SlideShare ist ein Scribd-Unternehmen logo

Medidas básicas de seguridad informática para empresas

H
Héctor López

Medidas básicas de seguridad informática para un sistema de información y tips de ciberseguridad.

Software
1 von 16
Downloaden Sie, um offline zu lesen
Héctor López - Fundador OMHE Miembro ISSA, ISACA,ACFE, GIAC “SANS” hl@omhe.org
www.omhe.org Breve cuestionario ¤ 1. ¿ En su empresa se hacen análisis de riesgos (al menos 1 al año) para conocer las áreas en dónde enfocar la seguridad ?. ¤ 2. ¿ Su organización ha realizado algún tipo de prueba de penetración o análisis de vulnerabilidades en los últimos 12 meses ?. ¤ 3. ¿ Se tiene departamento o área de seguridad informática ?. ¤ 4. ¿ El personal de seguridad informática cuenta con alguna certificación? ¤ 5. ¿ Se tienen establecidas las políticas de seguridad ?
www.omhe.org Breve cuestionario ... ¤ 6. ¿ Las políticas están actualizadas, aterrizadas a través de procedimientos y normas, todo el personal las conoce y se refuerzan en todo momento ? ¤ 7. ¿ Existe algún responsable de revisar las bitácoras de los diversos sistemas al menos en forma semanal ? ¤ 8. ¿ Al inicio del 2007, se tenían definidos los principales proyectos de seguridad informática para el año? (p.ej. mejorar seguridad en Internet, etc...) ¤ 9 ¿ Se tiene algún proceso ó metodología de manejo de incidentes, y los responsables lo conocen y usan en todo momento ?
www.omhe.org Para que esperar… ¤ “Si gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más, mereces ser hackeado” – Richard “digital armageddon” Clark, USA DoD ¤ La mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. ¿para que esperarse?
www.omhe.org Como se ve la seguridad hoy en día? ¤ Vulnerabilidades son invisibles hasta que son explotadas. ¤ Seguridad en Software = Es un extra...
www.omhe.org Amenazas, vulnerabilidades y riesgos ... ¤ Amenaza • Factor externo que puede explotar una vulnerabilidad y tener un impacto en la organización. ¤ Vulnerabilidad • Hueco o debilidad de un sistema . ¤ Riesgo • Probabilidad de que una amenaza explote una vulnerabilidad en nuestro sistema. ¤ Control • Cualquier medida de seguridad que definimos para manejar algún riesgo.
www.omhe.org Vulnerabilidades ¤ Asociadas a la gente • Shoulder-Surfing, Ataques basados en Ing. Social • Costumbres “relajadas” de los usuarios – P.ej. Tener visibles sus passwords, nombre de la mascota. ¤ Asociadas a la disciplina (procesos-políticas- procedimientos) • Debilidad en el proceso de control de cambios. • Carencia total de un procedimiento rutinario de exploración de bitácoras.
www.omhe.org Vulnerabilidades ¤ Asociadas a la tecnología • En sistemas operativos • En aplicaciones • En las redes ¤ Fuentes de información para vulnerabilidades • Computer Emergency Response Team : cert.org • Security Focus : securityfocus.com • Mitre Corp (CVE) : cve.mitre. org • X-Force (parte de ISS ahora IBM) : iss.net/ security_center • Microsoft : microsoft.com/security
www.omhe.org Siempre tenemos algo de valor para alguien ¤ Razones para atacar la red de una empresa: • $$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,… • Empleados descontentos, fraudes, extorsiones, (insiders). • Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc… • Objetivo de oportunidad.
www.omhe.org Porque la seguridad es un reto? ¤ Complejidad de los sistemas y software. ¤ Preferimos ser correctivos que tomar medidas preventivas como lo es el software testing. ¤ Por costo de implementación • Se tiene la idea de que son servicios muy costosos y por ese motivo no se implementan. • Generalmente los expertos en software no son expertos en seguridad. • Seguir estandares de seguridad como ISO-17799, CobiT, ITIL, etc... No es una tarea fácil.
www.omhe.org Puntos Débiles en los Sistemas Comunicaciones Almacenamiento de datos Sistema Operativo Servicios Públicos Aplicación Usuarios Servicios Internos
www.omhe.org TOP 10 Recomendaciones OMHE ¤ 1. Escoger tus plataformas y lenguajes de programación adecuadamente: Tener servicios corriendo sobre windows NT, windows 98, red hat 8.0 ó usar lenguajes de programación tales como COBOL, Fortran, Pazcal puede representar problemas potenciales de seguridad informática. ¤ 2. Retire equipo obsoleto de networking: Hay algunas organizaciones que aún usan hubs y estos son altamente propensos a eavesdropping, de igual manera algunos usan AP con cifrado WEP el cual es muy fácil de crackear. ¤ 3. Evalue y corrija la seguridad de su Servidor Web: Los defacements están a la orden del día. Es importante considerar como un elemento crítico la seguridad en el servidor web. ¤ 4. Filtre los puertos de P2P en su organización: Está comprobado que el malware es una de la principales amenazas de seguridad informática y uno de los principales medios de propagación son las redes P2P
www.omhe.org TOP 10 Recomendaciones OMHE ¤ 5. Cambie los passwords default: El dejar dispositivos de networking, interfaces de administración, etc... Puede ser un riesgo de seguridad potencial. ¤ 6. Implemente una política de passwords seguros: Es recomendable utilizar un password alfanumérico de más de 8 caracteres. ¤ 7. Eduque a los empleados contra técnicas de ingeniería social: El eslabón más débil es el ser humano cuando se habla de seguridad informática. Ej. Una simple llamada de un atacante finjiendo ser del departamento de soporte con el fin de conseguir el password de alguna cuenta, puede generar problemas potenciales.
www.omhe.org TOP 10 Recomendaciones OMHE ¤ 8. Clasificar Información de manera adecuada: Para proteger la información es necesario una previa clasificación de la misma en: Pública, Personal , Privada, Confidencial para el negocio. ¤ 9. Use dispositivos biométricos: Estos pueden ser utilizados para cuidar el acceso físico ó para añadir un elemento extra al proceso de autentificación en algún punto de control de la información. ¤ 10. Encripte información sensible: Encriptar archivos importantes con MD5, DES, SHA1 ó usar PGP para encriptar correo electrónico con información sensible, es una práctica que se deja a un lado.
www.omhe.org Conclusión ¤ “La seguridad es responsabilidad de todos” ¤ “La seguridad NO es un producto es un proceso”
GRACIAS

Empfohlen

Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad webyuliaranda
 
Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad websandyquispe1994
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticayuliaranda
 
Aqa soporte seguridad-web
Aqa soporte seguridad-webAqa soporte seguridad-web
Aqa soporte seguridad-webjairoclavijo
 
Principios de Seguridad
Principios de SeguridadPrincipios de Seguridad
Principios de SeguridadPUIK900
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajhon_f
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticacarloseider
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informáticaJon Echanove
 

Empfohlen

Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad webyuliaranda
 
Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad websandyquispe1994
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticayuliaranda
 
Aqa soporte seguridad-web
Aqa soporte seguridad-webAqa soporte seguridad-web
Aqa soporte seguridad-webjairoclavijo
 
Principios de Seguridad
Principios de SeguridadPrincipios de Seguridad
Principios de SeguridadPUIK900
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajhon_f
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticacarloseider
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informáticaJon Echanove
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJon Echanove
 
Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad webanitatekila22
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoInGriid Ruiiz Larregui
 
ANALISIS DE VIDEOS- informe
ANALISIS DE VIDEOS- informeANALISIS DE VIDEOS- informe
ANALISIS DE VIDEOS- informedeko
 
Seguridad informatica Con Software Libre
Seguridad informatica Con Software LibreSeguridad informatica Con Software Libre
Seguridad informatica Con Software LibreJuan Salas Santillana
 
Vulnerabilidades en un Sistema Informático
Vulnerabilidades en un Sistema InformáticoVulnerabilidades en un Sistema Informático
Vulnerabilidades en un Sistema InformáticoJosé Ignacio Huertas Fernández
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Impacto computadoras web
Impacto computadoras webImpacto computadoras web
Impacto computadoras webIgnacio Carrillo Bustamante
 
Forum 20210824 Suarez-Cavanna Ciberseguridad
Forum 20210824 Suarez-Cavanna CiberseguridadForum 20210824 Suarez-Cavanna Ciberseguridad
Forum 20210824 Suarez-Cavanna CiberseguridadSantiago Cavanna
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSantiago Cavanna
 
Ataques - Conceptos Técnicas
Ataques - Conceptos TécnicasAtaques - Conceptos Técnicas
Ataques - Conceptos TécnicasDavid Narváez
 
Auditoria informática taller n3
Auditoria informática taller n3Auditoria informática taller n3
Auditoria informática taller n3rocapio1987
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Modelado de Amenazas de CiberSeguridad (2014)
Modelado de Amenazas de CiberSeguridad (2014)Modelado de Amenazas de CiberSeguridad (2014)
Modelado de Amenazas de CiberSeguridad (2014)Santiago Cavanna
 
PresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicaPresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicacarmelacaballero
 
Actividad 1 seguridad informatica
Actividad 1 seguridad informaticaActividad 1 seguridad informatica
Actividad 1 seguridad informaticaJESSIKADG86
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática Nacor Bea Galán
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadJosé Antonio Sandoval Acosta
 
Web quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueWeb quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueOnce Redes
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJon Echanove
 
Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad webanitatekila22
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2ximello69
 
ANALISIS DE VIDEOS- informe
ANALISIS DE VIDEOS- informeANALISIS DE VIDEOS- informe
ANALISIS DE VIDEOS- informedeko
 
Seguridad informatica Con Software Libre
Seguridad informatica Con Software LibreSeguridad informatica Con Software Libre
Seguridad informatica Con Software LibreJuan Salas Santillana
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesEduardo Arriols Nuñez
 
Forum 20210824 Suarez-Cavanna Ciberseguridad
Forum 20210824 Suarez-Cavanna CiberseguridadForum 20210824 Suarez-Cavanna Ciberseguridad
Forum 20210824 Suarez-Cavanna CiberseguridadSantiago Cavanna
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSantiago Cavanna
 
Ataques - Conceptos Técnicas
Ataques - Conceptos TécnicasAtaques - Conceptos Técnicas
Ataques - Conceptos TécnicasDavid Narváez
 
Auditoria informática taller n3
Auditoria informática taller n3Auditoria informática taller n3
Auditoria informática taller n3rocapio1987
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Modelado de Amenazas de CiberSeguridad (2014)
Modelado de Amenazas de CiberSeguridad (2014)Modelado de Amenazas de CiberSeguridad (2014)
Modelado de Amenazas de CiberSeguridad (2014)Santiago Cavanna
 
PresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicaPresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicacarmelacaballero
 
Actividad 1 seguridad informatica
Actividad 1 seguridad informaticaActividad 1 seguridad informatica
Actividad 1 seguridad informaticaJESSIKADG86
 

Was ist angesagt? (18)

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Soporte seguridad web
Soporte seguridad webSoporte seguridad web
Soporte seguridad web
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 
Carlos Miguel Ximello Santiago
Carlos Miguel Ximello SantiagoCarlos Miguel Ximello Santiago
Carlos Miguel Ximello Santiago
 
ANALISIS DE VIDEOS- informe
ANALISIS DE VIDEOS- informeANALISIS DE VIDEOS- informe
ANALISIS DE VIDEOS- informe
 
Seguridad informatica Con Software Libre
Seguridad informatica Con Software LibreSeguridad informatica Con Software Libre
Seguridad informatica Con Software Libre
 
Vulnerabilidades en un Sistema Informático
Vulnerabilidades en un Sistema InformáticoVulnerabilidades en un Sistema Informático
Vulnerabilidades en un Sistema Informático
 
Red Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentesRed Team: Auditando los procesos de detección y respuesta a incidentes
Red Team: Auditando los procesos de detección y respuesta a incidentes
 
Impacto computadoras web
Impacto computadoras webImpacto computadoras web
Impacto computadoras web
 
Forum 20210824 Suarez-Cavanna Ciberseguridad
Forum 20210824 Suarez-Cavanna CiberseguridadForum 20210824 Suarez-Cavanna Ciberseguridad
Forum 20210824 Suarez-Cavanna Ciberseguridad
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
 
Ataques - Conceptos Técnicas
Ataques - Conceptos TécnicasAtaques - Conceptos Técnicas
Ataques - Conceptos Técnicas
 
Auditoria informática taller n3
Auditoria informática taller n3Auditoria informática taller n3
Auditoria informática taller n3
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.
 
Modelado de Amenazas de CiberSeguridad (2014)
Modelado de Amenazas de CiberSeguridad (2014)Modelado de Amenazas de CiberSeguridad (2014)
Modelado de Amenazas de CiberSeguridad (2014)
 
PresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicaPresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTica
 
Actividad 1 seguridad informatica
Actividad 1 seguridad informaticaActividad 1 seguridad informatica
Actividad 1 seguridad informatica
 

Ähnlich wie Medidas básicas de seguridad informática para empresas

Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática Nacor Bea Galán
 
Web quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueWeb quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueOnce Redes
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Once Redes
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionBibliotic
 
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...jean918
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 

Ähnlich wie Medidas básicas de seguridad informática para empresas (20)

Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Web quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueWeb quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duque
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
Trabajo
TrabajoTrabajo
Trabajo
 
trabajo
trabajotrabajo
trabajo
 
Seguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crsSeguridad y Redes-Proyecto final crs
Seguridad y Redes-Proyecto final crs
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.Seguridad informatica eliana galeano -- valeria loaiza.
Seguridad informatica eliana galeano -- valeria loaiza.
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_...
 
Presentación1
Presentación1Presentación1
Presentación1
 
Presentación1
Presentación1Presentación1
Presentación1
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Informatica slideshare
Informatica slideshareInformatica slideshare
Informatica slideshare
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
 

Mehr von Héctor López

Conferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHEConferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHEHéctor López
 
Técnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosTécnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosHéctor López
 
Omhe implementacion de servicios hacker
Omhe implementacion de servicios hackerOmhe implementacion de servicios hacker
Omhe implementacion de servicios hackerHéctor López
 
System Hacking por la OMHE org
System Hacking por la OMHE orgSystem Hacking por la OMHE org
System Hacking por la OMHE orgHéctor López
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEHéctor López
 
Backdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEBackdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEHéctor López
 
Hacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHéctor López
 
Hacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHEHacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHEHéctor López
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHEHéctor López
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoHéctor López
 
Servicios de seguridad informática
Servicios de seguridad informáticaServicios de seguridad informática
Servicios de seguridad informáticaHéctor López
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.Héctor López
 

Mehr von Héctor López (13)

Conferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHEConferencia de seguridad en el sector público por la OMHE
Conferencia de seguridad en el sector público por la OMHE
 
Técnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosTécnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancarios
 
Omhe implementacion de servicios hacker
Omhe implementacion de servicios hackerOmhe implementacion de servicios hacker
Omhe implementacion de servicios hacker
 
System Hacking por la OMHE org
System Hacking por la OMHE orgSystem Hacking por la OMHE org
System Hacking por la OMHE org
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHE
 
Backdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHEBackdoors, troyanos y otro tipo de malware. OMHE
Backdoors, troyanos y otro tipo de malware. OMHE
 
Hacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHE
 
Hacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHEHacking utilizando GNU/Linux por la OMHE
Hacking utilizando GNU/Linux por la OMHE
 
Hacking de servidores web OMHE
Hacking de servidores web OMHEHacking de servidores web OMHE
Hacking de servidores web OMHE
 
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de DurangoConferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
Conferencia de Héctor López sobre hacking colaborativo en la Unipol de Durango
 
Servicios de seguridad informática
Servicios de seguridad informáticaServicios de seguridad informática
Servicios de seguridad informática
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.#5minutosdehacking Con Héctor López curso de seguridad informática.
#5minutosdehacking Con Héctor López curso de seguridad informática.
 

Kürzlich hochgeladen

Delitos informáticos en Slideshare.pptx
Delitos informáticos en Slideshare.pptxDelitos informáticos en Slideshare.pptx
Delitos informáticos en Slideshare.pptxmaykolmagallanes012
 
Webinar Resolucion2335 de 2023 Kubapp.pdf
Webinar Resolucion2335 de 2023 Kubapp.pdfWebinar Resolucion2335 de 2023 Kubapp.pdf
Webinar Resolucion2335 de 2023 Kubapp.pdfAnaRosaMontenegro
 
Instalacion de servicios windows, configuracion y aplicacion.
Instalacion de servicios windows, configuracion y aplicacion.Instalacion de servicios windows, configuracion y aplicacion.
Instalacion de servicios windows, configuracion y aplicacion.CZSOTEC
 
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVOSISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVOELIAMARYTOVARFLOREZD
 
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptxMacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptxcalzadillasluis134
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsCZSOTEC
 
SQL server Analysis Services & SQL Server Reporting Services.pptx
SQL server Analysis Services & SQL Server Reporting Services.pptxSQL server Analysis Services & SQL Server Reporting Services.pptx
SQL server Analysis Services & SQL Server Reporting Services.pptxRAMIROANTONIOGALINDO
 

Kürzlich hochgeladen (7)

Delitos informáticos en Slideshare.pptx
Delitos informáticos en Slideshare.pptxDelitos informáticos en Slideshare.pptx
Delitos informáticos en Slideshare.pptx
 
Webinar Resolucion2335 de 2023 Kubapp.pdf
Webinar Resolucion2335 de 2023 Kubapp.pdfWebinar Resolucion2335 de 2023 Kubapp.pdf
Webinar Resolucion2335 de 2023 Kubapp.pdf
 
Instalacion de servicios windows, configuracion y aplicacion.
Instalacion de servicios windows, configuracion y aplicacion.Instalacion de servicios windows, configuracion y aplicacion.
Instalacion de servicios windows, configuracion y aplicacion.
 
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVOSISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
SISTEMA INTEGRADO DE ADMINISTRACION FINANCIERA - SIAF MODULO ADMINISTRATIVO
 
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptxMacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
MacOS SISTEMA OPERATIVO CARACTERISTICAS.pptx
 
Se realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios WindowsSe realiza instalacion y configuraacion servicios Windows
Se realiza instalacion y configuraacion servicios Windows
 
SQL server Analysis Services & SQL Server Reporting Services.pptx
SQL server Analysis Services & SQL Server Reporting Services.pptxSQL server Analysis Services & SQL Server Reporting Services.pptx
SQL server Analysis Services & SQL Server Reporting Services.pptx
 

Medidas básicas de seguridad informática para empresas

  • 1. Héctor López - Fundador OMHE Miembro ISSA, ISACA,ACFE, GIAC “SANS” hl@omhe.org
  • 2. www.omhe.org Breve cuestionario ¤ 1. ¿ En su empresa se hacen análisis de riesgos (al menos 1 al año) para conocer las áreas en dónde enfocar la seguridad ?. ¤ 2. ¿ Su organización ha realizado algún tipo de prueba de penetración o análisis de vulnerabilidades en los últimos 12 meses ?. ¤ 3. ¿ Se tiene departamento o área de seguridad informática ?. ¤ 4. ¿ El personal de seguridad informática cuenta con alguna certificación? ¤ 5. ¿ Se tienen establecidas las políticas de seguridad ?
  • 3. www.omhe.org Breve cuestionario ... ¤ 6. ¿ Las políticas están actualizadas, aterrizadas a través de procedimientos y normas, todo el personal las conoce y se refuerzan en todo momento ? ¤ 7. ¿ Existe algún responsable de revisar las bitácoras de los diversos sistemas al menos en forma semanal ? ¤ 8. ¿ Al inicio del 2007, se tenían definidos los principales proyectos de seguridad informática para el año? (p.ej. mejorar seguridad en Internet, etc...) ¤ 9 ¿ Se tiene algún proceso ó metodología de manejo de incidentes, y los responsables lo conocen y usan en todo momento ?
  • 4. www.omhe.org Para que esperar… ¤ “Si gastas más dinero en café que en Seguridad Informática, entonces vas a ser hackeado, es más, mereces ser hackeado” – Richard “digital armageddon” Clark, USA DoD ¤ La mayoría de las empresas incorporan medidas de seguridad hasta que han tenido graves problemas. ¿para que esperarse?
  • 5. www.omhe.org Como se ve la seguridad hoy en día? ¤ Vulnerabilidades son invisibles hasta que son explotadas. ¤ Seguridad en Software = Es un extra...
  • 6. www.omhe.org Amenazas, vulnerabilidades y riesgos ... ¤ Amenaza • Factor externo que puede explotar una vulnerabilidad y tener un impacto en la organización. ¤ Vulnerabilidad • Hueco o debilidad de un sistema . ¤ Riesgo • Probabilidad de que una amenaza explote una vulnerabilidad en nuestro sistema. ¤ Control • Cualquier medida de seguridad que definimos para manejar algún riesgo.
  • 7. www.omhe.org Vulnerabilidades ¤ Asociadas a la gente • Shoulder-Surfing, Ataques basados en Ing. Social • Costumbres “relajadas” de los usuarios – P.ej. Tener visibles sus passwords, nombre de la mascota. ¤ Asociadas a la disciplina (procesos-políticas- procedimientos) • Debilidad en el proceso de control de cambios. • Carencia total de un procedimiento rutinario de exploración de bitácoras.
  • 8. www.omhe.org Vulnerabilidades ¤ Asociadas a la tecnología • En sistemas operativos • En aplicaciones • En las redes ¤ Fuentes de información para vulnerabilidades • Computer Emergency Response Team : cert.org • Security Focus : securityfocus.com • Mitre Corp (CVE) : cve.mitre. org • X-Force (parte de ISS ahora IBM) : iss.net/ security_center • Microsoft : microsoft.com/security
  • 9. www.omhe.org Siempre tenemos algo de valor para alguien ¤ Razones para atacar la red de una empresa: • $$$, ventaja económica, ventaja competitiva, espionaje político, espionaje industrial, sabotaje,… • Empleados descontentos, fraudes, extorsiones, (insiders). • Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cómputo, etc… • Objetivo de oportunidad.
  • 10. www.omhe.org Porque la seguridad es un reto? ¤ Complejidad de los sistemas y software. ¤ Preferimos ser correctivos que tomar medidas preventivas como lo es el software testing. ¤ Por costo de implementación • Se tiene la idea de que son servicios muy costosos y por ese motivo no se implementan. • Generalmente los expertos en software no son expertos en seguridad. • Seguir estandares de seguridad como ISO-17799, CobiT, ITIL, etc... No es una tarea fácil.
  • 11. www.omhe.org Puntos Débiles en los Sistemas Comunicaciones Almacenamiento de datos Sistema Operativo Servicios Públicos Aplicación Usuarios Servicios Internos
  • 12. www.omhe.org TOP 10 Recomendaciones OMHE ¤ 1. Escoger tus plataformas y lenguajes de programación adecuadamente: Tener servicios corriendo sobre windows NT, windows 98, red hat 8.0 ó usar lenguajes de programación tales como COBOL, Fortran, Pazcal puede representar problemas potenciales de seguridad informática. ¤ 2. Retire equipo obsoleto de networking: Hay algunas organizaciones que aún usan hubs y estos son altamente propensos a eavesdropping, de igual manera algunos usan AP con cifrado WEP el cual es muy fácil de crackear. ¤ 3. Evalue y corrija la seguridad de su Servidor Web: Los defacements están a la orden del día. Es importante considerar como un elemento crítico la seguridad en el servidor web. ¤ 4. Filtre los puertos de P2P en su organización: Está comprobado que el malware es una de la principales amenazas de seguridad informática y uno de los principales medios de propagación son las redes P2P
  • 13. www.omhe.org TOP 10 Recomendaciones OMHE ¤ 5. Cambie los passwords default: El dejar dispositivos de networking, interfaces de administración, etc... Puede ser un riesgo de seguridad potencial. ¤ 6. Implemente una política de passwords seguros: Es recomendable utilizar un password alfanumérico de más de 8 caracteres. ¤ 7. Eduque a los empleados contra técnicas de ingeniería social: El eslabón más débil es el ser humano cuando se habla de seguridad informática. Ej. Una simple llamada de un atacante finjiendo ser del departamento de soporte con el fin de conseguir el password de alguna cuenta, puede generar problemas potenciales.
  • 14. www.omhe.org TOP 10 Recomendaciones OMHE ¤ 8. Clasificar Información de manera adecuada: Para proteger la información es necesario una previa clasificación de la misma en: Pública, Personal , Privada, Confidencial para el negocio. ¤ 9. Use dispositivos biométricos: Estos pueden ser utilizados para cuidar el acceso físico ó para añadir un elemento extra al proceso de autentificación en algún punto de control de la información. ¤ 10. Encripte información sensible: Encriptar archivos importantes con MD5, DES, SHA1 ó usar PGP para encriptar correo electrónico con información sensible, es una práctica que se deja a un lado.
  • 15. www.omhe.org Conclusión ¤ “La seguridad es responsabilidad de todos” ¤ “La seguridad NO es un producto es un proceso”