SlideShare uma empresa Scribd logo

Seguridad informacion

Bioga Dixital
Bioga Dixital
1 de 56
Baixar para ler offline
www.infojc.com Jorge Cebreiros Arce Santiago, 23 de Setembro de 2011
Xornadas sobre as na • : Seguridad de la Información. • : Menos charla y más acción. Objetivos de la Jornada • : a profesionales y empresarios. • : tecnología y hackers. (KISS : Keep It Simple Stupid) www.infojc.com
Seguridad Los beneficios de las nuevas tecnologías de la información en el día a día son indudables, sin embargo también es cierto que estas pueden ser empleadas de forma malintencionada por algunos sujetos pudiendo llegar a afectar a ciudadanos y empresas y, de manera especial, a la privacidad de su información. Introducción www.infojc.com
De qué estamos hablando SEGURIDAD Cualidad de Seguro. Mecanismo que previene algún riesgo o asegura el buen funcionamiento de alguna cosa, precaviendo que falle. SEGURO Lugar o sitio libre y exento de todo peligro, daño o riesgo. Cierto, indubitable y en cierta manera infalible. Que no está en peligro de faltar o caerse. CONFIAR Depositar en alguien, sin más seguridad que la buena fe y la opinión que de él se tiene, la hacienda, el secreto o cualquier Introducción otra cosa. Encargar o poner al cuidado de alguien algún negocio u otra cosa. www.infojc.com Diccionario de la R.A.E.
En el mundo real Estamos acostumbrados a manejarnos en la seguridad de la sociedad “física” No abras la puerta a nadie Deja el coche con la alarma conectada Ten cuidado al cruzar No vuelvas tarde, que ese barrio por la noche no es seguro Introducción No te dejes la cartera a la vista Etc... www.infojc.com
Por ejemplo en el automóvil Para estar seguro no basta un buen motor Todo debe estar razonablemente bien: Sistema eléctrico, batería, alternador Refrigeración, bomba de agua, radiador Amortiguadores y neumáticos Frenos Etc... Introducción Pero también: Seguro Permiso de circulación Inspección Técnica de Vehículos Impuesto de tráfico www.infojc.com Etc...
En el mundo de los negocios En el departamento financiero... Introducción - ¿Que tal vamos hoy? Bastante bien, se han resuelto 230 incidencias más que ayer y ya estamos muy cerca de que los pedidos para el año próximo doblen los de este, que era el objetivo marcado. www.infojc.com - Entonces, ¿Llegaremos a BAI cero a final de año? Si seguimos así, incluso positivo.
Sin embargo ... En el departamento de sistemas de información... Introducción - ¿Hoy no tendremos otra caída como la de ayer, verdad? Pues, esperemos que no. - Pero, ¿qué probabilidad hay de que sí? Sería difícil decirlo, la verdad es que no debería, pero con estas cosas www.infojc.com ya se sabe... Yo espero que no pase nada más, pero ... - Por lo menos, ¿se estarán haciendo las copias de seguridad? Esto …. mmmmm…. Supongo que si.
Parece ... Que en la Sociedad de la Información estamos más perdidos: ¿Cómo evito el acceso a mi ordenador? ¿De dónde saco una alarma por si alguien entra en mi equipo? ¿Cómo se hace para que mi equipo no se cuelgue? ¿Cómo me entero de qué zonas de la Web no son seguras? ¿Tengo que guardar en cajones papeles, CDs, etc.? Introducción www.infojc.com
Podría ser ... ¿Problema de prioridades, de comunicación, de lenguaje o de falta de normas claras y conocidas? Introducción www.infojc.com - Entonces me dices que - Cuenta con ello, mi puedo estar tranquilo, que compañía tiene el sistema ya tienes claro lo que perfecto para cubrir tus quiero. expectativas
Modelos de negocios o estrategias diferentes? Durante una feria a la que el Presidente de una importante compañía de desarrollo de Software asistió para dar una conferencia, con el ánimo de ser lo más gráfico posible, hizo una comparación entre los logros de su compañía y los de la industria del automóvil. Y se le ocurrió la siguiente frase: Introducción “Si la General Motors se hubiera desarrollado como la industria de la informática en los últimos diez años, ahora podríamos conducir automóviles que correrían a 160.000 Km/h, pesarían menos de 14 kg y recorrerían una distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su precio sería de 25 dólares”. www.infojc.com
O Modelos de negocios/estrategias diferentes La respuesta de General Motors: “Puede que tenga razón, pero si la industria del automóvil hubiera seguido la evolución de la informática hoy tendríamos coches de las siguientes características”: Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y cada día, sin que usted pudiera no podría volver a arrancarlo. Este explicarse la causa. hecho podría producirse al intentar Ocasionalmente, su coche se realizar una maniobra (como girar a la pararía en medio de una autopista izquierda). La solución será reinstalar sin ninguna razón. Debería de nuevo el motor. Extrañamente, aceptarlo con resignación, volver a también aceptaría tal hecho resignado. Introducción arrancar y seguir conduciendo Además, las puertas de su vehículo se esperando que no vuelva a ocurrir bloquearían frecuentemente sin razón (y, por supuesto, no tendría ninguna aparente. Sin embargo, podría garantía de ello). volverlas a abrir utilizando algún truco Siempre que se presentase un como accionar el tirador al mismo nuevo vehículo, los conductores tiempo que con una mano gira la llave www.infojc.com deberían volver a aprender a de contacto y con la otra agarra la conducir porque nada funcionaría antena de la radio. igual que en el modelo anterior.
Pero ... “En Agosto de 2006 UniSys pierde un ordenador con datos personales (seguros, militares y médicos) de 38.000 veteranos de EEUU” “Dos estadounidenses han llegado a un acuerdo con la fiscalía para declararse culpables de robar secretos industriales a la Coca Cola, e intentar venderlos a su principal competidora, Pepsi Cola. Insistieron en que la idea de vender muestras del nuevo producto y de los documentos confidenciales partió de una secretaria de un ejecutivo de la empresa” Introducción “Un hacker logró un listado de 40 millones de tarjetas de crédito. Servired, Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000 clientes en España del riesgo que corrían” ¡Esto ya no hace tanta gracia! www.infojc.com
Además …. Cuentas sin contraseña, con contraseñas débiles o sin caducidad son graves fallos de logística en una organización. Introducción www.infojc.com
Y encima… Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. “Los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social. Introducción www.infojc.com
Introducción www.infojc.com La Caixa: ¿Le ha pasado?
Hablamos de información “Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer el Seguridad de la Información resultado de mil batallas” www.infojc.com Sun-Tzu, El Arte de la Guerra
Hablamos de negocio Valor, Activos, Mercados ... Seguridad de la Información La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Se caracteriza por ser vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. www.infojc.com
Hablamos de negocio Un nuevo modelo de empresa: Seguridad de la Información www.infojc.com
Algunas preguntas Los pilares de la seguridad de la información: Seguridad de la Información Qué debe ser protegido? Por qué debe ser protegido? De qué debe ser protegido? Cómo protegerlo? www.infojc.com
Algunas preguntas ¿Cómo puede estar la información? Seguridad de la Información Impresa o escrita en papel Almacenada electrónicamente Trasmitida por correo o medios electrónicos Hablada ¿Cuál es la información más valiosa que manejamos? La de nuestros clientes, nuestras ventas, nuestro personal La de nuestros productos, desarrollos, proyectos www.infojc.com
Algunas preguntas ¿Como puede afectarnos la falta de seguridad? Seguridad de la Información www.infojc.com
Algunas preguntas ¿Desde dónde llegan las amenazas? Seguridad de la Información www.infojc.com
Seguridad de la Información www.infojc.com Respuesta Instintiva
Algunas reflexiones La Dirección de la Empresa: Mi sistema no es importante para un pirata y mi personal es de Seguridad de la Información confianza. ¿Quién va a querer obtener información mía o atacarme? No pasa nada, actualizo las versiones periódicamente. No entro en páginas peligrosas y como tengo antivirus estoy a salvo. Estoy protegido pues no abro archivos que no conozco ni contesto correos a desconocidos. Como dispongo de un firewall estoy tranquilo. Tengo un servidor web cuyo sistema operativo es seguro, por lo www.infojc.com tanto soy invulnerable.
Algunas reflexiones Los trabajadores de la empresa: Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles Seguridad de la Información corporativos para acceder a Internet (21%). Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía. Un 5% dice que tienen acceso a áreas de la red corporativa que no deberían tener. Imprimen los informes y ficheros y los dejan en la impresora, la mesa, la papelera, el metro. www.infojc.com La mayoría no quiere usar contraseñas de calidad. No quieren u olvidan cifrar ficheros y correos. Fuente: McAfee
Problemas más importantes de seguridad ¿Cuáles son los problemas más importantes? Seguridad de la Información www.infojc.com Fuente: Verizon
Evolución de los orígenes de corrupción/pérdida de datos ¿A quién le va a interesar? Seguridad de la Información 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% www.infojc.com 2004 2005 2006 2007 2008 Externo Interno Colaboradores Fuente: Verizon
Origen de corrupción/pérdida de datos (Probabilidad) ¿Es muy probable? Seguridad de la Información Sospechoso Confirmado www.infojc.com Externo Interno Colaboradores Fuente: Verizon
Registros afectados según origen (Impacto) ¿Qué impacto puede tener? Seguridad de la Información 120,000 100,000 80,000 60,000 40,000 20,000 0 www.infojc.com Externo Interno Colaboradores Fuente: Verizon
Origen de ataques internos Pero, ¿quién dentro de mi empresa? Seguridad de la Información Agentes/Esp ias Ejecutivos Anónimos Administrad Empleados ores SI www.infojc.com Fuente: Verizon
Tiempo que llevaban disponibles las correcciones de las vulnerabilidades aprovechadas por los ataques Actualizo periódicamente. Seguridad de la Información Menos de 11 a 3 Meses 3 a 6 Meses Mes 6 a 12 Meses www.infojc.com Más de 1 Año Fuente: Verizon
Respuestas Las páginas en las que entro son seguras. Desde enero hasta finales de marzo de 2008, los investigadores de la empresa Sophos identificaron una media de más de 15.000 nuevas páginas infectadas cada día (una cada 5 Seguridad de la Información segundos). La mayoría de estos sitios infectados (el 79%) se encuentran en webs legítimas que han sido vulneradas. Incremento del número de páginas web peligrosas en los dos últimos años 1731% 1800% 1564% 1600% 1314% 1400% 1092% 1200% 1000% 824% 800% 645% 532% 600% 431% 337% 400% 192% 247% 100% 161% 200% 0% www.infojc.com Fuente: Trend Micro
Respuestas Los ordenadores zombies (redes botnet) se multiplican. Mayo.2010 – Ya en 2008 Kaspersky Lab reportó dos nuevas variantes de un gusano, Networm.Win32.Koobface.a. y Networm.Win32.Koobface.b, que atacan a los usuarios de MySpace y de Facebook y transforman a los equipos de las víctimas en máquinas zombies Seguridad de la Información que pasan a formar parte de una red botnet. www.infojc.com Fuente: ShadowServer
Respuestas Pero, ¿Qué buscan en mi empresa? Seguridad de la Información 80% de todas las vulnerabilidades www.infojc.com Web son facilmente explotadas. Fuente: Symantec
Respuestas Pero, ¿los atacantes tendrán un elevado nivel tecnológico? Seguridad de la Información www.infojc.com Fuente: Verizon
Respuestas ¿Serán ataques de mucha dificultad? Seguridad de la Información Ninguna Alta Baja Moderada www.infojc.com Fuente: Verizon
Respuestas No abro archivos ni contesto correo desconocido. Junio.2008 - Según un informe de IBM, el porcentaje de phishing procedente de servidores instalados en España ha pasado del 14,8% en 2007 a un 16,7% en el primer semestre de Seguridad de la Información este año. España continúa siendo el país que alberga el mayor número de servidores que envían correos electrónicos con la técnica fraudulenta del phishing. Porcentaje de usuarios que han recibido algún intento de fraude online y porcentaje de fraude con perjuicio económico 27.80% 70.10% 29.90% 2.10% www.infojc.com No Fuente: Inteco
Respuestas Pero dispongo de firewall que me protege. Seguridad de la Información www.infojc.com
Algunos datos ¿Cuáles son las causas de estos ataques? Seguridad de la Información El de los incidentes El de los incidentes El de los incidentes son atribuibles a errores tuvieron éxito como incorporaron código de gestión en la consecuencia de malicioso seguridad significativos actividades de hacking El de los incidentes El de los incidentes guardaron relación con tuvieron como motor explotación de una amenaza a la vulnerabilidades seguridad física www.infojc.com Fuente: Inteco
Algunos datos Datos significativos Seguridad de la Información de cada incidentes La mayoría de los no fueron descubiertos ataques no eran por las víctimas sofisticados El de los incidentes El de los objetivos podría haber sido son oportunísticos, y no prevenido mediante dirigidos aplicación de medidas de seguridad www.infojc.com Fuente: Inteco
Algunos datos Seguridad de la Información www.infojc.com Las vulnerabilidades mas comunes
Hábitos definitorios del componente “imprudencia” (%) Algunos datos Hábitos “Imprudentes” Enero Abril Julio Seguridad de la Información Abro correos de remitentes desconocidos si parecen interesante 9.8 11.9 10.5 Doy mi dirección de e-mail cuando me lo piden aunque desconozca el destinatario 8.4 11.7 10.0 Agrego contactos al Messenger aunque no sepa de quién se trata 9.0 10.9 10.4 Pulso los enlaces que aparecen en las conversaciones del Messenger, sin preguntar de que se trata 6.0 9.0 6.9 Si es necesario modifico las medidas de seguridad del ordenador para poder acceder a servicios o juegos 10.1 14.3 13.1 Comparto software sin comprobar si está o no 11.2 13.9 12.0 www.infojc.com infectado (redes P2P) Fuente: Inteco
Hábitos definitorios del componente “imprudencia” (%) Algunos datos Hábitos “Imprudentes” 2009 1º Trim. 2º Trim. Seguridad de la Información Abro correos de remitentes desconocidos si parecen interesante 15.3 % 14.7 % Agrego contactos al programa de mensajería (Messenger, ICQ) aunque no sepa de quién se trata 17.0 % 16.7 % Pulso los enlaces que aparecen en las conversaciones del Messenger, sin preguntar de que se trata 16.9 % 11.5 % Si es necesario modifico las medidas de seguridad del ordenador para poder acceder a servicios o juegos 40.8 % 39.3 % Comparto todos los archivos que tengo en mi ordenador con el resto de usuarios P2P 22.4 % 20.0 % No analizo con el programa antivirus todos los 44.2 % 39.1 % www.infojc.com archivos descargados a través de redes P2P Fuente: Inteco
Algunos datos Evolución de incidencias detectadas por los usuarios en los últimos meses (%) Seguridad de la Información 77.0% Recepción de correos no solicitados 83.3% 83.3% 35.9% Virus Informáticos 40.2% 32.8% 22.3% Intrusiones remotas en el ordenador 24.2% 25.8% 16.2% Intrusiones en el correo electrónico 19.3% 18.0% 14.6% Obtención fraudulenta de datos personales 15.5% 13.1% 12.7% Robo de ancho de banda WiFi 11.7% 8.1% 8.5% Intrusiones en otras cuentas de servicio web 12.4% 8.5% 7.6% Fraudes o robos cuentas bancarias online 6.5% 4.1% Fraudes o robos relacionados con tarjetas de 7.4% 7.1% crédito 4.0% www.infojc.com 0% 20% 40% 60% 80% 100% Mayo-Julio Febrero-Abril Noviembre-Enero Fuente: Inteco
Algunos datos Aumentan las vulnerabilidades y las posibilidades de tener éxito. Seguridad de la Información 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 www.infojc.com Fuente: CERT
Querido Directivo… Algunos datos ¿Monitoriza los sistemas IDS-IPS? Seguridad de la Información ¿Lleva a cabo acciones de hashing? ¿Puede sufrir ¿Con un algoritmo Eavesdropping? seguro? ¿Es su empresa resistente a Sniffing? ¿Tiene su firewall comunicación en ambos sentidos LAN-WLAN? ¿Usa técnicas criptográficas AES-256? www.infojc.com
Querido Directivo… Algunos datos ¿Alguien entró en su PC mientras no estuvo? Seguridad de la Información ¿Están seguros sus datos? ¿Sabe donde acaba la información? ¿Pueden corromper sus datos sin que se de cuenta? Creo que todo bien ¿Es legal todo su software? ¿Quién accedió a su BD? ¿Sabe lo que hace ¿Alguien le roba el administrador de su BD? información? www.infojc.com
Algunos datos Entonces, ¿cuál es el problema? El 99% de las empresas disponen de antivirus, el 87% firewall, pero solo Seguridad de la Información el 34% dispone de sistemas de backup y recuperación. El 75% no utilizan cifrado de información. El 55% no dispone de herramientas para hacer frente a vulnerabilidades. Solo el 34% afirma tener un entorno seguro en la empresa. El 30% piensa que no es importante pues no ha sufrido ningún ataque. El 19% ha sufrido un ataque con pérdida de datos/sistemas. El 35% no informa a los empleados sobre la política de Seguridad. El 16% no cuenta con ninguna. El 13% afirma que la seguridad no es prioritaria para la dirección. www.infojc.com Más del 20% apunta al coste como un obstáculo. Un 34% a la falta de tiempo y conocimientos. Fuente: Symantec
¿Cuánto vale nuestra seguridad? No existe la certeza sobre una seguridad informática absoluta, pero con el 20% de esfuerzo se puede lograr el 80% de resultados. Seguridad de la Información www.infojc.com
Evaluación de pérdidas en dólares. ¿Cuánto vale nuestra NO seguridad? Fraude Financiero 21,124,750 Infección 8,391,800 Penetración en el sistema 6,875,000 Seguridad de la Información Robo de información lógico 5,685,000 Robo de hardware 3,881,150 Abuso de privilegios 2,889,700 Denegación de servicio 2,888,600 Phishing suplantando a su empresa 2,752,000 Bots dentro de la organización 2,869,600 Robo de inf. propietaria desde un dispositivo movil 2,345,000 Robo de inf. confidencial desde un dispositivo movil 2,203,000 Sabotaje de inf., de red o datos 1,056,000 Acceso no autorizado a inf. por los empleados 1,042,700 Manipulación del sitio Web 725,300 Fraude de Telecomunicaciones 651,000 Uso no autorizado de la red WiFi 542,850 Uso o autorizado de una aplicación Web pública 251,000 Mensajería instantánea 200,700 www.infojc.com Sniffing de contraseñas 168,100 Envío de correos ofuscados 160,000 Uso no autorizado del servidor DNS de la empresa 104,500 0 5,000,000 10,000,000 15,000,000 20,000,000 25,000,000 Fuente: FBI/CSI
¿Cuánto vale nuestra seguridad? 13/02/2005. Torre Windsor. No contaba con sistemas automáticos de detección y Seguridad de la Información extinción de incendios. No obligatorios en España para edificios con altura de evacuación inferior a los 100 m. Deloitte y Garrigues, ocupaban 20 plantas. 1.200 trabajadores de la auditora y 133 del bufete han perdido miles de horas de trabajo. Procedimientos de copia de seguridad externa. Se recuperó la gestión documental en diez días. Normalidad es lo que buscaron urgentemente las dos compañías. El lunes reubicaron a los empleados, desviaron las centralitas dañadas a otras sedes. Los ingresos dejados de percibir se cifran en 25 millones de euros. www.infojc.com
Medidas adoptadas después de un incidente. ¿Qué hacemos después? Intento de identificar al autor 61% Hacer todo lo posible por tapar los agujeros de Seguridad de la Información seguridad 54% Instalación de parches de seguridad 48% Instalación de software de seguridad adicional 36% Modificación de las políticas de seguridad 34% Comunicación a las fuerzas de la ley 29% Instalación de hardware de seguridad adicional 28% Comunicación a un asesor legal 24% No divulgación más allá de la organización 30% www.infojc.com Otros 10% 0% 10% 20% 30% 40% 50% 60% 70% Fuente: FBI/CSI
Algunas reflexiones Para debatir: Las empresas/particulares ignoran las nuevas amenazas de seguridad. Seguridad de la Información La seguridad informática NO es un problema exclusivamente de los ordenadores. La Seguridad de la Información no es independiente del resto de los procesos de negocio de la empresa. La Seguridad de la Información no es un medio, es un objetivo. La implantación de medidas de seguridad NO es costosa. El oscurantismo no ha de suponer uno de los pilares de la seguridad en una empresa (security through obscurity). www.infojc.com
Xornadas sobre as na : Seguridad de la Información. : Menos charla y más acción. Objetivos de la Jornada : a profesionales y empresarios. : a la tecnología y a los hackers. www.infojc.com
Jorge Cebreiros · direccion@infojc.com @InfoJC_Galicia Blog.infojc.com www.infojc.com

Recomendados

Presentacion Seguridad Informatica
Presentacion Seguridad InformaticaPresentacion Seguridad Informatica
Presentacion Seguridad Informaticaalegria92
 
Pilares de la seguridad informática
Pilares de la seguridad informáticaPilares de la seguridad informática
Pilares de la seguridad informáticaPEDRO OSWALDO BELTRAN CANESSA
 
Presentacion Seguridad InformáTica
Presentacion Seguridad InformáTicaPresentacion Seguridad InformáTica
Presentacion Seguridad InformáTicapbadue
 
Evaluacion final
Evaluacion finalEvaluacion final
Evaluacion finalMonicasuarez20
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informáticoCarlos Andres Perez Cabrales
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticarchacon
 
Si u1 apuntes
Si u1 apuntesSi u1 apuntes
Si u1 apuntesroland castillo
 
Segu
SeguSegu
Segualu4leal
 

Recomendados

Presentacion Seguridad Informatica
Presentacion Seguridad InformaticaPresentacion Seguridad Informatica
Presentacion Seguridad Informaticaalegria92
 
Pilares de la seguridad informática
Pilares de la seguridad informáticaPilares de la seguridad informática
Pilares de la seguridad informáticaPEDRO OSWALDO BELTRAN CANESSA
 
Presentacion Seguridad InformáTica
Presentacion Seguridad InformáTicaPresentacion Seguridad InformáTica
Presentacion Seguridad InformáTicapbadue
 
Evaluacion final
Evaluacion finalEvaluacion final
Evaluacion finalMonicasuarez20
 
Caso sobre delito informático
Caso sobre delito informáticoCaso sobre delito informático
Caso sobre delito informáticoCarlos Andres Perez Cabrales
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticarchacon
 
Si u1 apuntes
Si u1 apuntesSi u1 apuntes
Si u1 apuntesroland castillo
 
Segu
SeguSegu
Segualu4leal
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria SocialBethsabeHerreraTrujillo
 
Seguridad, privacidad y medidas de prevención
Seguridad, privacidad y medidas de prevenciónSeguridad, privacidad y medidas de prevención
Seguridad, privacidad y medidas de prevenciónluis galindo
 
seguridad, privacidad y medidas de prevención
seguridad, privacidad y medidas de prevenciónseguridad, privacidad y medidas de prevención
seguridad, privacidad y medidas de prevenciónjhoselin176
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Guia del empleado seguro
Guia del empleado seguroGuia del empleado seguro
Guia del empleado seguroGregorio Cedeño
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y proteccióngrarysit
 
Consolidado grupal 301120 8
Consolidado grupal 301120 8Consolidado grupal 301120 8
Consolidado grupal 301120 8Sergio Fernando Silva Zamora
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentaciónAna María Citlali Díaz Hernández
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 
Trabajo colaborativo u3
Trabajo colaborativo u3Trabajo colaborativo u3
Trabajo colaborativo u3Sergio Fernando Silva Zamora
 
Seguridad
SeguridadSeguridad
SeguridadAna María Citlali Díaz Hernández
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaPedro Trelles Araujo
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Primera parte
Primera partePrimera parte
Primera parteMike Plane
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadGeorgy Jose Sanchez
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodesjuancarlosreategui
 

Mais conteúdo relacionado

Mais procurados

Seguridad, privacidad y medidas de prevención
Seguridad, privacidad y medidas de prevenciónSeguridad, privacidad y medidas de prevención
Seguridad, privacidad y medidas de prevenciónluis galindo
 
seguridad, privacidad y medidas de prevención
seguridad, privacidad y medidas de prevenciónseguridad, privacidad y medidas de prevención
seguridad, privacidad y medidas de prevenciónjhoselin176
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y proteccióngrarysit
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 

Mais procurados (17)

Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria Social
 
Seguridad, privacidad y medidas de prevención
Seguridad, privacidad y medidas de prevenciónSeguridad, privacidad y medidas de prevención
Seguridad, privacidad y medidas de prevención
 
seguridad, privacidad y medidas de prevención
seguridad, privacidad y medidas de prevenciónseguridad, privacidad y medidas de prevención
seguridad, privacidad y medidas de prevención
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
Guia del empleado seguro
Guia del empleado seguroGuia del empleado seguro
Guia del empleado seguro
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y protección
 
Consolidado grupal 301120 8
Consolidado grupal 301120 8Consolidado grupal 301120 8
Consolidado grupal 301120 8
 
Seguridad presentación
Seguridad presentaciónSeguridad presentación
Seguridad presentación
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Trabajo colaborativo u3
Trabajo colaborativo u3Trabajo colaborativo u3
Trabajo colaborativo u3
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridad
 
Primera parte
Primera partePrimera parte
Primera parte
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 

Destaque

Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionDigetech.net
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónTensor
 
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOSBASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOSmiguel a
 
Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Esteban Gonzalez
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacionRomario Correa Aguirre
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionalesald32
 
Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la informaciónFranklin Duarte
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAerickaoblea1
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacionOrlando Verdugo
 
Normalización en Bases de datos
Normalización en Bases de datosNormalización en Bases de datos
Normalización en Bases de datoskamui002
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 

Destaque (20)

Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodes
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOSBASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
 
Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacion
 
Base datos normalización une
Base datos normalización uneBase datos normalización une
Base datos normalización une
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionales
 
Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la información
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
 
Normalización de las bases de datos
Normalización de las bases de datosNormalización de las bases de datos
Normalización de las bases de datos
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacion
 
Normalización en Bases de datos
Normalización en Bases de datosNormalización en Bases de datos
Normalización en Bases de datos
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 

Semelhante a Seguridad informacion

SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUALMiguel Cabrera
 
Seguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxSeguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxLuis Manotas
 
Manual ciberseguridad es
Manual ciberseguridad esManual ciberseguridad es
Manual ciberseguridad esluchoporsercura
 
Introduccion a la seguridad informatica
Introduccion a la seguridad informaticaIntroduccion a la seguridad informatica
Introduccion a la seguridad informaticahackbo
 
Internet y las interrogantes (objeciones) . WSI drivebiz Slide Básica
Internet y las interrogantes (objeciones) . WSI drivebiz Slide BásicaInternet y las interrogantes (objeciones) . WSI drivebiz Slide Básica
Internet y las interrogantes (objeciones) . WSI drivebiz Slide BásicaRicardo Delgado
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...RootedCON
 
Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...
Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...
Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...Pablo Ariel Di Loreto
 
Seguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosSeguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosGatell & Asociados
 
Privacidad y seguridad en internet
Privacidad y seguridad en internetPrivacidad y seguridad en internet
Privacidad y seguridad en internetÓscar Ramón
 
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...Fernando Tricas García
 
Root Secure Information Disclosure
Root Secure Information DisclosureRoot Secure Information Disclosure
Root Secure Information DisclosureCristian Borghello
 
Protección de equipos en la red
Protección de equipos en la redProtección de equipos en la red
Protección de equipos en la redPancho Opcionweb
 

Semelhante a Seguridad informacion (20)

SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
SEGURIDAD DE INFORMACIÓN SITUACIÓN ACTUAL
 
Seguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxSeguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptx
 
PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptx
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISO
 
Asignacion 15
Asignacion 15Asignacion 15
Asignacion 15
 
Asignacion 15
Asignacion 15Asignacion 15
Asignacion 15
 
Seguridad previa en comercio
Seguridad previa en comercioSeguridad previa en comercio
Seguridad previa en comercio
 
Manual ciberseguridad es
Manual ciberseguridad esManual ciberseguridad es
Manual ciberseguridad es
 
Seguridad y negocios
Seguridad y negociosSeguridad y negocios
Seguridad y negocios
 
Introduccion a la seguridad informatica
Introduccion a la seguridad informaticaIntroduccion a la seguridad informatica
Introduccion a la seguridad informatica
 
Internet y las interrogantes (objeciones) . WSI drivebiz Slide Básica
Internet y las interrogantes (objeciones) . WSI drivebiz Slide BásicaInternet y las interrogantes (objeciones) . WSI drivebiz Slide Básica
Internet y las interrogantes (objeciones) . WSI drivebiz Slide Básica
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
 
Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...
Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...
Azure | Seguridad en la Nube de Microsoft Azure - Desayuno Algeiba IT - 04/05...
 
Seguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogadosSeguridad informatica curso para el colegio abogados
Seguridad informatica curso para el colegio abogados
 
Privacidad y seguridad en internet
Privacidad y seguridad en internetPrivacidad y seguridad en internet
Privacidad y seguridad en internet
 
Transformación Digital
Transformación DigitalTransformación Digital
Transformación Digital
 
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
Por qué mi banco me envía un SMS para confirmar mis operaciones y otras dific...
 
Tecnología, Seguridad y Empresa. Manual de introducción a la seguridad en el ...
Tecnología, Seguridad y Empresa. Manual de introducción a la seguridad en el ...Tecnología, Seguridad y Empresa. Manual de introducción a la seguridad en el ...
Tecnología, Seguridad y Empresa. Manual de introducción a la seguridad en el ...
 
Root Secure Information Disclosure
Root Secure Information DisclosureRoot Secure Information Disclosure
Root Secure Information Disclosure
 
Protección de equipos en la red
Protección de equipos en la redProtección de equipos en la red
Protección de equipos en la red
 

Seguridad informacion

  • 1. www.infojc.com Jorge Cebreiros Arce Santiago, 23 de Setembro de 2011
  • 2. Xornadas sobre as na • : Seguridad de la Información. • : Menos charla y más acción. Objetivos de la Jornada • : a profesionales y empresarios. • : tecnología y hackers. (KISS : Keep It Simple Stupid) www.infojc.com
  • 3. Seguridad Los beneficios de las nuevas tecnologías de la información en el día a día son indudables, sin embargo también es cierto que estas pueden ser empleadas de forma malintencionada por algunos sujetos pudiendo llegar a afectar a ciudadanos y empresas y, de manera especial, a la privacidad de su información. Introducción www.infojc.com
  • 4. De qué estamos hablando SEGURIDAD Cualidad de Seguro. Mecanismo que previene algún riesgo o asegura el buen funcionamiento de alguna cosa, precaviendo que falle. SEGURO Lugar o sitio libre y exento de todo peligro, daño o riesgo. Cierto, indubitable y en cierta manera infalible. Que no está en peligro de faltar o caerse. CONFIAR Depositar en alguien, sin más seguridad que la buena fe y la opinión que de él se tiene, la hacienda, el secreto o cualquier Introducción otra cosa. Encargar o poner al cuidado de alguien algún negocio u otra cosa. www.infojc.com Diccionario de la R.A.E.
  • 5. En el mundo real Estamos acostumbrados a manejarnos en la seguridad de la sociedad “física” No abras la puerta a nadie Deja el coche con la alarma conectada Ten cuidado al cruzar No vuelvas tarde, que ese barrio por la noche no es seguro Introducción No te dejes la cartera a la vista Etc... www.infojc.com
  • 6. Por ejemplo en el automóvil Para estar seguro no basta un buen motor Todo debe estar razonablemente bien: Sistema eléctrico, batería, alternador Refrigeración, bomba de agua, radiador Amortiguadores y neumáticos Frenos Etc... Introducción Pero también: Seguro Permiso de circulación Inspección Técnica de Vehículos Impuesto de tráfico www.infojc.com Etc...
  • 7. En el mundo de los negocios En el departamento financiero... Introducción - ¿Que tal vamos hoy? Bastante bien, se han resuelto 230 incidencias más que ayer y ya estamos muy cerca de que los pedidos para el año próximo doblen los de este, que era el objetivo marcado. www.infojc.com - Entonces, ¿Llegaremos a BAI cero a final de año? Si seguimos así, incluso positivo.
  • 8. Sin embargo ... En el departamento de sistemas de información... Introducción - ¿Hoy no tendremos otra caída como la de ayer, verdad? Pues, esperemos que no. - Pero, ¿qué probabilidad hay de que sí? Sería difícil decirlo, la verdad es que no debería, pero con estas cosas www.infojc.com ya se sabe... Yo espero que no pase nada más, pero ... - Por lo menos, ¿se estarán haciendo las copias de seguridad? Esto …. mmmmm…. Supongo que si.
  • 9. Parece ... Que en la Sociedad de la Información estamos más perdidos: ¿Cómo evito el acceso a mi ordenador? ¿De dónde saco una alarma por si alguien entra en mi equipo? ¿Cómo se hace para que mi equipo no se cuelgue? ¿Cómo me entero de qué zonas de la Web no son seguras? ¿Tengo que guardar en cajones papeles, CDs, etc.? Introducción www.infojc.com
  • 10. Podría ser ... ¿Problema de prioridades, de comunicación, de lenguaje o de falta de normas claras y conocidas? Introducción www.infojc.com - Entonces me dices que - Cuenta con ello, mi puedo estar tranquilo, que compañía tiene el sistema ya tienes claro lo que perfecto para cubrir tus quiero. expectativas
  • 11. Modelos de negocios o estrategias diferentes? Durante una feria a la que el Presidente de una importante compañía de desarrollo de Software asistió para dar una conferencia, con el ánimo de ser lo más gráfico posible, hizo una comparación entre los logros de su compañía y los de la industria del automóvil. Y se le ocurrió la siguiente frase: Introducción “Si la General Motors se hubiera desarrollado como la industria de la informática en los últimos diez años, ahora podríamos conducir automóviles que correrían a 160.000 Km/h, pesarían menos de 14 kg y recorrerían una distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su precio sería de 25 dólares”. www.infojc.com
  • 12. O Modelos de negocios/estrategias diferentes La respuesta de General Motors: “Puede que tenga razón, pero si la industria del automóvil hubiera seguido la evolución de la informática hoy tendríamos coches de las siguientes características”: Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y cada día, sin que usted pudiera no podría volver a arrancarlo. Este explicarse la causa. hecho podría producirse al intentar Ocasionalmente, su coche se realizar una maniobra (como girar a la pararía en medio de una autopista izquierda). La solución será reinstalar sin ninguna razón. Debería de nuevo el motor. Extrañamente, aceptarlo con resignación, volver a también aceptaría tal hecho resignado. Introducción arrancar y seguir conduciendo Además, las puertas de su vehículo se esperando que no vuelva a ocurrir bloquearían frecuentemente sin razón (y, por supuesto, no tendría ninguna aparente. Sin embargo, podría garantía de ello). volverlas a abrir utilizando algún truco Siempre que se presentase un como accionar el tirador al mismo nuevo vehículo, los conductores tiempo que con una mano gira la llave www.infojc.com deberían volver a aprender a de contacto y con la otra agarra la conducir porque nada funcionaría antena de la radio. igual que en el modelo anterior.
  • 13. Pero ... “En Agosto de 2006 UniSys pierde un ordenador con datos personales (seguros, militares y médicos) de 38.000 veteranos de EEUU” “Dos estadounidenses han llegado a un acuerdo con la fiscalía para declararse culpables de robar secretos industriales a la Coca Cola, e intentar venderlos a su principal competidora, Pepsi Cola. Insistieron en que la idea de vender muestras del nuevo producto y de los documentos confidenciales partió de una secretaria de un ejecutivo de la empresa” Introducción “Un hacker logró un listado de 40 millones de tarjetas de crédito. Servired, Visa y 4B tuvieron que localizar y avisar urgentemente a más de 50.000 clientes en España del riesgo que corrían” ¡Esto ya no hace tanta gracia! www.infojc.com
  • 14. Además …. Cuentas sin contraseña, con contraseñas débiles o sin caducidad son graves fallos de logística en una organización. Introducción www.infojc.com
  • 15. Y encima… Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. “Los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social. Introducción www.infojc.com
  • 16. Introducción www.infojc.com La Caixa: ¿Le ha pasado?
  • 17. Hablamos de información “Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer el Seguridad de la Información resultado de mil batallas” www.infojc.com Sun-Tzu, El Arte de la Guerra
  • 18. Hablamos de negocio Valor, Activos, Mercados ... Seguridad de la Información La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. Se caracteriza por ser vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. www.infojc.com
  • 19. Hablamos de negocio Un nuevo modelo de empresa: Seguridad de la Información www.infojc.com
  • 20. Algunas preguntas Los pilares de la seguridad de la información: Seguridad de la Información Qué debe ser protegido? Por qué debe ser protegido? De qué debe ser protegido? Cómo protegerlo? www.infojc.com
  • 21. Algunas preguntas ¿Cómo puede estar la información? Seguridad de la Información Impresa o escrita en papel Almacenada electrónicamente Trasmitida por correo o medios electrónicos Hablada ¿Cuál es la información más valiosa que manejamos? La de nuestros clientes, nuestras ventas, nuestro personal La de nuestros productos, desarrollos, proyectos www.infojc.com
  • 22. Algunas preguntas ¿Como puede afectarnos la falta de seguridad? Seguridad de la Información www.infojc.com
  • 23. Algunas preguntas ¿Desde dónde llegan las amenazas? Seguridad de la Información www.infojc.com
  • 24. Seguridad de la Información www.infojc.com Respuesta Instintiva
  • 25. Algunas reflexiones La Dirección de la Empresa: Mi sistema no es importante para un pirata y mi personal es de Seguridad de la Información confianza. ¿Quién va a querer obtener información mía o atacarme? No pasa nada, actualizo las versiones periódicamente. No entro en páginas peligrosas y como tengo antivirus estoy a salvo. Estoy protegido pues no abro archivos que no conozco ni contesto correos a desconocidos. Como dispongo de un firewall estoy tranquilo. Tengo un servidor web cuyo sistema operativo es seguro, por lo www.infojc.com tanto soy invulnerable.
  • 26. Algunas reflexiones Los trabajadores de la empresa: Uno de cada 5 empleados deja a su familia y amigos usar sus portátiles Seguridad de la Información corporativos para acceder a Internet (21%). Uno de cada diez confiesa que baja algún tipo de contenido que no debiera mientras está en el trabajo. Dos tercios admiten tener conocimientos muy limitados en materia de seguridad. La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía. Un 5% dice que tienen acceso a áreas de la red corporativa que no deberían tener. Imprimen los informes y ficheros y los dejan en la impresora, la mesa, la papelera, el metro. www.infojc.com La mayoría no quiere usar contraseñas de calidad. No quieren u olvidan cifrar ficheros y correos. Fuente: McAfee
  • 27. Problemas más importantes de seguridad ¿Cuáles son los problemas más importantes? Seguridad de la Información www.infojc.com Fuente: Verizon
  • 28. Evolución de los orígenes de corrupción/pérdida de datos ¿A quién le va a interesar? Seguridad de la Información 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% www.infojc.com 2004 2005 2006 2007 2008 Externo Interno Colaboradores Fuente: Verizon
  • 29. Origen de corrupción/pérdida de datos (Probabilidad) ¿Es muy probable? Seguridad de la Información Sospechoso Confirmado www.infojc.com Externo Interno Colaboradores Fuente: Verizon
  • 30. Registros afectados según origen (Impacto) ¿Qué impacto puede tener? Seguridad de la Información 120,000 100,000 80,000 60,000 40,000 20,000 0 www.infojc.com Externo Interno Colaboradores Fuente: Verizon
  • 31. Origen de ataques internos Pero, ¿quién dentro de mi empresa? Seguridad de la Información Agentes/Esp ias Ejecutivos Anónimos Administrad Empleados ores SI www.infojc.com Fuente: Verizon
  • 32. Tiempo que llevaban disponibles las correcciones de las vulnerabilidades aprovechadas por los ataques Actualizo periódicamente. Seguridad de la Información Menos de 11 a 3 Meses 3 a 6 Meses Mes 6 a 12 Meses www.infojc.com Más de 1 Año Fuente: Verizon
  • 33. Respuestas Las páginas en las que entro son seguras. Desde enero hasta finales de marzo de 2008, los investigadores de la empresa Sophos identificaron una media de más de 15.000 nuevas páginas infectadas cada día (una cada 5 Seguridad de la Información segundos). La mayoría de estos sitios infectados (el 79%) se encuentran en webs legítimas que han sido vulneradas. Incremento del número de páginas web peligrosas en los dos últimos años 1731% 1800% 1564% 1600% 1314% 1400% 1092% 1200% 1000% 824% 800% 645% 532% 600% 431% 337% 400% 192% 247% 100% 161% 200% 0% www.infojc.com Fuente: Trend Micro
  • 34. Respuestas Los ordenadores zombies (redes botnet) se multiplican. Mayo.2010 – Ya en 2008 Kaspersky Lab reportó dos nuevas variantes de un gusano, Networm.Win32.Koobface.a. y Networm.Win32.Koobface.b, que atacan a los usuarios de MySpace y de Facebook y transforman a los equipos de las víctimas en máquinas zombies Seguridad de la Información que pasan a formar parte de una red botnet. www.infojc.com Fuente: ShadowServer
  • 35. Respuestas Pero, ¿Qué buscan en mi empresa? Seguridad de la Información 80% de todas las vulnerabilidades www.infojc.com Web son facilmente explotadas. Fuente: Symantec
  • 36. Respuestas Pero, ¿los atacantes tendrán un elevado nivel tecnológico? Seguridad de la Información www.infojc.com Fuente: Verizon
  • 37. Respuestas ¿Serán ataques de mucha dificultad? Seguridad de la Información Ninguna Alta Baja Moderada www.infojc.com Fuente: Verizon
  • 38. Respuestas No abro archivos ni contesto correo desconocido. Junio.2008 - Según un informe de IBM, el porcentaje de phishing procedente de servidores instalados en España ha pasado del 14,8% en 2007 a un 16,7% en el primer semestre de Seguridad de la Información este año. España continúa siendo el país que alberga el mayor número de servidores que envían correos electrónicos con la técnica fraudulenta del phishing. Porcentaje de usuarios que han recibido algún intento de fraude online y porcentaje de fraude con perjuicio económico 27.80% 70.10% 29.90% 2.10% www.infojc.com No Fuente: Inteco
  • 39. Respuestas Pero dispongo de firewall que me protege. Seguridad de la Información www.infojc.com
  • 40. Algunos datos ¿Cuáles son las causas de estos ataques? Seguridad de la Información El de los incidentes El de los incidentes El de los incidentes son atribuibles a errores tuvieron éxito como incorporaron código de gestión en la consecuencia de malicioso seguridad significativos actividades de hacking El de los incidentes El de los incidentes guardaron relación con tuvieron como motor explotación de una amenaza a la vulnerabilidades seguridad física www.infojc.com Fuente: Inteco
  • 41. Algunos datos Datos significativos Seguridad de la Información de cada incidentes La mayoría de los no fueron descubiertos ataques no eran por las víctimas sofisticados El de los incidentes El de los objetivos podría haber sido son oportunísticos, y no prevenido mediante dirigidos aplicación de medidas de seguridad www.infojc.com Fuente: Inteco
  • 42. Algunos datos Seguridad de la Información www.infojc.com Las vulnerabilidades mas comunes
  • 43. Hábitos definitorios del componente “imprudencia” (%) Algunos datos Hábitos “Imprudentes” Enero Abril Julio Seguridad de la Información Abro correos de remitentes desconocidos si parecen interesante 9.8 11.9 10.5 Doy mi dirección de e-mail cuando me lo piden aunque desconozca el destinatario 8.4 11.7 10.0 Agrego contactos al Messenger aunque no sepa de quién se trata 9.0 10.9 10.4 Pulso los enlaces que aparecen en las conversaciones del Messenger, sin preguntar de que se trata 6.0 9.0 6.9 Si es necesario modifico las medidas de seguridad del ordenador para poder acceder a servicios o juegos 10.1 14.3 13.1 Comparto software sin comprobar si está o no 11.2 13.9 12.0 www.infojc.com infectado (redes P2P) Fuente: Inteco
  • 44. Hábitos definitorios del componente “imprudencia” (%) Algunos datos Hábitos “Imprudentes” 2009 1º Trim. 2º Trim. Seguridad de la Información Abro correos de remitentes desconocidos si parecen interesante 15.3 % 14.7 % Agrego contactos al programa de mensajería (Messenger, ICQ) aunque no sepa de quién se trata 17.0 % 16.7 % Pulso los enlaces que aparecen en las conversaciones del Messenger, sin preguntar de que se trata 16.9 % 11.5 % Si es necesario modifico las medidas de seguridad del ordenador para poder acceder a servicios o juegos 40.8 % 39.3 % Comparto todos los archivos que tengo en mi ordenador con el resto de usuarios P2P 22.4 % 20.0 % No analizo con el programa antivirus todos los 44.2 % 39.1 % www.infojc.com archivos descargados a través de redes P2P Fuente: Inteco
  • 45. Algunos datos Evolución de incidencias detectadas por los usuarios en los últimos meses (%) Seguridad de la Información 77.0% Recepción de correos no solicitados 83.3% 83.3% 35.9% Virus Informáticos 40.2% 32.8% 22.3% Intrusiones remotas en el ordenador 24.2% 25.8% 16.2% Intrusiones en el correo electrónico 19.3% 18.0% 14.6% Obtención fraudulenta de datos personales 15.5% 13.1% 12.7% Robo de ancho de banda WiFi 11.7% 8.1% 8.5% Intrusiones en otras cuentas de servicio web 12.4% 8.5% 7.6% Fraudes o robos cuentas bancarias online 6.5% 4.1% Fraudes o robos relacionados con tarjetas de 7.4% 7.1% crédito 4.0% www.infojc.com 0% 20% 40% 60% 80% 100% Mayo-Julio Febrero-Abril Noviembre-Enero Fuente: Inteco
  • 46. Algunos datos Aumentan las vulnerabilidades y las posibilidades de tener éxito. Seguridad de la Información 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 www.infojc.com Fuente: CERT
  • 47. Querido Directivo… Algunos datos ¿Monitoriza los sistemas IDS-IPS? Seguridad de la Información ¿Lleva a cabo acciones de hashing? ¿Puede sufrir ¿Con un algoritmo Eavesdropping? seguro? ¿Es su empresa resistente a Sniffing? ¿Tiene su firewall comunicación en ambos sentidos LAN-WLAN? ¿Usa técnicas criptográficas AES-256? www.infojc.com
  • 48. Querido Directivo… Algunos datos ¿Alguien entró en su PC mientras no estuvo? Seguridad de la Información ¿Están seguros sus datos? ¿Sabe donde acaba la información? ¿Pueden corromper sus datos sin que se de cuenta? Creo que todo bien ¿Es legal todo su software? ¿Quién accedió a su BD? ¿Sabe lo que hace ¿Alguien le roba el administrador de su BD? información? www.infojc.com
  • 49. Algunos datos Entonces, ¿cuál es el problema? El 99% de las empresas disponen de antivirus, el 87% firewall, pero solo Seguridad de la Información el 34% dispone de sistemas de backup y recuperación. El 75% no utilizan cifrado de información. El 55% no dispone de herramientas para hacer frente a vulnerabilidades. Solo el 34% afirma tener un entorno seguro en la empresa. El 30% piensa que no es importante pues no ha sufrido ningún ataque. El 19% ha sufrido un ataque con pérdida de datos/sistemas. El 35% no informa a los empleados sobre la política de Seguridad. El 16% no cuenta con ninguna. El 13% afirma que la seguridad no es prioritaria para la dirección. www.infojc.com Más del 20% apunta al coste como un obstáculo. Un 34% a la falta de tiempo y conocimientos. Fuente: Symantec
  • 50. ¿Cuánto vale nuestra seguridad? No existe la certeza sobre una seguridad informática absoluta, pero con el 20% de esfuerzo se puede lograr el 80% de resultados. Seguridad de la Información www.infojc.com
  • 51. Evaluación de pérdidas en dólares. ¿Cuánto vale nuestra NO seguridad? Fraude Financiero 21,124,750 Infección 8,391,800 Penetración en el sistema 6,875,000 Seguridad de la Información Robo de información lógico 5,685,000 Robo de hardware 3,881,150 Abuso de privilegios 2,889,700 Denegación de servicio 2,888,600 Phishing suplantando a su empresa 2,752,000 Bots dentro de la organización 2,869,600 Robo de inf. propietaria desde un dispositivo movil 2,345,000 Robo de inf. confidencial desde un dispositivo movil 2,203,000 Sabotaje de inf., de red o datos 1,056,000 Acceso no autorizado a inf. por los empleados 1,042,700 Manipulación del sitio Web 725,300 Fraude de Telecomunicaciones 651,000 Uso no autorizado de la red WiFi 542,850 Uso o autorizado de una aplicación Web pública 251,000 Mensajería instantánea 200,700 www.infojc.com Sniffing de contraseñas 168,100 Envío de correos ofuscados 160,000 Uso no autorizado del servidor DNS de la empresa 104,500 0 5,000,000 10,000,000 15,000,000 20,000,000 25,000,000 Fuente: FBI/CSI
  • 52. ¿Cuánto vale nuestra seguridad? 13/02/2005. Torre Windsor. No contaba con sistemas automáticos de detección y Seguridad de la Información extinción de incendios. No obligatorios en España para edificios con altura de evacuación inferior a los 100 m. Deloitte y Garrigues, ocupaban 20 plantas. 1.200 trabajadores de la auditora y 133 del bufete han perdido miles de horas de trabajo. Procedimientos de copia de seguridad externa. Se recuperó la gestión documental en diez días. Normalidad es lo que buscaron urgentemente las dos compañías. El lunes reubicaron a los empleados, desviaron las centralitas dañadas a otras sedes. Los ingresos dejados de percibir se cifran en 25 millones de euros. www.infojc.com
  • 53. Medidas adoptadas después de un incidente. ¿Qué hacemos después? Intento de identificar al autor 61% Hacer todo lo posible por tapar los agujeros de Seguridad de la Información seguridad 54% Instalación de parches de seguridad 48% Instalación de software de seguridad adicional 36% Modificación de las políticas de seguridad 34% Comunicación a las fuerzas de la ley 29% Instalación de hardware de seguridad adicional 28% Comunicación a un asesor legal 24% No divulgación más allá de la organización 30% www.infojc.com Otros 10% 0% 10% 20% 30% 40% 50% 60% 70% Fuente: FBI/CSI
  • 54. Algunas reflexiones Para debatir: Las empresas/particulares ignoran las nuevas amenazas de seguridad. Seguridad de la Información La seguridad informática NO es un problema exclusivamente de los ordenadores. La Seguridad de la Información no es independiente del resto de los procesos de negocio de la empresa. La Seguridad de la Información no es un medio, es un objetivo. La implantación de medidas de seguridad NO es costosa. El oscurantismo no ha de suponer uno de los pilares de la seguridad en una empresa (security through obscurity). www.infojc.com
  • 55. Xornadas sobre as na : Seguridad de la Información. : Menos charla y más acción. Objetivos de la Jornada : a profesionales y empresarios. : a la tecnología y a los hackers. www.infojc.com
  • 56. Jorge Cebreiros · direccion@infojc.com @InfoJC_Galicia Blog.infojc.com www.infojc.com