2. www.omhe.org
Breve cuestionario
¤ 1. ¿ En su empresa se hacen análisis de riesgos (al menos 1 al año)
para conocer las áreas en dónde enfocar la seguridad ?.
¤ 2. ¿ Su organización ha realizado algún tipo de prueba de
penetración o análisis de vulnerabilidades en los últimos 12 meses ?.
¤ 3. ¿ Se tiene departamento o área de seguridad informática ?.
¤ 4. ¿ El personal de seguridad informática cuenta con alguna
certificación?
¤ 5. ¿ Se tienen establecidas las políticas de seguridad ?
3. www.omhe.org
Breve cuestionario ...
¤ 6. ¿ Las políticas están actualizadas, aterrizadas a través de
procedimientos y normas, todo el personal las conoce y se
refuerzan en todo momento ?
¤ 7. ¿ Existe algún responsable de revisar las bitácoras de los
diversos sistemas al menos en forma semanal ?
¤ 8. ¿ Al inicio del 2007, se tenían definidos los principales
proyectos de seguridad informática para el año? (p.ej. mejorar
seguridad en Internet, etc...)
¤ 9 ¿ Se tiene algún proceso ó metodología de manejo de
incidentes, y los responsables lo conocen y usan en todo
momento ?
4. www.omhe.org
Para que esperar…
¤ “Si gastas más dinero en café que en
Seguridad Informática, entonces vas a ser
hackeado, es más, mereces ser hackeado”
– Richard “digital armageddon” Clark, USA DoD
¤ La mayoría de las empresas incorporan medidas
de seguridad hasta que han tenido graves
problemas. ¿para que esperarse?
5. www.omhe.org
Como se ve la seguridad hoy en día?
¤ Vulnerabilidades son invisibles hasta que son
explotadas.
¤ Seguridad en Software = Es un extra...
6. www.omhe.org
Amenazas, vulnerabilidades y riesgos ...
¤ Amenaza
• Factor externo que puede explotar una vulnerabilidad y tener
un impacto en la organización.
¤ Vulnerabilidad
• Hueco o debilidad de un sistema .
¤ Riesgo
• Probabilidad de que una amenaza explote una vulnerabilidad
en nuestro sistema.
¤ Control
• Cualquier medida de seguridad que definimos para manejar
algún riesgo.
7. www.omhe.org
Vulnerabilidades
¤ Asociadas a la gente
• Shoulder-Surfing, Ataques basados en Ing. Social
• Costumbres “relajadas” de los usuarios
– P.ej. Tener visibles sus passwords, nombre de la mascota.
¤ Asociadas a la disciplina (procesos-políticas-
procedimientos)
• Debilidad en el proceso de control de cambios.
• Carencia total de un procedimiento rutinario de
exploración de bitácoras.
8. www.omhe.org
Vulnerabilidades
¤ Asociadas a la tecnología
• En sistemas operativos
• En aplicaciones
• En las redes
¤ Fuentes de información para vulnerabilidades
• Computer Emergency Response Team : cert.org
• Security Focus : securityfocus.com
• Mitre Corp (CVE) : cve.mitre. org
• X-Force (parte de ISS ahora IBM) : iss.net/
security_center
• Microsoft : microsoft.com/security
9. www.omhe.org
Siempre tenemos algo de valor para
alguien
¤ Razones para atacar la red de una empresa:
• $$$, ventaja económica, ventaja competitiva,
espionaje político, espionaje industrial, sabotaje,…
• Empleados descontentos, fraudes, extorsiones,
(insiders).
• Espacio de almacenamiento, ancho de banda,
servidores de correo (SPAM), poder de cómputo,
etc…
• Objetivo de oportunidad.
10. www.omhe.org
Porque la seguridad es un reto?
¤ Complejidad de los sistemas y software.
¤ Preferimos ser correctivos que tomar medidas
preventivas como lo es el software testing.
¤ Por costo de implementación
• Se tiene la idea de que son servicios muy costosos y por ese
motivo no se implementan.
• Generalmente los expertos en software no son expertos en
seguridad.
• Seguir estandares de seguridad como ISO-17799, CobiT, ITIL,
etc... No es una tarea fácil.
11. www.omhe.org
Puntos Débiles en los Sistemas
Comunicaciones
Almacenamiento de datos
Sistema Operativo
Servicios Públicos
Aplicación
Usuarios
Servicios Internos
12. www.omhe.org
TOP 10 Recomendaciones OMHE
¤ 1. Escoger tus plataformas y lenguajes de programación adecuadamente:
Tener servicios corriendo sobre windows NT, windows 98, red hat 8.0 ó
usar lenguajes de programación tales como COBOL, Fortran, Pazcal puede
representar problemas potenciales de seguridad informática.
¤ 2. Retire equipo obsoleto de networking: Hay algunas organizaciones que
aún usan hubs y estos son altamente propensos a eavesdropping, de igual
manera algunos usan AP con cifrado WEP el cual es muy fácil de crackear.
¤ 3. Evalue y corrija la seguridad de su Servidor Web: Los defacements
están a la orden del día. Es importante considerar como un elemento
crítico la seguridad en el servidor web.
¤ 4. Filtre los puertos de P2P en su organización: Está comprobado que el
malware es una de la principales amenazas de seguridad informática y
uno de los principales medios de propagación son las redes P2P
13. www.omhe.org
TOP 10 Recomendaciones OMHE
¤ 5. Cambie los passwords default: El dejar dispositivos de networking,
interfaces de administración, etc... Puede ser un riesgo de seguridad
potencial.
¤ 6. Implemente una política de passwords seguros: Es recomendable
utilizar un password alfanumérico de más de 8 caracteres.
¤ 7. Eduque a los empleados contra técnicas de ingeniería social: El eslabón
más débil es el ser humano cuando se habla de seguridad informática. Ej.
Una simple llamada de un atacante finjiendo ser del departamento de
soporte con el fin de conseguir el password de alguna cuenta, puede
generar problemas potenciales.
14. www.omhe.org
TOP 10 Recomendaciones OMHE
¤ 8. Clasificar Información de manera adecuada: Para proteger la
información es necesario una previa clasificación de la misma en: Pública,
Personal , Privada, Confidencial para el negocio.
¤ 9. Use dispositivos biométricos: Estos pueden ser utilizados para cuidar el
acceso físico ó para añadir un elemento extra al proceso de autentificación
en algún punto de control de la información.
¤ 10. Encripte información sensible: Encriptar archivos importantes con
MD5, DES, SHA1 ó usar PGP para encriptar correo electrónico con
información sensible, es una práctica que se deja a un lado.