Seguros • Aplicaciones Propietarias • Registros (Logs)
13 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (II) Configuración Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar • Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.: – Vulnerabilidades. – Información sobre el sistema. – Información sobre la aplicación. – Información sobre la configuración. • Las opciones por defecto no ofrecen los rendimientos óptimos. • Las aplicaciones de servidor deben ser securizadas. • Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.
14 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (III) Actualizaciones • Actualizar día a día. • Conocer al día las actualizaciones que nos interesan. – Subscripciones a listas de correo, foros, IRC, news: • Oficiales: Vulnerabilidades Fabricantes • Underground / Hacking: Vulnerabilidades no publicadas • Asegurarse que los parches son legítimos. – Emplear fuentes fidedignas cuando se realizan updates. – Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc. • Instalar sólo aquello con lo que nuestro sistema se beneficie. – Reducción del daño colateral en el parcheado.
15 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (IV) Protocolos seguros • Es necesario securizar el canal de transmisión de datos. • Deben emplearse alternativas que empleen cifrado en las comunicaciones: – FTP FTP+SSL, FTP+SSH – Telnet SSH – POP3/SMTP POP3/SMTP + SSH, POP3s – HTTP HTTPS – LDAP LDAP + SSL • Protocolos inseguros pueden convertirse en seguros. • Optar por alternativas seguras cuando se dispone de ellas.
16 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (V) Aplicaciones Propietarias • Las aplicaciones propietarias Internet/Intranet/Extranet pueden tener vulnerabilidades de igual forma que las comerciales. • Los programadores no tienen conocimientos de seguridad. – Programadores + Analistas Seguridad – Auditar Aplicaciones. • Las aplicaciones son vulnerables a gran cantidad de ataques: – SQL Injection. – Cross Site Scripting. – Ejecución de comandos de SO. – URL Unicode/Codificadas. – Manipulación de cookies, formularios, cabeceras HTTP y URL. – Password cracking, evasión de autenticaciones, robo/reciclado de sesiones. – Extracción de información de comentarios, mensajes de error, cache, histórico, etc. – Cuentas por defecto, vulnerabilidades publicadas. • Uso de una metodología que cubre todos estos aspectos (OWASP).
17 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (VI) Registros (Logs) • Es necesario activar las opciones de registro de las aplicaciones críticas. • Deben realizarse revisiones periódicas de los registros. • Debe existir personal cualificado para realizar estos análisis. • Existen herramientas para facilitar el análisis de estos logs off-line. • Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas.
18 © 2002 Internet Security Auditors S.L. Seguridad en Sistemas Operativos Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar • Puertos / Servicios – Cualquier puerto abierto es una puerta de entrada: • Cerrar puertos no usados. • Emplear protección para los puertos usados (p.e. filtraje por IPs) • Permisos a usuarios y grupos – Conceder los permisos adecuados en detalle a cada recurso – Usuarios por defecto • Accounting – Activación de los logs del sistema y revisarlos periódicamente. • Logins / Passwords – Contraseñas (robustez, protección) – Cuentas por defecto
19 © 2002 Internet Security Auditors S.L. Política de Seguridad (I) • ¿Qué es? Define las directrices en cuanto a seguridad de la empresa. • ¿Qué puntos debe tratar? 1.- Objetivo, ámbito y motivación. 2.- Aplicabilidad y responsabilidades. 3.- Seguridad Lógica. 3.1.- Seguridad de software. 3.2.- Desarrollo de software y control de cambios. 3.3.- Seguridad de la Información. 3.4.- Seguridad en las comunicaciones. 4.- Gestión de la seguridad. 4.1.- Administración de la seguridad. 4.2.- Seguridad del personal. 4.3.- Estructura y organización. 5.- Seguridad física. 5.1.- Acceso físico. 5.2.- Ubicación y construcción de instalaciones informáticas.
20 © 2002 Internet Security Auditors S.L. Política de Seguridad (II) Política de Seguridad vs Ingeniería Social • Finalidad de la Política de Seguridad: – Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores. – Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo). • ¿Cómo hacerla conocer? – Dividir en grupos según la necesidad. – Definir los medios de difusión en función de la audiencia (presentaciones, videos, pósters, etc.). • ¿Consecuencias de una mala difusión? – La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad por parte de los empleados. • Virus / Troyanos • Suplantación de personalidad (mail, teléfono, etc.) • News • Passwords • Hoax • Fugas inconscientes de información
21 © 2002 Internet Security Auditors S.L. Soluciones (I) Seguridad Global • Seguridad Global = Soluciones Globales. Las soluciones, al igual que la seguridad, han de ser globales. • Análisis Global = Auditorías de Seguridad. Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad. • Seguridad Permanente = Auditorías Periódicas. Las Seguridad es un proceso continuo. • Conciencia de la Seguridad = Formación adecuada. La formación del personal técnico y de los empleados reduce gastos.
22 © 2002 Internet Security Auditors S.L. Soluciones (II) PYMES Las PYMES necesitan Soluciones Globales... • Estudio de las necesidades de seguridad de la empresa: – Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc. – Propuestas de diseños posibles, con equipamientos distintos y costes adaptados: • Existen muchos productos en el mercado. • Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa. • Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso. • Instalación y configuración de las soluciones escogidas. • Auditoría específica para PYMES: – Test de Antivirus. – Configuración de seguridad de los Navegadores Web. – Detección de vulnerabilidades de los sistemas expuestos a Internet. – Test de Firewall/Router. – Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de Aplicaciones no Corporativas, etc. – Test del Servidor de Correo. – Test de seguridad de los sistemas de la DMZ. – Test de integración entre los existentes y los nuevos sistemas de la DMZ.
23 © 2002 Internet Security Auditors S.L. Soluciones (III) PYMES • La Auditoría permite detectar y eliminar problemas existentes de seguridad: – Configuraciones defectuosas de los sistemas existentes. – Vulnerabilidades no parcheadas de los sistemas. – Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router. – Configuraciones incorrectas o no optimas de Antivirus. – Configuraciones inseguras de los navegadores web. • Formación al personal técnico y no técnico.
24 © 2002 Internet Security Auditors S.L. Soluciones (IV) Auditorías de Seguridad • Análisis global de la seguridad: – Analizan los distintos puntos de entrada a la red. – Analizan la protección existente en los servidores y entre subredes. – Visión externa, objetiva y real de la seguridad de la empresa. – Aportan soluciones a los problemas de seguridad encontrados. • Ámbitos de las Auditorías: – Internet (Test de Intrusión): • Se exponen máquinas a Internet. • Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet) – DMZ: • Qué capacidad de defensa tiene la red interna desde la DMZ. • En la DMZ pueden existir máquinas/recursos no visibles desde Internet pero accesibles desde la propia DMZ. • En la DMZ pueden existir máquinas/recursos que no deben ser accesibles desde la Intranet. – Intranet: • En la red interna hay servidores y datos críticos. • Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos.
25 © 2002 Internet Security Auditors S.L. Soluciones (V) Auditorías de Seguridad • La importancia de seguir una metodología (OSSTM) – Estándar abierto – ISO 17799 / BS7799 • Una Auditoría NO es un escaneo automático de vulnerabilidades. – Sondeo de red. – Escáner de puertos, identificación de servicios y sistemas operativos. – Test Automático de Vulnerabilidades – Password Cracking. – Document Grinding. – Test de Antivirus. – Test de Firewall y ACLs. – Test de Medidas de Contención. – Revisión de la Política de Privacidad. – Test de los sistemas de confianza. – Test y verificación Manual de vulnerabilidades. – Test de Aplicaciones no Corporativas. – Test del Sistema de Detección de Intrusos (IDS). – Test de Denegación de Servicio – Test de Aplicaciones Corporativas. – Test de Ingeniería Social. Red Puntos de entrada en la red Falsos Positivos Deficiencias de Seguridad Gravedad de la Deficiencia
26 © 2002 Internet Security Auditors S.L. Soluciones (VI) Formación • Cuando hablamos de seguridad, nada puede quedar en el aire: – Una formación técnica para mantener los equipamientos: • Formación para el mantenimiento y configuración de nuevos equipamientos de seguridad (firewalls, routers, antivirus, sistemas de backup, monitorización, etc.) • Formación para la gestión de sus servidores web, de correo, etc. – Una formación de seguridad a los usuarios reduce problemas recurrentes: • Formación para el uso seguro de Internet (navegación segura, posibles peligros, etc). • Uso seguro del correo. • Políticas de contraseñas. • etc. • El 58% de los Administradores de Sistemas piensa que sus propios departamentos son una de las principales brechas de seguridad de sus compañías (The Register UK, 28/10/2002). • El 67% siente que carece de la adecuada experiencia o conocimientos para tratar los problemas de seguridad que deben tratar (The Register UK, 28/10/2002).
27 © 2002 Internet Security Auditors S.L. Soluciones (VII) Auditorías Periódicas • La seguridad es un proceso continuo. – La seguridad se degrada con el tiempo: • Nuevos servicios. • Nuevas máquinas. • Aparición de nuevos bugs en las aplicaciones. • Rotación del personal. Degradación de la Seguridad 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1 31 61 91 121 151 181 211 241 Días NiveldeSeguridadtras unaAuditoríaPlatino Sistema minimamente cambiante Sistema medianamente cambiante Sistema altamente cambiante
28 © 2002 Internet Security Auditors S.L. Conclusiones • La seguridad debe tratarse desde todos los puntos de vista de la empresa. • Debemos ser proactivos: actuar tras un ataque SIEMPRE tiene un coste mayor. • Es necesario evaluar periódicamente el nivel de protección de nuestra red mediante Auditorías de Seguridad.
Contact o Llacuna, 162 08018 Barcelona Tel./Fax: 93 401 96 97 info@isecauditors.com www.isecauditors.com © 2002 Internet Security Auditors S.L.

Empfohlen

Prevencion de-riesgos-en-talleres-mecanicos
Prevencion de-riesgos-en-talleres-mecanicosPrevencion de-riesgos-en-talleres-mecanicos
Prevencion de-riesgos-en-talleres-mecanicosHeilerg Arbelaez Martinez
 
122378256 simbolos-norma-ansi
122378256 simbolos-norma-ansi122378256 simbolos-norma-ansi
122378256 simbolos-norma-ansipavellazaro
 
Lubricantes - Grasas Lubricantes
Lubricantes - Grasas Lubricantes Lubricantes - Grasas Lubricantes
Lubricantes - Grasas Lubricantes Oscar Martinez Ramirez
 
PLC y Electroneumática: Automatismos industriales.pdf
PLC y Electroneumática: Automatismos industriales.pdfPLC y Electroneumática: Automatismos industriales.pdf
PLC y Electroneumática: Automatismos industriales.pdfSANTIAGO PABLO ALBERTO
 
Contador del 0 al 99
Contador del 0 al 99Contador del 0 al 99
Contador del 0 al 99Leida Zuñiga
 
Curso de Lubricación
Curso de LubricaciónCurso de Lubricación
Curso de Lubricacióncipriano alejandro
 
Informe # 7 leadwell
Informe # 7 leadwellInforme # 7 leadwell
Informe # 7 leadwellemilysamantha
 
Manejo de avisos y alarmas en HMI
Manejo de avisos y alarmas en HMIManejo de avisos y alarmas en HMI
Manejo de avisos y alarmas en HMIjohn piñeros
 

Empfohlen

Prevencion de-riesgos-en-talleres-mecanicos
Prevencion de-riesgos-en-talleres-mecanicosPrevencion de-riesgos-en-talleres-mecanicos
Prevencion de-riesgos-en-talleres-mecanicosHeilerg Arbelaez Martinez
 
122378256 simbolos-norma-ansi
122378256 simbolos-norma-ansi122378256 simbolos-norma-ansi
122378256 simbolos-norma-ansipavellazaro
 
Lubricantes - Grasas Lubricantes
Lubricantes - Grasas Lubricantes Lubricantes - Grasas Lubricantes
Lubricantes - Grasas Lubricantes Oscar Martinez Ramirez
 
PLC y Electroneumática: Automatismos industriales.pdf
PLC y Electroneumática: Automatismos industriales.pdfPLC y Electroneumática: Automatismos industriales.pdf
PLC y Electroneumática: Automatismos industriales.pdfSANTIAGO PABLO ALBERTO
 
Contador del 0 al 99
Contador del 0 al 99Contador del 0 al 99
Contador del 0 al 99Leida Zuñiga
 
Curso de Lubricación
Curso de LubricaciónCurso de Lubricación
Curso de Lubricacióncipriano alejandro
 
Informe # 7 leadwell
Informe # 7 leadwellInforme # 7 leadwell
Informe # 7 leadwellemilysamantha
 
Manejo de avisos y alarmas en HMI
Manejo de avisos y alarmas en HMIManejo de avisos y alarmas en HMI
Manejo de avisos y alarmas en HMIjohn piñeros
 
Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalInternet Security Auditors
 
presentacionForodeSeguridadSectorTelcosJahir.pdf
presentacionForodeSeguridadSectorTelcosJahir.pdfpresentacionForodeSeguridadSectorTelcosJahir.pdf
presentacionForodeSeguridadSectorTelcosJahir.pdferick562350
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Foro de Seguridad Sector Telcos Jahir
Foro de Seguridad Sector Telcos Jahir Foro de Seguridad Sector Telcos Jahir
Foro de Seguridad Sector Telcos JahirDanielLopez113433
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRVíctor Hernández
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRHelpSystems
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Mundo Contact
 
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalBe Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalSymantec LATAM
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisarAlexys Rodriguez
 
Presentación aensis
Presentación aensisPresentación aensis
Presentación aensisJose Luis Garcia Rodriguez
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos claseRoberto_Mendez
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaArsys
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-camposMarcos de Jesus Alonso Hernandez
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Weitere ähnliche Inhalte

Ähnlich wie Seguridad Global

presentacionForodeSeguridadSectorTelcosJahir.pdf
presentacionForodeSeguridadSectorTelcosJahir.pdfpresentacionForodeSeguridadSectorTelcosJahir.pdf
presentacionForodeSeguridadSectorTelcosJahir.pdferick562350
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Foro de Seguridad Sector Telcos Jahir
Foro de Seguridad Sector Telcos Jahir Foro de Seguridad Sector Telcos Jahir
Foro de Seguridad Sector Telcos JahirDanielLopez113433
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRVíctor Hernández
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPRHelpSystems
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Mundo Contact
 
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalBe Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalSymantec LATAM
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos claseRoberto_Mendez
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaArsys
 

Ähnlich wie Seguridad Global (20)

Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia Digital
 
presentacionForodeSeguridadSectorTelcosJahir.pdf
presentacionForodeSeguridadSectorTelcosJahir.pdfpresentacionForodeSeguridadSectorTelcosJahir.pdf
presentacionForodeSeguridadSectorTelcosJahir.pdf
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusos
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Foro de Seguridad Sector Telcos Jahir
Foro de Seguridad Sector Telcos Jahir Foro de Seguridad Sector Telcos Jahir
Foro de Seguridad Sector Telcos Jahir
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
 
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPREstrategias para compartir información de forma ágil, segura y cumplir con GDPR
Estrategias para compartir información de forma ágil, segura y cumplir con GDPR
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
 
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcional...
 
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalBe Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto final
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Presentación aensis
Presentación aensisPresentación aensis
Presentación aensis
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos clase
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad Gestionada
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-campos
 

Mehr von Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Mehr von Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Kürzlich hochgeladen

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Kürzlich hochgeladen (16)

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Seguridad Global

  • 1. SEGURIDAD GLOBAL P o r t a d a Vicente Aguilera / vaguilera@isecauditors.com Daniel Fernández / dfernandez@isecauditors.com 27 de Noviembre de 2002 © 2002 Internet Security Auditors S.L.
  • 2. 2 © 2002 Internet Security Auditors S.L. Contenidos • Seguridad Global. • Origen y Tipos de Ataques. • Incidentes y Vulnerabilidades. • Capas de la Seguridad Corporativa: • Seguridad en la Arquitectura de la Red. • Sistemas de Protección. • Seguridad en las Aplicaciones de Servidor. • Seguridad en Sistemas Operativos. • Política de Seguridad. • Soluciones. • Conclusiones.
  • 3. 3 © 2002 Internet Security Auditors S.L. Seguridad Global DMZ a RS CS TR RD TD CD TALK / DATA TALK Modems PDA's/Palms Firewall Correo Teletrabajadores Trabajador Hacker Web DNS Servidores Internos Internet RS CS TR RD TD CD TALK / DATA TALK Hub Sniffing POWERFAUL T DATA ALARM Remote Access Server (RAS) Intranet P OWERFAULT DATA ALA RM Wireless Access PointsHacker Antena Wireles Hacker Internet VPN Intranet
  • 4. 4 © 2002 Internet Security Auditors S.L. Origen de los Ataques 1999 27% 73% 2002 1 34% 66% Internos Externos ORIGEN (Hacking interno vs Hacking Externo) Externos Ataques aleatorios (61% 2, 80-90% 3). Competencia. Ex – empleados. Internos Empleados descontentos. Empleados curiosos. Personal externo. 1 The Register (28-10-2002) 2 Riptech, Inc. Wall Street Journal (28-1-2002) 3 National Swedish Council for Crime Prevention (2002)
  • 5. 5 © 2002 Internet Security Auditors S.L. Tipos de Ataques • Ingeniería Social • Password cracking • Wardialing: - Modem - RAS - PBX • Wireless Attacks • Ataques Físicos • Intrusiones: - Vulnerabilidades -> Aumento de Gusanos - Configuraciones defectuosas - Arquitecturas defectuosas • Ataques internos: - Privilegios incorrectos - Cuotas no adecuadas (ancho banda, espacio en disco,etc.) - Sniffing • Correo / Navegación web: - Virus - Troyanos • DoS/DDoS/DRDoS
  • 6. 6 © 2002 Internet Security Auditors S.L. Incidentes y Vulnerabilidades Problemas de seguridad Los incidentes y vulnerabilidades crecen exponencialmente Incidentes de Seguridad 0 10000 20000 30000 40000 50000 60000 70000 80000 1997 1998 1999 2000 2001 Q1-Q3, 2002 Vulnerabilidades publicadas 0 500 1000 1500 2000 2500 3000 3500 1997 1998 1999 2000 2001 Q1-Q3, 2002 Es fácil ser Hacker • Los ordenadores están interconectados, no hay equipos aislados. • El delito electrónico deja pocas huellas. • La información para ser Hacker es pública y accesible a todo el mundo. • Está de moda ser Hacker.
  • 7. 7 © 2002 Internet Security Auditors S.L. Consecuencias • Caída de los sistemas • Robo de información confidencial • Pérdida, alteración o filtración de datos críticos • Pérdida de productividad • Pérdida de prestigio • Pérdida de confianza de los clientes • Cyberextorsión • Fraude
  • 8. 8 © 2002 Internet Security Auditors S.L. ¿Qué aspectos cubre la seguridad? Antes de abordar el uso de medidas de seguridad debemos respondernos estas preguntas: • ¿Qué se quiere proteger? – Hardware / Software / Datos • ¿De qué nos queremos proteger? – Personas / Amenazas lógicas / Catástrofes • ¿Cómo nos podemos proteger? – Mecanismos de Seguridad: • Prevención • Detección • Recuperación. •¿Qué riesgo podemos asumir? – Hay que asumir un cierto riesgo. – Tiene que estar cuantificado. • ¿Qué valor tiene lo que queremos proteger? – La inversión en seguridad ha de ir acorde a aquello que queremos proteger. • ¿Cómo vamos a gestionar la protección? – Personal capacitado. – Formación constante. – Conocimiento de últimos ataques y contramedidas. • ¿Qué control haremos sobre los sistemas? – La seguridad se degrada. – Los sistemas necesitan revisiones.
  • 9. 9 © 2002 Internet Security Auditors S.L. Capas de la Seguridad Corporativa Arquitectura de Red Aplicaciones de Servidor Sistemas Operativos Sistemas de Protección Usuarios Politica de Seguridad
  • 10. 10 © 2002 Internet Security Auditors S.L. Arquitectura de Red • Antes de implantar una red hay que diseñarla. • Durante el diseño se ha de tener en cuenta la seguridad. • La red tiene que cubrir estos aspectos: – Escalabilidad: • Capacidad de crecer con la propia empresa. • Adopción de nuevas necesidades de forma simple. – Fiabilidad: • Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas. • Disposición de mecanismos de recuperación antes problemas graves. – Ubicación óptima de los servidores. • Protección física de servidores. • Situación en diferentes condiciones de los servidores. – Accesos controlados a la red. • Controlar TODOS los accesos a la red corporativa: Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc.
  • 11. 11 © 2002 Internet Security Auditors S.L. Sistemas de Protección Sistemas de defensa frente a ataques: • FireWalls – Personales – Firewalls Software – Firewalls Hardware • Intrusion Detection System (IDS) – HIDS (detección de intrusos a nivel de host) – NIDS (detección de intrusos a nivel de red) • Antivirus – Servidores – Clientes • Monitorización de redes – Sniffers – Monitores de red
  • 12. 12 © 2002 Internet Security Auditors S.L. Seguridad en las Aplicaciones de Servidor (I) Aspectos a tener en cuenta: • Configuración de las Aplicaciones • Actualizaciones • Protocolos Seguros • Aplicaciones Propietarias • Registros (Logs)
  • 13. 13 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (II) Configuración Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar • Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.: – Vulnerabilidades. – Información sobre el sistema. – Información sobre la aplicación. – Información sobre la configuración. • Las opciones por defecto no ofrecen los rendimientos óptimos. • Las aplicaciones de servidor deben ser securizadas. • Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.
  • 14. 14 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (III) Actualizaciones • Actualizar día a día. • Conocer al día las actualizaciones que nos interesan. – Subscripciones a listas de correo, foros, IRC, news: • Oficiales: Vulnerabilidades Fabricantes • Underground / Hacking: Vulnerabilidades no publicadas • Asegurarse que los parches son legítimos. – Emplear fuentes fidedignas cuando se realizan updates. – Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc. • Instalar sólo aquello con lo que nuestro sistema se beneficie. – Reducción del daño colateral en el parcheado.
  • 15. 15 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (IV) Protocolos seguros • Es necesario securizar el canal de transmisión de datos. • Deben emplearse alternativas que empleen cifrado en las comunicaciones: – FTP FTP+SSL, FTP+SSH – Telnet SSH – POP3/SMTP POP3/SMTP + SSH, POP3s – HTTP HTTPS – LDAP LDAP + SSL • Protocolos inseguros pueden convertirse en seguros. • Optar por alternativas seguras cuando se dispone de ellas.
  • 16. 16 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (V) Aplicaciones Propietarias • Las aplicaciones propietarias Internet/Intranet/Extranet pueden tener vulnerabilidades de igual forma que las comerciales. • Los programadores no tienen conocimientos de seguridad. – Programadores + Analistas Seguridad – Auditar Aplicaciones. • Las aplicaciones son vulnerables a gran cantidad de ataques: – SQL Injection. – Cross Site Scripting. – Ejecución de comandos de SO. – URL Unicode/Codificadas. – Manipulación de cookies, formularios, cabeceras HTTP y URL. – Password cracking, evasión de autenticaciones, robo/reciclado de sesiones. – Extracción de información de comentarios, mensajes de error, cache, histórico, etc. – Cuentas por defecto, vulnerabilidades publicadas. • Uso de una metodología que cubre todos estos aspectos (OWASP).
  • 17. 17 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (VI) Registros (Logs) • Es necesario activar las opciones de registro de las aplicaciones críticas. • Deben realizarse revisiones periódicas de los registros. • Debe existir personal cualificado para realizar estos análisis. • Existen herramientas para facilitar el análisis de estos logs off-line. • Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas.
  • 18. 18 © 2002 Internet Security Auditors S.L. Seguridad en Sistemas Operativos Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar • Puertos / Servicios – Cualquier puerto abierto es una puerta de entrada: • Cerrar puertos no usados. • Emplear protección para los puertos usados (p.e. filtraje por IPs) • Permisos a usuarios y grupos – Conceder los permisos adecuados en detalle a cada recurso – Usuarios por defecto • Accounting – Activación de los logs del sistema y revisarlos periódicamente. • Logins / Passwords – Contraseñas (robustez, protección) – Cuentas por defecto
  • 19. 19 © 2002 Internet Security Auditors S.L. Política de Seguridad (I) • ¿Qué es? Define las directrices en cuanto a seguridad de la empresa. • ¿Qué puntos debe tratar? 1.- Objetivo, ámbito y motivación. 2.- Aplicabilidad y responsabilidades. 3.- Seguridad Lógica. 3.1.- Seguridad de software. 3.2.- Desarrollo de software y control de cambios. 3.3.- Seguridad de la Información. 3.4.- Seguridad en las comunicaciones. 4.- Gestión de la seguridad. 4.1.- Administración de la seguridad. 4.2.- Seguridad del personal. 4.3.- Estructura y organización. 5.- Seguridad física. 5.1.- Acceso físico. 5.2.- Ubicación y construcción de instalaciones informáticas.
  • 20. 20 © 2002 Internet Security Auditors S.L. Política de Seguridad (II) Política de Seguridad vs Ingeniería Social • Finalidad de la Política de Seguridad: – Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores. – Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo). • ¿Cómo hacerla conocer? – Dividir en grupos según la necesidad. – Definir los medios de difusión en función de la audiencia (presentaciones, videos, pósters, etc.). • ¿Consecuencias de una mala difusión? – La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad por parte de los empleados. • Virus / Troyanos • Suplantación de personalidad (mail, teléfono, etc.) • News • Passwords • Hoax • Fugas inconscientes de información
  • 21. 21 © 2002 Internet Security Auditors S.L. Soluciones (I) Seguridad Global • Seguridad Global = Soluciones Globales. Las soluciones, al igual que la seguridad, han de ser globales. • Análisis Global = Auditorías de Seguridad. Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad. • Seguridad Permanente = Auditorías Periódicas. Las Seguridad es un proceso continuo. • Conciencia de la Seguridad = Formación adecuada. La formación del personal técnico y de los empleados reduce gastos.
  • 22. 22 © 2002 Internet Security Auditors S.L. Soluciones (II) PYMES Las PYMES necesitan Soluciones Globales... • Estudio de las necesidades de seguridad de la empresa: – Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc. – Propuestas de diseños posibles, con equipamientos distintos y costes adaptados: • Existen muchos productos en el mercado. • Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa. • Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso. • Instalación y configuración de las soluciones escogidas. • Auditoría específica para PYMES: – Test de Antivirus. – Configuración de seguridad de los Navegadores Web. – Detección de vulnerabilidades de los sistemas expuestos a Internet. – Test de Firewall/Router. – Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de Aplicaciones no Corporativas, etc. – Test del Servidor de Correo. – Test de seguridad de los sistemas de la DMZ. – Test de integración entre los existentes y los nuevos sistemas de la DMZ.
  • 23. 23 © 2002 Internet Security Auditors S.L. Soluciones (III) PYMES • La Auditoría permite detectar y eliminar problemas existentes de seguridad: – Configuraciones defectuosas de los sistemas existentes. – Vulnerabilidades no parcheadas de los sistemas. – Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router. – Configuraciones incorrectas o no optimas de Antivirus. – Configuraciones inseguras de los navegadores web. • Formación al personal técnico y no técnico.
  • 24. 24 © 2002 Internet Security Auditors S.L. Soluciones (IV) Auditorías de Seguridad • Análisis global de la seguridad: – Analizan los distintos puntos de entrada a la red. – Analizan la protección existente en los servidores y entre subredes. – Visión externa, objetiva y real de la seguridad de la empresa. – Aportan soluciones a los problemas de seguridad encontrados. • Ámbitos de las Auditorías: – Internet (Test de Intrusión): • Se exponen máquinas a Internet. • Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet) – DMZ: • Qué capacidad de defensa tiene la red interna desde la DMZ. • En la DMZ pueden existir máquinas/recursos no visibles desde Internet pero accesibles desde la propia DMZ. • En la DMZ pueden existir máquinas/recursos que no deben ser accesibles desde la Intranet. – Intranet: • En la red interna hay servidores y datos críticos. • Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos.
  • 25. 25 © 2002 Internet Security Auditors S.L. Soluciones (V) Auditorías de Seguridad • La importancia de seguir una metodología (OSSTM) – Estándar abierto – ISO 17799 / BS7799 • Una Auditoría NO es un escaneo automático de vulnerabilidades. – Sondeo de red. – Escáner de puertos, identificación de servicios y sistemas operativos. – Test Automático de Vulnerabilidades – Password Cracking. – Document Grinding. – Test de Antivirus. – Test de Firewall y ACLs. – Test de Medidas de Contención. – Revisión de la Política de Privacidad. – Test de los sistemas de confianza. – Test y verificación Manual de vulnerabilidades. – Test de Aplicaciones no Corporativas. – Test del Sistema de Detección de Intrusos (IDS). – Test de Denegación de Servicio – Test de Aplicaciones Corporativas. – Test de Ingeniería Social. Red Puntos de entrada en la red Falsos Positivos Deficiencias de Seguridad Gravedad de la Deficiencia
  • 26. 26 © 2002 Internet Security Auditors S.L. Soluciones (VI) Formación • Cuando hablamos de seguridad, nada puede quedar en el aire: – Una formación técnica para mantener los equipamientos: • Formación para el mantenimiento y configuración de nuevos equipamientos de seguridad (firewalls, routers, antivirus, sistemas de backup, monitorización, etc.) • Formación para la gestión de sus servidores web, de correo, etc. – Una formación de seguridad a los usuarios reduce problemas recurrentes: • Formación para el uso seguro de Internet (navegación segura, posibles peligros, etc). • Uso seguro del correo. • Políticas de contraseñas. • etc. • El 58% de los Administradores de Sistemas piensa que sus propios departamentos son una de las principales brechas de seguridad de sus compañías (The Register UK, 28/10/2002). • El 67% siente que carece de la adecuada experiencia o conocimientos para tratar los problemas de seguridad que deben tratar (The Register UK, 28/10/2002).
  • 27. 27 © 2002 Internet Security Auditors S.L. Soluciones (VII) Auditorías Periódicas • La seguridad es un proceso continuo. – La seguridad se degrada con el tiempo: • Nuevos servicios. • Nuevas máquinas. • Aparición de nuevos bugs en las aplicaciones. • Rotación del personal. Degradación de la Seguridad 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1 31 61 91 121 151 181 211 241 Días NiveldeSeguridadtras unaAuditoríaPlatino Sistema minimamente cambiante Sistema medianamente cambiante Sistema altamente cambiante
  • 28. 28 © 2002 Internet Security Auditors S.L. Conclusiones • La seguridad debe tratarse desde todos los puntos de vista de la empresa. • Debemos ser proactivos: actuar tras un ataque SIEMPRE tiene un coste mayor. • Es necesario evaluar periódicamente el nivel de protección de nuestra red mediante Auditorías de Seguridad.
  • 29. Contact o Llacuna, 162 08018 Barcelona Tel./Fax: 93 401 96 97 info@isecauditors.com www.isecauditors.com © 2002 Internet Security Auditors S.L.